GDPR関連資格をとろう!Q&Aで学ぶGDPRとCookie規制(5) – 新型コロナウィルス対応とGDPR

 

現在、欧州でも新型コロナウィルスの感染が急拡大しており、EUの企業(日本の会社のEU子会社等も含む)が従業員の感染に関する情報を取り扱う機会が拡大しています。これに対し、欧州の個人データ保護監督機関等から、このような状況においてもGDPRを遵守する必要があること、および、これに関する注意点等が発表されています。

そこで、この第5回では予定を変更し、企業による新型コロナウィルス対応とGDPR について解説します。[1]

 

Q1:企業による新型コロナウィルス対応がGDPRと具体的にどう関係するのですか?

A1: 昨今、欧州でも新型コロナウィルスの感染が急拡大しており、このような状況において、EUの企業(日本の会社のEU域内の子会社等も含む)は、その従業員・役員(自宅待機・在宅勤務中を含む)、その家族、取引先従業員等の感染、感染高リスク国への渡航、発熱・体温等の確認・調査を行うことがあると思われます。この場合、企業は個人の健康に関する情報を含む個人データを取り扱うことになりますから、GDPRに定める「管理者」(個人データの処理の目的と方法を決定する者)(4(7))としての義務を遵守しなければなりません

【解 説】

感染の有無や体温に関するデータは、GDPR上の「特別カテゴリーの個人データ」(special categories of personal data) (9)に該当し、日本の個人情報保護法(「日本法」)上の「要配慮個人情報」(2(3))と同様、その取扱いについては、一般の個人データよりも厳格な規制を受けます。

 

Q2: 具体的にはどのような規制を受けるのですか?

A2: 「処理の適法性」の根拠の具備、「データ最小化」の義務、また、特定の従業員の感染事実を日本の親会社に知らせる場合には「域外移転」規制等の適用を受けます。

 

Q3: 「処理の適法性」とは何ですか? 新型コロナウィルス対応とどう関係しますか?

A3: GDPR上、個人データの取得・利用・保存・開示・移転その他全ての処理(「処理」)(processing)(4(2))には、それを適法に行うための根拠が必要とされます。これが「処理の適法性」(Lawfulness of processing)の根拠です。新型コロナウィルス対応に関連し個人データを取り扱う場合にもこの根拠が必要です。

【解 説】

日本法上は個人データの「取得」に関し、要配慮個人情報については原則として本人の同意が要求され(17(2))、その他の個人データについては「偽りその他不正の手段」による取得が禁止されています(17(1))が、取得後の取扱い一般については明文の規定はありません。

しかし、GDPRにおいては、企業(管理者)が行う全ての個人データの処理について限定列挙された処理の適法性の根拠が要求され(6, 9)、かつ、管理者は、その根拠があることを証明する(demonstrate)責任を負っています(24(1))。このことはGDPRの最重要の特徴の一つと言えます。

企業が処理の根拠とすることができる最も一般的なものとしては、データ主体の同意があります(6(1)(a), 9(2)(a))。

しかし、使用者・雇用主(管理者)が従業員(データ主体)の個人データを取得その他処理する場合は一般的には同意を根拠とすることはできないとされています。これは、GDPR上の同意は、データ主体から自由意志により与えられた(freely given)ものでなければならないとされており(4(11))、雇用主と従業員等の間では立場の不均衡(imbalance of power)があるため、一般的には、真に自由意志による同意は期待できないと解されている[2]からです。

従って、企業が従業員の個人データを取得その他処理するには、他の処理の適法性の根拠によらなければなりません

 

Q4: 当社のEU子会社でも従業員の感染の有無や体温のチェック等をしていますが、どんなことが処理の適法性の根拠になりますか?

