2025.05.05

【2025年最新版】医療業界における個人情報保護の取り組みと最新事例

2025年現在、日本の医療業界では個人情報保護の重要性がますます高まっています。 特に、電子カルテやオンライン診療の普及、AI技術の導入などにより、患者の個人情報を適切に管理・活用することが求められています。 本記事では、最新の法改正や実際の事例を交えながら、医療業界における個人情報保護の取り組みをご紹介します。     1. 個人情報保護法の改正と医療分野への影響 日本の個人情報保護法は、3年ごとに見直しが行われており、2025年にも改正が予定されています。 今回の改正では、医療分野における個人情報の取り扱いに関して、以下のようなポイントが注目されています。 1-1. 仮名加工医療情報の利活用 2024年4月に施行された改正次世代医療基盤法では、仮名加工医療情報の利活用が新たに認められました。これにより、個人を特定できない形での医療データの活用が可能となり、研究や公衆衛生の向上に寄与しています。 1-2. 同意取得の見直し 従来、医療データの利用には患者の同意が必要とされていましたが、改正法では、統計作成やAI開発など特定の目的に限り、同意なしでのデータ利用が可能となる場合があります。これにより、医療分野でのデータ活用が促進されることが期待されています。   2. 医療機関におけるセキュリティ対策の強化 医療機関では、患者の個人情報を守るために、さまざまなセキュリティ対策が講じられています。厚生労働省が公表している「医療情報システムの安全管理に関するガイドライン（5.1版）」では、以下のような対策が推奨されています。 2-1. アクセス権限の管理 電子カルテやネットワーク機器へのアクセス権限を適切に設定し、必要最小限の職員のみがアクセスできるようにすることで、情報漏洩のリスクを低減します。 2-2. インシデント対応体制の整備 情報漏洩や不正アクセスなどのインシデントが発生した場合に備え、迅速な対応ができる体制を整備することが求められています。 2-3. 職員教育の実施 医療機関の職員に対して、個人情報保護やセキュリティに関する教育・訓練を定期的に実施し、意識の向上を図ります。   3. 実際の事例から学ぶ個人情報保護の重要性 2025年には、医療機関における個人情報の取り扱いに関する事例がいくつか報告されています。これらの事例から、個人情報保護の重要性を再認識することができます。 3-1. 近畿大学病院での患者情報の誤配布 近畿大学病院では、患者支援センターにおいて、11名の患者情報が記載された書類が誤って院内のリーフレットラックに配架される事案が発生しました。このようなヒューマンエラーによる情報漏洩は、日常的な業務の中でも起こり得るため、職員の意識向上と業務プロセスの見直しが必要です。 3-2. 職員のSNSによる患者情報の漏洩 ある医療機関では、職員が業務時間外に私的なSNSアカウントから患者の病状やリハビリの様子を投稿し、プライバシーの漏洩が発覚しました。このような事案では、医療機関が使用者責任を問われる可能性があるため、職員へのSNS利用に関する教育やガイドラインの整備が重要です。   4. AI技術と個人情報保護の両立 医療分野では、AI技術の導入が進んでいますが、個人情報保護法がその活用の壁となる場合があります。AIは大量のデータを学習する必要がありますが、個人情報の削除義務や匿名加工の制限があるため、活用が難しいケースもあります。そのため、個人からのオンライン同意取得や、匿名加工情報の活用など、新たな仕組みの整備が求められています。   5. 医療機関が取り組むべき今後の課題 医療機関が個人情報保護を強化するためには、以下のような取り組みが必要です。 最新の法令やガイドラインの把握：個人情報保護法や次世代医療基盤法など、関連する法令の最新情報を常に把握し、適切な対応を行う。 セキュリティ対策の強化：システムの脆弱性診断やペネトレーションテストを実施し、情報漏洩のリスクを低減する。 職員教育の徹底：個人情報保護に関する教育・訓練を定期的に実施し、職員の意識を高める。 患者への説明責任の履行：個人情報の取り扱いに関して、患者に対して明確な説明を行い、信頼関係を築く。   2025年の医療業界では、個人情報保護の重要性が一層高まっています。法改正や技術の進展に対応しながら、患者の信頼を得るための取り組みが求められています。

