とりあえず、コンタクトトレーシングを離れることにします。
私としても、自分の考え方を整理することができましたし、また、個人情報保護委員会から、「考え方」が出てきたりして、一応の論点は、明らかなったかと思います。
なので、本業的な論点(?)にもどるべき時期かと思います。
このシリーズでは、最初に、GDPRが、新型コロナウイルス対応をしなければならない日常の企業活動において、どのように解されるのか、をBird&Bird(B&Bといいます)などの報告書をみながらまとめていきましょうというのが本来の流れでした。
B&Bの報告書では、一般的な質問と回答としては、以下のような感じになります。イギリス、フランス、ドイツをまとめましょう。
まずは、| イギリス | |
| データ保護当局のガイダンス | https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2020/03/COVID-19-general-data-protection-advice-for-data-controllers/ |
| l 雇用主はどのような医療検査をどのような条件で実施することができますか? | 従業員をテストするための通常の原則が適用されます。 雇用主は、テストを実施する理由がなければなりません(実際には、安全衛生上の理由でのみ正当化される可能性が高いです)。 一般的に、検査の押しつけがましい性質を考えると、DPIAの実施が必要となる可能性が高いと考えられます。 |
| l 雇用主は、何らかの措置を講じる前に、労働協議会や労働組合に相談する必要がありますか? | 雇用者がそのような事項について労働協議会や労働組合と協議することに同意していない限り(英国では稀です)、協議は必要ありません。 ただし、解雇の提案が含まれている場合は別。 |
| l 雇用主は、感染していると診断されたスタッフの記録を残すことができますか? | はい。 特に、データの最小化と目的の限定が重要になります。 |
| l 雇用主は他のスタッフに通知することができますか? | はい。 一般的に、個人の身元を開示する必要はなく、必要以上の情報を提供すべきではありません。従業員には注意義務があり、従業員の健康と安全を確保す る義務があることに注意してください。ICOは、データ保護がこれらの義務の遵守を妨げるものではないと述べています。 |
| l 雇用主は、従業員が感染したことを顧客や訪問者に通知することはできますか? | はい、可能です。 モバイルワーカーを含む、顧客と接する役割を持つスタッフに関連する場合、必要に応じて顧客に通知することができます。特定の個人に関する情報を 開示する必要はないでしょう。 ただし、特定が不可能な場合は、公衆衛生の分野における公共の利益のために必要な理由がある場合には、健康関連の個人データの処理をGDPR第9 条(2)(i)およびDPA 2018の第3項、Sch.1 DPA2018に基づいて実施することができます。 特定の個人に関する情報が必要になることはほとんどありませんが、必要な場合には、データ保護法がこれを妨げることはありません。 |
| l 私は公衆衛生の目的のために当局と健康データを共有することができますか? | 特定の個人に関する情報が必要になることはほとんどありませんが、もし必要になったとしても、データ保護法がそれを妨げることはありません。 |
となっています。
フランス
| フランス | |
| データ保護当局のガイダンス |
https://www.cnil.fr/fr/coronavirus-COVID-19-les-rappels-de-la-cnil-sur-la-collecte-de-donnees-personnelles |
| 雇用主はどのような医療検査をどのような条件で実施することができますか? | 医学的検査は、使用者ではなく、産業医、または医療専門家によってのみ実施することができます。 |
| 雇用主は、何らかの措置を講じる前に、労働協議会や労働組合に相談する必要がありますか? | 従業員数が 50人を超える企業では、会社の組織、経営、一般的な運営、特に労働時間や雇用条件、業務、職業訓練、安全衛生や労働条件を変更するような重大な進展があった場合には、CSE(社会経済委員会) に情報を提供し、相談に乗らなければならない。 |
| 雇用主は、感染していると診断されたスタッフの記録を残すことができますか? | はい、しかし制限があります。従業員が雇用主に自分の状態を報告した場合、雇用主は以下のことを記録することしかできません。- 感染したと疑われる人の日付と身元 – 組織的な措置(封じ込め、遠隔勤務、産業医との接触の事実)。 |
| 雇用主は他のスタッフに通知することができますか? | はい、可能ですが、制限があります。影響を受けたスタッフの身元は秘密にしなければなりません。雇用者は、問題がその注意にもたらされた後、従業員の健康状態に関して配慮すべき義務を持っています。 |
| 雇用主は、従業員が感染したことを顧客や訪問者に通知することはできますか? | はい、可能ですが、制限があります。感染したスタッフの身元は秘密にしなければなりません。雇用主は、問題が注意を喚起された後の従業員の健康状態について、配慮すべき義務があります。 |
| 私は公衆衛生の目的のために当局と健康データを共有することができますか? | 雇用者は、要求に応じて、上記の記録された情報を保健当局に伝達します。 |
ドイツ
| ドイツ | |
