ブログ
【コロナウイルス対応Q&A】個人情報保護・プライバシー分野Q&A
2020.04.21
国内外において新型コロナウイルスの感染拡大が続いている現状を踏まえ、TMI総合法律事務所は、クライアントの皆様が新型コロナウイルスへ対応する際にご留意いただきたい事項を、各分野ごとにQ&Aの形式にまとめて掲載しておりますので、ぜひご活用いただければ幸いです。
■人事労務分野Q&A 2020年3月24日掲載
http://www.tmi.gr.jp/information/column/2020/20200324-01.html
■株主総会分野Q&A 2020年4月1日掲載・4月28日更新・5月26日更新
http://www.tmi.gr.jp/information/column/2020/20200526-13.html
■ 独占禁止法分野Q&A 2020年4月7日掲載
http://www.tmi.gr.jp/information/column/2020/20200407-01.html
■ 東証対応関連分野Q&A 2020年4月7日掲載・4月16日更新
http://www.tmi.gr.jp/information/column/2020/20200416-01.html
■ 契約分野(売買)Q&A 2020年4月7日掲載
http://www.tmi.gr.jp/information/column/2020/20200407-03.html
■ 契約分野(請負)Q&A 2020年5月8日掲載
http://www.tmi.gr.jp/information/column/2020/20200508-04.html
■ 事業再生・倒産関連分野Q&A 2020年4月14日掲載
http://www.tmi.gr.jp/information/column/2020/202000414-02.html
■ エンタテインメント・スポーツ分野Q&A 2020年5月1日掲載
http://www.tmi.gr.jp/information/column/2020/20200501-06.html
□ 新型コロナウイルス感染症に関する各国の規制状況等については、こちらからご参照ください。
■ 個人情報保護・プライバシー分野Q&A
Q1:新型コロナウイルスに関して従業員から情報を収集する際に個人情報保護・プライバシーの観点から留意すべき点は何か。
A1:新型コロナウイルスに関して従業員から情報を収集する場合、個人情報保護・プライバシーの観点から、以下の①~③の点に留意すべきであると考えられます(なお、外国の従業員の情報を収集する場合、その国のデータ保護法が適用される可能性があるため、確認する必要があります。以下のQ&Aにおいても同様です。)。
① 要配慮個人情報の取得に係る制限
新型コロナウイルスに関する従業員の情報のうち、個人情報保護法上の要配慮個人情報に該当するもの(例:新型コロナウイルスに感染したことやその検査結果、病院等を受診したこと)については、その取得に際して従業員本人から同意を得るのが原則となります(同法17条2項)。
もっとも、従業員からこれらの情報を収集する場合、本人から適正に直接取得している限り、従業員本人は要配慮個人情報が取得されることを認識しているのが通常であるため、本人が当該情報を提供したことをもって、本人の同意があったと考えることができます。
また、本人の意識がなかったり、緊急入院等の手続で時間的な余裕がなかったりする場合、本人のご家族等から当該情報を取得する場合も考えられますが、その場合には、仮に本人の同意が得られなくとも、要配慮個人情報の取得に係る制限の例外である「人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき」(同法17条2項2号)又は「公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき」(同項3号)に該当する可能性が高いと考えられます。
したがいまして、新型コロナウイルスに関して従業員の情報を収集する場合、上記のような対応によれば、要配慮個人情報の取得に係る制限との関係で問題となるケースは少ないものと考えられます(なお、以下の③で述べるとおり、プライバシー権侵害のリスクを低減するという観点からは、従業員に対して情報収集の目的や必要性を事前に説明し、明示的な同意を得た上で情報収集を行うのが望ましいと考えられます。個人情報保護法は遵守が求められる最低限のルールであり、プライバシー権侵害については個人情報保護法違反となるかどうかとは別途検討する必要があります。)。
② 利用目的の通知等
新型コロナウイルスに関して従業員の情報を収集する際には、原則として、直接かつ書面(電磁的方法を含みますので、メール等もこれに含まれます。)で個人情報を取得する場合には、利用目的を明示しなければならず(同法18条2項)、それ以外の方法で個人情報を取得する場合には、利用目的を通知又は公表しなければなりません(同条1項)。