2025.05.05

【2025年大阪・関西万博】外国への個人情報提供はなぜ合法なのか？法的根拠と対策を徹底解説

2025年に開催される大阪・関西万博では、多くの外国企業や団体が参加し、国際的な交流が期待されています。 しかし、個人情報が外国に提供されることに対して不安を感じる方も少なくありません。 本記事では、万博における外国への個人情報提供が適法である理由と、その法的根拠について詳しく解説します。     万博における個人情報提供の背景 大阪・関西万博では、チケット購入、イベント予約、ボランティア登録など、多岐にわたる場面で個人情報の提供が求められます。 これらの情報は、海外のパビリオン運営団体やシステム提供企業など、外国の第三者に提供される場合があります。 このような国際的な情報のやり取りは、個人情報保護の観点から適切な対応が求められます。   日本の個人情報保護法における外国提供の規定 日本の「個人情報の保護に関する法律（個人情報保護法）」では、個人情報を外国にある第三者に提供する際のルールが定められています。 原則として、本人の同意が必要ですが、以下の条件を満たす場合には同意なしで提供が可能です。   1. 十分な個人情報保護制度を有する国への提供 日本と同等の個人情報保護制度を有すると認められた国（「十分性認定国」）への提供は、本人の同意なしで可能です。例えば、欧州連合（EU）やイギリスなどが該当します。 2. 標準契約条項（SCC）の締結 提供先と日本の事業者が、個人情報の適切な取り扱いを保証する標準契約条項（SCC）を締結している場合、本人の同意なしで提供が可能です。これは、万博における多くの国際的な取引で採用されています。 3. 法令に基づく提供や人命・財産の保護 災害対応やテロ対策など、法令に基づく提供や人命・財産の保護を目的とする場合、本人の同意なしで個人情報を提供することが認められています。     中国における個人情報保護法と日本企業の対応 中国では、2021年11月1日に「個人情報保護法（PIPL）」が施行され、個人情報の取り扱いに関する厳格な規定が設けられました。 この法律は、中国国内で取得された個人情報を国外に提供する際、以下の要件を満たすことを求めています。 🔷本人の明確な同意の取得：個人情報を国外に提供する前に、本人から明確な同意を得る必要があります。 🔷越境移転の影響評価の実施：個人情報の国外提供が個人の権益に与える影響を評価し、必要な措置を講じることが求められます。 🔷国家ネットワーク情報部門による審査：一定の条件下では、個人情報の国外提供に関して、国家ネットワーク情報部門の審査を受ける必要があります。 日本企業が中国の個人情報保護法に対応するためには、これらの要件を理解し、適切な対応を講じることが重要です。   万博における個人情報提供の実際の対応 大阪・関西万博では、個人情報の提供に関して以下のような対応が行われています。 🔶利用規約やプライバシーポリシーでの明示：公式アプリやウェブサイトでは、個人情報が外国に提供される可能性について明示され、利用者の同意を得る仕組みが整備されています。 🔶標準契約条項（SCC）の締結：外国の第三者と個人情報の取り扱いに関する契約を締結し、適切な管理体制を確保しています。 🔶情報管理体制の確認：提供先の第三者について、情報の管理体制やセキュリティ対策を確認し、信頼性を確保しています。     まとめ 2025年大阪・関西万博における外国への個人情報提供は、日本の個人情報保護法や提供先国の法令に基づき、適切な手続きと管理のもとで行われています。利用者としては、提供される情報の内容や目的を理解し、安心して万博を楽しむことができます。 個人情報の保護と国際的な連携は、現代社会において重要な課題です。 万博を通じて、私たち自身も情報の取り扱いについて理解を深めていくことが求められます。

