メキシコの従業員データ管理|個人情報保護法と5年保存のルール
miranexus_adminはじめに
人事・給与業務では、履歴書から給与口座、健康診断結果まで、大量の個人情報を扱います。メキシコでは個人データ保護法(LFPDPPP)により、企業(雇用主)に対して厳格な管理義務が課されています。違反した場合、データ保護庁(INAI)から巨額の罰金を科されるリスクがあります。本記事では、人事担当者が整備すべき「プライバシー通知」と「保存ルール」の基礎を解説します。
サマリー
- プライバシー通知:データの収集前に、利用目的を明記した「Aviso de Privacidad」を提示する義務がある(第15条)。
- 機微情報:健康状態や指紋などのセンシティブな情報は、必ず「書面による明示的な同意署名」が必要。
- ARCO権利:従業員からのデータの「アクセス・訂正・削除・利用停止」の請求に対応する窓口を設置しなければならない。
- 保存期間:労働法および税法の規定により、雇用関係書類は原則として5年間保存する。
詳細
1) プライバシー通知(Aviso de Privacidad)の整備
データを取得する「前」に提示しなければならない文書です。以下の要素を含める必要があります。
- 責任者の氏名・住所:会社名と所在地。
- 収集するデータ項目:氏名、RFC、住所、給与口座など。
- 利用目的:「給与支払いのため」「社会保険手続きのため」など具体的に。
- 機微情報(Datos Sensibles)の有無:健康診断、労働組合への加盟状況など。これを含む場合は「署名」が必須です。
2) ARCO権利(Derechos ARCO)とは
従業員が持つ4つの権利の頭文字です。会社はこの請求に対し、20日以内に回答する義務があります。
| 権利 | 内容 |
|---|---|
| Acceso (アクセス) | 自分のどんなデータを会社が持っているか知る権利。 |
| Rectificación (訂正) | 誤ったデータを修正させる権利(例:住所変更)。 |
| Cancelación (キャンセル) | データを削除させる権利(※法的保存義務がある場合は拒否可)。 |
| Oposición (反対) | 特定の目的(例:社内報への写真掲載)への利用を拒否する権利。 |
3) 書類の保存期間(5年ルール)
個人情報保護法では「目的達成後は削除」が原則ですが、労務・税務では以下の保存義務が優先されます。
- 連邦税法(CFF第30条):会計・税務資料(給与明細CFDIなど)は5年間。
- 連邦労働法(LFT第804条):雇用契約書は退職後1年、勤怠記録などはその期間中保存。
→ 実務上は、税務調査リスクを考慮して「退職から一律5年間」保存するのが安全です。
誤解と理解
- 誤り:「社内利用だけだから、プライバシー通知はいらない」
→ 誤りです。 従業員であっても、個人情報を取得する以上は必ずAvisoの提示が必要です。 - 誤り:「採用面接で落ちた人の履歴書を、将来のために保管しておく」
→ 応募者用のAvisoで「採用選考のため」としか書いていない場合、選考終了後の保管は目的外利用になります。「タレントプールとして保管する」旨の同意を得るか、速やかに廃棄すべきです。 - 誤り:「退職したらすぐに全データを消せと言われた」
→ 拒否できます。 会社には税務・労務上の法定保存義務(5年)があるため、これを理由に削除請求(Cancelación)をブロックすることが可能です。
チェックリスト
- 入社時に「従業員用プライバシー通知(Aviso de Privacidad)」を提示し、受領サインをもらっているか。
- 健康診断を実施する場合、別途「機微情報の取り扱い同意書」に署名させているか。
- ARCO権利を行使するための「窓口(メールアドレス等)」を通知書に記載しているか。
- 退職者のファイルは、法定保存期間(5年)が過ぎた後に適切に廃棄(シュレッダー等)するルールになっているか。
まとめ
従業員データ管理の要諦は、入り口(通知と同意)と出口(保存と廃棄)を明確にすることです。特に「機微情報への署名」と「5年保存」は監査や訴訟での生命線となるため、確実に実施しましょう。
本記事は、『日系企業が安心してメキシコで事業を展開できるための知識基盤』を目的に作成しています。今後も実務に役立つ情報を発信してまいります。
関連記事:
リソース:
- LFPDPPP(個人データ保護法)第15条・第22条
- INAI(情報公開・データ保護庁):Aviso de Privacidad作成ガイド
- 連邦税法(CFF)第30条(保存義務)