例えば、メール等で従業員の情報を直接収集する場合、「直接かつ書面で個人情報を取得する場合」に該当しますが、この場合、メールの本文に利用目的を記載するだけでなく、メールでやり取りする際にプライバシーポリシー等の利用目的が記載された文書のリンクを貼り付けるなどの対応であっても、利用目的の明示をしたといえます。また、ヒアリング等で従業員の情報を間接収集する場合、「それ以外の方法で個人情報を取得する場合」に該当しますが、この場合、プライバシーポリシー等の利用目的が記載された文書を社内掲示板(イントラネット)に掲示するなどの対応をすれば、利用目的の通知・公表をしたといえます。
以上が原則論ですが、仮に感染症の拡大防止といった利用目的を通知等せずに従業員の情報を収集してしまっていた場合であっても、従業員本人からすればこのような利用目的で取り扱われることが認識できると考えられる場合があると考えられます。そのような場合であれば利用目的の通知等の義務の例外である「取得の状況からみて利用目的が明らかであると認められる場合」(同条4項4号)に該当する可能性があります(なお、仮に事後的に利用目的として通知等をしていなかった個人情報の取扱いをする必要が生じた場合であっても、事業者内での二次感染防止や事業活動の継続のために必要がある場合であって、本人の同意を得ることが困難な場合には、個人情報保護法の例外規定に該当し、本人の同意は必ずしも求められないことは、Q2の①で述べるとおりです。)。
③ プライバシー権侵害
センシティブな医療情報を従業員から収集する場合、①調査の必要性があり、かつ②従業員本人から同意を得ていない限り、プライバシー権侵害となり、損害賠償責任を負う可能性があります(なお、採用に関するものですが、東京地判平15.5.28判タ1136号114頁〔HIV抗体検査〕、東京地判平15.6.20ジュリ1278号147頁〔B型肝炎ウィルス感染検査〕参照)。
上記①の調査の必要性については、新型コロナウイルスに関して従業員の情報を収集する場合、一般的には感染拡大防止等という調査の必要性があるため、要件を充足すると考えられますが、上記②の従業員本人の同意については、適切に同意を得ていないと要件を充足せず、プライバシー権侵害とされる可能性があります。したがって、従業員に対して情報収集の目的や必要性を事前に説明し、プライバシー権侵害との観点からは、明示的な同意を得た上で情報収集を行うのが望ましいと考えられます。
Q2:新型コロナウイルスに感染した従業員の情報を自社内で公表する際に留意すべき点は何か。
A2:新型コロナウイルスに感染した従業員の情報を自社内で公表する場合、個人情報保護・プライバシーの観点から、以下の①及び②の点に留意すべきであると考えられます。
① 利用目的の範囲の制限
個人情報は特定した利用目的の範囲内で取り扱わなければならず、目的外利用をする場合には原則として本人の同意が必要となりますが(個人情報保護法16条1項)、「人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき」(同条3項2号)又は「公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき」(同項3号)に該当する場合は、本人の同意なく目的外利用をすることができます。
新型コロナウイルスに感染した従業員の情報を自社内で公表することが仮に目的外利用に該当する場合であっても、事業者内での二次感染防止や事業活動の継続のために必要がある場合には、これらの例外に該当するものと考えられ、本人の同意は必ずしも求められません(個人情報保護委員会「新型コロナウイルス感染症の拡大防止を目的とした個人データの取扱いについて」別紙問1参照)。
【参考】 個人情報保護委員会/新型コロナウイルス感染症の拡大防止を目的とした個人データの取扱いについて」/(別紙)個人情報保護法相談ダイヤルに多くよせられている質問に関する回答
https://www.ppc.go.jp/news/careful_information/covid-19/
https://www.ppc.go.jp/files/pdf/200402_2.pdf
② プライバシー権侵害
新型コロナウイルスに感染した従業員の情報を自社内で公表する場合、プライバシー権侵害となり、損害賠償責任を負う可能性があると考えられます(福岡高判平27.1.29判時2251号57頁〔社会福祉法人甲会事件〕。なお、名誉権侵害の事例ですが、東京地判昭52.12.19判タ362号259頁〔泉屋東京店事件〕、東京地判平19.4.27労経速1979号3頁参照)。
したがいまして、新型コロナウイルスに感染した従業員の情報を自社内で公表する際には、プライバシー権侵害となるリスクを低減する観点から、感染症の拡大防止といった目的のために必要最低限の手段を検討するのが望ましいと考えられます。その検討の結果、例えば、自社内で公表するのは氏名以外の情報にとどめておき、氏名を開示するのは濃厚接触の疑いのある社員のみに限るという方法が可能であれば、そのような方法で対応するのが望ましいと考えられます。
Q3:新型コロナウイルスに感染した従業員の情報を外部に提供する際に留意すべき点は何か。
A3:新型コロナウイルスに感染した従業員の情報を外部に提供する場合、個人データの第三者提供に係る規制に留意するとともに、プライバシー権侵害を発生させないように留意しなければなりません。
