2020.10.19

会社から感染したら教えろと言われたけど言わなくてOK？

新型コロナウイルスの感染者が日々増えていく中で、会社から「もし、新型コロナウイルスに感染してしまったら、すぐに会社に報告しなさい」と言われている人も多いのではないかと思います。 当事務所にもお客様から 「従業員に病気の情報等を聞くことは問題ないか」 「会社から教えろ！と言われたが個人情報保護の観点で問題ないか」 「従業員から聞いた情報は行政に伝える義務があるのか」 など相談をいただきます。 今回は会社が従業員から新型コロナウイルス感染した有無や病気に関することを聞くことが問題ないことかについて触れて行きたいと思います。   【感染した事実はどんな情報？】 個人情報保護法上で新型コロナウイルスに感染した事実はどんな情報にあたるかと言うと、「要配慮個人情報」という分類にあたります。 要配慮個人情報に関する詳細の説明は別のブログで説明してるのでそちらをご覧ください。 要配慮個人情報とは・・ 病気にかかった事実はこの要配慮個人情報に該当するため、会社は基本的に取得してはいけない個人情報となってきます。   【会社は何を根拠に聞くべきか】 では、会社は個人情報保護の観点で、新型コロナウイルスに感染した事実などを聞くことはダメなのでしょうか。 個人情報保護法の17条2項では下記のように定められています。 個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、要配慮個人情報を取得してはならない。 一　法令に基づく場合 二　人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。 三　公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。 四　国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。 五　当該要配慮個人情報が、本人、国の機関、地方公共団体、第七十六条第一項各号に掲げる者その他個人情報保護委員会規則で定める者により公開されている場合 六　その他前各号に掲げる場合に準ずるものとして政令で定める場合 ※個人情報保護法17条2項から引用 1号～5号が適用出来れば、同意を得ることもなく要配慮個人情報を取得することが可能になりますが、本人の同意を得ることが困難な状況とは言い難いため本人の同意を得て会社としては状況を把握することになります。 実際、インフルエンザにかかって出勤が禁止の判断を下すにしても、本人からの申告があってのことだと思いますので、会社としては蔓延しないように周知や従業員の方々が報連相しやすい状況を作っておくことが重要と言えます。     【従業員は感染を言う義務があるのか】 3つ目に従業員の方々は新型コロナウイルスに感染してしまった場合に会社に報告する義務があるかですが、上記でも触れた通り、会社としては情報を強制的に引き出すことが出来ない関係上、義務があるとは言い難いと言えます。 感染したことに気づかない、風邪をひいてはいるが検査を受けていないので判断がつかない。などの事情もあるかと思います。 別の法律から見た場合に感染症法では第4条の国民の責務の中でこういったことを定めています。 「国民は、感染症に関する正しい知識を持ち、その予防に必要な注意を払うよう努める」 ※感染症の予防及び感染症の患者に対する医療に関する法律4条から一部抜粋 努力義務にはなりますが、予防に必要な注意を払う意味では会社や関係各所等と連携して予防に努めるべきでもあると言えるでしょう。 会社としても新型コロナウイルスで様々な面で打撃をうけていることだと思います。 これ以上の拡大防止をしっかり行い、会社の事業活動を止めないようにしなければならないと思います。  