2025.05.04

退職代行サービスは味方かリスクか？～個人情報保護の視点から考えるリアルストーリー～

第1章：退職を決意した午後 「もう無理かもしれない……」 佐藤美咲さん（仮名・28歳）は、神奈川県内のメーカーに勤めて4年目の春、ノートPCの前で肩を落としていた。 毎日の長時間労働、終わらない業務、パワハラまがいの言葉。上司に退職の意志を伝えようとするたび、話をはぐらかされてきた。   そんなとき、友人から聞いた言葉が彼女の頭に残っていた。 「退職代行、使ってみたら？　あっという間に辞められるよ」   スマホで「退職代行」と検索してみると、たくさんのサービスがヒットする。LINEやメールで簡単に依頼できるらしい。 「こんなに簡単に辞められるなら……」 その夜、美咲さんは決意を固めた。   第2章：会社に届いた一本の連絡 翌朝。美咲さんの勤務先には、一本の電話がかかってきた。 「お世話になります。退職代行サービスのA社です。御社で勤務されている佐藤美咲さんより、退職のご意志を受け、代行してご連絡しております」 人事部の担当者・井上は驚いた。 「は？　本人じゃなくて第三者？　本当に本人の依頼なのか？　そもそも、本人の情報を勝手に他人に話していいのか……？」 混乱しながらも、退職代行業者に対応せざるを得なかった。     第3章：退職代行は何者？個人情報はどう守られる？ 退職代行とは、その名の通り、従業員に代わって企業へ退職の意思を伝えるサービス。 しかし、その立場にはいくつかの“グレーゾーン”がある。 法的には「本人の意思の伝達」にとどまる行為であれば、退職代行業者（弁護士資格がない業者）でも代行可能とされている。 だが、その際に問題になるのが、**「個人情報保護」**の観点だ。   たとえば会社側が退職代行にこう言われたとする 🔷「給与明細を送ってください」 🔷「離職票や源泉徴収票を代理で受け取ります」 🔷「社会保険の資格喪失手続きを急いでください」 これらはすべて、“本人の同意がある”ことが前提で情報をやり取りすべき内容だ。   第4章：個人情報は誰に、どのように渡すべきか 人事部の井上は、退職代行業者からの連絡に慎重に対応しながら、社内の個人情報管理規定を確認した。 そこにはこう書かれていた。 「個人情報の第三者提供は、原則として本人の書面による同意を得た上で行うこと」 電話やメールで「依頼されてます」と言われただけでは、情報を提供すべきではない。 本人から直接、書面や電子署名付きの同意が確認できるまでは、たとえ退職代行であっても、給与・雇用・健康保険などの重要情報は開示できない。   第5章：美咲さんの側の誤解と気づき 美咲さんは、退職代行業者から送られてきたLINEの返信に任せきりだった。 「何もかも任せられるって書いてたし、会社にもちゃんと伝わってるはず……」 しかし一週間後、会社から自宅に「離職票送付にあたってご本人確認をお願いします」という文書が届く。 「あれ？　代行が全部やってくれるんじゃなかったの？」 そう思って業者に確認すると、返ってきたのは冷静な一言だった。 「公的書類の交付や個人情報に関するやり取りについては、ご本人による同意や直接対応が必要となります」 ようやく、美咲さんは理解した。   第6章：退職代行と個人情報、両者の“役割”を理解する 退職代行はあくまでも、「本人の意思を伝えるツール」であって、法的代理人ではない（※弁護士を除く）。 本人が「どこまでを任せられるか」「何が自分でやるべきか」を理解していないと、個人情報の取扱いにおいてリスクが発生する。 企業側も、退職代行からの依頼だからといって、安易に個人情報を渡すのはNGだ。   最終章：退職をスムーズに、そして安全に進めるために 佐藤美咲さんは、最終的に自身で会社にメールを送り、離職票や保険証返却などの手続きを完了させた。 「退職代行は頼ってよかった。でも、全部任せきりにしないで、自分で動くところも必要だったな」     まとめ：退職代行と個人情報保護のポイント 視点 対応ポイント ・従業員（退職者） 退職代行に依頼しても、個人情報に関する手続きには自分の確認・同意が必要 ・企業側 本人の同意が確認できない限り、退職代行業者に個人情報を渡してはいけない ・両者に共通すること 個人情報のやり取りには「正当な目的」と「本人の確認」が必須   退職代行は、現代における一つの「出口戦略」。 ただし、個人情報保護というもう一つの法律のレールを無視しては、正しく走り抜けることはできません。 「退職の自由」も「情報の保護」も、どちらも守りながら、あなたらしい次の一歩を踏み出しましょう。

