MENU
人材採用をご支援するお手伝いサイト
  1. ホーム
  2. コンプライアンス
  3. 採用における個人情報管理の鉄則 – 「応募者データ」のリスクと、安全な取扱い・削除ポリシー

採用における個人情報管理の鉄則 – 「応募者データ」のリスクと、安全な取扱い・削除ポリシー

コンプライアンス

履歴書、職務経歴書、エントリーシート—。採用活動で扱う応募者情報は、氏名や連絡先はもちろん、学歴や職歴といった機微な情報を含む、個人情報保護法における「個人情報」そのものです。

ひとたび情報漏洩や不適切な取り扱いが発生すれば、企業の社会的信用は失墜し、法的な罰則を受ける可能性もあります。本記事では、採用担当者が知っておくべき応募者情報の正しい管理方法、削除ポリシー、そして公的機関が示すルールについて解説。さらに、ATS(採用管理システム)などを活用して、いかにリスクを低減できるかという具体的な方法までを紹介します。

応募者情報は「個人情報」- 法律が求める基本ルール

応募者情報の取り扱いは、個人情報保護法に則って行わなければなりません。日本の監督官庁である個人情報保護委員会は、企業が遵守すべきルールとして、主に以下の点を挙げています。

  • 利用目的の特定と通知個人情報を「採用選考のため」というように、目的を明確にして本人に通知または公表する必要があります。目的外の利用(例:本人の同意なくマーケティングに利用する)は禁じられています。
  • 適正な取得と同意応募者本人から直接情報を取得することが原則です。情報を取得する際は、プライバシーポリシーなどを示し、本人の同意を得る必要があります。
  • 安全管理措置取得した個人情報が漏洩、滅失、毀損しないよう、組織的・人的・物理的・技術的な安全管理措置を講じる義務があります。
  • 利用目的達成後の削除採用・不採用が決定し、利用目的が達成された個人情報は、遅滞なく削除することが求められます。

「いつまで保管し、どう消すか?」- データ削除のポリシー設計

法律では「遅滞なく削除」とされていますが、企業には応募者情報を一定期間保管しておきたい理由もあります。

  • タレントプールとしての活用選考で不合格となった優秀な人材に、後日別のポジションを打診したい。
  • 再応募への対応過去の応募者を認識し、円滑に対応したい。
  • トラブルへの備え採用に関するトラブルが発生した場合の記録として保持したい。

これらの理由から、多くの企業では、不採用となった応募者の情報を一定期間保管した後に削除するというポリシーを設けています。法律で明確な保管期間が定められているわけではありませんが、一般的には「6ヶ月〜1年程度」を保管期間の上限と設定する企業が多いようです。

そもそも、応募者情報を持ち続ける「得」はあるのか?

ここで一度立ち止まり、「なぜデータを保管するのか」を冷静に考える必要があります。例えば、「不適切な応募の傾向を分析したい」という目的があったとします。しかし、その分析に本当に必要なのは「年齢層、地域、経験スキル」といった統計情報であり、「氏名、メールアドレス、電話番号、住所」といった個人を特定できる情報ではありません。

このように考えると、利用目的を終えた応募者の個人情報を、個人が特定できる形で保持し続けることの「得」は、実はほとんどないことがわかります。

重要:不必要なデータは「資産」ではなく「負債」である

最も重要な考え方は、利用目的を終えた応募者情報は、将来の資産ではなく「情報漏洩リスクを抱えた負債」であると認識することです。不必要に長く保管すればするほど、サイバー攻撃や内部のミスによる情報漏洩のリスクは高まり続けます。

だからこそ、「本当に必要な情報は何か、保管する期間はいつまでか」を真剣に考え、明確なポリシーを策定すること。そして、そのルールに則って確実に削除を実行するという、厳格な「捨てる」姿勢こそが、現代のリスクマネジメントにおいて不可欠なのです。

ATS・採用管理システムの活用 – リスクを減らす具体的な方法

これらの厳格なルールを、Excelやメールだけで管理するのは、ヒューマンエラーのリスクが非常に高く、もはや現実的ではありません。そこで有効なのが、ATS(Applicant Tracking System = 採用管理システム)や、求人メディアが提供する管理システムの活用です。

ATSや管理システムがリスクを低減する仕組み
  • 情報の一元管理応募者情報が個人のPCやメールボックスに散在するのを防ぎ、システム上で一元的に管理。情報のありかが明確になります。
  • 厳格なアクセス制御担当者ごとに閲覧・編集権限を細かく設定できます。「面接官は担当する候補者の情報しか見られない」といった制御が可能です。
  • 削除ポリシーの自動化「保管期間1年」と設定すれば、システムが自動で期間を過ぎた応募者データを削除してくれます。これにより、削除漏れという最大のリスクを防ぐことができます。
  • セキュリティ管理の外部化と責任分担自社でサーバーを管理する必要がなく、システムのセキュリティ対策を専門である提供会社に一任できます。万が一、システムへのサイバー攻撃などで情報が漏洩した場合でも、その責任の多くはシステム提供会社が負うため、自社で抱えるリスクを大幅に低減できます。

システムの導入にはコストがかかりますが、個人情報の漏洩が引き起こす損害(信用の失墜、賠償責任など)を考えれば、これは採用活動における「必要経費」であり、最も確実なリスク管理手法と言えるでしょう。

応募者情報の管理は、単なる事務作業ではなく、企業のコンプライアンス意識と候補者への誠実さを示す、重要なリスクマネジメント活動です。

法律が求めるルールを正しく理解し、自社の状況に合ったポリシーを策定すること。そして、その運用を個人の努力任せにせず、ATSのようなテクノロジーを活用して仕組み化すること。この両輪が、候補者と企業の双方を守り、信頼に基づいた採用活動を実現するための礎となります。

コンプライアンス
目次