2020.10.19

会社で撮影した写真は好きに使って大丈夫？

会社のイベント事や従業員紹介などで写真を撮影する会社は多いかと思います。 皆さんの会社でも写真を撮影して、会社のHPや会報誌などに掲載することも多いのではないのでしょうか。 その時に写っている従業員の写真の取扱いについて、個人情報保護としてどうすべきなんだろ？考えたことのある人も多いのではないでしょうか。   【写真に写った情報は誰のもの】 まず、写真に写った画像ですがこれはれっきとした個人情報になります。 名前が書かれていなくても、顔がハッキリ写っていればそれだけで個人情報になります。 その上で、写った画像が個人情報となる場合はその情報は写った本人のものになります。 物理的な写真の所有権は撮影者(会社)になりますが、中身の情報は会社のものになるとは限らないと考えてください。 よく、会社のものだから会社がどう扱おうが勝手だ！と仰る方もいますが、個人情報に該当する以上、勝手に扱いすぎると個人情報保護法違反となる可能性があります。 また、勝手にどこかに公開したりすると、肖像権の侵害。として訴えられる可能性もあるので注意が必要です。   【ホームページ等で公開するときはどうすべきか】 では、撮影した写真を会社のホームページなどに掲載したい場合はどうすべきなのでしょうか・・・ 個人情報保護法と照らし合わせていくと下記のようなことが必要となってきます。 「ホームページなどに掲載することを通知などして本人に知らせる」 個人情報保護法18条では「あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を、本人に通知し、又は公表しなければならない。」と定められています。 ※個人情報保護法18条から一部抜粋 つまり、今回撮影する写真について会社として何のために使うのかをきちんと説明したり、どこかに掲示することが必要です。 会社のイベントなどで撮影する時には「撮影する写真は会社のホームページとかにアップします。嫌な人は言ってくださいね」みたいな形でアナウンスしておくことが望ましいと言えるでしょう。     【辞めた人の情報はどうすべきか】 会社を退職した人の写真ですが、どうすべきでしょうか・・・ 個人情報保護法上では退職者の情報をすぐにすべて削除するような条文はありません。 ですので、基本的には退職者の個人情報を持っている期間中は写真も引き続き掲載していて問題ないものと判断できます。 ただ。退職時に確認しておくことが本人に対して親切な対応になると思いますし、もし退職後に削除要望等があれば対応はすべきではあると判断できます。 個人情報保護法上、開示等の対応の中で削除の要求を出すことも出来ますので、要求があった場合は仮に手順を則っていない場合があっても柔軟な対応が望ましいと考えられます。   皆さんの会社でも何気に扱っているものも、この時代では問題になる可能性もあります。 勝手すぎる対応は法律違反になってしまう可能性もあるので、専門家のサポートが必要と言えます。 お問い合わせはこちら  

2020.10.19

警察からの個人情報に関する照会が来た！どうしたら良いの？

会社にいきなり、警察署から個人情報の照会がくると皆さんドキッとくるのでないでしょうか。 警察だから言われるがままに答えてしまう。それとも個人情報保護の観点から一切回答しない。 どちらの対応が良いのでしょうか。 なかなか判断がつかないのではないかと思います。 今回は警察から照会を受けた場合どうすべきかについて触れてみたいと思います。   【個人情報保護法上の対応】 個人情報保護法では16条にて目的外の個人情報の利用の制限、23条にて同意のない第三者への提供の禁止をうたっています。 警察など捜査機関からの個人情報の照会に対する回答は「目的外の利用における第三者提供」に該当すると言えます。 ただし、捜査機関からの照会が刑事訴訟法197条2項に基づくものであれば、個人情報保護法の16条や23上のただし書きの「法令に基づく場合」が適用でき、外部への第三者提供が可能になります。     【実務上のステップ】 では、実務上どのように対応すべきなのでしょうか。 ・ステップ1：根拠となる法令等を確認する まずは警察がどのような法令に基づいて照会をかけてきているのか確認しましょう。 主な法令等としては刑事訴訟法197条2項を根拠にした照会と同法507条を根拠にしたものなります。 これらを根拠法とした場合は個人情報保護法上も「法令に基づく場合」のただし書きが適用でき、第三者提供を適法に行うことができます。 ・ステップ2：照会の趣旨等を確認する 照会があった場合、照会文書がおそらく届くかと思います。 そこに記載のある担当者の方に連絡を取り、可能な範囲で照会の趣旨、目的など個人情報の提供に必要なことを確認してください。 ・ステップ3：必要な範囲で回答を行う 照会趣旨などを確認した上で捜査機関に回答することになりますが、その際には必要な範囲の情報の提供に留めましょう。 保有している個人情報によってはセンシティブ情報や要配慮個人情報を持っていることもあり、それら含めて照会に入っていない情報を提供すると不当に本人の権利利益を侵害してしまう可能性があります。 ですので、照会趣旨を満たすことができる範囲での回答をすべきであると考えられます。   【最後に】 捜査機関などから照会があった場合、どのように対応したか社内で対応記録をしっかり残しておくことをお勧めします。 そうすることでもし再度どうような照会があった場合の対応指針となりますし、個人情報を外部に提供等をした履歴としても残すことが可能になります。 個人情報の取扱いはシビアになってきている状況でもあるので、しっかりと法令や実務を把握した上で専門家のサポートを得ることが大事と言えます。  

