従業員データ管理の基本ルール|個人情報保護と労務

2025年12月24日 最終更新日時 : 2025年12月24日 miranexus_admin

はじめに

人事・給与業務では、履歴書から給与口座、健康診断結果まで、大量の個人情報を扱います。メキシコでは個人データ保護法(LFPDPPP)その規則INAI(データ保護庁)のガイドラインに加え、労働法(LFT)社会保険(IMSS)税務(SAT)の保存ルールが関わってきます。本記事では、人事担当者が最低限知っておくべき法律の枠組みと実務のポイントを基礎からやさしく解説します。

サマリー

  • 法律の基本:データ保護法に基づき、「プライバシー通知(利用目的の説明)」「ARCO権利(訂正や削除の対応)」「安全管理」「データ提供のルール」を整備する必要があります。
  • 人事の重要ポイント:採用・雇用・退職の各段階で「何のために使うか」「必要最小限にする」「いつまで保存するか」をはっきりさせます。健康情報などのセンシティブ情報(機微情報)は特に厳重に管理し、書面での同意が必要です。
  • 業務での連携:給与明細(CFDI)や社会保険・税務の手続き、テレワーク時のデータ保護などを、就業規則や契約書に反映させます。
  • 海外へのデータ移転:親会社やクラウドサービスなど国外へデータを移す場合は、法律(第36条・37条)に沿った契約や同意が必要です。
  • 保存義務:税金や会計に関する資料は、連邦税法(CFF)に合わせて、通常は5年間保管します。

詳細(制度の枠組みと実務)

1) 役割と適用範囲

  • 責任者(Responsable):雇用主(会社)。データの利用目的や管理方法を決定し、安全管理を行う責任があります。
  • 委託先(Encargado):給与計算代行会社やクラウド業者など。会社との契約に基づき、データの守秘義務や安全管理措置を守る必要があります。

2) プライバシー通知(Aviso de Privacidad:第15条)

  • 必ず書くべきこと:会社名、利用目的、収集するデータ項目、センシティブ情報の有無ARCO権利(訂正・削除等)の手続き、第三者への提供有無、保存期間、同意の撤回方法、苦情窓口。
  • 相手別に作成:「採用応募者用」「従業員用」「防犯カメラ(CCTV)用」「来訪者用」など、対象ごとに分けて作成します。

3) 合法性・同意・データの最小化

  • 同意の取り方:一般的な雇用管理に必要な範囲であれば、契約などの「黙示の同意」で足りる場合もありますが、センシティブ情報については必ず「書面による明確な同意(署名)」が必要です。
  • 必要最小限に:目的に対して必要な情報だけを集めます(例:採用段階で、業務に関係のない家族の病歴などは聞かない)。

4) ARCO権利(第22条)

  • 窓口と期限:プライバシー通知に連絡先や回答期限を明記し、受付から回答までの流れを管理台帳で記録します。
  • 例外対応:税務や労務の法律で保存義務がある場合は、従業員から「データを消してほしい」と言われても、「法律で保存が決まっているため削除できません」と理由を伝えて断ることができます。

5) 安全管理措置(セキュリティ)

  • 物理的対策:人事ファイルの鍵付き保管、来訪者の記録、防犯カメラの設置など。
  • 技術的対策:アクセス制限、多要素認証、暗号化、バックアップ、操作ログの記録、USBメモリ等の持ち出し禁止。
  • 組織的対策:誰が何を見られるかの権限設定、守秘義務契約、社員教育、退職時のアカウント即時停止。

6) 人事の場面ごとの実務

  • 採用時:応募の段階でプライバシー通知を提示します。経歴調査(バックグラウンドチェック)は本人の同意必要性を明確にします。
  • 在職中:勤怠や評価、懲戒などのデータは目的に沿って扱います。パソコンやメールのモニタリングを行う場合は、就業規則に範囲と理由を書いておく必要があります。
  • 健康・労災:診断書などの情報はアクセスできる人を限定します。ストレスチェック(NOM-035)の結果は個人が特定されないよう集計して扱います。
  • テレワーク:法律(LFT第330-A〜)に基づき、機器や費用の負担だけでなくデータ保護についても規定します。個人の私物を過度に監視せず、業務範囲に限定します。
  • 退職時:法律で定められた保存期間が過ぎたら、復元できないよう安全に廃棄(データの完全削除や書類の溶解処理など)し、記録を残します。