2025.05.04

突然の営業電話、あなたならどうする？〜個人情報と営業のマナーを考える〜

第1章：ある午後の静かなオフィスにて 「……はい、〇〇株式会社・総務の佐々木です」 その日も、佐々木真理さん（38）はいつも通り、静かなオフィスで経理処理を進めていた。電話が鳴るまでは。   「お世話になります！〇〇システムの田中と申します。今、企業様向けに新しいツールのご案内をしておりまして――」 冒頭からテンポの速いセールストーク。聞き覚えのない会社名。しかも、相手はこちらの名前も部署も知っている様子。 「……え、なんでこの番号を？　誰がどこでこの情報を渡したの？」 真理さんの頭に、ひとつの疑問と不安がよぎる。     第2章：営業電話はどこから番号を手に入れているのか？ 営業電話の多くは、業界名簿・ウェブ上の企業情報・展示会の名刺交換など、公開されている法人情報をもとにかけられている。 中には名簿業者から購入したデータを使っているケースもある。 だが、そうした説明がないまま、いきなり個人名や部署を名指しで話し始めると、受け手はこう感じる。 「これはどこでうちの情報を手に入れたのか？」 「うちの情報、勝手に使われてないか？」 「個人情報の目的外利用では？」 真理さんも、まさにこの状態だった。   第3章：「それ、うちの情報どこで手に入れたんですか？」と聞いてみる 真理さんは、戸惑いながらもこう聞いた。 「ちなみに、うちの情報はどちらから入手されたのですか？」 すると、相手の営業マンは一瞬詰まった後、 「え、あ、たぶん業界名簿とか……ウェブかも、ですかね……」 曖昧な返答に、不信感が募る。真理さんはすぐに会話を切り上げることにした。   第4章：適切な営業電話の見分け方と、聞いておくべき3つの質問 真理さんは後輩にこうアドバイスした。 「突然の営業電話にはね、“3つの質問”を投げかけるといいのよ」 質問1：「どこでこの番号・名前を知りましたか？」 → 情報源が不明確な場合、目的外利用や名簿購入の可能性もある。 質問2：「御社の会社名とサービス内容を詳しく教えてください」 → 信頼できる会社であれば、しっかり説明できるはず。 質問3：「今後の連絡を控えていただけますか？」（不要なら明言） → はっきりと意思表示しないと、何度もかかってくる。   さらに、「今後の営業連絡は一切不要です」と言った後、着信履歴や通話内容をメモしておくことが、トラブル回避に役立つ。   第5章：もし相手がしつこい場合は… 最近では、営業電話の中に、強引な勧誘や、オレオレ詐欺に近いビジネススキームが混ざっていることもある。 しつこい電話、断っても何度もかけてくる、個人情報を不審な方法で使っている――そんなときは以下の対応を。 「この会話は録音させていただいております」と伝える 「情報保護の観点から不快です」とはっきり言う 場合によっては、個人情報保護委員会への相談も検討。   最終章：「断ることは、守ること」 電話を受ける側が萎縮してしまっては、営業電話の“質”は良くならない。 だからこそ、佐々木真理さんのように「自分の情報を守るための質問」を投げかけ、毅然と断る力を持つことは、会社と自分を守る大切な行動だ。 電話を切ったあと、真理さんは心の中でつぶやいた。 「こちらが無言で受け入れ続ける限り、“失礼な営業”はなくならない。だからこそ、断るときは、しっかりと伝える」   あなたも、突然の営業電話に戸惑ったら、今日からこの3つの質問を。   まとめ：営業電話が来たときのチェックリスト ✅ どこで情報を得たのか尋ねる ✅ 会社名・サービス内容を具体的に聞く ✅ 不要なら、今後の連絡を明確に断る ✅ 記録を残し、繰り返しあるなら専門機関への相談も検討