2020.10.19

個人情報が漏えいした時に意識しなければならないこと

緊急事態と聞いて皆さんどんなイメージをしますか？端的に「ヤバいことが起きた」などのイメージあるかと思います。 プライバシーマーク(以下、Pマーク)でも緊急事態というのは個人情報が外部に漏えいしちゃった、もしくはしちゃったかもしれない。みたいな形で「ヤバいことが起きた」を指しています。 今回はそんな個人情報が外部に漏れた！みたいな「ヤバいことが起きた」際にどんなことをやらなければならない。のかを勉強していきます。   【最初にすべきこと】 まず個人情報の漏えいが起きてしまった場合にやらなければならないことはどんなことかと言うと、事故・事件現場から偉い人への報告です。 事故の場合、発見者が当事者かもしれないですが、すぐに上司や個人情報保護管理者に報告しなければなりません。 よくご自身で事実確認をしたり、紛失などであれば数日探すなどありますが、まずは報告です！ 報告した上でヒヤリハットであったり、紛失したものが見つかればそれで事無きを得ることになりますが、報告が遅れてしまうと被害が大きなったり、上司から「なぜすぐに報告しなかった」となってしまいます。 会社としてもそういった報告などがやり易い環境を作ることも重要ですね。   【事態の公表等】 次に必要になってくるのが起きてしまった内容等の公表です。 インターネットが発展したこの時代では会社のHPに第一報を載せたりするのが、主な手段になるかと思います。 公表の際にも事実確認を入念にしたり、不利益なことだから公表などは一切しない。など判断をする可能性もありますが、公表が遅くなると「なぜ今になって公表？隠してたの？」になりますし、社内から外に隠した事実が漏れてしまうと所謂「炎上」となり、さらに面倒なことになる可能性もあります。 ですので、ここでも迅速な対応が求められてくるわけです。 仮に受託などで預かっている個人情報の漏えい等したのであれば、委託元への報告は必ず行わなければいけません。(これが漏れていると契約問題以前の話になってしまいます・・・) また、事件の進捗なども適宜公表・報告することも重要です。   【被害の防止】 平行してすべきことは被害の拡大防止です。 紛失であれば、紛失したものを探す。メールの誤送信であれば誤送信先にそのメール内容の削除をしてもらう。などなど、起きてしまった個人情報の漏えい等の事故・事件の内容でやるべきことが変わってきますが、放置プレイをしていると二次被害が起きてしまって、さらになるクレームを生むことになってしまうので、しっかりとした対応がここでは求められます。   【再発防止】 被害の防止や事故・事件の全貌が見えてくれば、次に必要なのは再発防止です。 同じ事故・事件を何度も起こしてはダメなので、ちゃんとなぜこんなことが起きたのか「原因」をしっかり考える必要があります。 原因を潰さず再発防止は叶いません！ 事実確認→原因追及→再発防止策の検討→再発防止の実施→ちゃんと実施出来ているかの確認 この流れが必要です。 内容はケースバイケースですが、流れはすべて一緒です。 例を挙げると ①事故内容：クリアデスクが出来ておらず机の上にあった書類を紛失してしまった。 ②原因：書類を保管するキャビネットが少なく、キャビネットが満杯で机に放置したままになっていた。 ③再発防止策：追加でキャビネットを購入する・ ④実施：キャビネットを購入して、設置した。 ⑤実施後の確認：キャビネットに書類がちゃんと仕舞われ、机の上に放置されることがなくなった。   【関係各所への報告】 最後に関係する役所などへの報告です。 まず、Pマークを持っている場合は必ず審査機関に報告しなければなりません。 最終的に何か処分が下されることになりますが、報告していなければさらに厳しい罰があるかもしれませんので必ず報告しましょう。 それ以外には個人情報保護委員会や監督官庁に報告が必要です。 Pマークをもっている場合、これらは審査機関・Pマークの認証機関が行ってくれるケースもありますが、個人情報保護委員会への報告は個人情報保護法の要求にもなるので、漏れないようにしなければなりません。 こういった緊急事態が起きるとみんなテンパってしまうため、実施漏れなどが起きてしまい、二次被害などにつながる可能性もあります。 専門家のサポートが必要でもあるので、相談先を確保しておくことをお勧めします。

