見出し画像

従業員が新型コロナウイルス感染症に感染した場合の個人情報の取り扱い

[1]企業が従業員の感染に関する情報を取得すること→原則本人の同意が必要

従業員が新型コロナウイルス感染症に感染した場合、企業が従業員の感染に関する情報を取得することは個人情報保護法との関係で問題ないのでしょうか。

まず、感染の事実、PCR検査の陽性の結果、病状に関する情報は、「本人の病歴」や「健康診断等の結果に基づき、又は疾病を理由として、本人に対して医師等により心身の状態の改善のための診療又は調剤が行われたことを内容とする記述」が含まれるものであり、不当な差別、偏見その他の不利益が生じないように取扱いに配慮を要する情報(要配慮個人情報)です(個人情報保護法2条3項、同施行令2条3号)。

個人情報の保護に関する法律
(定義)
第二条
3 この法律において「要配慮個人情報」とは、本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める記述等が含まれる個人情報をいう。
個人情報の保護に関する法律施行令
(要配慮個人情報)
第二条 法第二条第三項の政令で定める記述等は、次に掲げる事項のいずれかを内容とする記述等(本人の病歴又は犯罪の経歴に該当するものを除く。)とする。
三 健康診断等の結果に基づき、又は疾病、負傷その他の心身の変化を理由として、本人に対して医師等により心身の状態の改善のための指導又は診療若しくは調剤が行われたこと。

要配慮個人情報を取得する場合は、原則として、あらかじめ本人の同意を得る必要があります(個人情報保護法17条2項)。

したがって、感染の事実、PCR検査の陽性の結果、病状に関する情報を取得する場合は本人の同意が原則必要となります。

ただし、「人の生命、身体の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき」や「公衆衛生の向上ために特に必要がある場合であって、本人の同意を得ることが困難であるとき」に当たるとして、本人の同意がなくても情報を取得できる場合があります。

例えば、本人の病状や体調が悪化している場合が考えられます。

個人情報の保護に関する法律
(適正な取得)
第十七条 
2 個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、要配慮個人情報を取得してはならない。
二 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
三 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。

[2]従業員の感染情報を社内公表すること→許される(が、本人の同意を得ない場合はプライバシー侵害に当たらないか注意)

個人情報を取り扱う場合、利用目的をできる限り特定する必要があります(15条)。そして、取得した個人情報を、特定した利用目的の達成に必要な範囲を超えて利用する場合は、あらかじめ本人の同意を得なければなりません(16条1項)。

ただし、「人の生命、身体の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき」や「公衆衛生の向上ために特に必要がある場合であって、本人の同意を得ることが困難であるとき」に当たる場合は、本人の同意がなくても、取得した個人情報を、特定した利用目的の達成に必要な範囲を超えて利用することができます(16条3項2号、3号)。

ですから、従業員の感染情報も、「人の生命、身体の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき」や「公衆衛生の向上ために特に必要がある場合であって、本人の同意を得ることが困難であるとき」に当たるとして、本人の同意なく目的外利用できることになります。

個人情報の保護に関する法律
(利用目的の特定)
第十五条 個人情報取扱事業者は、個人情報を取り扱うに当たっては、その利用の目的(以下「利用目的」という。)をできる限り特定しなければならない。
(利用目的による制限)
第十六条 個人情報取扱事業者は、あらかじめ本人の同意を得ないで、前条の規定により特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはならない。
3 前二項の規定は、次に掲げる場合については、適用しない。
二 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
三 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。

個人情報保護委員会も、このような事案に関する質問に対し、次のように回答しています。

ご指摘のケースについて、同一事業者内での個人データの提供は「第三者提
供」に該当しないため、社内で個人データを共有する場合には、本人の同意は必要ありません。
また、仮にそれが当初特定した利用目的の範囲を超えていたとしても、当該 事業者内での2次感染防止や事業活動の継続のために必要がある場合には、本人の同意を得る必要はありません。

ただし、本人の同意なく公表する場合は、個人情報保護法とは別に、感染した個人に対するプライバシーの侵害に当たらないかを吟味する必要があります。

過去の裁判例には、利用目的を超えてHIV感染の検査結果を職員間で共有したことが不法行為に当たるとしたものがあります。

これは、HIV感染症に罹患しているという情報は、他人に知られたくない個人情報であるため、この情報を本人の同意を得ないまま目的外利用した場合には、特段の事由がない限り、プライバシー侵害の不法行為が成立する、と判断したものです(福岡地裁久留米支部平成26年8月8日判決、福岡高裁平成27年1月29日判決)。

[3]取引先に情報提供すること→許される

「個人データ」を第三者に提供する場合、原則としてあらかじめ本人の同意が必要です(23条)。

ここで、個人情報保護法では、個人情報をデータベース化したり、検索可能な状態にしたものを「個人情報データベース等」といい、「個人情報データベース等」を構成する情報が「個人データ」と定義しています。

従業員の感染情報を個人情報データベース等に入力せず個別に管理している場合、この情報は「個人情報データベース等」を構成する情報ではありませんから、「個人データ」に該当しません。ですから、この場合は、従業員の感染情報は「個人データ」には当たらず、23条の第三者提供の規制は適用されません。

かりに、従業員の感染情報を個人情報データベース等に入力している場合、この情報は「個人情報データベース等」を構成する情報であり、「個人データ」に該当します。

ただし、「人の生命、身体の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき」や「公衆衛生の向上ために特に必要がある場合であって、本人の同意を得ることが困難であるとき」に当たる場合は、本人の同意がなくても、個人データを第三者に提供することができます(23条2号、3号)

かりに、従業員の感染情報を個人情報データベース等に入力している場合であっても、「人の生命、身体の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき」や「公衆衛生の向上ために特に必要がある場合であって、本人の同意を得ることが困難であるとき」に当たるとして、本人の同意がなくても、個人データを第三者に提供することができます。

個人情報の保護に関する法律
(第三者提供の制限)
第二十三条 個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。
二 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
三 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。

個人情報保護委員会も、このような事案に関する質問に対し、次のように回答しています。

当該社員の個人データを取引先に提供する場合、仮にそれが当初特定した利
用目的の範囲を超えていたとしても、取引先での2次感染防止や事業活動の継続のため、また公衆衛生の向上のため必要がある場合には、本人の同意は必要ありません。

さて、岐阜県は特定警戒都道府県となっていますが、新規の感染者数が10日間でわずか1名となっており、累計の感染者数は、特定警戒都道府県ではない富山県、茨城県、広島県を下回っています。

それでも、感染拡大の懸念が完全に払拭されたわけではありませんから、引き続き警戒をしていく必要があるでしょう。

今後も新型コロナウイルス感染症に関する法的問題について情報提供していきます。

この記事が気に入ったらサポートをしてみませんか?