① 個人データの第三者提供に係る制限
個人データの第三者提供を行う場合、原則として本人の同意を得る必要がありますので(個人情報保護法23条1項)、新型コロナウイルスに感染した従業員の情報を外部に提供する際には、原則としてあらかじめ本人の同意を得る必要があります。
もっとも、本人の同意を得ることが困難なケースでは、以下のような個別の事案ごとに、個人情報保護法の例外に該当するか確認し、本人の同意なく個人データを行うことができるかを判断することになります。
(a) 取引先等の関係者
新型コロナウイルスに感染した従業員の情報を取引先や会社が入居しているビルの管理会社等の関係者に提供する場合、二次感染防止や事業活動の継続のために必要があるとき、また公衆衛生の向上のため特に必要があるときは、「人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき」(同項2号)又は「公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき」(同項3号)に該当するものと考えられ、本人の同意は必ずしも求められません(個人情報保護委員会「新型コロナウイルス感染症の拡大防止を目的とした個人データの取扱いについて」別紙問2参照)。
【参考】 個人情報保護委員会/新型コロナウイルス感染症の拡大防止を目的とした個人データの取扱いについて」/(別紙)個人情報保護法相談ダイヤルに多くよせられている質問に関する回答
https://www.ppc.go.jp/news/careful_information/covid-19/
https://www.ppc.go.jp/files/pdf/200402_2.pdf
(b) 報道機関
新型コロナウイルスに感染した従業員の情報を報道機関に提供する場合、公衆衛生の向上のため特に必要があるときに限り、「公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき」(同法23条1項3号)に該当するものと考えられ、本人の同意は必ずしも求められません(なお、個人情報保護委員会は、報道の自由への配慮から、一般企業が報道機関に個人情報等を提供する行為について、その権限を行使しないとされており(同法43条2項)、報道機関への従業員の情報の提供については個人情報保護法違反が問題となることは事実上想定しにくいと考えられます。)。
(c) 行政機関
新型コロナウイルスに感染した従業員の情報を行政機関に提供する場合、感染症法15条に基づく質問・調査への対応であれば、「法令に基づく場合」(個人情報保護法23条1項1号)に該当し、本人の同意は必ずしも求められません。また、二次感染防止や事業活動の継続のために必要があるとき、また公衆衛生の向上のため特に必要があるときは、「人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき」(同項2号)又は「公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき」(同項3号)に該当するものと考えられ、本人の同意は必ずしも求められません。さらに、行政機関の要請に協力するときは、「国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき」(同項4号)に該当するものと考えられ、本人の同意は必ずしも求められません。
② プライバシー権侵害
新型コロナウイルスに感染した従業員の情報を外部に提供する場合、本人の同意を得ていない限り、プライバシー権侵害となり、損害賠償責任を負う可能性があると考えられます(個人情報保護法違反にならないことは、プライバシー権侵害とならないことを必ずしも意味しません。)。
したがいまして、仮に個人データの第三者提供が個人情報保護法の例外規定に該当する場合であっても、プライバシー権侵害となるリスクを低減する観点から、第三者提供の必要性の程度及び提供する情報の範囲について検討し、感染症の拡大防止といった目的のために必要最低限のものにするのが望ましいと考えられます。その検討の結果、例えば、従業員の個人情報は提供しない、また提供するとしても氏名以外の情報にとどめておくという方法が可能であれば、そのような方法で対応するべきと考えられます。
Q4:新型コロナウイルスの影響でテレワークを実施しているが、個人情報の管理について留意すべき点は何か。
A4:テレワークの際に個人情報の管理については、個人情報保護法の安全管理措置義務(同法20条)の観点から、以下の①及び②の点に留意すべきであると考えられます。
① 個人情報の社外への持ち出し
個人情報保護法上、取り扱う個人データの漏えい、滅失又はき損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならないとされており(同法20条)、個人情報保護委員会のガイドラインでは、講じなければならない措置として「個人データを取り扱う区域の管理」が挙げられ、「個人情報データベース等を取り扱うサーバやメインコンピュータ等の重要な情報システムを管理する区域……及びその他の個人データを取り扱う事務を実施する区域……について、それぞれ適切な管理を行わなければならない」とされています(個人情報の保護に関する法律についてのガイドライン(通則編)93頁)。
