履歴書データはいつ消去すべきなのか? 個人情報保護法に沿って弁護士が解説

企業が採用活動を終了した場合や、転職エージェントが転職サポートを終了した場合、求職者から受け取っている履歴書データなどに含まれる個人情報については、個人情報保護法のルールに従って取り扱う必要があります。

特に、今後関わることがなくなった求職者の履歴書データは消去することになりますが、いつどのように消去すべきなのでしょうか?
また、求職者に関する個人情報の取扱いにつき、求人を行う企業や転職エージェントは何に注意すべきなのでしょうか?

今回は、求職者の個人情報の取扱いにつき、求人を行う企業や転職エージェントが知っておくべきポイントをまとめました。

履歴書データの取扱いに関する個人情報保護法のルール

履歴書データには、求職者に関する個人情報(個人データ)が含まれています。そのため、求人を行う企業や転職エージェントが履歴書データを取り扱う際には、個人情報保護法のルールを遵守しなければなりません。

履歴書データの取扱いに関して、個人情報保護法が定めている主なルールは、以下のとおりです。

利用目的の特定・目的外利用の制限

事業者は、個人情報の利用目的をできる限り特定しなければなりません(個人情報保護法17条1項)。
また、法令に基づく場合などを除き、本人の事前同意を得ずに個人情報を目的外利用することは禁止されます(同法18条1項)。

求職者の履歴書データについては、求人を行う企業は採用選考、転職エージェントは転職あっせん業務を利用目的として特定し、実際の利用もその目的の範囲に限定しなければなりません。

利用目的の通知・公表

事業者は、あらかじめ利用目的を公表している場合を除いて、個人情報の取得後、原則として速やかに利用目的を本人へ通知し、または公表しなければなりません(個人情報保護法21条1項)。

求職者の履歴書データを取得するに当たっては、採用ページや登録ページにおいて、個人情報の利用目的(採用選考・転職あっせん業務など)を公表しておくのがよいでしょう。

個人データの正確性の確保・不要な個人データの消去

事業者は、利用目的の達成に必要な範囲内において、個人データを正確かつ最新の内容に保たなければなりません。また、個人データを利用する必要がなくなった場合には、遅滞なく消去する努力義務を負います(個人情報保護法22条)。

履歴書データについては、採用活動や転職サポートを終了した段階で、遅滞なく消去すべきです。

安全管理措置

事業者は、漏えい・滅失・毀損の防止など、個人データの安全管理のために必要かつ適切な措置を講じなければなりません(個人情報保護法23条)。

履歴書データは、ランダム性の高いパスワードを付したうえで、アクセスできる従業員の範囲を必要最小限に限定すべきでしょう。また、ハッキングなどへの対策として、システム上のセキュリティを強化することも求められます。

従業者の監督

事業者は、個人データを取扱う従業員に対して、必要かつ適切な監督を行わなければなりません(個人情報保護法24条)。

特に、求職者に直接対応し、履歴書データなどのやり取りも行う担当者については、従業員研修や業務報告などを通じて適切に監督を行う必要があります。

本人による請求への対応

本人には、個人データの開示、訂正・追加・削除、利用停止・消去、第三者提供停止の請求を行うことが認められています(個人情報保護法33条~38条)。

履歴書データについては、特に内容の訂正・追加・削除や、全体の利用停止・消去の請求を受ける可能性があります。その場合は、個人情報保護法の規定に従って対応しなければなりません。

履歴書データはいつ消去すべきなのか?

以下のような場合には、求人を行う企業や転職エージェントは、求職者の履歴書データを保有しておく必要がなくなります。

・不採用が決まった場合
・転職サポートを終了した場合
・求職者と連絡が取れなくなった場合
など

不必要となった履歴書に含まれる個人データを遅滞なく消去することは、事業者の努力義務にとどまります(個人情報保護法22条)。
したがって、目的外利用をせず、安全管理措置がきちんと講じられているなどの状況であれば、急いで履歴書データを消去しなくても構いません。

