個人情報に関する厚生労働省の労働組合への指針

労働組合への指針(厚生労働省)

労働組合が講ずべき個人情報保護措置に関するガイドライン

平成24年8月23日厚生労働省告示第486号
(改正平成27年11月25日厚生労働省告示第455号)

目次

第1 趣旨
第2 定義
第3 適用対象者の範囲
第4 個人情報の利用目的に関する義務
第5 個人情報の取得に関する義務
第6 個人データの管理に関する義務
第7 個人データの第三者提供に関する義務
第8 保有個人データの開示等に関する義務
第9 苦情処理に関する義務
第10 個人情報保護に関する考え方や方針の明確化に関する事項
第11 法違反若しくは法違反のおそれが発覚した場合又は個人情報の漏えい等の事案が発生した場合の対応
第12 他の個人情報保護に関するガイドライン等への留意
第13 ガイドラインの見直しについて


第1 趣旨(法第1条関係)

このガイドラインは、個人情報の保護に関する法律(平成15年法律第57号。以下「法」という。)第8条の規定に基づき、及び法第7条第1項に基づき定められた「個人情報の保護に関する基本方針」(平成16年4月閣議決定。平成20年4月及び平成21年9月一部変更。)を踏まえ、労働組合が個人情報の適正な取扱いの確保に関して行う活動を支援するため、労働組合の実情や特性等を踏まえ、労働組合が講ずる措置が適切かつ有効に実施されるよう具体的な指針として定めるものである。

法は、法第1条の規定により、個人情報の取扱いに当たっては、個人情報の有用性に配慮しつつ、個人の権利利益を保護することを目的としており、当該目的は、このガイドラインにおいても同様である。

このガイドラインにおいて「ならない」(「努めなければならない」を除く。)とされている規定については、法の義務規定の対象である個人情報取扱事業者の法的義務であるため、個人情報取扱事業者である労働組合が当該規定に従わない場合には、法違反と判断される可能性がある。

また、このガイドラインにおいて「望ましい」とされている規定に従わない場合については、個人情報取扱事業者である労働組合であるか否かを問わず、法違反と判断されることはない。

なお、法違反と判断されることがない場合においても、法第3条に定める法の基本理念を踏まえ、可能な限り取り組むことが望まれる。


第2 定義(法第2条関係)

このガイドラインにおいて、次の各号に掲げる用語の意義は、それぞれ次に定めるところによる。

1 労働組合
「労働組合」とは、労働組合法(昭和24年法律第174号)第2条に規定する労働組合をいう。

2 個人情報
「個人情報」とは、生存する個人に関する情報であって、特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができるものを含む。)をいう。
「個人に関する情報」とは、氏名、性別、生年月日、住所、年齢、職業、続柄等の事実に関する情報のほか、個人の身体、財産、職種、肩書等の属性に関する判断や評価を表す全ての情報をいい、公刊物等によって公にされている情報や、映像、音声による情報も含む。複数以上の「個人に関する情報」を照合することにより、特定の個人を識別することができる場合においては、当該「個人に関する情報」全てが「個人情報」に該当する。
生存しない個人に関する情報であっても、同時に、遺族等の「生存する個人に関する情報」に当たる場合には、当該生存する個人に関する情報となる。
また、法人その他の団体に関する情報は、基本的に「個人情報」には該当しないが、当該情報に役員の氏名等の個人に関する情報が含まれる場合には、その部分については「個人情報」に該当する。
なお、「個人」には外国人も含む。

3 個人情報データベース等
「個人情報データベース等」とは、次に掲げるものをいう。
(1) 特定の個人情報をコンピュータを用いて検索することができるように体系的に構成した、個人情報を含む情報の集合物
(2) コンピュータを用いない場合であって、紙面で処理した個人情報を五十音順等の一定の方式に従って整理及び分類し、特定の個人情報を容易に検索することができるよう、目次、索引、符号等を付し、他人も容易に検索することができる状態に置いているもの

