1. リファレンスチェックのASHIATO
  2. お役立ち情報
  3. リファレンスチェック、個人情報保護法を遵守して行うには? 注意点を紹介

リファレンスチェック、個人情報保護法を遵守して行うには? 注意点を紹介

お役立ちコンテンツ公開日

企業コンプライアンスが重視される昨今、「企業は個人情報を適切に扱う責任がある」という考え方は社会全体で強まっています。法律としては『個人情報保護法』によって扱われ、2022年4月にも法改正が施行されるなど、目まぐるしい社会情勢の変化に応じてその内容も変化を続けています。

「そもそも個人情報関連法を正しく理解するのが難しい」「改正などの最新の情報をキャッチアップするのも大変」とお考えの方も多いのではないでしょうか。特に個人情報を多く取り扱う人事部において、この法律からくる負担やリスクは大きいでしょう。

本コラムでは、個人情報保護法のポイントを紹介するとともに、「個人情報保護法を遵守しつつリファレンスチェックを実施する方法」を解説します。



個人情報保護法とは?

個人情報保護法(個人情報の保護に関する法律)とは、個人情報の保護と適切な活用のために2003年に成立、2005年に全面施行された法律です。社会環境の変化に合わせてその後改正が行われており、2017年5月30日からは中小企業や個人事業主、町内会、同窓会など個人情報を利用する全ての事業者が個人情報保護法の適用対象となっています。

そもそも「個人情報」とは

個人情報とは、生存する個人に関する情報で、特定の個人を識別することができる情報です。代表的なものは氏名、生年月日、住所、電話番号などです。

個人情報保護法では以下のように定義されています。

この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。
一 当該情報に含まれる氏名、生年月日その他の記述等(文書、図画若しくは電磁的記録(電磁的方式(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式をいう。次項第二号において同じ。)で作られる記録をいう。第十八条第二項において同じ。)に記載され、若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項(個人識別符号を除く。)をいう。以下同じ。)により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)
二 個人識別符号が含まれるもの

引用元:『個人情報保護法 第二条(定義)

また、個人情報を容易に検索することができるよう、体系的に構成されたものを「個人情報データベース」といいます。

4 この法律において「個人情報データベース等」とは、個人情報を含む情報の集合物であって、次に掲げるもの(利用方法からみて個人の権利利益を害するおそれが少ないものとして政令で定めるものを除く。)をいう。
一 特定の個人情報を電子計算機を用いて検索することができるように体系的に構成したもの
二 前号に掲げるもののほか、特定の個人情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの


この「個人情報データベース」を構成する個人情報を「個人データ」といいます。個人情報がデータベース化すると、普通の個人情報よりも大量漏洩するリスクが高くなります。そのため、個人情報保護法ではこの「個人データ」の取り扱いについても詳しく定められているのです。


個人情報保護法のポイント

個人情報保護取扱いについて確認すべき主なポイントは以下の5つです。

①個人情報を取得するとき
②個人情報を利用するとき
③個人情報を保管するとき
④個人情報を他人に渡すとき
⑤本人から個人情報の開示を求められたとき

個人情報取得の時は目的を伝え、目的外の利用はしない。流出を防止する措置を講じながらしっかりと保管する、というのが基本的な事項ですが、細かいルールや義務については、使用状況に応じて法律やガイドラインをしっかり確認すべきでしょう。



個人情報漏洩による損害賠償請求事例

インターネット時代の個人情報漏洩が注目される契機となった事件、及び国内最大規模の漏洩事件の2件についてご紹介します。2件とも内部から情報が漏洩したという点、顧客への補償にまで対応が至った点で共通しています。

個人情報保護法の全面施行以前の2004年2月、Yahoo! BBのサービス加入者の氏名・住所・連絡先などの個人情報が不正アクセスにより約450万人分が漏洩。ソフトバンクBBの公表した被害総額は100億円を超えるという甚大な規模のインシデントでした。ソフトバンク社は殺到するクレームへの対応やお詫びメールの送付などを行いましたが事態は沈静化せず、ソフトバンクBB加入者に対して500円の金券を交付するに至りました。また漏洩元が元業務委託先社員であったことなどから、個人情報管理の厳守が日本で注目されるきっかけとなる事件となりました。

2014年6月、ベネッセコーポレーションのサービスを利用する子どもや保護者の個人情報が、システム開発・運用を行っているグループ会社・株式会社シンフォームの業務委託先元社員の不正取得により外部に流出。この元社員は約3,504万件分の個人情報を名簿業者3社へ売却していたことが判明(ベネッセ社発表では、実態の被害件数は約2,895万件と推計)し、不正競争防止法違反の容疑で逮捕されています。損害賠償請求に対する判決では株式会社シンフォームに対し1人あたり3,300円(慰謝料3,000円、弁護士費用300円)の支払いが命じられています。ベネッセ社においても、お詫びと報告の手紙の送付とともに、お詫びの品として500円分の金券を顧客に交付する対応がとられました。

上述の2事例は、謝罪や補償対応だけでなく、社会的な信頼回復に大きなコストを払った事件であり、社会全体で情報セキュリティの強化が重要視される契機となりました。


リファレンスチェックと個人情報保護法の関係

採用選考時に候補者をよく知る現職(前職)の上司や同僚などにヒアリングを行う「リファレンスチェック」で取得する内容は、特定の個人を識別できる「個人情報」にあたり、ほとんどの場合はデータベース上で管理するため「個人データ」にもあたります。そのため、個人情報取扱事業者として個人情報保護法における個人情報及び個人データの取り扱いに関する規定を遵守する必要があります。

