コロナウイルス(Covid-19)とGDPR (29) 事業場と新型コロナウイルス(3)

前のエントリで、一般的なおさらいをしたところで個別の質問に移行します。
ここで、個別の質問というのは、既に紹介しているBird & Birdの質問を前提とします。
以下は、従業員等の健康情報と関係で問題になる事例といえるでしょう。なので、まず、健康情報のお勉強。
「事業場における労働者の健康情報等の取扱規程を策定するための手引取扱規程を策定するための手引き」 https://www.mhlw.go.jp/content/000497966.pdf
かでています。
基本的には、健康情報等については

  • 事業者が必ず取り扱わなければならない健康情報等
  • 労働者本人の同意を得ずに収集することが可能であるが、事業場ごとの取扱規程により事業者等の内部における適正な取扱いを定めて運用することが適当である健康情報等
  • 事業者が直接取り扱うことについて規定されていないため、あらかじめ労働者本人の同意を得ることが必要であり、事業場ごとの取扱規程により事業者等の内部における適正な取扱いを定めて運用することが必要である健康情報等

の3種があることは頭の片隅においておきましょう。

従業員/訪問者/ギグワーカー(以下、同じ)に症状があるかどうかを聞いてもいいのでしょうか?

というのが、質問になります。B&Bでは、これを従業員/訪問者/ギグワーカーの場合とにわけて聞いています。
もっとも、あまり違いはなさそうなので、便宜的に、以下、従業員についてまとめてみます。

イギリス

是。ICOは、従業員に症状があるかどうかを尋ねることは合理的であると述べています。データの最小化の原則が鍵となります – 必要以上の情報を収集せず、適切な保護措置を講じて処理することを確認してください。

フランス

否。CNILはそのガイドラインの中で、雇用主は、組織的かつ一般化された方法で、あるいは従業員やその親族に関する個別の要求やアンケートを介して、考えられる症状の検索に関連する情報を収集てはならないとしています。

ドイツ

是。DPAからの具体的なガイドラインはまだありません。しかし、従業員が特定のCOVID-19の症状を持っているかどうかを尋ねることは正当であると考えています(これはリストアップすることができます)。イエス/ノーの回答で十分である。
また、従業員の個人データは、感染が検出された場合(すなわち、従業員が陽性と判定された場合)や、感染が証明された人と接触した場合、またはリスクのある場所に滞在した場合にも、収集・取り扱われる可能性があります。

日本では、どうなの、ということになると、理屈としては、前にふれた雇用主の義務と個人の個人情報保護とのバランスということになるのかと思います。
この点について明確にふれたものはないのですが、「事業者・職場における新型インフルエンザ対策ガイドライン 」というドキュメントにおいては、

発熱などの症状のある人の入室を防ぐ方法を検討する。例えば、従業員や訪問者等の中に感染した可能性がある者が、直ぐに発見・報告される仕組みを構築する(例:従業員や訪問者等の体温測定等)。

という記述があります。なので、質問は、当然で、体温測定まで、特に、法の趣旨に反するものとまでは考えられていないというように認識します。

従業員等の旅行歴について尋ねることはできますか?

これも、各国をみていきましょう。

イギリス

ICOは、必要に応じて従業員から追加データを収集することは適切であるとしています。しかし、データの最小化の原則が重要であり、必要以上の情報を収集せず、適切な保護措置を講じて処理することを確認してください。

フランス

いいえ。雇用主は、従業員の私生活の範囲内での個人的な旅行に関する情報の開示を従業員に求めることはできませんが、出張を禁止することはできます。

ドイツ

はい、可能ですが、制限があります。DPAによると、雇用主は従業員に一般的な渡航歴を尋ねることはできません。ただし、ロバート・コッホ・インスティテュート(RKI)によって「リスク地域」に分類された地域に滞在していたかどうかは、雇用主が尋ねることができます。

となっています。同じGDPRのもとでも、お国柄がでているような気がします。
日本は、上と同様なので、パス。

従業員等の体温を測定することを義務づけることは可能ですか?
イギリス

厳密に必要であれば可能です。ICOガイダンスでは、従業員の体温を収集して記録することを禁止していません。しかし、これは厳密に必要な場合、すなわち代替手段(リモートワークなど)が不可能な場合にのみ考慮されるべきです。

