一般データ保護規則(GDPR)2016/679とも呼ばれるEU(欧州連合)規則は、2年間の移行期間5月 25, 2018後に発効しました。 この規則は、欧州連合で活動するすべての企業が自社の顧客、ユーザー、サプライヤー、そして労働者の個人データ管理を行う際に新しい方針、プロセス、そして慣行を採用することを義務付けるものです。
人事部はGDPRの要件を順守するために自社のプロセスを適応させる必要があるため、非常に大きな影響を受けます。
GDPRの目的は、欧州市民の個人データに関連した権利を標準化および強化することです。 つまり、EU市民の個人データを取り扱う組織は、透明性、セキュリティ、そしてアカウンタビリティを確保するために新しい基準を順守しなくてはいけません。
GDPRは人的資源にどのような 影響を与えますか?
GDPRは、必須、正確、そして最新の従業員データの保管を企業に義務付けるものです。 また、企業は従業員の個人データが、どのような方法で、どこに、どれくらいの期間にわたって保管されるのかを明確に伝えなくてはいけません。 同様に、従業員は自らの情報をいつでも利用できるほか、保管されたデータのコピーをリクエストし、その削除も要求できます。
人事チームは、従業員情報の取り扱いに伴うリスクと責任を理解し、制裁を回避する必要があります。違反すると、最高で20百万ユーロ、または年間売上高の4パーセントの罰金が科される可能性があります。
人事 における GDPRの主な 要因
GDPRを順守するため、人事チームは従業員管理プロセスを調整および改善して従業員の権利を保障し、データ保護規則のガイドラインに従う必要があります。
以下に、人事が考慮すべき最も重要な要素について解説しています:
1.個人データの収集
個人データの収集および取り扱いが合法となるのは、雇用契約の履行において関連性のある情報(例:勤怠管理システム)、または法的義務の順守において必要な情報(例:給与支払い管理)に限定されます。
データの取り扱い(例:個人のメールアカウント)を正当化する、そのほかの法的根拠が無い場合は同意が必要となります。
2.通知を受ける 従業員の権利
企業は、データ取り扱いの目的と法的根拠のほか、個人データの保管期間について従業員に通知する義務を負っています。 この情報は、従業員の個人データを取得する際に提供しなくてはいけません。
3. 従業員の新たな権利
GDPRは、データポータビリティに関する権利など、従業員の新たな権利を導入しました。これは、従業員が異なるサービスをまたいで、自らの目的のために各自の個人情報を取得および再利用できるというものです。 また、従業員が自分の個人データの削除を要求できる忘れられる権利や、不正確な個人データの訂正を取得する権利を従業員に付与する訂正の権利など、特定の権利も規定しています。
プロファイリングに反対する権利は、企業がデータの自動的な取り扱いのみに基づき意思決定を行うことを防止するものです。これは、人事分野における人工知能(AI)ソフトウェアの実装において重大な影響を及ぼすことになるでしょう。
4. データ保護責任者
企業は、必要なリソースを用いて自らの任務を独立した形で遂行できる、データ保護責任者(DPO)を任命する必要があります。 DPOは、会社がGDPRを確実に順守するよう、データ保護方針ならびにその実装を監視する責任を負っています。
5. 影響評価とセキュリティ侵害
企業は影響評価を実施して、労働者の権利に対する著しいリスク、またはセキュリティ侵害となる事業活動を特定しなくてはいけません。 個人のデータ侵害が発生した場合、企業はその発覚より72以内に当局に通知しなくてはいけません。
6. テレマティクス と 行動規範
新しいデータ保護要件に合わせて調整するため、企業はテレマティクスの利用に関する社内の方針および行動規範を検証する必要があります。 また、企業は欧州人権裁判所(ECHR)の判決、ならびに職場における新しいテクノロジーの影響に合わせて内容を適応させる必要があります。
7. ビデオ監視
企業は、ビデオによる監視の利用およびその設置に関する手順を見直す必要があります。 ECHRは、固定型カメラの設置に関して、労働者にその目的をデータ保護規則の規定に従ってあらかじめ明確に伝える必要があると規定しています。
8. EU外での国際的なデータ移転
従業員の個人データをEU外に移転する場合は、データ保護が保障されないため、大きなリスクを伴います。 GDPRは、会社によるデータなどの移転能力を制限し、従業員の権利を行使するために一定の制約を課しています。
9. 第三者ベンダー契約
GDPR要件の順守を確保するため、会社の個人データにアクセスできるサプライヤーまたは請負人との契約内容を更新する必要があります。 これには、給与支払い管理および人材採用会社との契約も含まれます。
会社がデータ取り扱いにおいて管理する個人データは膨大な量に達するため、人事部はGDPRを順守する上で重大な貢献を果たします。 このため、効果的な行動計画を実装するにはGDPRのあらゆる要素を検討することが不可欠です。
GDPR を遵守するために、人事チームは 何が できますか?
