中小企業が最低限やるべき従業員個人情報管理5つの対策

「従業員の個人情報、なんとなく管理しているけど、本当に大丈夫だろうか」——そう感じながらも、日々の業務に追われて後回しになっていませんか。専任の人事・法務担当がいない中小企業では、給与データや健康診断結果をパスワードなしのExcelで保管していたり、休職者の病名を関係ない社員にまで共有していたりと、気づかぬうちにリスクを抱えているケースが少なくありません。この記事では、従業員個人情報管理を適切に行うために、中小企業が最低限取り組むべき5つの対策を、法的背景とあわせて実務的にわかりやすく解説します。

従業員個人情報管理で中小企業が見落としがちなリスク

「うちは小さいから関係ない」は通用しない

2022年の個人情報保護法改正以前は、取り扱う個人情報が5,000件以下の事業者には一部の義務が免除されていました。しかし改正後はこの緩和規定が撤廃され、従業員が数名の企業であっても、すべての事業者が安全管理措置の義務を負うことになっています。「小さい会社だから対象外」という認識は、今や完全に過去のものです。

従業員情報は「普通の個人情報」だけではない

従業員に関する情報には、氏名・住所・給与といった一般的な個人情報に加え、「要配慮個人情報（センシティブ情報）」と呼ばれる特別に慎重な扱いが必要なデータが含まれます。健康診断の結果、休職理由、診断書に記載された病名、メンタルヘルスの面談記録などがこれにあたります。要配慮個人情報は、本人の明示的な同意なしに取得・第三者への提供をすることが原則として禁止されており、「業務上必要だから」という理由だけでは許可されません。

漏えい時には報告義務が発生する

2022年の法改正では、個人情報の漏えいが発生した際に個人情報保護委員会への報告と本人への通知が義務化されました。速報は3〜5日以内、確報は30日以内という期限があります。とくに要配慮個人情報が含まれる場合は、漏えいの規模が軽微であっても報告対象となります。「何かあったときに考えよう」では間に合わないのが現実です。

管理すべき情報の種類と「要配慮個人情報」の正しい理解

社内に存在する個人情報の全体像を把握する

まず取り組むべきことは、自社にどのような個人情報が存在するかを棚卸しすることです。一般的に中小企業の人事労務業務では、採用時の履歴書・職務経歴書、雇用契約書、給与・賞与・社会保険に関するデータ、マイナンバー、緊急連絡先、通勤経路などが存在します。これらを一覧化した「個人情報管理台帳」を作成しておくことが、安全管理措置の出発点です。

「要配慮個人情報」に該当するものを明確にする

個人情報の中でも特に厳格な管理が求められるのが、要配慮個人情報です。休職者の診断書に記載された傷病名、産業医との面談記録、障害に関する情報、メンタルヘルスの支援経過などが代表的な例です。これらの情報を取得する際は本人の同意が必要であり、保管・共有・廃棄の各場面でも通常の個人情報より高い基準での管理が求められます。「診断書を受け取ったからそのまま総務フォルダに保存」という扱いは、すでに問題になりうる状態です。

マイナンバーは個人情報保護法より厳しいルールが適用される

給与計算や社会保険手続きに使用するマイナンバーは、個人情報保護法ではなくマイナンバー法（番号法）によって管理されます。利用目的は法律で定められた範囲に限定されており、アクセスできる担当者の限定や、業務終了後の廃棄ルールの明文化が義務づけられています。違反した場合の罰則は個人情報保護法より重く、4年以下の懲役または200万円以下の罰金が科される可能性があります。マイナンバーが入ったファイルを他の書類と一緒に管理しているケースは、早急に見直しが必要です。

Excelやクラウドで管理している場合に最低限やるべきこと

Excelファイルには必ずパスワードを設定する

給与データや従業員名簿をパスワードなしのExcelファイルで管理しているケースは、中小企業では珍しくありません。まず取り組むべきは、個人情報を含むすべてのファイルにパスワードを設定することです。Excelであれば「ファイル→情報→ブックの保護→パスワードを使用して暗号化」から設定できます。パスワードは使い回しをせず、定期的に変更するルールも決めておきましょう。

クラウドサービスの共有設定を必ず確認する

Google DriveやDropboxなどのクラウドサービスを「なんとなく」使っている場合、共有リンクの設定が「リンクを知っている全員が閲覧可能」になっていることがあります。これは社外に情報が流出するリスクを常に抱えている状態です。個人情報を含むフォルダは「特定のメンバーのみアクセス可」に設定し、誰がどのファイルにアクセスできるかを定期的に確認する習慣をつけてください。アクセスログを記録できるサービスであれば、ログ管理も活用しましょう。