A4: 感染の有無や体温に関するデータは、GDPR第9条の「特別カテゴリーの個人データ」に該当しますから、同条に限定列挙されている(同意以外の)いずれかの根拠によらなければなりません

【解 説】

GDPR第9条の「特別カテゴリーの個人データ」とは、原則としてその処理が禁止されている個人データを意味し、具体的には以下のいずれかを示す(reveal)個人データです(9(1)) (太字・下線は筆者。以下同じ)

【特別カテゴリーの個人データ】 人種(racial origin)/民族的出自(ethnic origin)/政治的意見(political opinions)/宗教(religious belief)/思想上の信念(philosophical belief)/労働組合加入(trade union membership)/遺伝データ(genetic data)または生体データ(biometric data)で個人識別目的のもの(for the purpose of uniquely identifying a natural person)/個人識別のための生体データ(biometric data)/健康(health)/性生活(sex life)/性的傾向(sexual orientation)

上記の通り、特別カテゴリーの個人データには健康(health)[状態]を示す個人データが含まれているので、従業員の感染の有無や体温は特別カテゴリーの個人データに該当します。従って、原則としてそれを尋ねまたはチェックすること(個人データの取得に該当)等は禁止されます。

しかし、第9条2項に特別カテゴリーの個人データを例外的に処理することができる場合が限定列挙されており、これらが特別カテゴリーの個人データの処理の適法性の根拠であると言えます。これらは、一般の個人データに関する適法性根拠(6)よりも厳格です。

以下に、新型コロナウィルス対応に関連して特別カテゴリーの個人データを処理する際に、主に、処理の適法性の根拠となり得る(本人の同意による以外の)場合を挙げます。

(a) 処理が、雇用、社会保障等(social security and social protection)に関する、EUまたは加盟国の法令上の、管理者等またはデータ主体の義務履行または権利行使に必要な場合(9(2)(b))

(b) データ主体による同意が物理的・法的にできない(physically or legally incapable of giving consent)[意識不明、幼児等]が、データ主体または他の者の命等に係る利益(vital interest)保護のため処理が必要な場合(9(2)(c))

(c) 処理が以下のいずれかの目的のために必要で、法令に基づきまたは職業上の守秘義務を負う専門家[例:医師・看護師]等に委託して行われる場合(9(2)(h))

– 疾病予防・産業医学(preventive or occupational medicine)/労働者の職務遂行能力評価 [疾病の有無を含む]/疾病の診断、医療・社会保障(social care or treatment)/医療・社会保障の制度・サービスの管理

(d) 処理が、公衆衛生(public health)上の重大脅威への対応等の公益のために必要な場合(9(2)(i))

公的機関については主に(d)に該当することが多いでしょう。これに対し、民間企業である管理者が一般的に処理の適法性の根拠とすることができる主な場合は、(a)の「雇用に関する管理者の義務の履行に必要な場合」でしょう。なぜなら、使用者には、通常、雇用環境における安全衛生を確保する義務[3]があるからです。例えば、企業が、社員に対し感染した場合またはその疑いがある場合にそれを会社に申告すべきこと、社内の会議出席予定者に発熱の有無を尋ねること、法令に従い自社感染者情報を公衆衛生当局に報告すること等は、この根拠に基づき適法に行うことができるでしょう。一方、フランスの監督機関であるCNILは、全社員一律の強制的検温や感染調査に否定的です[4]

状況によっては、(b)、(c)または(d)が処理の適法性の根拠になる場合もあるかもしれません。

 

Q5:ある従業員またはその家族が新型コロナウィルスに感染したことは他の者に知らせてよいですか?

A5: 場合によります。処理の適法性の根拠があることは勿論、データ最小化等の原則に従わなければなりません。

【解 説】

特定の個人が感染した事実またはその疑いに関する情報は特別カテゴリーの個人データですから、その個人を氏名等で特定した上で他の者に知らせる(個人データの「処理」)には、職場における安全衛生を確保するために必要であること等の処理の適法性の根拠が必要になります。従って、例えば、人事部の担当者が社員から申告された感染またはその疑いを社内の感染対策の責任者に報告すること、加盟国法令に従い公衆衛生当局に報告すること等はこの根拠に基づき可能でしょう

しかし、同時に、GDPR第5条に定める「個人データ処理に関する基本原則」の内、特に次の原則を遵守しなければなりません([ ]内は筆者による補足)