2020.10.19

個人情報の利用目的ってどんな感じにすべきなの？

皆さんの会社にある個人情報について、「なぜこの個人情報を持っているんですか？」と聞かれて答えれない個人情報があったりしませんか？ 実は会社が個人情報を持つ上ではちゃんと利用目的を定めておく必要があります。 履歴書の個人情報は採用選考や入社後の従業員管理のためです。みたいな感じです。 今回は個人情報を取得・管理する際の個人情報の利用目的について触れていきたいと思います。   【利用目的ってなに？】 利用目的ってなんですか？とたまに質問をもらいますが、言葉の通りで個人情報を利用する目的です。 個人情報をなぜ取得するのか。何のために使っているのか。みたいな感じですね。 皆さんの会社にある個人情報をイメージしてもらい、「何のために使っているのか」を想像してみてください。 イメージできるはずです。それは普段から仕事で個人情報を使っているので、その仕事内容が浮かんでいるのではないでしょうか。 ・採用選考のため・・・ ・メルマガ配信のため・・・ ・商品の発送のため・・・ などなど仕事内容によって様々です。 逆に会社にある個人情報で「何のために使っているのか」などが全くイメージ出来ないものがあった際には注意が必要です！！   【なぜ利用目的の特定が必要？】 なぜ個人情報の利用目的の特定が必要かと言うと端的に言うと個人情報保護法の中で求められているからです。個人情報保護法の中では15条で「個人情報取扱事業者は、個人情報を取り扱うに当たっては、その利用の目的（以下「利用目的」という。）をできる限り特定しなければならない」と定めています。(個人情報保護に関する法律から抜粋) 「できる限り」となっていますが、利用目的を定めておく必要があるわけです。 また、プライバシーマーク(以下、Pマーク)では要求事項のA3.4.2.1でも似たような記述となっています。 現地審査においては「できる限り」の文言は無視され、利用目的を特定しなければならない。取られているため、利用目的の定めていない個人情報があれば、指摘事項として特定しろ！と言われてしまいますが・・・   【NGな利用目的ってあるの？】 では、その利用目的について、NGな利用目的などはあるのでしょうか。 結論としてはNGな記述はありません。 ただ、「可能な限り具体的」である必要があるので、「マーケティングのため」などざっくり過ぎる内容の場合はもっと具体的に例えば「年齢別の購入層を調査するマーケティングのため」など定める必要があります。 後、もちろんですが、コンプライアンス的にアウトな利用目的も注意が必要です。 例えば、「名簿業者に販売するため」なんかの利用目的だと具体的に定めているのでしょうが、コンプライアンスを考えるとNGとなってしまうように感じます・・・ このように利用目的1つにしてもある程度明確にしておかなければなりません。 また、Pマークを取得する上では必ず利用目的を定めて個人情報管理台帳に明記する必要もあります。 どうすべきか分からない方々はぜひクリアス法務事務所までご相談ください。

2020.10.19

個人情報保護に関する法令ってどんなものがあるの？

プライバシーマーク(以下、Pマーク)の取り組みを行う上で欠かせないのが、自社の個人情報の取り扱いに関わる法令の特定・維持です。 ご存知の通り、Pマークは取り組みの大元として「個人情報保護法」があります。 所謂、コンプライアンスが求められているわけです。 ただ、取り組む上では「個人情報保護法」だけを関連法令とするだけではNGで会社・業界など様々な関連する様々な法令を認識しておく必要があります。   【特定すべき法令】 では、どのような法令を特定する必要があるのでしょうか。 端的に分類すると下記のようなイメージになります。 個人情報保護に関わる法令・ガイドライン 情報管理、規制に関わる法令・ガイドライン 自社の業務に関わる法令・ガイドライン 大体はこのような分類に分かれてきます。   【個人情報保護に関わる法令・ガイドライン】 では「個人情報保護に関わる法令・ガイドライン」とはどのようなものなのでしょうか。 代表的なものは「個人情報保護法」になります。 これ以外にも個人情報保護委員会が発布しているようなガイドラインなどが対象になってきます。   【情報管理、規制に関わる法令・ガイドライン】 次に「情報管理、規制に関わる法令・ガイドライン」ですが、代表的なものとしては「不正アクセス禁止法」があります。 これは個人情報や機密情報などに対して不正なアクセスをさせないようにするための法律になり、Pマークの取り組み上は認識すべき重要な法令の1つになります。 自社の業務に関わる法令・ガイドライン 3つ目の「自社の業務に関わる法令・ガイドライン」ですが、これは様々あります。 例えば、社会保険労務士の事務所がPのマークを取得したい場合、社会保険労務士法を関連する法令として特定しておく必要があります。 つまり、自社の業界に関する法律や官公庁が発行しているガイドラインを認識・特定しておく必要があります。 また、要求事項であるJISQ15001:2017の附属書A内では「特定」し、「参照」できるよう求めています。 一覧表などでまとめて、必要なときに見れるようにしておく必要があります。 それ以外にも「維持」という単語も入っているため、ちゃんとメンテナンスを行い、最新の法令を認識しておく必要があります。 法律の内容確認や把握は素人にはなかなか難しいものになります。 こういったことは専門家に任せてることをお勧めします。