2025.05.04

テレアポ中に「個人情報の目的外利用だ！」と怒鳴られた新人・田中くんの奮闘記〜情報漏えいと誤解されない営業の心得とは〜

  第1章：突然のクレーム、その一言が突き刺さる 「君！この電話、どういうつもりだ！うちはそんな情報を渡した覚えはないぞ。これは“目的外利用”じゃないのか！？個人情報を勝手に使ってるんじゃないのか！？」 4月のある昼下がり。 新卒でBtoB商材を扱う営業会社「A社」に入社したばかりの田中悠真（たなか ゆうま）（仮名）は、電話の向こうから聞こえてきた怒声に固まっていた。 社会人になって、まだ2週間。電話営業（いわゆるテレアポ）に配属され、リストに従って一件ずつ架電を始めた矢先だった。 まさか、**「個人情報の目的外利用だ！」**と怒鳴られるなんて思ってもいなかった。 受話器を置いた後、田中くんは手が震えていた。   第2章：「テレアポは違法なのか？」という素朴な疑問 先輩社員の水野さんに事情を話すと、苦笑しながらこう言った。 「それ、初テレアポあるあるだよ。大丈夫、君が違法行為をしたわけじゃない。でも、確かに“伝え方”にはコツがある」 田中くんは、混乱していた。自分は上司から渡された“リスト”をもとに電話をしていただけ。企業向けのツール紹介をしていただけ。なのに、なぜ「個人情報を勝手に使うな」と言われるのか。 水野さんは、田中くんのノートを開いて説明を始めた。   第3章：「目的外利用」ってどういう意味？ 「まず、“目的外利用”って何かというとね、個人情報保護法で定められているルールのひとつなんだ。簡単に言えば、『この情報はこの目的で使います』って本人に説明して集めた情報を、別の目的で勝手に使っちゃいけないってこと」 「なるほど……でも僕ら、個人のスマホとかにかけてないですよ？会社の代表番号にかけてるだけです」 「そう、それが大事なポイント。個人情報か法人情報かってのは大きな分かれ目なんだ」 水野さんは続けた。 「会社名・代表電話番号・代表者名などは、基本的には“個人情報”ではない。つまり、営業電話をかけるだけで即、違法になることはない。 だけど、かけ方や話し方を間違えると、“うちの情報が勝手に使われている”と誤解されてしまう」   第4章：クレームを防ぐ5つの心得 水野さんは、ホワイトボードにこう書いた。 『 テレアポで「情報漏えい」や「目的外利用」と誤解されないための5つの心得 』 ✅情報の出どころを明確にする 例：「〇〇の業界名簿から貴社を拝見し、ご連絡いたしました」 →「どこでうちの情報を得たの？」という疑問を封じる。 ✅法人向けであることをはっきり伝える 例：「個人様ではなく、御社の営業ご担当者様へご案内しております」 →「個人情報を勝手に使われた」との誤解を防ぐ。✅自社の社名・目的・商品名を明確に伝える 例：「株式会社〇〇の田中と申します。新しい業務管理ツールのご紹介でお電話しました」 →「怪しい」「誰なのか分からない」という拒絶を避ける。 ✅相手の意向を尊重し、無理に話を進めない 例：「ご不要であれば、今後ご案内を控えさせていただきます」 →クレーム予防と信頼構築に効果大。 ✅記録と管理体制を整える →リストの出所・使用目的・使用範囲を社内で明確にしておくことで、万が一の問い合わせにも対応できる。   第5章：見えてきた「誠実な営業」の姿勢 「テレアポって、うまくやれば信頼される第一歩になる。でも、油断すれば“うさんくさい”“不快”に変わる。 だからこそ、“情報の使い方を意識すること”は、営業の基本姿勢でもあるんだよ」 水野さんの言葉は、田中くんに深く刺さった。 「テレアポは怖くない。ただし、誠実であれ。情報の持ち主に対して、正直で、丁寧であれ――」 翌週、田中くんは再び架電を始めた。今度は、「どこで得たか」「なぜかけているか」「どこに属する者か」を一つひとつ明確にしながら。 すると、ある日。電話の向こうからこう言われた。 「きちんと説明してくれてありがとう。実は、こういう電話っていつも嫌だったけど、あなたの対応はちゃんとしてたよ。