4 個人データ
「個人データ」とは、個人情報データベース等を構成する個人情報をいう。

5 個人情報取扱事業者
「個人情報取扱事業者」とは、個人情報データベース等を事業の用に供している者をいう。
ただし、その取り扱う個人情報の量及び利用方法からみて個人の権利利益を害するおそれが少ない者を除く。
「その取り扱う個人情報の量及び利用方法からみて個人の権利利益を害するおそれが少ない者」とは、その事業の用に供する個人情報データベース等を構成する個人情報によって識別される特定の個人の数の合計が過去6箇月以内のいずれの日においても5千を超えない者とする。
5千を超えるか否かは、労働組合が管理する全ての個人情報データベース等を構成する個人情報によって識別される特定の個人の数の総和により判断する。
ただし、同一個人の重複分は除くものとする。
また、個人情報データベース等が次に掲げる要件の全てに該当する場合には、それを構成する個人情報によって識別される特定の個人の数は、5千の数に含めない。
(1) 個人情報データベース等の全部又は一部が他人の作成によるものであること。
(2) 氏名、住所及び居所、電話番号のみが掲載された個人情報データベース等であること又は不特定かつ多数の者に販売することを目的として発行され、かつ、不特定かつ多数の者により随時に購入することができる、若しくはできた個人情報データベース等であること。
(3) 労働組合自らが、その個人情報データベース等を事業の用に供するに当たり、新たに個人情報を加えることで特定の個人の数を増やす、他の個人情報を付加する等により、当該個人情報データベース等を編集又は加工していないこと。
なお、法人格を有しない労働組合であっても、個人情報取扱事業者に該当しうる。

6 事業
「事業」とは、一定の目的をもって反復継続して遂行される同種の行為又は活動であって、かつ、社会通念上事業と認められるものをいい、営利事業のみを対象とするものではない。

7 本人
「本人」とは、個人情報によって識別される特定の個人をいう。

8 保有個人データ
「保有個人データ」とは、労働組合が、本人又はその代理人から求められる開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止の全てに応じることができる権限を有する個人データをいう。
ただし、その存否が明らかになることにより公益その他の利益が害されるものとして次に掲げるもののほか、6箇月以内に消去(更新を除く。)することとなるものを除く。
(1) 本人又は第三者の生命、身体又は財産に危害が及ぶおそれがあるもの
(2) 違法又は不当な行為を助長し、又は誘発するおそれがあるもの
(3) 国の安全が害されるおそれ、他国若しくは国際機関との信頼関係が損なわれるおそれ又は他国若しくは国際機関との交渉上不利益を被るおそれがあるもの
(4) 犯罪の予防、鎮圧、捜査その他の公共の安全と秩序の維持に支障が及ぶおそれがあるもの

9 公表
「公表」とは、広く一般に内容を発表することをいう。
公表に当たっては、事業の性質及び個人情報の取扱状況に応じ、合理的かつ適切な方法による必要がある。その際、労働組合の事務所の窓口等における書面の掲示若しくは備付け又はホームページ上での掲載その他の方法により継続的に行うことが望ましい。

10 本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。以下同じ。)
「本人の知り得る状態」とは、労働組合の事務所の窓口等における書面の掲示若しくは備付け又はホームページ上での掲載等、本人が知ろうとすれば、知ることができる状態をいい、常にその時点での正確な内容を本人の知り得る状態に置く必要がある。
本人の知り得る状態とするに当たっては、必ずしも労働組合の事務所の窓口等における書面の掲示若しくは備付け又はホームページ上での掲載その他の方法が継続的に行われることまでを要しないが、事業の性質及び個人情報の取扱状況に応じ、内容が本人に認識される合理的かつ適切な方法による必要がある。

11 本人が容易に知り得る状態
「本人が容易に知り得る状態」とは、継続的な方法により、本人が知ろうとすれば、時間的にもその手段においても簡単に知ることができる状態をいう。
本人が容易に知り得る状態とするに当たっては、事業の性質及び個人情報の取扱状況に応じ、内容が本人に認識される合理的かつ適切な方法による必要がある。その際、労働組合の事務所の窓口等における書面の掲示若しくは備付け又はホームページ上での掲載その他の方法により継続的に行うものとする。

12 本人に通知
「本人に通知」とは、本人に直接内容を知らしめることをいう。
本人に通知するに当たっては、本人に内容が認識されるように事業の性質及び個人情報の取扱状況に応じ、合理的かつ適切な方法による必要がある。その際、書面(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式で作られる記録(以下「電磁的記録」という。)を含む。)又は口頭により行うものとする。

13 個人データ又は保有個人データの提供
「個人データ又は保有個人データの提供」とは、個人データ又は保有個人データを第三者が利用可能な状態に置くことをいう。個人データ又は保有個人データが物理的に提供されていない場合であっても、備付けやネットワーク等の利用により、第三者が利用(閲覧を含む。)できる場合においては、当該提供に該当する。

14 本人の同意
「本人の同意」とは、本人が、個人情報取扱事業者の示す方法によって個人情報が取り扱われることを承諾する旨の当該本人の意思表示をいう。
「本人の同意を得る」とは、本人の承諾の意思表示を当該個人情報取扱事業者が認識することをいう。
本人の同意を得るに当たっては、事業の性質及び個人情報の取扱方法に応じ、本人が同意に係る判断を行うために必要と考えられる合理的かつ適切な方法による必要がある。
書面(電磁的記録を含む。)又は口頭による明示的な同意の意思表示を得ることが望ましい。
なお、個人情報の取扱いに関して同意したことによって生ずる結果について、未成年者、成年被後見人、被保佐人及び被補助人が判断できる能力を有していない等の場合は、親権者、法定代理人等から同意を得る必要がある。


