非常時における企業の個人情報の取扱い

新型コロナウイルス感染症の拡大が本格化しつつあり、連日、感染者数の増加が報道されている。感染拡大を抑止するために、特に重要と考えられているのは、クラスターや感染経路の特定である。特に、感染経路等を調べようと思った場合、感染者がどこで誰と接触したのか等、個人に関する情報が必要である。

各省庁（内閣官房、総務省、厚生労働省、経済産業省）はクラスター対策の実効性の検証等を行い、感染拡大防止策の効果的な実施を可能とするために、プラットフォーム事業者・移動通信事業者等に対して新型コロナウイルス感染症の感染拡大防止に資するデータの提供を要請している（2020年3月31日付）。

ここで提供が要請されているデータはあくまでも統計データであり、個人を特定できる「個人情報（個人データ）」には当たらず、プラットフォーム事業者等が提供したとしても第三者提供をする際の本人の同意等は必要ないと考えられる（※１）。

ところで、一般の企業において従業員の中から新型コロナウイルス感染症の感染者が出た場合、企業は感染者の個人データをどのように取り扱えばいいのだろうか。

個人情報保護委員会は2020年4月2日に「新型コロナウイルス感染症の拡大防止を目的とした個人データの取扱いについて」（以下、「委員会文書」）を公表し、そのような場合における企業の対応を示している（※２）。

本来、企業は個人データの利用目的として「第三者への提供」という旨を特定・公表し、本人からの同意を得ない限り、個人データを第三者に提供することはできない。しかし、個人情報保護法では、例外として、国の機関等の法令の定める事務の遂行に事業者が協力する必要がある一定の場合や、人の生命等または財産の保護のために必要がある一定の場合には、利用目的外であっても、本人の同意を得ずに、個人データの第三者提供を可能としている。

委員会文書では、今般の新型コロナウイルス感染症の感染拡大防止に当たっては、この例外に該当するとしており、感染者である従業員の個人データについて、企業から政府等への第三者提供が認められると考えられる。また、委員会文書の別紙では、社員に感染者、濃厚接触者が出た場合に社内公表することも、第三者提供には当たらず本人同意がいらないとされている。加えて、社内感染者が接触したと考えられる取引先に、情報を提供する際も、取引先での2次感染防止や事業活動の継続のため、また公衆衛生の向上のため必要がある場合には、感染者本人の同意は必要ないとしている。

このように、非常時においては、個人データの取扱いが平時とは異なる場合があり、企業は従業員等の個人データを共有してもいいのかどうか等、適切な取扱い方に注意する必要があろう。特に、2020年内に成立が見込まれる個人情報保護法の改正法案では、法人への罰則の強化が盛り込まれている（※３）。非常時だからこそ、どのようにデータを扱えば法律に違反することなく、従業員や取引先への感染拡大を防ぐことができるのか、非常時の対応方法等について、検討を行うことが求められよう。

• （※１）「個人情報」と「統計情報」の違いや定義について、詳しくは拙著「今さら聞けない個人情報保護法のＱ＆Ａ①」（2018年8月27日、大和総研レポート）を参照。
• （※２）https://www.ppc.go.jp/news/careful_information/covid-19/
• （※３）2020年の個人情報保護法の改正について、詳しくは拙著「個人情報保護法の改正案が閣議決定」（2020年3月23日、大和総研レポート）を参照。

このコンテンツの著作権は、株式会社大和総研に帰属します。著作権法上、転載、翻案、翻訳、要約等は、大和総研の許諾が必要です。大和総研の許諾がない転載、翻案、翻訳、要約、および法令に従わない引用等は、違法行為です。著作権侵害等の行為には、法的手続きを行うこともあります。また、掲載されている執筆者の所属・肩書きは現時点のものとなります。