この点、テレワークの際に個人情報を社外に持ち出した場合、同ガイドライン上の「個人データを取り扱う区域の管理」に違反するか否かが問題となり得ますが、同ガイドラインにおいては、「適切な管理を行わなければならない」と定められているに過ぎず、「入退室管理及び持ち込む機器等の制限等」や「壁又は間仕切り等の設置、座席配置の工夫、のぞき込みを防止する措置の実施等による、権限を有しない者による個人データの閲覧等の防止」は手法の例示として掲げているに過ぎません。
したがいまして、テレワークの際に個人情報を社外に持ち出すことのみをもって直ちに個人情報保護法の安全管理措置に違反するものではないと考えられます(なお、マイナンバーに関するものではありますが、個人情報保護委員会「新型コロナウイルス感染症対策として、事業者等においてテレワーク等を活用する場合のマイナンバーの取扱いについて」別添も同様の趣旨であると考えられます。)。
もっとも、安全管理措置を講ずるための具体的な手法については、個人データが漏えい等をした場合に本人が被る権利利益の侵害の大きさを考慮し、事業の規模及び性質、個人データの取扱状況(取り扱う個人データの性質及び量を含む。)、個人データを記録した媒体の性質等に起因するリスクに応じて、必要かつ適切な内容とすべきものであるとされているため、テレワークを行うことによって情報セキュリティの水準が低下し、安全管理措置として必要かつ適切な内容ではないと評価されないように十分に注意すべきです。
したがって、各社においてはテレワーク等によって個人データの取扱いが変わったことに起因するリスクの洗い出しとそれに対する対策は十分に検討しておく必要があるといえます。
なお、テレワークによる個人情報の取扱いが現行の社内規定に抵触するようであれば、規定を見直すなどにより、適切に対応することが求められています(個人情報保護委員会「新型コロナウイルス感染症対策として、事業者等においてテレワーク等を活用する場合のマイナンバーの取扱いについて」別添参照)。
【参考】 個人情報保護委員会/新型コロナウイルス感染症対策として、事業者等においてテレワーク等を活用する場合のマイナンバーの取扱いについて/(別添)質問に対する回答
https://www.ppc.go.jp/news/careful_information/covid-19_mynumber_qa/
https://www.ppc.go.jp/files/pdf/mynumber_qa.pdf
② ウェブ会議システムの利用
個人情報保護委員会のガイドラインにおいては、安全管理措置義務上講じなければならない措置として、「外部からの不正アクセス等の防止」が挙げられ、「個人データを取り扱う情報システムを外部からの不正アクセス又は不正ソフトウェアから保護する仕組みを導入し、適切に運用しなければならない」とされているとともに、「情報システムの使用に伴う漏えい等の防止」が挙げられ、「情報システムの使用に伴う個人データの漏えい等を防止するための措置を講じ、適切に運用しなければならない」とされています(個人情報の保護に関する法律についてのガイドライン(通則編)96頁)。
テレワークの際にはウェブ会議システムを利用することが多くなりますが、そのサービスを確認し、個人情報保護法上の安全管理措置として必要かつ適切な措置を講じることができるか十分に検討することが求められます。その検討の結果、安全管理措置義務上問題がある場合には、例えば、情報セキュリティ上の懸念のあるウェブ会議システムの利用の制限、ソフトウェアのバージョンアップの要請等の施策を講じることが考えられます。特に、近時、一部のウェブ会議システムにおいて、情報セキュリティ上の問題が指摘されているため、そのサービスを利用している企業においては、改めて安全管理措置義務上問題がないか検討すべきであると考えられます。
テレワークの個人情報保護法との関係での留意点は以上のとおりですが、現時点において、テレワークの情報セキュリティとの関係で、参考になる資料がいくつかありますので、適宜ご参照ください。
【参考】
総務省/テレワークセキュリティガイドライン第4版
https://www.soumu.go.jp/main_content/000545372.pdf
内閣サイバーセキュリティセンター(NISC)/テレワークを実施する際にセキュリティ上留意すべき点について
https://www.nisc.go.jp/active/general/pdf/telework20200414.pdf
内閣サイバーセキュリティセンター(NISC)/テレワーク実施者の方へ~あなたのセキュリティは大丈夫ですか?~
https://www.nisc.go.jp/security-site/telework/index.html
厚生労働省/テレワークではじめる働き方改革 テレワークの導入・運用ガイドブック
http://work-holiday.mhlw.go.jp/material/pdf/category7/01_01.pdf
以上
TMI総合法律事務所
弁護士 白石和泰
弁護士 村上諭志
弁護士 野呂悠登