新型コロナウイルス感染症と企業に求められる個人情報保護
新型コロナウイルスの感染拡大に伴い、企業には、従業員の安全配慮、取引先等との関係での感染拡大の防止、ひいては事業活動継続のために、罹患者等に関する個人情報の取扱いについて、個人情報保護法を踏まえて、その体制を整備しておくことが求められています。
実際の例を想定した場合には、大きく
① 感染者や感染に関する情報を取得するケース
② 感染者や感染に関する情報を第三者に提供するケース
の二つに分けることができます。
①については、具体的には、
従業員やその家族が新型コロナウイルスに感染した場合において、企業内で情報を共有することに問題がないか
という問題として、
②については、具体的には、
自社の従業員が新型コロナウイルスに感染したことが判明した場合に、取引先等にその情報を開示して良いか等
の問題として、想定いただければと思います。
個人情報保護法令和2年改正(令和4年4月1日施行)についてはこちら
Contents
- 1 「個人情報」「個人データ」「保有個人データ」の違いについて
- 2 従業員やその家族が新型コロナウイルスに感染した場合において、企業内で情報を共有することに問題がないか
- 3 自社の従業員が新型コロナウイルスに感染したことが判明した場合に、取引先等にその情報を開示して良いか?
- 4 個人情報保護委員会のQ&A
- 問1.社員に新型コロナウイルス感染者と濃厚接触者が出た。社内公表する場合の注意点は何か。
- 問2.社員が新型コロナウイルスに感染し、当該社員が接触したと考えられる取引先にその旨情報提供することを考えている。社員本人の同意を取ることが困難なのだが、提供することはできるか。
- 問3.社員が新型コロナウイルスに感染し、管轄の保健所から、積極的疫学調査(注)のためとして、当該社員の勤務中の行動歴の提供依頼があった。社員本人の同意を取ることが困難なのだが、提供することはできるか。
- 問4.施設に出入りする人の顔画像を撮影し、そこから抽出した顔特徴量を用いて非接触式体温測定を行うサーマルカメラを導入する場合、顔画像や顔特徴量を即座に削除したとしても、個人情報の取得に該当するか。また、サーマルカメラにより取得した検温情報は要配慮個人情報に該当するか。
- 5 グロース法律事務所の令和2年改正サポート
- 6 弁護士費用
- 7 最後に
1 「個人情報」「個人データ」「保有個人データ」の違いについて
個人情報保護法では、個人に関する情報について、「個人情報」「個人データ」「保有個人データ」の定義が区別されており、義務の内容なども異なります。
大小関係でイメージすると、上図のように「個人情報」>「個人データ」>「保有個人データ」なります。
これを定義で確認すると、
「個人情報」
=生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む)
「個人データ」
=個人情報データベース等を構成する個人情報
個人情報データベース等とは、①特定の個人情報を電子計算機を用いて検索することができるように体系的に構成したもの、②前号に掲げるもののほか、特定の個人情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの
⇒電子メールソフトに保管されているメールアドレス帳(メールアドレスと氏名を組み合わせた情報を入力している場合)や、従業員が、名刺の情報を業務用PC(所有者は問わない)の表計算ソフト等を用いて入力・整理し、他の従業員等によっても検索できる状態にしている場合等
「保有個人データ」
=個人情報取扱事業者が、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止を行うことのできる権限を有する個人データであって、その存否が明らかになることにより公益その他の利益が害されるものとして政令で定めるもの又は1年以内の政令で定める期間以内に消去することとなるもの以外のもの
とされています。
2 従業員やその家族が新型コロナウイルスに感染した場合において、企業内で情報を共有することに問題がないか
個人情報保護法では、個人情報取扱事業者は、原則として、あらかじめ本人の同意を得ないで、要配慮個人情報を取得してはならないとされています。
「要配慮個人情報」とは、「本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める記述等が含まれる個人情報」とされていますので、新型コロナウイルスに感染したとの情報は、要配慮個人情報に該当します。
したがいまして、予め本人の同意を得ることが原則です。
しかしながら、本人に連絡を取れない場合、同意を得るために時間を要する場合もあり、その間、感染予防等のため必要な情報を取得出来ないなどの問題も生じ得ます。そこで、法は、
「人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。」
「公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。」
には、例外的に本人の同意を得ずして、要配慮個人情報を取得することを認めています。
また、従業員の家族が感染した場合も、家族を特定する場合には、その家族本人にとっての要配慮個人情報となり、その家族本人の同意を得ることが原則としては必要です。しかし、この場合も、本人に連絡が取れないなどの状況では、上記した法の例外によって、取得が認められると考えるべきです。
3 自社の従業員が新型コロナウイルスに感染したことが判明した場合に、取引先等にその情報を開示して良いか?
