新型コロナウイルスの感染拡大に伴い、企業には、従業員の安全配慮、取引先等との関係での感染拡大の防止、ひいては事業活動継続のために、罹患者等に関する個人情報の取扱いについて、個人情報保護法を踏まえて、その体制を整備しておくことが求められています。
  
実際の例を想定した場合には、大きく
 
①　感染者や感染に関する情報を取得するケース
②　感染者や感染に関する情報を第三者に提供するケース
 
の二つに分けることができます。
  
①については、具体的には、 
従業員やその家族が新型コロナウイルスに感染した場合において、企業内で情報を共有することに問題がないか
 
という問題として、
 
②については、具体的には、 
自社の従業員が新型コロナウイルスに感染したことが判明した場合に、取引先等にその情報を開示して良いか等
 
の問題として、想定いただければと思います。

１　「個人情報」「個人データ」「保有個人データ」の違いについて

個人情報保護法では、個人に関する情報について、「個人情報」「個人データ」「保有個人データ」の定義が区別されており、義務の内容なども異なります。
  

  
大小関係でイメージすると、上図のように「個人情報」＞「個人データ」＞「保有個人データ」なります。
  
これを定義で確認すると、

---

「個人情報」 
＝生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む）

---

「個人データ」 
＝個人情報データベース等を構成する個人情報 
個人情報データベース等とは、①特定の個人情報を電子計算機を用いて検索することができるように体系的に構成したもの、②前号に掲げるもののほか、特定の個人情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの
  
⇒電子メールソフトに保管されているメールアドレス帳（メールアドレスと氏名を組み合わせた情報を入力している場合）や、従業員が、名刺の情報を業務用ＰＣ(所有者は問わない)の表計算ソフト等を用いて入力・整理し、他の従業員等によっても検索できる状態にしている場合等

---

「保有個人データ」 
＝個人情報取扱事業者が、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止を行うことのできる権限を有する個人データであって、その存否が明らかになることにより公益その他の利益が害されるものとして政令で定めるもの又は１年以内の政令で定める期間以内に消去することとなるもの以外のもの
  
とされています。

２　従業員やその家族が新型コロナウイルスに感染した場合において、企業内で情報を共有することに問題がないか

個人情報保護法では、個人情報取扱事業者は、原則として、あらかじめ本人の同意を得ないで、要配慮個人情報を取得してはならないとされています。
  
「要配慮個人情報」とは、「本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める記述等が含まれる個人情報」とされていますので、新型コロナウイルスに感染したとの情報は、要配慮個人情報に該当します。
  
したがいまして、予め本人の同意を得ることが原則です。
  
しかしながら、本人に連絡を取れない場合、同意を得るために時間を要する場合もあり、その間、感染予防等のため必要な情報を取得出来ないなどの問題も生じ得ます。そこで、法は、
  
「人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。」
  
「公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。」
  
には、例外的に本人の同意を得ずして、要配慮個人情報を取得することを認めています。
  
また、従業員の家族が感染した場合も、家族を特定する場合には、その家族本人にとっての要配慮個人情報となり、その家族本人の同意を得ることが原則としては必要です。しかし、この場合も、本人に連絡が取れないなどの状況では、上記した法の例外によって、取得が認められると考えるべきです。

３　自社の従業員が新型コロナウイルスに感染したことが判明した場合に、取引先等にその情報を開示して良いか？

個人情報保護法では、個人情報取扱事業者は、原則として、本人の同意を得ないで、「個人データ」を第三者に提供してはならないとされています。
  
ここで、あらためて定義を確認いただきたいのですが、個人情報保護法により、本人の同意なく第三者提供を禁じられているのは、あくまで「個人データ」であって「個人情報」ではありません。
  
したがいまして、自社従業員の氏名・住所・年齢などが個人情報データベース等に登録されており、それらが「個人データ」にあたるとしても、新型コロナウイルスに感染したという情報を個人情報データベース等に登録していない場合には、感染に関する情報は、「個人情報」にはあたりますが、「個人データ」にはあたりません。
  
そのため、個人情報保護法だけをみれば、このような場合に、取引先等に情報を提供しても、第三者提供の禁止には触れません。もっとも、そのことと、従業員のプライバシー権の侵害の問題とは別問題ですので、この点の区別は必要です。
  
そして、個人データの第三者提供の禁止についても、例外は認められており、「人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。」
  
「公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。」
  
には、第三者提供も例外的に許容されていますので、本人の同意を得ることが困難な状況においては、例外的に許容されるものと考えます。

４　個人情報保護委員会のＱ＆Ａ

新型コロナウイルス感染症の拡大防止を目的とした個人データの取扱いについては、個人情報保護委員会より、以下のＱ＆Ａが公表されましたので、引用致します（https://www.ppc.go.jp/news/careful_information/covid-19/）。

問１．社員に新型コロナウイルス感染者と濃厚接触者が出た。社内公表する場合の注意点は何か。

（答） 
ご指摘のケースについて、同一事業者内での個人データの提供は「第三者提供」に該当しないため、社内で個人データを共有する場合には、本人の同意は必要ありません。
  
また、仮にそれが当初特定した利用目的の範囲を超えていたとしても、当該事業者内での２次感染防止や事業活動の継続のために必要がある場合には、本人の同意を得る必要はありません。

問２．社員が新型コロナウイルスに感染し、当該社員が接触したと考えられる取引先にその旨情報提供することを考えている。社員本人の同意を取ることが困難なのだが、提供することはできるか。

（答） 
当該社員の個人データを取引先に提供する場合、仮にそれが当初特定した利用目的の範囲を超えていたとしても、取引先での２次感染防止や事業活動の継続のため、また公衆衛生の向上のため必要がある場合には、本人の同意は必要ありません。

５　最後に

他にも、個人情報の取扱いに関して、これまでのガイドライン、解釈を前提といては判断が難しい内容が生じていますので、弊所でも、引き続き情報の収集と、検討を深めて参ります。

「新型コロナウイルス感染症と企業に求められる個人情報保護」の関連記事はこちら