ただし、不要な履歴書データをいつまでも保有していると、情報漏えい等が発生した際のリスクが大きくなってしまいます。そのため、少なくとも一定の時期を定めたうえでまとめて消去するなどの対応を行うべきでしょう。

また、本人から履歴書データの消去請求を受けた場合、事業者は以下のいずれかに該当する事態が発生しているかどうかを審査する必要があります(同法35条1項)。

(1)個人情報保護法に違反する個人情報の目的外利用
(2)違法・不当な行為を助長し、または誘発するおそれがある方法による個人情報の利用
(3)偽りその他不正の手段による個人情報の取得

これらのいずれかに該当することが判明した場合、事業者は原則として、遅滞なく履歴書データを消去しなければなりません(同条2項)。

転職エージェントが個人情報を取り扱う際に留意すべき事項

転職エージェントが履歴書データなどの個人情報を取り扱う場合、求職者の目線に立って安心感を与えるとともに、個人情報保護法の遵守を徹底しなければなりません。

求職者に対して安心感を与える

個人情報の取扱いがずさんな転職エージェントに対しては、求職者は履歴書データなどを預けたいと思わないでしょう。求職者の信用を得られなければ、業績の悪化にも繋がりかねません。

求職者に対して安心感を与えるためにも、プライバシーポリシーを策定・公表するなど、透明性が確保された形で個人情報を取り扱うように努めてください。

定期的に個人情報の取扱いを見直す

個人情報を取り扱う際には、個人情報保護法の規定を遵守しなければなりません。

しかし、惰性で業務に当たっているうちに、いつの間にか個人情報保護法に違反する取扱いが発生し、それが長期間放置されてしまう事態がよくあります。
また、個人情報保護法のルールは年々アップデートされているため、法改正に合わせて社内マニュアルなどを更新することも必要です。

転職エージェントは、自社における個人情報の取扱いについて、定期的に検証・見直しを行う必要があります。

担当者向けの研修を実施する

履歴書データなどを直接取り扱う転職エージェントの担当者には、個人情報保護法に対する正しい理解が求められます。年々更新される個人情報保護法のルールについて、担当者の習熟度を高めるためには、定期的に従業員研修を行うことが効果的です。

弁護士などを講師に招く方法のほか、最近ではe-ラーニングを活用した従業員研修も普及しつつあります。
情報セキュリティの意識を社内全体に浸透させるため、コンプライアンス研修などと併せて、個人情報保護に関する研修も実施することをお勧めいたします。


【人材紹介事業立ち上げ 起業準備セミナーのお知らせ】

人材紹介事業の立ち上げを検討している方向けのオンラインセミナーのご案内です。
起業支援を担当する税理士の方を講師にお招きし、法人設立前に必要な基礎知識をわかりやすくご説明いたします。
また、株式会社マイナビが開業後に必要な「求職者集客」「求人案件開拓」「実務スキル」について、人材紹介事業の立ち上げのポイントもお伝えします。

<2022年12月5日(月)・19日(月) 実施セミナー>
【人材紹介事業を立ち上げたい方向け】法人設立×人材紹介 起業準備セミナー

<内容>
1. 人材紹介会社の設立準備について
2. 人材紹介業のビジネスモデルについて

<登壇者>
ライストン税理士事務所 石塚 友紀 氏
株式会社マイナビ 転職情報事業本部 エージェントサーチ事業部

– – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – — – – – – – – – – – – – –
日  時:2022年12月5日(月) 18:00~19:00、12月19日(月) 18:00~19:00
参 加 費:無料
開催方法:オンライン「Zoomウェビナ-」にてライブ配信 ※入室 17:50~
– – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – — – – – – – – – – – – – –

お申込み・詳細はこちらのオンラインセミナーお申込みページをご覧ください。


著者阿部 由羅
ゆら総合法律事務所代表弁護士。西村あさひ法律事務所・外資系金融機関法務部を経て現職。企業法務・ベンチャー支援・不動産・金融法務・相続などを得意とする。その他、一般民事から企業法務まで幅広く取り扱う。各種webメディアにおける法律関連記事の執筆にも注力している。
HP:https://abeyura.com/
Twitter:https://twitter.com/abeyuralaw