企業として採用活動を行っていると、応募者から不採用理由や選考資料の開示を請求されることがあるかもしれません。個人情報保護法に照らして、このような開示請求に応じる必要はあるのでしょうか?
また、採用活動で取得した個人データは、個人情報保護法に基づき適切に取り扱う必要があります。採用担当者を中心とした役員・従業員は、個人情報保護法のルールをよく理解しておくことが大切です。
今回は、採用活動で取得した個人データの開示請求等を受けた場合の対処法や、個人データの取扱いに当たって採用担当者が注意すべき点などをまとめました。
目次
会社は不採用理由を説明する義務を負うのか?
不採用にした応募者から不採用理由の説明を求められたとしても、会社は説明義務を負いません。
たとえば東京高裁昭和50年12月22日判決の事案では、医療機関が応募者を不採用とした理由について、医療機関側に説明義務はない旨が判示されました。その理由として裁判所は、以下の各点を挙げています。
・人員の採否の決定には極めて広い裁量判断の自由が認められるべきこと ・人員の採否を決定するに当たり、どのような要素を重視するかは原則として各企業等の自由に任されていると解されること ・上記自由のうちには採否決定の理由を明示、公開しない自由も含むこと |
個人情報保護法との関係では、採否の決定理由は、開示することにより事業者の業務の適正な実施に著しい支障を及ぼすおそれがあるものとして、開示しないことが認められると解されます(個人情報保護法33条2項2号)。厚生労働省が定めるガイドラインでも、人事評価や選考に関する個々人の情報は、個人情報保護法に基づく保有個人データの開示対象外事項として例示されています。
参考:
雇用管理分野における個人情報保護に関するガイドライン:事例集(p13)|厚生労働省
https://www.mhlw.go.jp/seisakunitsuite/bunya/koyou_roudou/roudouzenpan/privacy/dl/120514_2.pdf
したがって、応募者による不採用理由の開示請求に対して、企業が応じる必要はありません。
採用活動で取得することがある個人データの例
企業が採用活動を行うに当たっては、さまざまな「個人データ」を取得することになります。
「個人データ」とは、データベース上で管理される、個人情報(特定の個人を識別できる情報)のことです(個人情報保護法16条3項)。個人データに該当するものは、その取扱いが個人情報保護法によって規制されます。
採用活動で取得することがある個人データの例は、以下のとおりです。採用活動を行う企業は、これらの個人データを取り扱うに当たり、個人情報保護法の規制を遵守しなければなりません。
①基本的な情報 ・氏名 ・住所 ・年齢 ・生年月日 ・性別 ・電話番号 ・顔写真 など ②賃金に関する情報 ③経歴に関する情報 ④家族・親族に関する情報 ⑤採用選考に関する情報 |
採用活動で取得した個人データの開示請求を受けたらどうする?
不採用理由そのものの開示請求に加えて、企業が採用活動で取得した個人データの開示請求を受ける可能性も想定されます。たとえば、先行の過程で受験した適性検査や筆記試験などの成績開示を請求されることがあるかもしれません。
結論としては、企業は上記のような開示請求に応じる必要はありません。これらの個人データは、人事評価や選考に関する個々人の情報として、個人情報保護法に基づく開示義務の例外に当たるからです。
なお、応募者本人による個人データの開示請求に応じない場合には、事業者は本人に対してその理由を説明する努力義務を負います(個人情報保護法36条)。
実務的には、「人事評価や選考に関する情報に当たり、開示することで業務の適正な実施に著しい支障を及ぼすおそれがあるため、不開示とします」という趣旨の理由説明をしておけば足りるでしょう。
採用活動で取得した個人データの取扱いに関する注意点
企業の経営者・人事担当者・採用担当者は、採用活動の過程で取得した個人データの取扱いに当たり、個人情報保護法のルールを踏まえて以下の各点に留意しておきましょう。
●利用目的を具体的に特定し、本人に通知または公表する
事業者が個人情報(個人データ)を取り扱うに当たっては、利用目的をできる限り具体的に特定することが義務付けられています(個人情報保護法17条1項)。
採用活動の過程で取得する個人情報(個人データ)については、たとえば以下のように利用目的を特定しておきましょう。
・採用の検討、決定 ・採用条件の検討、決定 ・問い合わせ対応 ・事務連絡 など |
また、個人情報の利用目的については、本人に対する通知または公表が義務付けられています(同法21条1項)。
ホームページへの掲載によって利用目的を公表する場合には、応募者向けページの目立つ部分にリンクを掲載するなど、わかりやすい体裁を取るように努めましょう。
●漏えい等を防止するための安全管理措置を講じる
事業者は、個人データの漏えい・滅失・毀損の防止等を図るため、個人データの安全管理措置を講じなければなりません(個人情報保護法23条)。
事業者が講ずべき安全管理措置の例としては、以下の対応が挙げられます。
・個人データのアクセス制限、パスワード管理 ・個人データを取り扱う担当者の限定 ・個人データの取得から消去までの記録管理 ・個人データの消去に関するダブルチェック など |
●採用担当者に対する研修・監督を徹底する
事業者は、個人データを取り扱う従業員に対して、安全管理を目的とした必要かつ適切な監督を行わなければなりません(個人情報保護法24条)。
採用活動に関与する担当者については、事前に個人データの取扱いに関する研修を実施したうえで、実際の個人データの取扱い状況を記録・管理するなどの対応を講じましょう。
●苦情処理体制を整備する
事業者は、個人情報の取扱いに関する苦情処理体制を整備する努力義務を負っています(個人情報保護法40条1項、2項)。
個人情報の漏えい等による被害を未然に防ぎ、または最小限に食い止めるためにも、きちんとした苦情処理体制を整備することは非常に重要です。以下の措置を講じて、応募者からの個人情報に関する問い合わせに対応できるようにしておきましょう。
・苦情処理窓口の設置(電話、郵便、電子メール、FAXなど) ・苦情処理マニュアルの作成、担当者への配布 ・苦情処理に関する社内手続きの整備、周知徹底 ・従業員研修を通じた苦情処理関係の知識の付与 など |
まとめ
応募者から不採用理由や選考資料の開示請求を受けたとしても、企業は請求に応じる必要はありません。
ただし、採用選考の過程で取得した個人データの取扱いについては、個人情報保護法上のさまざまな留意事項が存在します。
経営者や採用担当者は、個人情報保護法のルールに習熟して、社内における情報コンプライアンスの強化を図ってください。
【著者プロフィール】
阿部 由羅
ゆら総合法律事務所代表弁護士。西村あさひ法律事務所・外資系金融機関法務部を経て現職。ベンチャー企業のサポート・不動産・金融法務・相続などを得意とする。その他、一般民事から企業法務まで幅広く取り扱う。各種webメディアにおける法律関連記事の執筆にも注力している。