第3 適用対象者の範囲

このガイドラインは、個人情報取扱事業者である労働組合を対象とする。
なお、個人情報取扱事業者に該当しない労働組合であって個人情報を取り扱うものについても、法第3条に規定する基本理念を踏まえ、このガイドラインに定める事項を遵守することが望ましい。


第4 個人情報の利用目的に関する義務

1 利用目的の特定(法第15条第1項関係)
労働組合は、個人情報を取り扱うに当たっては、その利用の目的(以下「利用目的」という。)をできる限り具体的に特定しなければならない。
利用目的の特定に当たっては、労働組合において個人情報が最終的にどのような事業の用に供され、どのような目的で利用されるかが本人にとって一般的かつ合理的に想定できる程度に具体的に行うものとする。

2 利用目的の変更(法第15条第2項及び法第18条第3項関係)
(1) 労働組合は、1の規定により特定した利用目的を変更する場合には、変更前の利用目的からみて、社会通念上本人が想定できる範囲を超えた変更を行ってはならない。
(2) 変更された利用目的は、本人に通知し、又は公表しなければならない。
(3) 本人が想定できる範囲を超えて利用目的の変更を行う場合には、3の規定により、本人の同意を得なければならない。

3 利用目的による制限等(法第16条第1項及び第2項関係)
(1) 労働組合は、あらかじめ本人の同意を得ることなく、1の規定により特定した利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはならない。ただし、あらかじめ本人の同意を得るために個人情報を利用することは、当初特定した利用目的にない場合にも、目的外利用には当たらない。
(2) 労働組合は、合併等により他の労働組合から事業を承継することに伴って個人情報を取得した場合は、あらかじめ本人の同意を得ることなく、承継前における当該個人情報の利用目的の達成に必要な範囲を超えて、当該個人情報を取り扱ってはならない。ただし、あらかじめ本人の同意を得るために個人情報を利用することは、承継前の利用目的にない場合にも、目的外利用には当たらない。
(3) 労働組合は、その取り扱う個人データについて、利用目的の達成に必要な範囲内で保存期間を定め、当該保存期間経過後又は利用目的を達成した後は、遅滞なくこれを消去することが望ましい。

4 利用目的による制限の例外(法第16条第3項関係)
次に掲げる場合においては、3の規定により本人の同意を得ることが求められる場合であっても、本人の同意を得ることなく、利用目的の達成に必要な範囲を超えて個人情報を取り扱うことができる。
(1) 法令に基づいて、利用目的の達成に必要な範囲を超えて個人情報を取り扱う場合。なお、当該法令に目的外利用の便益を得る相手方についての根拠のみがあり、目的外利用をする義務までは課されていない場合においては、労働組合は、当該法令の趣旨に照らして目的外利用の必要性及び合理性が認められる範囲内で対応するものとする。
(2) 人(法人を含む。)の生命、身体又は財産の保護のために利用目的の達成に必要な範囲を超えて個人情報を取り扱う必要がある場合であって、本人の同意を得ることが困難であるとき。
(3) 公衆衛生の向上又は児童の健全な育成の推進のために特に利用目的の達成に必要な範囲を超えて個人情報を取り扱う必要がある場合であって、本人の同意を得ることが困難であるとき。
(4) 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して労働組合が協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるときに、利用目的の達成に必要な範囲を超えて個人情報を取り扱う場合。
ただし、労働組合は、任意の求めの趣旨に照らして目的外利用の必要性と合理性が認められる範囲内で対応するものとする。


第5 個人情報の取得に関する義務

1 適正な取得(法第17条関係)
労働組合は、偽りその他不正の手段により個人情報を取得してはならない。
第三者からの提供(法第23条第1項各号に掲げる場合並びに個人情報の取扱いの委託、事業の承継及び共同利用に伴い、個人情報を提供する場合を除く。)により、個人情報(個人情報の保護に関する法律施行令第2条第2号に規定するものから取得した個人情報を除く。)を取得する場合には、提供元の法の遵守状況(例えば、オプトアウト、利用目的、開示手続、問合せ・苦情の受付窓口を公表していることなど)を確認し、個人情報を適切に管理している者を提供元として選定するとともに、実際に個人情報を取得する際には、例えば、取得の経緯を示す契約書等の書面の点検又はこれに代わる合理的な方法により、当該個人情報の取得方法等を確認した上で、当該個人情報が適法に取得されたことが確認できない場合は、偽りその他不正の手段により取得されたものである可能性もあることから、その取得を自粛することを含め、慎重に対応することが望ましい。