GDPRでは、規則に乗っ取ったデータ取り扱いを確保するため、技術的および組織的な対策を万全の体制で予防的に実装する責任を企業に課しています。
企業は取り扱うデータの種類、目的、そして方法を分析することが義務付けられています。 以下では、人事チームがGDPRを順守するためのヒントをご紹介しています。
1.データ保護責任者(DPO) の 採用
GDPRの第37条にも明記されている通り、データ保護責任者(DPO)の採用は極めて重要です。 DPOは、企業のデータ保護戦略を監督し、GDPRの要件を確実に順守していることを確認する責任を負っています。
2. 個人データ取り扱いにおけるデータインベントリの維持
重要なデータのインベントリを維持することで、追跡および取り扱いが容易になり、法令順守の確認にも役立ちます。 お客様の会社の情報を追跡管理する際に考慮すべき主なポイントは以下の通りです。
- 個人データと取扱に注意を要するデータならびに既存の取り扱い業務を特定して、法令順守を確認する
- 誰が(従業員、請負人、サプライヤー)データにアクセスでき、なぜアクセスできるのかを明らかにする
- 会社のデータを扱う従業員、請負人、およびサプライヤーを監視して、その契約内容を見直す
- 請負人とサプライヤーによるデータ取り扱いがGDPR基準に準拠していることを確認する
- 人事の個人データに関するアーカイブ慣行およびリテンション時間を分析する
- 人事ソリューション、また該当する場合は人事情報システム(HRIS)が、それぞれGDPR基準に準拠していることを確認する
3. 行動に移す
インベントリを作成して必要な修正内容を特定した後は、その後の手順を定義した行動計画を策定して実施することが大事です。
必ず、以下を行いましょう。
- データを監査する
- インパクト評価を実施する
- 保護およびセキュリティ対策を見直す
- プロセスと手順を見直す
4.コミュニケーション計画の実施
内部コミュニケーション計画を導入して、すべての従業員が自分の情報にアクセスして、プロセスに変更があった場合にどうするべきか把握できるようにすることが大事です。 新しい規制の下では、企業が従業員の個人情報を保管する方法、場所、また期間について明確に伝えることを義務付けています。
5. 保管されたデータの正確さに万全を期する
企業は、修正・更新されたデータのみを保管する必要があります。 また、保持するデータと削除するデータを特定する必要もあります。 抱えているデータの量が少なければ少ないほど、一般データ保護規則(GDPR)の順守が容易になります。
6. プライバシーポリシーを見直す
企業は取り扱うデータに関する透明性を示す必要があります。 プライバシーポリシーを見直すことで透明性が生まれ、信頼関係の構築につながります。 明白かつ分かりやすい言葉でセキュリティポリシーおよび手順を更新して、必ず、こうしたポリシーにすぐにアクセスできるようにしましょう。
7. 従業員の 権利を行使する
前述の通り、一般データ保護規則(GDPR)は従業員のために新しい権利を設定するものです。 こうした権利を確実に行使して、制裁措置を回避することが重要です。
8. 企業文化の一環として一般データ保護規則(GDPR)を採用する
企業は組織全体で一般データ保護規則(GDPR)の存在を認知させることが重要です。 これを企業文化に統合することで、すべての従業員が認識し、理解できるようになります。
9. セキュリティを向上させる
必ず、データのセキュリティを確保して漏洩を防ぎましょう。 データ漏洩が発生した場合は、影響を受けた当事者に72時間以内に通知しなくてはいけません。 データ漏洩を避けるには、セキュリティポリシーを更新することに加え、信頼できるデータストレージサービスを利用する必要があります。
10. 従業員の同意を取得する
従業員には、実施される措置と手順を通達して、彼らのデータの取り扱いおよび転送に合意を得ることが不可欠です。 同意は自由意志によるもので、十分な情報を与えられた上で、明確に合意が表明されなければなりません。
一般データ保護規則(GDPR)は提示する義務以外にも、お客様の会社の業績、そして従業員の自信とウェルビーイングの向上に寄与することができます。 ただし、これはお客様のデータ、セキュリティ、ツール、手法、そしてプロセスが合理化されている場合のみに限られます。
こうした新しい課題は、人事部が会社の国際化の推進役となり、サプライヤーと請負人との協力関係の質を向上させるきっかけとなっています。 個人データ管理に関する明確なポリシーを設けることで、会社の評判も高まり、雇用主としての魅力も高まります。