個人情報保護法では、個人情報取扱事業者は、原則として、本人の同意を得ないで、「個人データ」を第三者に提供してはならないとされています。
ここで、あらためて定義を確認いただきたいのですが、個人情報保護法により、本人の同意なく第三者提供を禁じられているのは、あくまで「個人データ」であって「個人情報」ではありません。
したがいまして、自社従業員の氏名・住所・年齢などが個人情報データベース等に登録されており、それらが「個人データ」にあたるとしても、新型コロナウイルスに感染したという情報を個人情報データベース等に登録していない場合には、感染に関する情報は、「個人情報」にはあたりますが、「個人データ」にはあたりません。
そのため、個人情報保護法だけをみれば、このような場合に、取引先等に情報を提供しても、第三者提供の禁止には触れません。もっとも、そのことと、従業員のプライバシー権の侵害の問題とは別問題ですので、この点の区別は必要です。
そして、個人データの第三者提供の禁止についても、例外は認められており、「人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。」
「公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。」
には、第三者提供も例外的に許容されていますので、本人の同意を得ることが困難な状況においては、例外的に許容されるものと考えます。
4 個人情報保護委員会のQ&A
新型コロナウイルス感染症の拡大防止を目的とした個人データの取扱いについては、個人情報保護委員会より、以下のQ&Aが公表されましたので、引用致します(https://www.ppc.go.jp/news/careful_information/covid-19/)。
問1.社員に新型コロナウイルス感染者と濃厚接触者が出た。社内公表する場合の注意点は何か。
(答)
ご指摘のケースについて、同一事業者内での個人データの提供は「第三者提供」に該当しないため、社内で個人データを共有する場合には、本人の同意は必要ありません。
また、仮にそれが当初特定した利用目的の範囲を超えていたとしても、当該事業者内での2次感染防止や事業活動の継続のために必要がある場合には、本人の同意を得る必要はありません。
問2.社員が新型コロナウイルスに感染し、当該社員が接触したと考えられる取引先にその旨情報提供することを考えている。社員本人の同意を取ることが困難なのだが、提供することはできるか。
(答)
当該社員の個人データを取引先に提供する場合、仮にそれが当初特定した利用目的の範囲を超えていたとしても、取引先での2次感染防止や事業活動の継続のため、また公衆衛生の向上のため必要がある場合には、本人の同意は必要ありません。
問3.社員が新型コロナウイルスに感染し、管轄の保健所から、積極的疫学調査(注)のためとして、当該社員の勤務中の行動歴の提供依頼があった。社員本人の同意を取ることが困難なのだが、提供することはできるか。
(注)感染症の発生を予防し、又は感染症の発生の状況、動向及び原因を明らかにするため必要があると認めるときに、感染症法第 15 条第1項に基づき、都道府県等の保健所が行う調査。
(答)
保健所が、感染症法第 15 条第1項に基づく積極的疫学調査のため、事業者に対し、新型コロナウイルスに感染した社員の勤務中の行動歴の提供を依頼している場合には、当該情報の提供に当たり本人の同意は必要ありません。
問4.施設に出入りする人の顔画像を撮影し、そこから抽出した顔特徴量を用いて非接触式体温測定を行うサーマルカメラを導入する場合、顔画像や顔特徴量を即座に削除したとしても、個人情報の取得に該当するか。また、サーマルカメラにより取得した検温情報は要配慮個人情報に該当するか。
(答)
特定の個人を識別できる顔画像を取得し、そこから抽出した顔特徴量を用いて体温測定結果が表示されていると考えられるため、顔画像や顔特徴量を即座に削除したとしても、個人情報の取得に該当します。また、本ケースにおける検温情報は、医師その他医療に関連する職務に従事する者が健康診断、診療等の事業及びそれに関連する業務に関連して取得したものではないことから、要配慮個人情報に該当しません。
5 グロース法律事務所の令和2年改正サポート
個人情報保護は消費者や社会の関心も高く、その違反に対する社会の目も厳しいことから、企業として必ず対応しなければなりません。グロース法律事務所では、個人情報保護法の令和2年改正に対応することをサポートすることが可能です。詳細は以下の個人情報保護法サポート内容をご覧ください。
個人情報保護法への対応の必要性
個人情報データベース等を事業に用いる個人情報取扱事業者は、個人情報保護法による様々な規制を遵守しなければなりません。企業規模の大小にかかわらず多くの事業者は個人情報取扱事業者であり、かつ今般の社会的なコンプライアンス意識や個人情報保護への関心は益々高まっています。個人情報保護法について、何らの対応を行っていない事業者は取引先や消費者からの信頼を失ってしまうことから、全ての事業者にとって個人情報保護法に対応することが必要です。