2 取得時の利用目的の通知又は公表(法第18条第1項関係)
労働組合は、個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を本人に通知し、又は公表しなければならない。

3 書面等による直接取得時の利用目的の明示(法第18条第2項関係)
労働組合は、契約書等の書面(電磁的記録を含む。)等により、直接本人から個人情報を取得する場合は、あらかじめ本人に対しその利用目的を明示しなければならない。ただし、人(法人を含む。)の生命、身体又は財産の保護のために緊急に必要がある場合は、あらかじめ本人に対しその利用目的を明示する必要はないが、その場合には、2の規定に基づき、取得後速やかにその利用目的を本人に通知し、又は公表しなければならない。
なお、「本人に対し、その利用目的を明示」とは、本人に対し、その利用目的を明確に示すことをいい、事業の性質及び個人情報の取扱状況に応じ、内容が本人に認識される合理的かつ適切な方法による必要がある。

4 利用目的の通知等をしなくてよい場合(法第18条第4項関係)
次に掲げる場合については、2、3及び第4の2の(2)の規定は適用しない。
(1) 利用目的を本人に通知し、又は公表することにより本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
(2) 利用目的を本人に通知し、又は公表することにより、労働組合の権利又は正当な利益を害するおそれがある場合
(3) 国の機関又は地方公共団体が法令の定める事務を遂行することに対して協力する必要がある場合であって、利用目的を本人に通知し、又は公表することにより当該事務の遂行に支障を及ぼすおそれがあるとき。
(4) 取得の状況からみて利用目的が明らかであると認められる場合


第6 個人データの管理に関する義務

1 データ内容の正確性の確保(法第19条関係)
労働組合は、利用目的の達成に必要な範囲内において、個人データを正確かつ最新の内容に保つよう努めなければならない。

2 安全管理措置(法第20条関係)
(1) 労働組合は、その取り扱う個人データの漏えい、滅失又は毀損(以下「漏えい等」という。)の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。その際、労働組合において、個人データが漏えい等をした場合に本人が被る権利利益の侵害の大きさを考慮し、事業の規模及び性質、個人データの取扱状況並びに個人データを記録した媒体の性質等に起因するリスクに応じ、組織的、人的、物理的及び技術的安全管理措置を講ずるものとする。
(2) 労働組合は、組織的安全管理として次に掲げる事項について措置を講ずることが望ましい。
 イ 個人情報保護管理者の設置
 ロ 個人データの安全管理措置を講ずるための組織体制の整備
 ハ 個人データの安全管理措置を定める規程等の整備と規程等に従った運用
 ニ 個人データ取扱台帳の整備
 ホ 個人データの安全管理措置の評価、見直し及び改善
 ヘ 事故又は違反への対処についての手続の策定
 ト 責任の所在の明確化のための措置
 チ 新たなリスクに対応するための安全管理措置の評価、見直し及び改善に向けた監査実施体制の整備(例えば、外部の情報セキュリティ対策に十分な知見を有する者を適宜活用し、労働組合内の対応を監査・評価させ、その結果に応じた対策を講ずること等)
 リ 漏えい等に早期に対処するための体制整備(例えば、漏えい等が発生した場合又は発生のおそれがある場合の連絡体制の整備等)
(3) 労働組合は、人的安全管理として雇用契約時における非開示契約の締結について措置を講ずることが望ましい。
(4) 労働組合は、物理的安全管理として次に掲げる事項について措置を講ずることが望ましい。
 イ 入館(室)者による不正行為防止のための、業務実施場所及び情報システム等の設置場所の入退館(室)管理の実施及び記録の保存
 ロ 盗難等に対する対策(例えば、カメラによる撮影や作業への立会い等による記録又はモニタリングや、記録機能を持つ媒体の持込み・持出し禁止又は検査の実施等)
 ハ 機器、装置等の物理的な保護
 ニ 不正な操作を防ぐための、個人データを取り扱う端末に付与する機能の業務上の必要性に基づく限定(例えば、スマートフォン、パソコン等の記録機能を有する機器の接続の制限及び機器の更新への対応等)
(5) 労働組合は、コンピュータを用いて個人データを取り扱う場合は、技術的安全管理として次に掲げる事項について措置を講ずることが望ましい。
 イ 個人データへのアクセスにおける識別と認証
 ロ 個人データへのアクセス制御
 ハ 個人データへのアクセス権限の管理
 ニ 個人データのアクセスの記録及び不正が疑われる異常な記録の存否の定期的な確認
 ホ 個人データを取り扱う情報システムに対する不正ソフトウェア対策
 ヘ 個人データの移送・通信時の対策
 ト 個人データを取り扱う情報システムの動作確認時の対策
 チ 個人データを取り扱う情報システムへのアクセス状況を監視するシステムの構築、当該監視システムの動作の定期的な確認
 リ ソフトウェアに関するぜい弱性対策(セキュリティパッチの適用、当該情報システム固有のぜい弱性の発見及びその修正等)

