企業が、新型コロナウイルス感染拡大に伴い、コロナウイルス感染等に関する個人情報を取り扱う機会が増えています。そこで、個人情報保護法の観点から、個人情報をどのように取り扱う必要があるのかについてご説明いたします。
Q.1
当社の従業員が、先日、取引先の従業員と長時間にわたって商談をしたのですが、その後、その取引先の従業員の中から、新型コロナウイルスの感染者が出たとの噂を聞きました。当社としては、取引先の従業員と面談した当社従業員を今後いかに処遇すべきか検討するため、取引先の従業員が新型コロナウイルスに感染しているか否か等の情報を取得したいと考えておりますが、許されますか?
A.1
新型コロナウイルスに感染しているという情報や、PCR検査で陽性反応が出たという情報は、要配慮個人情報(個人情報保護法2条3項)に該当します。
したがって、これらの情報を取得する場合には、原則として、本人である取引先の従業員のあらかじめの同意を得ることを要することになります(個人情報保護法17条2項)。
この場合、原則として、これらの情報の取得の経緯などを確認し、その記録を作成・保存しなければなりません(個人情報保護法26条1項、3項、4項)。
但し、本人の同意を得ることが困難であり、かつ、①人の生命・身体の保護のために必要がある場合、または②公衆衛生の向上のために特に必要がある場合には、例外として、本人の同意なくして、要配慮個人情報を取得することができます(個人情報保護法17条2項2号・3号)。この場合、例外として、これらの情報の取得の経緯などを確認・記録義務については適用されません(個人情報保護法26条1項但書)。
したがって、本件においても、取引先の従業員が重症化し、本人の同意を得ることが困難である場合には、②に該当するものとして、当該従業員の同意を得ることなくして、当該従業員が新型コロナウイルスに感染しているという情報を取得することができると考えられます。
Q.2
Q1の例で、当社の従業員は健康なようなのですが、当社の従業員の家族が新型コロナウイルスに感染したという噂を耳にしました。当社は当該従業員から情報を取得して、当該従業員の処遇を決めたいと考えておりますが、どのような手続きを経れば良いでしょうか?
A.2
まず、従業員の家族が新型コロナウイルスに感染したという情報を取得するに際し、家族の内の誰が感染したかがわからない形で取得する場合であれば、要配慮個人情報に該当しないので、感染した家族本人の同意を得ることなく、情報を取得することは可能です。
これに対し、家族の内の誰が感染したかが特定できる形で情報を取得する場合には、当該感染した家族の要配慮個人情報に該当するので、原則として、感染した家族本人のあらかじめの同意を得ることが必要です。この場合、原則として、これらの情報の取得の経緯などを確認し、その記録を作成・保存しなければなりません。
但し、当該感染した家族が重症化し、本人から同意を得ることが困難であり、かつ、①人の生命、身体の保護のため必要がある場合、または、②公衆衛生の向上のために特に必要がある場合には、本人の同意なく、要配慮個人情報を取得することができます(個人情報保護法17条2項2号・3号)。この場合、例外として、これらの情報の取得の経緯などを確認・記録義務については適用されません。
したがって、本件においても、当該感染した家族が重症化し、本人の同意を得ることが困難である場合には、②に該当するものとして、感染した家族本人の同意を得ることなく情報を取得できると考えられます。
Q.3
当社従業員が新型コロナウイルスに感染していることが判明したので、当社としては、至急、当該従業員が関係していた取引先や顧客、出入りしていたビルの管理者や近隣のテナントに情報を提供しなければならないと考えています。当該従業員はすでに入院し隔離されているので、直ちには同意を得ることができません。どのように対応すれば良いでしょうか?
A.3
本件も、取引先や顧客、出入りしていたビルの管理者や、近隣のテナントの立場で考えると、Q1、Q2と同様に、新型コロナウイルスに感染しているという要配慮情報を取得するに際しては、原則として、本人である従業員の同意を得ることを要し、例外として、本人の同意を得ることが困難であり、かつ、①人の生命・身体の保護のために必要がある場合、または②公衆衛生の向上のために特に必要がある場合には、本人の同意なくして、要配慮個人情報を取得することができます。
また、取引先や顧客、出入りしていたビルの管理者や近隣のテナント等が、当該従業員が新型コロナウイルスに感染したという情報を個人データベースに入力して管理する場合には、個人データの第三者提供に関する規制を受けることになりますので、原則としてあらかじめの本人の同意が必要ということになります(個人情報保護法23条1項)。この場合、原則として、その記録を作成・保存しなければなりません(個人情報保護法25条1項、2項)。
但し、本人の同意を得ることが困難であり、かつ、①人の生命・身体の保護のために必要がある場合、または②公衆衛生の向上のために特に必要がある場合には、本人の同意なくして第三者に個人データを提供することができます。この場合、例外として、第三者提供に係る記録義務については適用されません(個人情報保護法25条1項但書)。
したがって、本件においても、当該従業員が重症化し、本人の同意を得ることが困難である場合には、②に該当するものとして、当該従業員の同意を得ることなくして当該情報を第三者に提供することができるものと考えられます。
Q.4
従業員が、新型コロナウイルスに感染したという情報やPCR検査で陽性反応がでたという情報を、当該従業員の同意なく、社内で公表することは許されますか?
A.4
Q3と同様に、当該従業員が新型コロナウイルスに感染したという内容やPCR検査で陽性反応がでたという内容の個人データを第三者に提供する場合には、原則としてあらかじめ当該従業員の同意を得る必要があります。
しかし、同一事業者内での個人データの提供は「第三者提供」に該当しませんので、当該会社が取得した個人データを社内で公表するにあたっては、当該従業員の同意を得る必要はないものと考えられます。
新型コロナウイルスに関して従業員の情報を取得する際には、直接かつ書面(メール等も書面に含まれます。)で個人情報を取得する場合には、原則として、あらかじめ当該従業員に対し、利用目的を明示しなければなりません(個人情報保護法18条2項)。また、あらかじめ本人の同意を得ないで、利用目的の達成に必要な範囲を超えて、個人情報を取り扱うことは許されません(個人情報保護法第16条1項)。
もっとも、当初の利用目的の達成に必要な範囲を超えていたとしても、本人の同意を得ることが困難であり、かつ、①人の生命・身体の保護のために必要がある場合、または②公衆衛生の向上のために特に必要がある場合には、本人の同意なくして第三者に個人データを提供することができます(個人情報保護法16条3項2号・3号)。
したがって、仮に社内での公表が当初の利用目的の達成に必要な範囲を超えていたときでも、当該従業員が重症化し当該従業員の同意を得ることが困難であり、社内での感染拡大防止のために必要がある場合には、②に該当するものとして、当該従業員の同意を得ることなくして、社内で公表することができるものと考えられます。
