(神奈川総合法律事務所だより2023年1月発行第66号に掲載した記事です。)
最近、顧問契約を結んでいる複数の労働組合から、組合の個人情報管理規程の点検についてご依頼を受けることがありました。今回は、その点検作業をする中で気づいたことを書くことにします。
* * *
多数の組合員を擁する労働組合、特に企業内の過半数労働組合は、組合員の個人情報を、検索することができるように体系的に構成したデータベースの形で保有し(データをコンピューターで管理している場合は、ほぼこれに該当するはずです。)、それを組合活動の用に供していることと思います。
そのような労働組合は、個人情報の保護に関する法律(以下「個人情報保護法」といいます。)に定める「個人情報取扱事業者」に該当するため、同法に定められた事項を遵守しなければなりません。
ところが、同法は、2005年(平成17年)に全面施行されて以降、数度の改正を経て、かなり複雑な法律になっており、組合役員が同法の条文を直に見ても、何をどうすればよいのか、迷うだろうと思います。
対策としては、労働組合が組合員の個人情報の取扱いに関する規程を定め、その規程の中で、法律上遵守しなければいけない事項を分かりやすく整理しておくという方法があります。
* * *
規程の中に定めておく事項には、次の①から⑤などがあります。
①個人情報の利用目的
②個人情報の取得方法
③個人情報の管理方法
④業務委託先へ個人データを提供する場合のルール
⑤組合員本人から保有個人データの開示、訂正、利用停止、第三者提供停止等を請求された場合の手続
ただし、これらの事項だけでなく、使用者である企業とユニオン・ショップ協定やチェック・オフ協定を締結し、企業との間で組合員の氏名、賃金、所属その他の個人情報のやりとりを行う組合の場合は、それらの個人情報を企業と共同利用することについて定めておくことが重要です(規程の中に定めるにあたり、予め企業と労使協議を行い、共同利用のために必要な事項を決めておく必要があります。)。
また、産業別労働組合や企業グループの労働組合連合会などの上部団体との間で、組合員の個人情報のやりとりを行う組合の場合は、上部団体と共同利用することについても定めておくことが重要です(この場合も、予め産業別労働組合や労働組合連合会との間で、共同利用のために必要な事項を決めておく必要があります。)。
* * *
個人情報保護法27条1項は、個人データを第三者に提供することについて、一定の場合を除き、予め本人の同意を得ることを必要としています。
他方、同条5項では、個人データの提供を受ける者が第三者に該当しない場合として、業務委託、事業承継、共同利用の3つによる提供の場合を定めています。
このうち共同利用の場合については、具体的に次のように定めています。
三 特定の者との間で共同して利用される個人データが当該特定の者に提供される場合であって、その旨並びに共同して利用される個人データの項目、共同して利用する者の範囲、利用する者の利用目的並びに当該個人データの管理について責任を有する者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているとき。
この規定に則して、組合の規程の中に、企業、上部団体との共同利用について定め、その規程を組合員が容易に知り得る状態に置くことにより、企業、上部団体との個人情報のやりとりが第三者提供に当たらないことになり、予め本人の同意を得ることも不要になります。
このような対策をとらず、企業や上部団体との個人情報のやりとりが第三者提供に当たるということになってしまうと、個人情報保護法27条1項によって予め本人の同意を得る必要が出てきますので、その結果として、企業、上部団体との個人情報のやりとりがしにくくなり、雇用管理、組合員管理、福利厚生などの事務に影響が生じかねません。
なお、同条2項には本人の同意に代わる方法として、一定の要件に基づくオプトアウト方式(予め一定の事項を本人に通知するか容易に知りうる状態にしておきながら、第三者提供を行い、本人の求めに応じて第三者提供を停止するという方式。)が定められていますが、企業、上部団体との個人情報のやりとりのために、この方式を用いるのは、現実的ではありません。本人から第三者提供の停止を求められたときは、企業、上部団体との個人情報のやりとりができなくなるからです。
* * *
遵守しなければならない法令の規定が複雑化していく中で、労働組合の役員にかかる負担は大きいことと思います。
本稿が労働組合における組合員の個人情報管理の一助になれば、幸いです。