3 従業者の監督(法第21条関係)
労働組合は、その従業者に個人データを取り扱わせるに当たっては、当該個人データの安全管理が図られるよう、当該従業者に対する必要かつ適切な監督を行わなければならない。その際、個人データが漏えい等をした場合に本人が被る権利利益の侵害の大きさを考慮し、事業の性質及び個人データの取扱状況等に起因するリスクに応じ、個人データを取り扱う従業者に対する教育及び研修等の内容及び頻度を充実させる等、必要かつ適切な措置を講ずるものとする。

4 委託先の監督(法第22条関係)
(1) 労働組合は、個人データの取扱いの全部又は一部を外部に委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託先に対する必要かつ適切な監督を行わなければならない。その際、個人データが漏えい等をした場合に本人が被る権利利益の侵害の大きさを考慮し、委託する事業の規模及び性質並びに個人データの取扱状況等に起因するリスクに応じ、必要かつ適切な措置を講ずるものとする。
(2) 労働組合は、委託先の選定に当たり委託先の安全管理措置が、少なくとも法第20条で求められるものと同等であることを確認するため、個人情報保護管理者等をして委託先の体制や規程等を確認させることに加え、必要に応じて、個人データを取り扱う場所に赴かせ又はこれに代わる合理的な方法による確認を行わせた上で、委託先の当該措置について適切に評価させることが望ましい。
(3) 労働組合は、委託契約等において次に示す事項について定めることが望ましい。
 イ 個人データの安全管理に関する事項で、例えば次に掲げるもの
 (イ) 個人データの漏えい等の防止及び盗用の禁止に関する事項
 (ロ) 委託契約範囲外の加工及び利用の禁止
 (ハ) 委託契約範囲外の複写及び複製の禁止
 (ニ) 委託契約期間
 (ホ) 委託契約終了後の個人データの返還、消去及び破棄に関する事項
 (ヘ) 委託先において個人データを取り扱う者(委託先で作業する委託先の作業者以外の者を含む。)
 (ト) 委託先において講ずべき安全管理措置の内容
 ロ 個人データの取扱いの再委託を行うに当たっての委託元への文書による事前報告又は承認
 ハ 個人データの取扱状況に関する委託者への報告の内容及び頻度
 ニ 委託契約の内容及び期間が遵守されなかった場合の措置
 ホ 個人データの漏えい等の事故が発生した場合の報告・連絡に関する事項
 ヘ 個人データの漏えい等の事故が発生した場合における委託元と委託先の責任の範囲
 ト 安全管理に関する事項が遵守されずに個人データが漏えいした場合の損害賠償に関する事項
(4) 労働組合は委託先における委託された個人データの取扱状況を把握するため、定期的に監査を行う等により、委託契約で盛り込んだ内容の実施の程度を調査した上で、個人情報保護管理者等が、委託内容等の見直しを検討することを含め、適切に評価することが望ましい。
(5) 委託先が再委託を行おうとする場合は、委託元は委託を行う場合と同様、再委託の相手方、再委託する業務内容及び再委託先の個人データの取扱方法等について、委託先に事前報告又は承認手続を求める、直接又は委託先を通じて定期的に監査を実施する等により、委託先が再委託先に対して法第22条の委託先の監督を適切に果たすこと、再委託先が法第20条に基づく安全管理措置を講ずることを十分に確認することが望ましい。再委託先が再々委託を行う場合以降も、再委託を行う場合と同様とする。


第7 個人データの第三者提供に関する義務

1 第三者提供の制限に関する原則(法第23条第1項関係)
労働組合は、共済事業その他の事業の遂行に当たり、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。

