Financial and Social System of Information Security

インターネットに代表されるIT社会の影の部分に光をあて、金融詐欺・サイバー犯罪予防等に関する海外の最新情報を提供

イギリスやアイルランド等における新型コロナウイルス感染拡大に伴う企業等の公衆衛生上の緊急時の従業員等のプライバシー保護とGDPRや国内法遵守問題への取組み(その2)

2020-03-18 10:29:58 | EU加盟国の情報規制機関

 

 Last Updated 04/21/2020

 筆者は、本問題につき、すでにイタリアやデンマークの取組みをblogで取り上げた。その後、1)グローバル展開を行う“FieldFisher LLP”が新型コロナウイルスとGDPRの解釈問題を正面から取り上げ、また2)そのほかのローファームがイギリスやアイルランドさらに小国であるルクセンブルグにつき、この問題を国内法とのかかわりを含めた解説を行っており、改めて取り上げることとした。

 この問題は、パンデミックという非常事態の中でややもするとぞんざいな扱いとなりがちの問題であるが、逆にこの時にこそ雇用主等はコンプライアンスの在り方を正しく理解すべきである。

 この両レポートの解説内容はどうしても重複する部分が多いが、あえて主要部を紹介・仮訳する。

 なお、この問題をEU加盟国のプライバシー監督・監視機関を詳細にフォローしている大手ローファーム” Covington & Burling LLP”は最新サイトでEU加盟国の各機関最新動向のURLをリンクさせている。各機関のリリース内容を解釈するにはなお時間がかかるためここでは筆者の責任でⅤ項でリンクのみ貼る。

Ⅰ.2020.3.10 FieldFisher LLPレポート「コロナウイルスとGDPR –冷静を保ち続けられるか?(Coronavirus and the GDPR – keep calm and carry on?)」
 その主な概要を仮訳する。

・・・ほとんどの人(すべてではないが)はすでに多くのニュースを聞いている。季節性インフルエンザに似た厄介な新しいウイルスである新型コロナウイルス(Covid-19)が世界中を浸透している。        
 しかしながら、Covid-19には別な危険な特性がいくつかある。例えば、感染力が高いだけでなく、感染者は感染初期の段階で症状を示さない場合がある。これにより、公衆衛生上の理由から、このウイルスにさらされた人々は、彼らがさらされたことに気づき、ウイルスの広がりを緩和するための早期措置が取られることが非常に重要になる。
ただし、これはEUの一般データ保護規則( "GDPR")と公衆衛生が対立しているように見える場所である。Covid-19に感染した人々のプライバシーをどのように保護しながら、危険にさらされている人々に有用な情報を提供するか?公衆衛生の緊急時に、GDPRは後座席に座るべきではないか?という問題である。

 企業等がCovid-19の潜在的な悪影響に対処するために新しいプロセスを導入するのに苦労しているため、このブログの目的は、EUのデータ保護法(GDPR)がこの異常な状況にどのように適用されるかを強調することにある。新型コロナウイルスの時代にデータ保護コンプライアンスを確保するためのFieldfisherが行う重要なヒントは次の9点である。

1. パニック要因に屈してはならないー法律は依然として法律である
 まさにそうである。企業等は、コロナウイルス・プロトコル(新型インフルエンザ対応手続き)を実施し、従業員の暴露リスクを制限する方法について従業員に最善の助言を与えるために、従業員に関する個人情報を収集して使用する必要がある場合がある。ただし、これは時間に依存する問題である可能性があるが、データ保護法の要件は、企業等がこれらの目的で使用する個人情報にも適用されることを忘れてはならない。

2.健康情報は機密情報である。企業等は何を収集しており、それは何が根拠か?