(a) データ最小化(data minimisation)[利用目的との関係における比例性(必要最小限性)]:  個人データは、処理目的との関係において、適切・妥当(adequate, relevant)かつ必要な(necessary)範囲に限定されなければならない(5(1)(c))。

(b) 完全性および秘密性(Integrity and confidentiality)[秘密保持・セキュリティーの確保]: 個人データは、無権限の(unauthorised)もしくは違法な(unlawful)処理および事故による(accidental) 紛失・滅失(loss)もしくはき損(damage) からの保護を含め、適切な技術的または組織的措置(appropriate technical or organisational measures)が講じられ、セキュリティーが適切に確保される方法で処理されなければならない(5(1)(f))。

(a)のデータ最小化(比例原則:proportionality)により、例えば、従業員から感染した旨の報告を受けた新型コロナウィルス対応担当の人事部員が担当外の人事部員にその従業員の名前を告げること等は禁止されます。要は、秘密情報の取扱いと同様、「知る必要」(“need to know”)のある者(日本の親会社についても)に限定して知らせなければなりません。

このデータ最小化の原則から、例えば、社内の新型コロナウィルス対策会議において、対策のためには、必ずしも個人の所属課や名前を特定する必要はなく、事業所(場所)、人数等の情報で足りる場合はこれらの情報に限定して報告しなければなりません。一方、感染者と濃厚に接触した可能性のある他の社員に対しては、当該他の社員の健康のために感染者名を明かさなければならない場面はあるでしょう

また、そもそも、個人データを取得することがないよう、例えば、社外からの訪問希望者には政府公表のガイダンス等を踏まえた判断を依頼すること等も考えられます。

(b)の完全性[5]および秘密性の原則は、GDPR第32条(処理のセキュリティー)に、より具体的に規定されており、個人データ(特に「特別カテゴリーの個人データ」)の秘密保持、および、秘密漏えい防止等のための技術的・組織的(社内規定・社内教育等)措置確保の原則です。感染事実は不用意に拡散すれば、その従業員に対する差別等につながる可能性がありますから、一層その取扱いに注意を要します。

 

Q6:新型コロナウィルス対応で、他に注意すべきことがありますか?

A6: はい。従業員向けのPrivacy Policy/Noticeおよび親会社等への個人データ移転に関する契約の記載内容の再確認が必要と思われます。

【解 説】

(1) 従業員向けのPrivacy Policy/Noticeの記載内容の再確認

GDPR上、管理者(ここでは使用者:会社)は、データ主体(ここでは従業員)の個人データの取得に際し、データ主体に所定の情報を提供すべきことが義務付けられています(13, 14)。この義務の履行は、通常、事前にPrivacy PolicyまたはPrivacy Noticeに同情報を記載することにより行われます。従業員向けの場合、関係する社内規定がこれに当たる場合もあるでしょう。このPrivacy Policy/Noticeに、インフルエンザその他感染症対策に関し個人データを取得・処理する場合があることと、その個人データの種類(カテゴリー)、処理目的、処理の適法性の根拠、開示先(親会社等を含む)等を包含し得る適切な記載があれば問題はないでしょう。記載がない場合または不十分である場合は何らかの方法(電子メールでも可と思われる)で情報提供する必要があります。

(2) 親会社等への個人データ移転に関する契約の記載内容の再確認

EU子会社の従業員・役員(例:幹部または日本の親会社からの出向者)の情報に関しては、EU子会社と日本親会社がGDPR第26条の共同管理者(joint controllers) (日本法上の共同利用者(23(5)三)に相当)の関係に立ち同条に基づく共同管理の取決め(arrangement)を行う必要性(またはその他個人データを両者間で適切に処理する必要性)から、標準契約条項(Standard Contractual Clause:SCC)その他必要な契約を締結していると思われます(日本がEUから十分性認定を受けた後でも同じ)。