2 第三者提供の制限に関する例外(法第23条第1項関係)
次のいずれかに該当する場合は、1の規定にかかわらず、個人データを第三者に提供することができる。
(1) 法令に基づく場合。なお、当該法令に第三者提供を受ける相手方についての根拠のみがあり、第三者提供をする義務までは課されていない場合には、労働組合は、当該法令の趣旨に照らして第三者提供の必要性及び合理性が認められる範囲内で対応するものとする。
(2) 人(法人を含む。)の生命、身体又は財産の保護のために個人データを第三者に提供する必要がある場合であって、本人の同意を得ることが困難であるとき。
(3) 公衆衛生の向上又は児童の健全な育成の推進のために特に個人データを第三者に提供する必要がある場合であって、本人の同意を得ることが困難であるとき。
(4) 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して労働組合が協力する場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるときに、個人データを第三者に提供する場合。なお、労働組合は、任意の求めの趣旨に照らして第三者提供の必要性と合理性が認められる範囲内で対応するものとする。

3 いわゆる「オプトアウト」(法第23条第2項及び第3項関係)
労働組合は、第三者に提供される個人データについて、本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止することとしている場合であって、次に掲げる事項について、あらかじめ本人に通知し、又は本人が容易に知り得る状態に置いているときは、1及び2の規定にかかわらず、当該個人データを第三者に提供することができる。
(1) 第三者への提供を利用目的とすること。
(2) 第三者に提供される個人データの項目
(3) 第三者への提供の手段又は方法
(4) 本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止すること。ただし、労働組合がこの規定に基づく第三者提供を行っている場合であって、(2)又は(3)に掲げる事項を変更する場合は、変更する内容について、あらかじめ本人に通知し、又は本人が容易に知り得る状態に置かなければならない。

4 「第三者」に該当しないもの(法第23条第4項及び第5項関係)
次に掲げる場合において、当該個人データの提供を受ける者は「第三者」に該当しないものとし、1から3までの規定にかかわらず、労働組合は当該個人データを提供することができる。
(1) 労働組合が利用目的の達成に必要な範囲内において、個人データの取扱いの全部又は一部を委託する場合
(2) 合併、事業譲渡等による事業の承継に伴って個人データが提供される場合
(3) 個人データを特定の者との間で共同して利用する場合であって、次に掲げる事項について、当該共同利用をする前にあらかじめ本人に通知し、又は本人が容易に知り得る状態に置いているとき。
 イ 共同利用をする旨
 ロ 共同して利用される個人データの項目
 ハ 共同して利用する者(以下「共同利用者」という。)の範囲
 ニ 利用する者の利用目的
 ホ 開示等の求め及び苦情を受け付け、その処理を確実に行うとともに、個人データの内容等について、開示、訂正、利用停止等の権限を有し、個人データの安全管理等について共同利用者の中で責任を有する労働組合、企業、団体等の名称ただし、ロ又はハに掲げる事項を変更する場合は、あらかじめ本人の同意を得なければならない。
また、ニ又はホに掲げる事項を変更する場合は、変更する内容について、変更前にあらかじめ本人に通知し、又は本人が容易に知り得る状態に置かなければならない。


第8 保有個人データの開示等に関する義務

1 保有個人データに関する事項の公表等(法第24条関係)
(1) 労働組合は、保有個人データに関し、次に掲げる事項について、本人の知り得る状態に置かなければならない。
 イ 当該労働組合の名称
 ロ 全ての保有個人データの利用目的(第5の4の(1)から(3)までの規定に該当する場合を除く。)
 ハ 保有個人データに関する本人からの次に掲げる求め(以下これらの求めを「開示等の求め」という。)に応じる手続(7の規定により手数料を定めたときは、その手数料の額を含む。)
 (イ) 法第24条第2項の規定に基づく利用目的の通知の求め
 (ロ) 法第25条第1項の規定に基づく開示の求め
 (ハ) 法第26条第1項の規定に基づく内容の訂正、追加又は削除(以下「訂正等」という。)の求め
 (ニ) 法第27条第1項の規定に基づく利用の停止又は消去(以下「利用停止等」という。)の求め
 (ホ) 法第27条第2項の規定に基づく第三者提供の停止の求め ニ 当該労働組合が行う保有個人データの取扱いに関する苦情を受け付ける担当窓口名及び係名、郵送用住所、受付電話番号その他の苦情申出先ホ当該労働組合が認定個人情報保護団体(法第37条第1項の認定を受けた者をいう。
以下同じ。)の対象事業者である場合には、当該認定個人情報保護団体の名称及び苦情の解決の申出先
(2) 労働組合は、次のいずれかに該当する場合を除き、本人から、当該本人が識別される保有個人データの利用目的の通知を求められたときは、本人に対し、遅滞なく、これを通知しなければならない。なお、利用目的を通知しない旨の決定をしたときも、本人に対し、遅滞なく、当該決定をした旨を通知しなければならない。
 イ (1)の規定により当該本人が識別される保有個人データの利用目的が明らかな場合
 ロ 第5の4の(1)から(3)までの規定に該当する場合