 EU一般データ規則(GDPR) 第9条では、個人の健康に関する情報は「個人データの特別なカテゴリ」であり、より高度な保護を定めている。これは、従業員の健康に関する情報を合法的に収集して使用するために、会社等はGDPR第9条に基づく根拠を満たす必要があることを意味する。

 英国では、雇用者がコロナウイルスに関連して労働者を保護できるようにするための最も有用な根拠は、GDPR第9条(2)(b)(「雇用、社会保障および社会保護(field of employment and social security and social protection law)」)である可能性が高い。これは、英国では「1974年労働安全衛生法(Health and Safety at Work Act 1974)」に基づいて、企業がスタッフの健康、安全、福祉を守るための合理的な措置を講じる必要があるためである。そのため、企業等は、健康と安全を守るという会社の一般的な義務の一部として、特定の情報(確認された診断に関する情報など)を収集することが合理的である。実際、雇用主がコロナウイルスに関連して果たす役割を持つ概念は、 Covid-19の取り扱いに関する雇用主および企業向けの英国の最近のガイダンス(以下、「英国ガイダンス」)で強調されている。

 ただし、雇用主が従業員または訪問者について健康と安全の目的で収集しようとする情報には制限がある。英国ガイダンスは、雇用主が間違いなくコロナウイルスに関して従業員とやり取りすることを明確にしているが、これは通常、先制的なコロナウイルス戦略のために情報を収集するのではなく、従業員への情報提供と支援に関係している。その代わりに、伝染の事例を特定し、企業が対応するために適切な措置を講じる責任があるのは、NHSと他の医療専門家である。

 この役割の分離は、企業が従業員または訪問者にコロナウイルス症状の存在についての情報を開示することを義務付けられないことを強調するGarante(イタリアのデータ保護規制監督機関)によって発表された最近のガイダンスでも強化されている。代わりに、Garanteは、コロナウイルスの拡散を防止する目的での行動は、これを行うための正しい資格を有する個人(医師や医療機関など)によって実行されなければならないことを強調している。

 このウイルスの進行が続くにつれて、企業は政府からの最新情報に遅れずにとどまる必要がある。政府は、コロナウイルスに関連して事業を許可または期待する方法に関する追加の地方法の要件またはガイダンスを導入する可能性がある。

3.これは、コロナウイルスに関する情報を収集してビジネスを危機に導くことができないという意味か?
 いいえ。企業が従業員の健康、安全、福祉を保護するためにコロナウイルス危機への対応に役立つ情報を収集している場合、これは通常9(2)(b)の根拠の下で受け入れられ、 「最初に行い、後で尋ねる」メンタリティ(上記参照)(または、まれに、第9条(2)(c)(「重要な利益」)に基づく。雇用主は、第9条(2)(h )GDPR(「健康とソーシャルケア」)は、コロナウイルスに起因する従業員の欠勤を管理するのに役立つが、企業が商業的な観点から、アウトブレイクに対処するための一般的な最適な配置を検討している場合、第9条に基づく他の理由で、その活動を正当化しようと試みるが、これは、ビジネスのコンプライアンスの負担を増やすことにもなる。

 たとえば、コロナウイルスに関する健康関連情報を使用するために、GDPR第9条(2)(g)に基づく実質的な公益的根拠に頼ろうとする場合、企業はその正当な利益が個人の権利と自由によって上回らないようにするため、正当な利益評価(legitimate interests assessment:LIA)およびGDPRガイダンスを実施することが期待されるが、これは理にかなっている。これは安全衛生消防や重要な管理計画ではなく、これは商業的位置付けと見なされる。また、会社はデータ保護影響評価(Data Protection Impact Assessment :DPIA)を実行する必要がある。企業がLIAまたはDPIAで評価する必要のある要因の一部は、このブログの残りの部分で説明されている。

 さらに、これまでと同様に、企業等が2018年英国データ保護法(Data Protection Act 2018):DPA 18)の対象であり、GDPRの第9条の特定の規定に依存する場合、ビジネスは以下の条件を満たす必要がある。そのため、これらの根拠を使用して新型コロナウイルス情報の処理を正当化する場合、企業はDPA 18の要件を反映するために、「適切なポリシー文書」および第30条GDPRレコードを最新の状態に保つ必要がある。

4.誰が知る必要があるのか?あなたの従業員の個人情報を保護するべきである

 企業は、保有する個人情報を適切な基準で保護する必要がある。新型コロナウイルスに関連して従業員に関し収集された情報(特に健康情報)が懸念される場合、企業は、従業員について収集および使用する一般的なBAU情報よりも高い基準でこの情報を保護することが期待される。この情報へのアクセスは、「知る必要がある」ベースに制限されるべきであり、より広く共有されるべきではない。厳密に必要でない限り、感染した従業員について「名前」を付けてはならない。