話、少し聞いてみるよ」 ほんの少し、田中くんの声が弾んだ。   第6章：逆に「これはアウト」になるケースとは？～佐藤さんが踏み越えなかった一線～ 佐藤さんの行動が合法かつ公益通報として認められる可能性が高いことはわかってきました。 けれども、もし彼がもう一歩違う行動をとっていたら――話はまったく別のものになっていたかもしれません。 ケース1：他人の勤怠データも一緒に持ち出していたら？ 「実は、同期の村上くんも残業がひどくて。だから彼の分も一緒に持ち出してあげようと思ったんです」 ――もし、佐藤さんがそんな“親切心”で他人の勤怠情報までコピーしていたら、どうなっていたでしょう？ これは明確に個人情報保護法違反となります。たとえ会社のPCに自由にアクセスできる立場だったとしても、本人の同意なく第三者の個人情報を取得・持ち出すことは違法です。罰則の対象にもなりうる、深刻な違反です。 ケース2：SNSにアップして世間に晒していたら？ 「証拠としてSNSで公開した方が話題になるかなと思って、画像をツイートしました」 ――これも非常に危険です。 公益通報としての保護が成立するのは、**「正当な通報先に対して」「通報する目的で行われた場合」**に限られます。SNSへの公開は、企業名や個人名を晒す行為となり、名誉毀損罪や信用毀損罪、プライバシー侵害など複数のリスクを伴います。 企業側から名誉毀損による損害賠償請求をされることも十分にあり得ます。 ケース3：社内で禁止されていた方法で情報を抜いたら？ たとえば会社が「外部USB使用禁止」「勤怠データの印刷持ち出し禁止」と明記していたにもかかわらず、それを破って情報を持ち出した場合。 この場合、たとえ持ち出したのが自分の情報だけだったとしても、社内規定違反に該当します。 在職中なら懲戒処分、退職後であっても民事上の債務不履行や秘密保持義務違反として追及されるリスクがあります。 ケース4：勤怠情報に他の機密が混じっていたら？ 「自分の勤怠表の備考欄に、どのプロジェクトに関わっていたかや、取引先名が記載されていました」 このような場合、勤怠データの中に業務機密や顧客情報が混ざっているケースもあります。これは、不正競争防止法違反のリスクが生じる可能性があります。 特に営業機密や取引先との契約条件などが紐づいていると、単なる“自分のデータ”という枠を超えてしまうため、取り扱いには細心の注意が必要です。   第7章：情報は「誰のものか」だけでなく、「どこへ、何のために」が問われる 佐藤さんが違法とならなかったのは、「自分の情報だけを」「適切な方法で」「適切な機関に」「公益目的で」提供したからです。 逆に、たとえ同じ勤怠データであっても、使い方や送り先、そこに含まれる情報によって、法的な意味合いがまったく変わってしまうのです。   最終章：慎重に、誠実に、それでも声を上げる勇気を 「じゃあ、怖くて何もできないじゃないか」――そう思った方もいるかもしれません。でも、違法かどうかのポイントを押さえ、誠実な姿勢で行動すれば、正当な通報者として守られる仕組みは、日本の法律の中にちゃんと存在します。 大切なのは、情報を「味方」にすること。 佐藤さんのように、自分の働き方に疑問を持ち、声を上げることを恐れず、その一方で法律やルールを学び、冷静に一歩踏み出す―― それが、本当の意味で「正しい告発」といえるのではないでしょうか。   エピローグ：情報は「信頼の橋」にも「火種」にもなる 情報は力です。 営業リストも、電話番号も、担当者名も、それを扱う人の“姿勢”によって武器にも、爆弾にもなります。 目的外利用かどうかは、単に法律の話ではありません。相手が「自分の情報が勝手に使われた」と感じれば、それはすでに信頼の喪失です。 逆に、丁寧に説明し、納得感を与えることができれば、それは「誠実な会社だな」という第一印象につながります。 新人営業マン・田中くんのように、一つひとつの情報に向き合い、敬意を持って使う姿勢こそが、これからのテレアポに求められる倫理なのかもしれません。