特に、個人情報保護における以下の2つの事項は、リファレンスチェック実施に必ず関わってきます。

利用目的の通知と同意取得

個人情報保護法では、個人情報の「利用の目的をできる限り特定すること」「利用目的を本人に通知または公表すること」とが定められています。

個人情報取扱事業者は、個人情報を取り扱うに当たっては、その利用の目的(以下「利用目的」という。)をできる限り特定しなければならない。
2 個人情報取扱事業者は、利用目的を変更する場合には、変更前の利用目的と関連性を有すると合理的に認められる範囲を超えて行ってはならない。

引用元:『個人情報保護法 第十五条(利用目的の特定)

個人情報取扱事業者は、個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を、本人に通知し、又は公表しなければならない。

引用元:『個人情報保護法 第十八条(取得に際しての利用目的の通知等)

また、特に配慮を要する「要配慮個人情報」はあらかじめ同意を得ないで取得することはできません。採用候補者に差別や偏見などの不利益が生じないよう、取り扱いにより注意が必要です。

この法律において「要配慮個人情報」とは、本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める記述等が含まれる個人情報をいう。

引用元:『個人情報保護法 第二条

これらの条項に抵触しないよう、リファレンスチェックを実施する時には、採用候補者本人に情報の取得範囲と利用目的を説明し、同意を得る必要があります。もし、事前に説明したものと異なる利用目的で個人情報を取り扱いたい場合は、再度本人への説明と同意取得が必要です。


第三者提供の制限

個人データは、あらかじめ本人の同意を得ないで第三者に提供することはできません。

個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。

引用元:『個人情報保護法 第二十三条(第三者提供の制限)

この規定を根拠に、推薦者(リファレンスチェックの回答者)にリファレンスチェックへの協力を断られることがあります。その場合、事前に採用候補者本人にリファレンスチェック実施への同意を取得しており、本人の同意があれば個人情報保護法に抵触しないことを推薦者に伝えましょう。


リファレンスチェックで個人情報保護を徹底するには


リファレンスチェックの実施やその前後において個人データを適切に取り扱い、個人情報保護を徹底するには、以下の点にも注意する必要があります。

セキュリティ対策は万全に

リファレンスチェックで得た個人データの漏洩を防ぐために、適切な安全管理措置を講じなければなりません。デバイスの物理的な盗難対策やウイルス対策ソフトの導入などでセキュリティ対策を万全にしましょう。

個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又はき損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。

引用元:『個人情報保護法 第二十条(安全管理措置)

より具体的な手法は『個人情報の保護に関する法律についてのガイドライン(通則編) 10 (別添)講ずべき安全管理措置の内容』に示されている例がわかりやすいでしょう。ぜひご参考にしてください。


適切な社内教育、担当者の監督を実施

社内で取り決めたリファレンスチェックの実施方法に問題がなくても、現場の運用が不適切では意味がありません。リファレンスチェックで得た個人情報を取り扱う担当者や責任者を明確にし、研修などで適切な取扱い方法や漏洩のリスクについての教育を行いましょう。

個人情報取扱事業者は、その従業者に個人データを取り扱わせるに当たっては、当該個人データの安全管理が図られるよう、当該従業者に対する必要かつ適切な監督を行わなければならない。

引用元:『個人情報保護法 第二十一条(従業者の監督)


外部サービス運営会社の社会的な信用をチェック

外部の調査会社やオンラインサービスを利用してリファレンスチェックを行う場合、運営会社が個人情報保護法を遵守しているかどうかを確認する必要があります。個人データの取り扱いを委託する場合、委託先の監督をしっかり行わなければならない、という内容も、個人情報保護法には明記されています。

個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない。

引用元:『個人情報保護法 第二十二条(委託先の監督)

社会的な信用がある運営会社かどうか、サービスの利用規約やリファレンスチェックで調査予定の内容、採用候補者への同意取得方法に不安な点がないかなど、実際にリファレンスチェックを依頼する前にしっかり確認し、信頼できるサービスを利用しましょう。


『ASHIATO(アシアト)』で個人情報保護を徹底したリファレンスチェックを

本コラムでは、個人情報保護法のポイントやリファレンスチェックを個人情報保護を遵守して行うための注意点などを解説しました。

個人情報保護法に則ったリファレンスチェックを実施するためには、信頼のおけるリファレンスチェック専門サービスのご利用がおすすめです。約15万社の採用を支援してきたエン・ジャパンが運営するリファレンスチェックサービスASHIATOは、既に300社以上の様々な業種・職種の採用でご利用いただいています。

ASHIATOは上場企業としては唯一のWEB完結システムを用いたリファレンスチェックサービスであり、プライバシーマークを保有し、外部機関による脆弱性診断も実施済みです。候補者・推薦者双方の個人情報保護もASHIATOが代行します。

リファレンスチェックサービスにご興味をお持ちの人事ご担当者様は、まずはフォームからお気軽にお問い合わせください。


▼関連記事
リファレンスチェックは違法? 合法? 導入時に注意すべき点を解説 
勝手にリファレンスチェックするのは違法? 候補者は拒否できる? 法律上の注意点 
前職調査とは? 法的リスクからリファレンスチェックとの違いまでを解説
ASHIATO編集部

この記事を書いた人

ASHIATO編集部

人事・採用担当者などのビジネスパーソン向けにお役立ち情報を発信しています!