退職者データの保管期間と廃棄ルールを決める

退職した従業員の情報をいつまで保管すべきか、明確なルールを持っていない企業は多いです。雇用関係書類の保管期間は法律により定められており、労働者名簿・賃金台帳は5年（当面3年）、雇用保険関係は4年、源泉徴収関係は7年が目安です。保管期間を過ぎたデータは速やかに廃棄することも義務の一部です。紙の書類はシュレッダー処理、電子データは完全削除のうえ上書きするなど、廃棄方法も明文化しておきましょう。

休職・メンタルヘルス情報を扱う際の社内ルール設計

「誰が知るべきか」を事前に決めておく

休職者が出たとき、病名や休職理由を誰に・どこまで共有するかのルールが決まっていない企業では、二極化した対応が起きがちです。「経営者・役員・上司・総務担当・同僚にまで全員知らせる」か、逆に「担当者一人が抱え込んで誰にも伝えない」かのどちらかになってしまいます。いずれも適切ではありません。原則として、休職・復職対応に直接関わる最小限の担当者のみが情報にアクセスできるよう、共有範囲をあらかじめルール化しておくことが重要です。

本人同意の取得を手続きとして組み込む

産業医や社労士、外部のメンタルヘルス支援機関（EAPなど）と連携する場面では、要配慮個人情報を第三者に提供することになります。このとき、本人から書面等で同意を得ているかどうかが問われます。「担当者が口頭で確認した」「本人が了承したと思っていた」では不十分です。同意書のひな型を作成し、情報共有が発生するたびに必ず取得するフローを社内で標準化しておきましょう。

外部委託先との契約に安全管理義務を盛り込む

健康診断機関や給与計算を委託している社労士事務所なども、個人情報の取扱いを委託している「委託先」にあたります。個人情報保護法では、委託元が委託先の安全管理措置を監督する義務も負っています。委託契約書や覚書に「個人情報の取り扱いに関する条項」が含まれているか確認し、なければ追記を求めることが必要です。

組織的・人的措置として社内ルールを整備する

取扱担当者の限定と責任者の設置

「誰でも見られる状態」は安全管理措置の観点からアウトです。個人情報を取り扱える担当者を明確に限定し、その中に責任者を一人置くことが組織的措置の基本です。担当者が退職・異動した場合の引き継ぎルールも合わせて決めておきましょう。責任者の氏名と役割を社内で周知することも、情報管理意識の向上につながります。

就業規則への守秘義務規定の明記

従業員が業務上知り得た個人情報を外部に漏らさないよう、守秘義務を就業規則に明記することが人的措置の基本です。「当然わかっているはず」では法的根拠になりません。守秘義務違反に対する懲戒処分の規定も合わせて整備しておくことで、万が一のインシデント発生時に対応しやすくなります。また、入社時・年1回程度の社内教育を通じて、個人情報保護の意識を定期的に醸成することも効果的です。

インシデント発生時の対応手順を事前に作成しておく

漏えい事故が起きてから「どうすればいいか」を調べていては間に合いません。速報の提出（3〜5日以内）・確報の提出（30日以内）・本人への通知といった対応を、誰が・何を・いつ行うかをまとめたインシデント対応手順書を事前に作成しておくことが重要です。A4一枚のシンプルなものでも、「何も決まっていない」状態とは大きく異なります。

中小企業が従業員個人情報管理を進めるための現実的なアプローチ

完璧を目指さず、リスクの高い箇所から手をつける

専任担当者がいない中で、すべての対策を一度に整備しようとすると必ず行き詰まります。まず最初に取り組むべきは、リスクの高い情報から優先的に対処することです。具体的には、要配慮個人情報（健康診断結果・診断書）とマイナンバーの管理体制を先に整えることを推奨します。次に、給与・採用データのアクセス制御を見直し、その後、社内規程や退職者データの廃棄ルールを整備していく順序が現実的です。

外部の専門家を「内部リソースの補完」として活用する

中小企業では、社労士や外部の人事労務コンサルタントを活用することが、限られたリソースを補う有効な手段です。個人情報取扱規程や就業規則の整備、休職者情報の取り扱いルール設計など、自社だけでは判断しづらい領域は専門家に相談することで、時間とリスクの両方を削減できます。「相談する前に全部調べてから」と思わず、「わからないことをわからないまま相談できる窓口」を持つことが、中小企業における従業員個人情報管理の現実解です。

よくある質問