社内不正調査と個人情報保護

従業員の不正行為は会社の利益とイメージを損なうのみならず、風紀を乱し、長期に亘り、いずれは「千里の堤も蟻の穴から」というようになる。そのため、コンプライアンス管理を重要視し、不正調査メカニズムと規則を構築する企業は多数あり、さらに通報奨励金を設けている企業もある。この背景下で、有名企業の従業員が不正行為を行ったことにより法的責任を追及されたという事件が時々報道される。

企業は不正調査において従業員の個人情報に触れることは避けられず、どのような情報の取得が必要か、取得することは可能か、如何に取得するか、取得後に如何に使用するかなどを考慮する必要がある。『個人情報保護法』公布後は、上述の問題は非常にセンシティブな話題となっている。つまり、如何に不正調査を有効に展開するかとともに、個人情報保護の警戒ラインに触れていないかは間違いなくコンプライアンス担当者が最も関心を持つ問題である。

不正調査における個人情報の取扱いは、主に以下の3点に関わる。（1）どのような個人情報を収集できるか。（2）どのような方法で収集するか。（3）使用・管理においてどのような制限を受けるか。

まずは、不正調査における個人情報の収集は主に2つの状況を含む。

一つは『個人情報保護法』第13条によると、使用者は「法により制定された労働規則制度、法により締結された集団契約に基づき人力資源管理を実施するのに必要な」個人情報（例えば、氏名、身分証番号、通信情報、住所等）を取得・使用する場合は、個人の同意を得る必要がない。しかし、実務において、以下の2点に注意を払うよう勧める。①「人力資源管理を実施するのに必要な」個人情報の範囲について明確に定められていないので、労働規則制度又は関連文書において収集可能な従業員の個人情報の具体的な範囲、目的、用途、保管などを明記する一方、どんな場合に企業が企業のパソコン、業務用スマホに対して即時検査を実施できるかを明確に定め、従業員に説明を行った上で署名･確認を得たほうがよい。さもなければ、不正調査において人事部門より提供された関連情報の合法性が疑われる可能性がある。

もう一つは、調査において企業が関連従業員と面談する時に、当該従業員から明確な同意を取得した上で、上述の範囲外の、調査に必要なその他の個人情報を取得することができる。但し、この場合に、恐喝、威嚇と認定される言動は避けるべきである。

次に、外部調査時は、合法的なルートから個人情報の取得を確保すべきである。『公民個人情報侵害刑事事件の処理における法律適用の若干問題に関する最高人民法院、最高人民検察院の解釈』第5条によると、追跡情報、通信内容、信用調査情報、財産情報を違法に獲得、販売又は提供し、50条以上になる場合は、刑罰にあたる。『個人情報保護法』第10条には、「いかなる組織も個人も、他人の個人情報を不法に収集、使用、加工、伝送してはならず、他人の個人情報を不法に売買、提供又は公開してはならない。」と規定している。私立探偵による盗聴など不正式なルートにより関連情報を獲得する場合は、法的リスクが発生しやすく、さらに刑事責任を負う。従って、外部調査を行う場合は3つの前提条件を満たす必要がある。（1）相応の資格を備えた第三者に委託する。（2）合法的な方法を採る。（3）法律で許可された範囲内で情報を取得する。

又、不正調査に基づいた関連情報の使用、管理において、以下のポイントに注意を払うべきである。（1）個人情報へアクセス可能な人員の限定。相応の職責を負う担当者、又は企業の委託を受けた第三者の担当者しか関連情報を扱えない、かつ上述の人員が規定又は約定通りに関連情報を使用するように留意する。（2）期間の限定。『個人情報保護法』第19条によると、個人情報の保存期間は、取扱い目的の実現に必要な最短の期間としなければならない。従って、一般的に、一旦調査が終わり、案件処理が完了すれば、最短の期間内に関連個人情報を徹底的に削除し、又は匿名化処理しなければならない。

なお、腐敗撲滅事案を利用して社内教育又は外部宣伝を行う時に、リスクを回避するために、個人情報（特に機微情報）に隠蔽処理を行わなければならない。