2 保有個人データの開示(法第25条関係),br> (1) 労働組合は、本人から、当該本人が識別される保有個人データの開示(当該本人が識別される保有個人データが存在しないときにその旨を知らせることを含む。以下同じ。)を求められたときは、本人に対し、書面の交付による方法(開示の求めを行った者が同意した方法があるときは当該方法)により、遅滞なく、当該保有個人データを開示しなければならない。
ただし、次の各号のいずれかに該当する場合は、その全部又は一部を開示しないことができるが、開示しない旨の決定をしたときは、本人に対し、遅滞なく、その旨を通知しなければならない。
 イ 保有個人データを開示することにより、本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
 ロ 保有個人データを開示することにより、当該労働組合の業務の適正な実施に著しい支障を及ぼすおそれがある場合
 ハ 保有個人データを開示することが他の法令に違反することとなる場合
(2) 他の法令の規定により、本人が識別される保有個人データの全部又は一部を、当該本人に対し(1)に規定する方法に相当する方法で開示することとなる場合には、(1)の規定は適用しない。

3 保有個人データの訂正等(法第26条関係)
(1) 労働組合は、本人から、当該本人が識別される保有個人データの内容が事実でないという理由によって当該保有個人データの内容の訂正等を求められた場合には、その内容の訂正等に関して他の法令の規定により特別の手続が定められている場合を除き、利用目的の達成に必要な範囲内において、遅滞なく必要な調査を行い、その結果に基づき、当該保有個人データの内容の訂正等を行わなければならない。
(2) 労働組合は、(1)の規定により訂正等を求められた保有個人データの内容の全部又は一部について訂正等を行ったときは、本人に対し、遅滞なく、その旨(訂正等の内容を含む。)を通知しなければならない。また、利用目的からみて訂正等が必要でない場合や、本人からの誤りである旨の指摘が正しくない場合等、訂正等に応じる必要がなく、訂正等を行わない旨の決定をしたときも、同様とする。

4 保有個人データの利用停止等(法第27条関係)
(1) 労働組合は、本人から、次に掲げる理由によって当該本人が識別される保有個人データの利用停止等を求められた場合であって、その求めに理由があることが判明したときは、違反を是正するために必要な限度で、遅滞なく、当該保有個人データの利用停止等を行わなければならない。
 イ 同意のない目的外利用
当該本人が識別される保有個人データが第4の3及び第4の4の規定に違反して取り扱われているという理由
 ロ 不正の手段による個人情報の取得
当該本人が識別される保有個人データが第5の1の規定に違反して取得されたものであるという理由
ただし、当該保有個人データの利用停止等に多額の費用を要する場合その他の利用停止等を行うことが困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。
(2) 労働組合は、本人から、当該本人が識別される保有個人データが第7の1及び第7の2の規定に違反して第三者に提供されていることを理由として、当該保有個人データの第三者への提供の停止を求められた場合であって、その求めに理由があることが判明したときは、遅滞なく、当該保有個人データの第三者への提供を停止しなければならない。
ただし、当該保有個人データの第三者への提供の停止に多額の費用を要する場合その他の第三者への提供を停止することが困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。
(3) 労働組合は、(1)及び(2)に規定する求めに対し、保有個人データの全部又は一部について、その求めに応じたとき、又はその求めに応じない旨の決定をしたときは、本人に対し、遅滞なく、その旨を通知しなければならない。

5 理由の説明(法第28条関係)
(1) 労働組合は、開示等の求めに対し、本人から求められた措置の全部又は一部について、その措置をとらない旨又はその措置と異なる措置をとる旨を本人に通知する場合は、併せて、本人に対して、その理由を説明するよう努めなければならない。
(2) 労働組合は、2の(1)の規定に基づく開示の求めに対し、保有個人データの全部又は一部について開示しない旨の決定を本人に通知する場合は、根拠となる法の規定(当該保有個人データの全部又は一部について開示しないことの根拠となる法第25条第1項各号のうち該当するものをいう。)を併せて通知することが望ましい。

