従業員の個人的な情報を社内で共有してもいいか

　こんばんは。弁護士の檜山洋子です。

　従業員を雇っていれば、従業員の個人情報に触れることがあると思います。
　雇われている側とすれば、個人的なことであっても、一応雇い主に言っておかなければ働きにくいことになるかもしれないと思って、情報を共有することがあると思います。

　例えば、不妊治療をしているとか、子どもが不登校とか、病弱とか、両親の介護をしているとか、自分は性的マイノリティーだとか、いろいろあります。

　これらの情報はかなりセンシティブで、情報を受け取った会社側としても、どう扱ったらいいのか迷ってしまうことがあるでしょう。

　他方で、業務を休みがちになるとか、遅刻早退を余儀なくされるようなときには、他の従業員の理解を事前に得ておく方が人間関係の摩擦を回避できることもあります。

　では、従業員の個人情報を社内で共有することはできるのでしょうか。
　できるとして、どのような点に注意すべきなのでしょうか。

社員名簿を作っている事業者は全て「個人情報取扱事業者」

　個人情報の適正な取扱いについて定める個人情報保護法にいう「個人情報」とは、氏名、生年月日その他の記述により特定の個人を識別することができる情報、または、個人識別符号が含まれる情報のことをいいます（法2条1号）。

　この個人情報を業務に用いる事業者は「個人情報取扱事業者」として、個人情報保護法に定められた義務を負います。

　従業員を雇用している事業者は、通常従業員名簿等を作成しているでしょうから、個人情報取扱事業者となります。

個人情報取扱事業者の義務

　個人情報取扱事業者となれば、個人情報について個人情報保護法の定めに従って取得・利用、保管をしなければなりません。

　つまり、まず、個人情報を取り扱うに当たっては、その利用の目的をできる限り特定しなければなりません（法17条1項）。

　また、個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を、本人に通知し、又は公表しなければなりません（法21条1項）。

　そして、取得した個人情報については、特定した利用目的の達成に必要な範囲で利用しなければならず、それを超えて利用するときは、あらかじめ本人の同意を得る必要があります（法18条1項）。

　さらに、利用目的の達成に必要な範囲内において、個人データを正確かつ最新の内容に保つとともに、利用する必要がなくなったときは、当該個人データを遅滞なく消去するよう努めなければなりません（法22条）。

　個人情報データの安全管理についても、データが漏えい、滅失、毀損しないように必要かつ適切な措置を講じなければなりません（法23条）。

　他の従業員に個人データを取り扱わせるときは、当該個人データの安全管理が図られるよう、当該従業者に対する必要かつ適切な監督を行わなければなりませんし（法24条）、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければなりません（法25条）。

要配慮個人情報の扱い

　「本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める記述等が含まれる個人情報」（法2条3号）は、「要配慮個人情報」と呼ばれ、特別な配慮を求められます。

　つまり、通常の個人情報は、偽りその他不正の手段によるものでなければ、本人の同意なく取得することができますが（法20条1項）、要配慮個人情報については、原則としてあらかじめ本人の同意を得ておかなければ取得してはならないこととされています（法20条2項）。

　病歴だけでなく、性的嗜好・性自認なども要配慮個人情報となるでしょう。

　家庭の事情などは、要配慮個人情報とまではいかないものもあるでしょうが、そのようなプライベートなことを社内で本人の同意なく公表してしまうことは、個の侵害としてハラスメントになる可能性があります。

　会社としては、要配慮個人情報として例示されているもの以外にも、その情報の性質や本人の気持ちを重視して、必要な範囲でのみ社内共有をするように気をつける必要があります。