従業員の新型コロナウイルスに関する個人情報はどのように取り扱えばいいでしょうか。

1 個人情報の取得方法

 新型コロナウイルスに罹患した事実の有無や、陽性反応が出た旨の検査結果といった情報は個人情報保護法(以下「法」といいます。)上の「要配慮個人情報」に該当するため(法23項、同施行令22号、3号参照)、原則として取得の際に本人の同意が必要です(法172項)。

 もっとも、書面または口頭等により本人から直接取得する場合は、本人が当該情報を提供したことをもって当該情報を取得することについて同意があったものと解釈できるため、この場合は別途同意書等を取得する必要はありません。

 例えば、新型コロナウイルス感染症の感染拡大防止等の目的を明示した社内アンケートを実施し、そこで取得された従業員の罹患等の個人情報については適法に取得されたといえます。

2 個人情報の利用

 取得した個人情報を利用する場合、利用目的を具体的に特定し、かつ原則として特定された利用目的の達成に必要な範囲で取り扱う必要があります(法151項、161項)。

 したがって、上記のような社内アンケートを実施する際は、利用目的を特定し明記するといいでしょう。利用目的の具体的な例を挙げれば、「社内における新型コロナウイルス感染症の二次感染防止のため」や「当社事業活動の継続等の判断をするため」といったものがあるでしょう。

 このような対応をすることで、例えば、社内アンケートで新型コロナウイルス感染者と濃厚接触した者が発見された場合、その情報に関してアンケートに明記した目的に沿って社内で公表する際に本人の同意は不要となります。

なお、仮に特定した利用目的の範囲を超える場合であっても、①人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき(法1722号)、②公衆衛生の向上のために特に必要がある場合であって、本人の同意を得ることが困難であるとき(法1723号)のいずれか該当する場合には、本人の同意を得ることなく情報を社内共有することが可能です。

3 個人情報の第三者提供

 他方で、取得した情報、例えば、社内に新型コロナウイルス感染者が出た旨の情報を取引先等に共有したり一般に公開したりする場合は注意が必要です。

 具体的な個人を特定することなく単純に社内で感染者が出た旨を共有するものであれば個人情報は第三者に提供されていないので本人の同意は不要です。しかし、誰が新型コロナウイルス感染者か特定できる情報(氏名を伏せていても、所属部署や年齢等によって誰か特定できる場合も含まれます)を第三者に共有したり公開したりする場合は、原則として本人の同意を得る必要があります(法231項)。

 もっとも、この場合に本人の同意を得ることができなくても、①人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき(法1722号)、②公衆衛生の向上のために特に必要がある場合であって、本人の同意を得ることが困難であるとき(法1723号)のいずれか該当する場合であれば第三者に情報を提供することが可能です。

 また、例えば、従業員が新型コロナウイルスに感染し、管轄の保健所から積極的疫学調査(感染症法151項参照)のためとして、当該従業員の勤務中の行動歴の提供依頼があった場合においても、法令に基づく提供であるため、当該情報の提供にあたり従業員本人の同意は必要ありません。

4 個人情報保護委員会事務局の見解

 新型コロナウイルス感染症の感染拡大防止を目的とした個人データの取扱については、令和242日付けで個人情報保護委員会事務局が見解を公表しています。

個人情報取扱事業者は、保有する個人データについて、原則として、本人に通知等している利用目的とは異なる目的で利用し、又は、本人の同意なく第三者に提供することは禁じられています。しかしながら、以下に該当する場合には、例外として、本人の同意を得ることなく、目的外利用や第三者への提供が許され、今般の新型コロナウイルス感染症の感染拡大防止に当たっては、これらの例外の適用も含めて対応することが可能です。

1)国の機関等からの情報提供の要請が、当該機関等が所掌する法令の定める事務の実施のために行われるものであり、個人情報取扱事業者が協力しなければ当該事務の適切な遂行に支障が生ずるおそれがあり、かつ、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるときは、当該事業者は、自らの判断により、本人の同意なく、個人データを目的外に利用し、又は当該機関等に提供することができます(法1634号、2314号)。

2)人の生命、身体又は財産の保護のために必要がある場合や、公衆衛生の向上のために特に必要がある場合であって、本人の同意を得ることが困難であるときも、個人情報取扱事業者は、本人の同意なく、個人データを目的外に利用し、又は国の機関を含む第三者に提供することができます(法1632号及び3号、2312号及び3号)。

5 関係法令(抜粋)

個人情報保護法

(定義)

第二条 

3 この法律において「要配慮個人情報」とは、本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める記述等が含まれる個人情報をいう。

(利用目的の特定)

第十五条 個人情報取扱事業者は、個人情報を取り扱うに当たっては、その利用の目的(以下「利用目的」という。)をできる限り特定しなければならない。

2 個人情報取扱事業者は、利用目的を変更する場合には、変更前の利用目的と関連性を有すると合理的に認められる範囲を超えて行ってはならない。

(利用目的による制限)

第十六条 個人情報取扱事業者は、あらかじめ本人の同意を得ないで、前条の規定により特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはならない。

(適正な取得)

第十七条 個人情報取扱事業者は、偽りその他不正の手段により個人情報を取得してはならない。

2 個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、要配慮個人情報を取得してはならない。

一 法令に基づく場合

二 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。

三 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。

(第三者提供の制限)

第二十三条 個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。

一 法令に基づく場合

二 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。

三 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。

四 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。

同施行令

第二条 第二条第三項の政令で定める記述等は、次に掲げる事項のいずれかを内容とする記述等(本人の病歴又は犯罪の経歴に該当するものを除く。)とする。

一 身体障害、知的障害、精神障害(発達障害を含む。)その他の個人情報保護委員会規則で定める心身の機能の障害があること。

二 本人に対して医師その他医療に関連する職務に従事する者(次号において「医師等」という。)により行われた疾病の予防及び早期発見のための健康診断その他の検査(同号において「健康診断等」という。)の結果

三 健康診断等の結果に基づき、又は疾病、負傷その他の心身の変化を理由として、本人に対して医師等により心身の状態の改善のための指導又は診療若しくは調剤が行われたこと。

以上

Category:IT , 個人情報保護 , 個人情報保護法 , 情報管理