| データ保護当局のガイダンス | https://www.bfdi.bund.de/DE/Datenschutz/Themen/Gesundheit_Soziales/GesundheitSozialesArtikel/Datenschutz-in-Corona-Pandemie.html?nn=5217154 |
| 雇用主はどのような医療検査をどのような条件で実施することができますか? | DPAからの具体的なガイドラインはまだありません。関連する質問をしたり、体温を測定したりすることは、そのデータが職場に出入りする個人についての意思決定にのみ使用される場合には、認められると考えられます。そのような決定はイエス/ノーの決定でなければならず、測定値自体は保存されるべきではありません。これはケースバイケースで慎重に検討する必要がある。 |
| 雇用主は、何らかの措置を講じる前に、労働協議会や労働組合に相談する必要がありますか? | はい、しかし、タイミングを考慮してください。DPAからの具体的なガイドラインはまだありません。 |
| 雇用主は、感染していると診断されたスタッフの記録を残すことができますか? | 特に、データの最小化と目的の限定が重要になります。 |
| l 雇用主は他のスタッフに通知することができますか? l |
はい。DPAによると、雇用主は、明らかに感染している者、または感染の疑いがある者の個人情報(身元情報)を、従業員間のウイルスの拡散を防止または抑制するために必要な場合に限り、従業員と接触した他の者に開示することができます。これはグレーゾーンであり、今後数週間のうちに当局がより寛容になる可能性があることを認識しています。 |
| 雇用主は、従業員が感染したことを顧客や訪問者に通知することはできますか? l |
はい、できますが、制限があります。DPAsによると、雇用主は、明らかに感染している者、または感染の疑いがある者の個人情報(身元情報)を、従業員間でのウイルスの拡散を防止または抑制するために必要な場合に限り、従業員と接触した他の個人に開示することができるとされています。 これはグレーゾーンであり、今後数週間のうちに当局がより寛容になる可能性があることを認識しています。 |
| 私は公衆衛生の目的のために当局と健康データを共有することができますか? | これはケースバイケースで評価されなければなりません。地元の保健当局に通知する(法的)義務がある場合は、雇用者はそうすることができます。当局が情報を要求する場合、企業はこれらの要求を満たすことができますが、以下のいずれかの処理を確実にしなければなりません。 |
では、上の質問について、日本だとするとどうなるのでしょうか。
まず日本においては、個人情報保護委員会が、「新型コロナウイルス感染症の感染拡大防止を目的とした 個人データの取扱について 」というガイダンスを公表しています。
このガイダンスの内容は、
保有する個人データについて、原則として、本人に通知等している利用目的とは異なる目的で利用し、又は、本人の同意なく第三者に提供することは禁じられています。しかしながら、以下に該当する場合には、例外として、本人の同意を得ることなく、目的外利用や第三者への提供が許され、今般の新型コロナウイルス感染症の感染拡大防止に当たっては、これらの例外の適用も含めて対応することが可能です。
として、国の機関等からの情報提供の要請のある場合や、人の生命、身体又は財産の保護のために必要がある場合や、公衆衛生の向上のために特に必要がある場合であって、本人の同意を得ることが困難である場合に第三者提供の禁止の例外があることを示しています。
さらにQ&Aが公開されていて、参考になります。
社員に新型コロナウイルス感染者と濃厚接触者が出た。社内公表する場
合の注意点は何か。
という質問に対して同一事業者内においては、第三者提供に該当しないという解釈が示されています。
また、
仮にそれが当初特定した利用目的の範囲を超えていたとしても、当該
事業者内での2次感染防止や事業活動の継続のために必要がある場合には、本人の同意を得る必要はありません。
とされていて、公衆衛生のためには、第三者提供の例外となるとされています(なお、本人の同意を得ることが困難であるときという要件との関係は不明です-すごく柔軟に解されているみたいです)
また、質問2では
社員が新型コロナウイルスに感染し、当該社員が接触したと考えられる
取引先にその旨情報提供することを考えている。社員本人の同意を取る
ことが困難なのだが、提供することはできるか。
という質問に対して、
取引先での2次感染防止や事業活動の継続のため、また公衆衛生の向上のため必要がある場合には、本人の同意は必要ありません。
とされています。本人が同意しない場合でも、大丈夫そうですね。
では、B&Bの質問に対しては、どうか、というと
労働安全衛生法 22条で
第二十二条 事業者は、次の健康障害を防止するため必要な措置を講じなければならない。
一 原材料、ガス、蒸気、粉じん、酸素欠乏空気、病原体等による健康障害
となっています。あと、
公立学校の教員に関し、学校保健法に基づく健康診断が教職員の保健のみならず児童生徒の保健にも大きな影響を与えること、その一内容である結核予防法(2007 年廃止)によるエックス線検査が教職員個人の保護に加えて学校における結核の防衛をも目的としていることを根拠に、同法(7 条 1 項)および労働安全衛生法(66 条 5 項)上の同検査の受診義務を認め、学校長がその受診を職務上の命令として命じうると判断した判例がある(愛知県教委事件-最一小判平 13・4・26 労判 804 号 15 頁)。
というのも参考になりますね。
ということで、すべてYesという回答でいいように思います。ただし、検査については、理論的に可であっても、実際に何をするのかという問題はありますが。