フランス

否。厳格な禁止項目としてあげられています。

ドイツ

はい、可能ですが、制限があります。DPAからの具体的なガイドラインはまだありません。一般的な意見では、温度測定の結果が従業員の職場への出入りに関する意思決定にのみ使用される場合には、温度測定は認められるとされています。
このような判断はイエス/ノーの判断でなければならず、測定値自体を記録してはいけません。

これは、なかなか微妙な問題があるのですが、現実の問題としては、許容されるだろうというのが私の感覚でもありますね。
この点について、より広めの感じですが「従業員に対して、体温測定等により従業員またはその同居の家族に風邪症状がないかを把握するように促す」ということを認める解説があります(NBL1166 五三智仁)

従業員等の家庭に陽性者がいるか、もしくは症状を有している者があるかということについて質問することはできますか?
イギリス

はい、ICOは、必要に応じて、従業員からの追加データの収集は比例する可能性があると述べています。しかし、データ最小化の原則が鍵となります – 必要以上の情報を収集せず、適切なセーフガードで処理されることを確認してください。例えば、各世帯のメンバーに関する特定の症状に関する情報を収集しないことを推奨します。

フランス

いいえ。CNILはそのガイドラインの中で、雇用主は、可能性のある症状の検索に関連した情報を体系的かつ一般化した方法で収集することや、従業員やその親族に関する個別の要求やアンケートを介して収集することを控えなければならないとしています。

ドイツ

はい、ただし制限があります。DPAからの具体的なガイドラインはまだありません。ただし、考えられる症状についての一般的な質問は、関連性のある範囲でしか質問できません。

となります。

従業員等が、新型コロナウイルス感染症で陽性であると診断された場合、通知を求めることはできますか?

これは、さすがに、伝えなければならないというのは、どの国でも同一ですね。ただ、やっぱりフランスは、厳格ですね。

イギリス

はい、この健康データは、雇用および社会保護法の義務(すなわち健康と安全)を遵守するために、第9条(2)(b) GDPRおよび第1項、Sch.1 DPA 2018の下で、または公衆衛生の分野における公益上の理由から必要な場合には、第9条(2)(i) GDPRおよび第3項、Sch.1 DPA 2018の下で処理されます。

フランス

はい、できますが、制限があります。雇用主は、従業員に対して、会社または管轄の保健当局に、ウイルスへの曝露の可能性に関連して、従業員に関する情報を個別にフィードバックするように求めることができます。また、雇用主は従業員に産業医に連絡するように促すこともできます。
しかし、CNILのガイドラインによると、従業員が感染の可能性を雇用主に伝えた場合、雇用主は以下の情報のみを記録することができます。

ドイツ

雇用者と被雇用者の忠誠心と注意義務に基づき、被雇用者はコロナウイルスの感染の存在を雇用者に知らせる義務があります

これは、日本でも当然でしょうね。でも、法的根拠としては、どうなんでしょ。雇用主の義務を実現させるために信義則上、当然に求められるような根拠でしょうか。考えておきます。

オフィスが開いていても、従業員等に在宅勤務を要求することはできますか?

質問の作成時期とかで、ちょっと趣旨が異なっている感じですね。リモートワーク第一で、各国の回答でもそうなっていますね。
ということで、コロナウイルスとGDPRの洗い出しは、とりあえず一段落。

関連記事

  1. コロナウイルス(Covid-19)とGDPR (15) Trac…
  2. デジタル法務の実務Q&A 宣伝用ちらしです
  3. 「新型コロナ感染症対策におけるIT活用とプライバシー」というオン…
  4. コロナウイルス(Covid-19)とGDPR (25) その他の…
  5. コロナウイルス(Covid-19)とGDPR (1)
  6. SDGs対 DEET -自由な市場とInstitutional …
  7. コロナウイルス(Covid-19)とGDPR (28) 事業場と…
  8. コロナウイルス(Covid-19)とGDPR (6)-欧州委員会…
PAGE TOP