人事の給与明細と契約書: GDPRが求めること
人事は給与明細、契約書、病欠証明、口座情報を扱います。それらを処理する側にGDPRが何を求めるのか、なぜ自分のデバイスで行うことが役立つのかを解説します。
人事の机は、どの会社でも最もデータが集中する場所の一つです。何でもない火曜日に、一人の担当者が給与明細、署名済みの契約書、病欠証明、銀行の残高証明、そして誰かの身分証のコピーを開くかもしれません。そのどれもがPDFであり、そのどのPDFも、それがどう扱われるかを決して目にしない実在の人物についてのものです。
それが仕事です。問われるのは、GDPRがそのすべてに対してあなたに何を求めているのか、そして日々のPDF作業がそのルールのどこに収まるのか、ということです。
人事が触れるデータは、機微なたぐいのもの
GDPRのもとでは、すべての個人データが同じではありません。仕事用のメールアドレスは個人データです。給与額もそうですが、こちらはより重みがあり、人事はその山の上に座っています。
給与明細は人々の稼ぎを示します。契約書は条件を、ときには健康や家庭の事情に関する条項を示します。病欠証明は病状を明らかにしうるもので、これは追加の保護を受ける特別カテゴリーのデータです。口座情報は不正の扉を開きます。国民識別番号や社会保障番号は、まさに身元窃盗者が欲しがるものです。それらをすべて一つの部署に置けば、あなたは標的になります。
GDPRがこの種の資料をより重視するのは、漏えいによる被害が大きいからです。漏れたマーケティングリストは煩わしいだけです。漏れた給与明細と身分証スキャンの束は、誰かの家計と心の平穏を打ち砕きかねません。
ルールが実際にあなたに求めること
ルールに従うために規則を暗記する必要はありません。人事がこれらのファイルに対して行うことの大半は、いくつかの義務でカバーされます。
データを安全に保つこと。第32条は適切な技術的・組織的措置を求めています。平たく言えば、ファイルはその機微さに見合った形で保護されるべきだということです。給与明細はランチメニューよりも丁重な扱いに値します。
必要なものだけを、必要な期間だけ使うこと。あなたが契約書を集めるのは雇用を管理するためであって、事務所の半数が読める共有ドライブに永遠に置いておくためではありません。理由がなくなれば、ファイルも去るべきです。
データがどこへ行くのかを把握すること。ファイルがあなたの管理を離れるたびに、誰が受け取り、なぜなのかを知っているべきです。外部のサービスに個人データを渡してあなたの代わりに処理させるなら、そのサービスは処理者であり、彼らがそのデータで何をできるかを定めた契約があるはずです。
説明できる状態でいること。何かがうまくいかなかったとき、あなたは合理的な手段を講じたことを示す必要があります。「検索結果で見つけた無料サイトにアップロードしました」は、あなたが弁護したくなる手段ではありません。
ファイルがどこへ行くかも、仕事のうち
ここに、まじめな人ほどはまる落とし穴があります。人事の担当者は、誰が共有フォルダを開けるかを真剣に考え、それから最初に見つけたPDFサイトで二枚の給与明細を結合します。30秒後にファイルがどこか別の場所へアップロードされてしまえば、フォルダの慎重なアクセス制御は何の意味も持ちません。
ほとんどのオンラインPDFツールは、ファイルを自社のサーバーへ送り、そこで処理を実行し、結果を返す仕組みで動いています。ファイルは、あなたが所有していないマシン、一度も精査していない会社が運営し、名前すら挙げられない場所に着地します。彼らは予定どおり削除するかもしれません。バックアップがコピーを保持するかもしれません。あるいは全体が借り物のインフラ上で動いていて、あなたのファイルが二度と耳にしないストレージを通過するかもしれません。あなたには確かめようがなく、たった今インターネット越しに病欠証明を送られた本人にも確かめようがありません。
病欠証明や残高証明にとって、そのアップロードされたコピーが弱点です。人事のノートパソコンから一度も出ないファイルは、他人のサーバーで起きる侵害でさらされようがありません。
自分のデバイスで作業する
何もアップロードしないたぐいのPDFツールがあります。処理のすべてが、あなたが今まさに使っているのと同じコンピューター上のブラウザの中で実行されます。コードは一度だけ読み込まれ、PDFはブラウザのメモリで開き、あなたが作業し、完成したファイルはそのままあなたのマシンに保存されます。送り出す先のサーバー工程がそもそもないので、何も外へは送られません。
これがreader.meの仕組みであり、人事の書類に向いている理由です。給与明細をひとそろい結合する、契約書から数ページ抜き出す、メールに収まるようスキャンを縮小する。そのすべてがあなたのコンピューターの上で起きます。タブを閉じれば、作業中のメモリもそれとともに消えます。
その点について私を信用する必要はありません。ブラウザのDevToolsを開き、Networkタブへ行き、処理を実行して見てみてください。あなたのファイルを外へ運ぶリクエストはありません。ファイルがどのリクエストの本文にもなければ、それはどこへも送られていないのです。それこそ第32条が好む種類の確認です。あなたが実際に証明してみせられるからです。
今日やる価値のある二つのこと
建物を出ていくファイルを守ること。給与明細や契約書をメールで送るとき、そのメール自体が端から端まで安全であることはまれです。まずPDFにパスワードをかけて、傍受した人や宛先を間違えた相手にとって書類が無用になるようにしましょう。それはPDFを保護を使って自分のデバイス上でできます。アップロードは不要で、パスワードは電話など別の経路で伝えてください。
印刷と再スキャンなしで署名すること。契約書や承認には署名が必要で、印刷・署名・スキャン・紙を捨てるという昔ながらの段取りは、あちこちに散らばったコピーを残します。署名をPDFに直接加えれば、きれいなファイルが一つ残り、紙の痕跡を省けます。PDFに署名ツールはそれをブラウザの中で行うので、契約書が署名のために自分のコンピューターを離れることはありません。
人事の日々のPDF作業は退屈に見えます。そこが罠です。二つのファイルを結合したり契約書に署名したりするのは数秒で、その数秒こそ、機微なデータがその場にとどまるか、静かに去っていくかの分かれ目です。書類が給与計算事務所や会計士を経由するときにこれがどう展開するかの長い版が読みたければ、給与明細とプライバシーについてのこの記事で扱っています。作業をデバイス上にとどめれば、GDPRの面はずっとシンプルになります。