2025.05.04

退職前に勤怠データを持ち出して労基署へ提出するのは違法？情報漏えいに該当するかを徹底解説！

ある日、佐藤さんから届いた相談。 「吉村さん……ちょっと相談があるんです。会社を辞める前に、自分の勤怠データをUSBにコピーしておいたんです。退職後、未払い残業代の件で労働基準監督署に相談したんですけど……これって、情報漏えいになるんでしょうか？」   そう語るのは、関西のとあるIT企業に勤めていた佐藤健一さん（仮名・30代前半）。 数年間勤めていた会社では、日常的に月80時間を超える残業が当たり前。 それなのに、残業代は「みなし残業」で処理され、申請すらできない空気がありました。   そんな状況に耐えかね、彼は退職を決意。 会社のシステムから自分の勤怠データを抜き取り、退職後、証拠として労基署に提出しました。   ところが、後日…… 前職の人事担当から「社内情報を持ち出すなんて、情報漏えいじゃないのか」と責められ、不安になったというのです。 果たして、佐藤さんの行動は法的に問題だったのでしょうか？   勤怠データって、そもそも誰のもの？ まず最初に考えるべきなのは、「勤怠データとは誰のものか？」という問題です。 企業がシステム上で管理しているとはいえ、その中には個人名、勤務時間、休暇取得など、その人の働き方やライフスタイルが詳細に記録されています。 実際、勤怠データには「個人情報」が含まれているため、個人情報保護法の適用対象になります。 しかし、そのデータの「主体」は本人であり、本人には自分の個人情報を開示請求する権利（個人情報保護法 第33条）があります。 つまり、佐藤さんが取得したのが「自分自身の勤怠データ」であり、そこに他人の情報が含まれていなかったのであれば、それだけで違法行為になるとは考えにくいのです。   問題となるのは「どうやって」「何を」「どこに」持ち出したか ただし、すべてが正当化されるわけではありません。   佐藤さんが行ったように、自分の勤怠データだけをUSBに保存して持ち出すという行為が、企業のセキュリティポリシーに違反していた場合、それは**「社内規定違反」**になる可能性があります。 企業によっては「社外への情報持ち出し禁止」や「外部記録媒体への保存禁止」といった規則が定められており、それを破れば懲戒処分の対象になることも。 ただ、佐藤さんの場合はすでに退職済み。企業が後から懲戒処分を下すことは難しく、仮に損害が発生していなければ、損害賠償請求なども現実的には考えにくいです。 一方で、もし佐藤さんが他の社員の勤怠データも一緒に持ち出していた場合、それは完全にアウトです。他人の個人情報を本人の同意なく第三者に提供する行為は、個人情報保護法違反となり、重大な法的リスクを抱えることになります。   「労基署に提出する」は違法ではなく、むしろ守られている行為 ここで重要なのは、佐藤さんが勤怠データを持ち出した目的です。もし彼が、そのデータを使って元職場を誹謗中傷するためにSNS等に晒したのであれば、たとえ自分のデータであっても名誉毀損や信用棄損に問われかねません。 しかし、今回は労基署という公的機関に提出し、未払い残業代の申告という公益性のある目的のために使用しています。   このような場合、「公益通報者保護法」という法律が関係してきます。この法律は、労働者が企業の違法行為を内部告発・外部通報する際、その通報によって不利益を被らないよう保護する制度です。 労基署はその「通報先」として正式に認められており、通報の内容が真実と信じるに足るものであれば、通報者の行為は法的に保護されます。 つまり、佐藤さんのように「自身の労働環境の是正のために」「自身の情報を証拠として」使う行為は、情報漏えいには該当せず、適法とされる可能性が極めて高いのです。   企業側のリスクと対策 一方で、企業側としても、従業員が退職時に情報を持ち出すことは、経営上のリスクとなりえます。 たとえ合法であっても、対応を間違えると「隠ぺい体質」として社会的信用を損ねる恐れもあります。 そのため、企業が講じるべき対策としては以下のようなものが考えられます。 🔷勤怠システムへのアクセス制御（ダウンロード・印刷権限の制限） 🔷社内の持ち出しルールの整備と明文化 🔷従業員への定期的な情報管理教育の実施 🔷内部通報制度の整備と、相談窓口の見える化 加えて、未払い残業や労働環境への不満がそもそも存在しないよう、適切な労務管理と風通しの良い社内文化の構築が、最も根本的な対策となるでしょう。   まとめ：情報漏えいか正当な通報か、それを分けるのは「目的と方法」 佐藤さんのケースは、「情報漏えい」と「正当な権利行使」のはざまにある行為でしたが、法的に見れば、個人情報保護法・公益通報者保護法いずれの観点からも、明確に違法とは言えないものです。 しかし、その正当性を守るためには、「自分のデータに限る」「正規の手段で取得する」「公的機関への提出に限る」など、目的と方法の正しさが不可欠です。 一方、企業側もこのような事例に対して過剰に反応するのではなく、内部に問題がなかったかを冷静に見直し、再発防止と改善に努めることが、長期的には会社の信頼を守る道となるはずです。