この場合、例えば、SCCでは、その別紙に、インフルエンザその他感染症対策に関する個人データをEU子会社から日本親会社に開示する場合があることと、その個人データの種類(カテゴリー)、処理目的等を包含し得る適切な記載があれば問題はないでしょう。記載がない場合または不十分である場合は別紙またはSCCの追加締結の必要があります。

 

「GDPR関連資格をとろう!Q&Aで学ぶGDPRとCookie規制」第5回はここまでです。次回は、ePrivacy指令に関し主にそのCookie規制について解説します。

 

著者GDPR・Cookie規制関連本

GDPR関連資格CIPP/E準拠 詳説GDPR (上) – GDPRとCookie規制

GDPR関連資格CIPP/E準拠 詳説GDPR (下) – GDPRとCookie規制

[6]

                 .                  

【注】

[1] 【本稿の参考資料】 (1) 浅井敏雄 「GDPR関連資格CIPP/E準拠 詳説GDPR (上) – GDPRとCookie規制」 I-D, E, (2) 同「GDPR関連資格CIPP/E準拠 詳説GDPR (下) – GDPRとCookie規制」 II-J,  (3) ICO(英国の個人データ保護監督機関)”Data protection and coronavirus: what you need to know”  (4) EDPB(欧州データ保護会議)(EU各加盟国監督機関の組織) “Statement on the processing of personal data in the context of the COVID-19 outbreak.”(19 March 2020)

[2] 【従業員の同意の自由意志性】 WP29 “Guidelines on Consent under Regulation”(2018年4月10日)(「同意ガイドライン」) PPCによる和訳(英文併記) 3.11

[3] 【使用者の安全衛生確保義務】 日本の労働法上の「安全配慮義務」と同様のものです。日本では「労働契約」第5条に以下のように規定されています。「使用者は、労働契約に伴い、労働者がその生命、身体等の安全を確保しつつ労働することができるよう、必要な配慮をするものとする。」

[4] 【新型コロナウィルス対応に関するCNILの見解】 CNIL “Coronavirus (Covid-19): reminders from the CNIL on the collection of personal data” March 06, 2020、Stéphanie Faber “Recommendations by the CNIL in the Context of COVID-19” March 16, 2020, National Law Review

[5] 【「完全性」 (integrity)の意味】 英語の”integrity”という言葉はよく使われるが日本人には理解しにくい言葉である。実際、使われる場面・文脈により多義的である。しかし、データ一般について「完全性」 (integrity)と言う場合、通常、外部からの攻撃(ハッキング、サイバー攻撃等)、装置の障害、ソフトウェアのバグ等によりデータが改ざん等されることがないことを意味する。GDPR上もそのように解してよいであろう。

 

[6]

==========

【免責条項】

本コラムは筆者の経験にもとづく私見を含むものです。本コラムに関連し発生し得る一切の損害等について当社および筆者は責任を負いません。実際の業務においては、自己責任の下、必要に応じ適宜弁護士のアドバイスを仰ぐなどしてご対応ください。

(*) このシリーズでは、読者の皆さんの疑問・質問等も反映しながら解説して行こうと考えています。もし、そのような疑問・質問がありましたら、以下のメールアドレスまでお寄せ下さい。全て反映することを保証することはできませんが、筆者の知識と能力の範囲内で可能な限り反映しようと思います。

review「AT」theunilaw.com(「AT」の部分をアットマークに置き換えてください。)

 

 

【筆者プロフィール】

浅井 敏雄 (あさい としお)

企業法務関連の研究を行うUniLaw企業法務研究所代表

1978年東北大学法学部卒業。1978年から2017年8月まで複数の日本企業および外資系企業で法務・知的財産部門の責任者またはスタッフとして企業法務に従事。1998年弁理士試験合格(現在は非登録)。2003年Temple University Law School (東京校) Certificate of American Law Study取得。GBL研究所理事、国際取引法学会会員、IAPP (International Association of Privacy Professionals) 会員、CIPP/E (Certified Information Privacy Professional/Europe)

【発表論文・書籍一覧】

https://www.theunilaw2.com/

 

 

 

   

 

関連記事

More from my site

to top