改正への対応の必要性
個人情報保護法は改正の多い分野であり、3年ごとに法律が見直されることとなっています。そして、令和2年6月に個人情報保護法の改正が行われ、多くの改正内容について令和4年4月1日から施行されます。個人情報取扱事業者は4月1日以降は改正法を遵守する必要があり、当該改正には公表すべき事項の変更が含まれていますので、プライバシーポリシー等の変更が必要となります。
その他、保有個人データとして取扱うべき範囲についても改正がなされるなど、改正の影響は少なくなく、個人情報取扱事業者としては、改正法への対応は必須と言えます。
個人情報保護法への対応とは
個人情報保護法への対応の内容については、自社にて取扱う情報の内容などにより違いはありますが、主に以下の点について対応が必要です。
・個人情報の取得・利用・提供・保管・安全管理措置に関するルール及び体制の構築
・個人情報取扱規程・プライバシーポリシー等の作成
・個人情報の開示等や苦情申し出の請求に応じる窓口の設置と適切な運用
グロース法律事務所の個人情報保護法対応サポートサービス
グロース法律事務所では、次のような流れで企業の個人情報保護法対応サポートを行っております。
ステップ1《現状把握》
ヒアリングや現存する各種規程の調査により、取り扱っている情報の種類や現状の個人情報保護体制を把握いたします。
ステップ2《ギャップ分析》
上記によって把握した個人情報保護体制について、法令等(改正法を含む)に照らし検証し改善点を洗い出します。
ステップ3《改善案の提案・修正》
各種規程・プライバシーポリシー等の修正や社内体制の改善案を提案し、実施いたします。
6 弁護士費用
令和2年6月改正(令和4年4月1日施行)対応
現在、個人情報保護体制を構築されておられる場合に、令和2年6月改正への対応をサポートいたします。
なお、サポート実施にあたり改正対応にとどまらないサポートが必要となった場合は、別途お見積りいたします。
費用の目安 | 業務内容の説明 | 顧問先様以外の対応の可否 |
---|---|---|
11万円~33万円 | 既存の個人情報保護規程、プライバシーポリシー等のチェック及び修正 | *顧問先様以外の場合は、ご依頼時の着手金額で稼働時間5時間まで。以降1時間毎に4万1800円 |
5万5000円~22万円 (実施については8万2500円~33万円) |
従業員教育に関するアドバイス・実施、窓口設置のアドバイス (上記個人情報保護規程等のチェックとセットに限ります。) |
〇 |
5万5000円~16万5000円 | 個人情報保護委員会に対する手続対応 | 〇 |
22万円~55万円 | 安全管理措置体制の構築に関するアドバイス・実施 |
個人情報保護体制の構築
個人情報保護体制が構築されていない場合又は現状の個人情報保護体制を全面的に見直したい場合へのサポートを実施いたします。
費用の目安 | 業務内容の説明 | 顧問先様以外の対応の可否 |
---|---|---|
33万円~55万円 | 個人情報保護規程・プライバシーポリシー等の作成 | *顧問先様以外の場合は、ご依頼時の着手金額で稼働時間5時間まで。以降1時間毎に4万1800円 |
5万5000円~22万円 (実施については8万2500円~33万円) |
従業員教育に関するアドバイス・実施、窓口設置のアドバイス (上記個人情報保護規程等のチェックとセットに限ります。) |
〇 |
5万5000円~16万5000円 | 個人情報保護委員会に対する手続対応 | 〇 |
22万円~55万円 | 安全管理措置体制の構築に関するアドバイス・実施 (上記個人情報保護規程等のチェックとセットに限ります。) |
7 最後に
他にも、個人情報の取扱いに関して、これまでのガイドライン、解釈を前提としていては判断が難しい内容が生じていますので、弊所でも、引き続き情報の収集と、検討を深めて参ります。また、弊所でもコロナウイルスに関してのガイドラインの作成、納品の実績がございますので、まずはお気軽にご相談下さい。
谷川安德
最新記事 by 谷川安德 (全て見る)
- インスタグラム投稿を自社HPに転載したステルスマーケティング規制について弁護士が解説 - 2024年11月25日
- 施行されたフリーランス取引適正化法の遵守を - 2024年11月12日
- 労働条件明示義務違反の報道について弁護士が解説 - 2024年10月31日
「新型コロナウイルス感染症と企業に求められる個人情報保護」の関連記事はこちら
グロース法律事務所が
取り扱っている業務
新着情報
- 2024.12.18セミナー/講演
- 手遅れになる前の入退社トラブル対応セミナー 2025.02.13
- 2024.11.25コラム
- インスタグラム投稿を自社HPに転載したステルスマーケティング規制について弁護士が解説
- 2024.11.12コラム
- 施行されたフリーランス取引適正化法の遵守を
- 2024.10.31コラム
- 労働条件明示義務違反の報道について弁護士が解説
- 2024.10.11セミナー/講演
- 【実施済】2024年を振り返る社労士勉強会総まとめ 2024.12.12