6 開示等の求めに応じる手続(法第29条関係)
(1) 労働組合は、開示等の求めに関し、その求めを受け付ける方法として次に掲げる事項を定めることができ、定めた場合には、本人の知り得る状態に置いておかなければならない。この場合において、本人は、当該方法に従って、開示等の求めを行わなければならない。
 イ 開示等の求めの申出先
 ロ 開示等の求めに際して提出すべき書面(電磁的記録を含む。)の様式その他の開示等の求めの方式
 ハ 開示等の求めをする者が本人又は代理人(未成年者若しくは成年被後見人の場合はその法定代理人、又は開示等の求めをすることにつき本人が委任した者がいる場合はその受任者)であることの確認の方法
 ニ 保有個人データの利用目的の通知又は保有個人データの開示について手数料を徴収する場合は、その徴収方法
(2) 労働組合は、本人に対し、開示等の求めに対応するため、その対象となる保有個人データの特定に必要な事項の提示を求めることができる。なお、その際、本人が容易かつ的確に開示等の求めができるよう、当該保有個人データの特定に資する情報の提供その他本人の利便性を考慮した適切な措置を取らなければならない。
(3) 労働組合は、(1)及び(2)の規定により開示等の求めに応じる手続を定めるに当たっては、事業の性質、保有個人データの取扱状況、開示等の求めの受付方法等に応じて適切なものになるよう配慮し、本人に過重な負担を課するものとならないよう配慮しなければならない。

7 手数料(法第30条関係)
労働組合は、保有個人データに関する利用目的の通知の求め又は開示の求めに応じる場合には、手数料を徴収することができる。その手数料の額を定める際には、実費を勘案して合理的と認められる範囲内でなければならない。また、手数料の額を定めた場合には、その手数料の額を本人の知り得る状態に置かなければならない。


第9 苦情処理に関する義務(法第31条関係)

労働組合は、個人情報の取扱いに関する苦情の適切かつ迅速な処理に努めなければならない。
また、労働組合は、苦情の適切かつ迅速な処理を行うに当たり、苦情処理窓口の設置や苦情処理の手順を定める等必要な体制の整備に努めなければならない。
なお、担当窓口名及び係名、郵送用住所、受付電話番号その他の苦情申出先については、本人の知り得る状態に置かなければならない。


第10 個人情報保護に関する考え方や方針の明確化に関する事項

1 宣言の策定及び公表
労働組合は、労働組合の個人情報の保護に関する方針等に関する宣言を定め、公表することが望ましい。

2 宣言に定める事項
労働組合は、1の規定に基づく宣言に、次に掲げる事項を定めることが望ましい。
(1) 取得した個人情報を目的外に利用しないこと。
(2) 苦情処理に適切に取り組むこと。


第11 法違反若しくは法違反のおそれが発覚した場合又は個人情報の漏えい等の事案が発生した場合の対応

労働組合は、その取り扱う個人情報(委託先が取り扱うものを含む。)について、法違反若しくは法違反のおそれが発覚した場合又は個人情報の漏えい等の事実を把握した場合には、次の措置を講ずることが望ましい。

1 事実調査及び原因の究明
事実関係を調査し、その原因の究明に当たる。

2 影響の及ぶ範囲の特定
1の規定により把握した事実による影響の及ぶ範囲を特定する。

3 再発防止対策の検討及び実施
1の規定により判明した原因を踏まえ、再発防止対策を検討し、速やかに実施する。

4 二次的な被害の発生等の防止
個人データの安全管理について法違反があった場合又は取り扱う個人情報の漏えい等の事実を把握した場合には、二次的な被害及び類似事案の発生の防止等を図るため、事実関係、当該漏えい等に係る個人情報の内容等について、速やかに本人へ連絡し、又は本人が容易に知り得る状態に置くとともに、可能な限り事実関係、発生原因及び再発防止対策等について、遅滞なく公表することが望ましい。

5 主務大臣及び認定個人情報保護団体への報告
労働組合は、法違反若しくは法違反のおそれが発覚した場合又はその取り扱う個人情報の漏えい等の事実を把握した場合には、事実関係、発生原因及び再発防止対策等について、直ちに厚生労働大臣に報告するものとする。また、認定個人情報保護団体に加入している場合は、当該認定個人情報保護団体に報告するものとする。


第12 他の個人情報保護に関するガイドライン等への留意

労働組合は、事業内容により、本ガイドラインによるほか、次に掲げるガイドラインその他の必要な措置に留意するものとする。

1 労働組合が使用者として事務職員等を使用する場合は、「雇用管理分野における個人情報保護に関するガイドライン」(平成24年厚生労働省告示第357号)

2 職業安定法(昭和22年法律第141号)第45条の許可を受けた労働組合が労働者供給事業を行う場合は、「職業紹介事業者、労働者の募集を行う者、募集受託者、労働者供給事業者等が均等待遇、労働条件等の明示、求職者等の個人情報の取扱い、職業紹介事業者の責務、募集内容の的確な表示等に関して適切に対処するための指針」(平成11年労働省告示第141号)のうち、第4法第5条の4に関する事項(求職者等の個人情報の取扱い)に係る箇所


第13 ガイドラインの見直しについて

このガイドラインについては、社会情勢の変化、国民の意識の変化、技術動向の変化等諸環境の変化を踏まえ、必要に応じ見直しを行う。


ページの先頭へ