7) 保存期間の目安

  • 税務・会計・給与明細・社会保険関連:原則5年(連邦税法CFF第30条に合わせる)。
  • 採用時の応募書類:不採用の場合は速やかに削除します。「将来のために残したい」場合は同意を得て期間を限定します。
  • 懲戒・評価記録:退職後、合理的な期間(例:2〜5年)保存することを通知に明記します。

8) データの外部提供・海外移転

  • 社外への提供:給与計算会社、医療機関、保険会社、監査法人などへデータを提供する場合、目的と法的根拠、契約上の義務を明確にします。
  • 海外への移転:海外の親会社やクラウドサーバーへデータを移す場合、本人への通知・同意に加え、「情報の守秘・安全管理・再提供の禁止」などを定めた契約を結んで適法化します。

9) もし情報漏洩が起きたら

  • 手順:検知→被害拡大の防止→影響の評価→本人への通知→再発防止策。本人への通知が必要かどうかは、当局(INAI)の指針に沿って判断します。
  • 記録:事故の記録台帳、原因の分析、是正措置(CAPA)を保存します。

誤解と理解

  • 誤り:「従業員データは会社の持ち物だから自由に使っていい」
    → 目的外の利用はできません。必要最小限に留め、ARCO権利(削除請求など)に対応する必要があります。別の目的に使う場合は、再度通知と同意が必要です。
  • 誤り:「社内だけで使うならプライバシー通知はいらない」
    プライバシー通知(Aviso de Privacidad)は、社内利用であっても従業員への提示が必須です。
  • 誤り:「健康情報は人事担当なら誰でも見ていい」
    → センシティブ情報ですので、アクセス権限を限定し、暗号化や施錠管理を徹底する必要があります。
  • 誤り:「クラウドに保存すれば業者が責任を持ってくれる」
    → 最終的な責任は委託元である会社(雇用主)にあります。契約で安全管理や監査権限を確保する必要があります。

チェックリスト(実務用)

  • 通知書の整備:採用応募者用、従業員用、防犯カメラ用、来訪者用のプライバシー通知を最新版にしていますか。
  • データ台帳:どんな情報を、何のために、いつまで、どこに保管し、誰が見れるかを一覧にしていますか。
  • アクセス管理:権限を最小限にし、定期的に見直し、退職時はすぐに無効化していますか。
  • ARCO対応:請求があった時の対応手順、本人確認方法、回答期限などを決めていますか。
  • 契約書の確認:委託先や海外移転先との契約に、守秘義務や安全管理、監査条項が含まれていますか。
  • セキュリティ対策:暗号化、多要素認証、ログの記録、USB等の持ち出し禁止、バックアップを行っていますか。
  • 教育:年に1回以上、プライバシーに関する研修を行い記録していますか。
  • 事故対応:万が一の時の連絡網や初動対応マニュアルを準備していますか。

まとめ

従業員データの管理は、「通知する→同意を得る→最小限にする→安全に守る→権利に対応する→記録する」というサイクルを、就業規則や契約書、ITシステムに落とし込むことが重要です。給与や社会保険、テレワークと連動させ、5年間の保存義務を守りつつ、監査や万が一の事故にも耐えられる体制を作りましょう。

本記事は、『日系企業が安心してメキシコで事業を展開できるための知識基盤』を目的に作成しています。今後も実務に役立つ情報を発信してまいります。

関連記事:

リソース:

  • LFPDPPP(個人データ保護法)(第15条・第22条・第36条・第37条・制裁関連)
  • Reglamento de la LFPDPPP(施行規則)
  • INAIガイドライン(通知、ARCO権利、安全管理、海外移転)
  • LFT第330-A〜(テレワークにおけるデータ保護等)
  • LSS/IMSS・SATの保存義務、CFF第30条(税務・会計資料の保存)
カテゴリー
労務(HR & Payroll)実務解説シリーズ
タグ
前の記事
メキシコの従業員データ管理|個人情報保護法と5年保存のルール
2025年12月24日
次の記事
勤怠管理制度の基礎|打刻・残業申請の仕組み
2025年12月24日