 スタッフに新型コロナウイルスの状態に関する最新情報を提供する簡単なルートを提供する。 「コロナウイルス・ホットライン」を提供することを検討されたい。そのため、スタッフは、コロナウイルスに関する懸念を報告するために電話をかけるために使用できる明確な報告ライン(適切な機密保持の対象となる個人によって作成される)がある。これにより、報告された情報(およびウイルス)の拡散を防ぐことができる。

5.データの最小化原則は依然として最高基準である。必要なものだけを収集するために明確なプロトコルを設定する。
 GDPRの基本原則はデータの最小化である。つまり、指定された目的に必要な情報以上の個人情報は収集してはならない。新型コロナウイルスに関連して、ボートを押し出して従業員に関するあらゆる種類の情報を要求するのは魅力的である。たとえば、心配している場合は、友人の友人が現在、新型コロナウイルスのホットスポットから帰国しているために感染のリスクがある可能性がある。誘惑に負けないでほしい。従業員にリスクの可能性に関する個人情報を提供するよう依頼するときは賢明であり、本当に必要な以上のものを要求してはならない。関連する問題に関係のない個人から情報を受け取った場合は、それを即削除すべきである。

6.透明性が重要
 個人情報の使用と同様に、事業者が情報を収集している理由、それがどのように使用されているか、およびそれに関する従業員の権利が何であるかは、個人に明確でなければならない。特に新型コロナウイルスの問題に対処するために新しいデータタイプを収集する必要があると企業等が判断した場合は、従業員にこのことを通知することを忘れないでほしい。従業員に更新情報を提供して、必要な新しい情報とその使用方法を説明し、従業員が何を期待できるかを把握できるようにすべきである。

 ウイルスに関する社内通信を従業員に送信している場合も、名前で感染した可能性のある個人については言及しないでほしい。感染の危険性があると特定したスタッフに調整された通信を送信する必要がある場合があるが、この電子メール(および受信者)を秘密にすべきである。

7.情報を正確に保つ
 GDPRのもう1つの基本原則は、データの正確性である。新型コロナウイルス情報に関しては、正確な記録を保持するようにすべきである。これはGDPRの要件であるだけでなく、古い情報は、導入しようとしているコロナウイルス手順の有効性を損なう可能性がある。

8.グローバル企業における国際的なデータ転送メカニズムを忘れてはならない(必要に応じて追加すべきである)
 国際的に事業を展開している企業は、従業員とコロナウイルスのリスクについて収集した情報を企業グループ全体で共有し、この病気にどのように対処するのが最適かを総合的に把握することもできる。ただし、GDPRでは、欧州経済領域(EEA)の外部に転送される個人情報を適切な保護手段で保護する必要がある。 EEA外の企業のオフィスへの転送は、引き続き適切に処理されるようにすべきである。さらに、企業グループの本社がEEAの外にある場合、このブログで説明されているのと同じ保護を、本社レベルと全社的な普及に関連して検討する必要がある。

 企業がGDPR国際データ転送メカニズムを導入していない場合(またはこれが目的のコロナウイルス情報をカバーしていない場合)、企業はグループ間で個人情報を共有することを制限される。そのような場合、短期的な解決策として、会社は関連するすべてのグループ企業間でEU標準契約条項を締結して譲渡を許可することを検討する必要がある。

9.不要なものは削除
 GDPRでは、収集された目的のために個人情報が不要になったら即削除する必要がある。このため、企業は、コロナウイルスの脅威が経過した後、コロナウイルスに関して収集した情報を必ず削除する必要がある。
 したがって、このことは私たちをどこに導くか?要約すると、コロナウイルスの大流行に対処する(または先制する)目的で従業員に関する情報を使用する場合、覚えておくべき黄金律は、法の下での地位は変わらないということである。これは新しい事実上のシナリオであるが、同じ考慮事項が適用される。企業は、適切なポリシーと手順が整っていることを確認して、法律に従ってこの情報を処理できるようにする必要がある。別の言い方をすれば、落ち着いて、そして続けてくださいでということである。 

Ⅱ.2020.3.13 Covington Burling LLP 「英国情報保護・監督コミッショナー(Information Commissioner's Office:ICO」)は、データ保護とコロナウイルス(「COVID-19」)に関する声明を発表」
 その主な概要を仮訳する。

 2020年3月12日、英国情報保護・監督コミッショナー(Information Commissioner's Office:ICO」)は、データ保護とコロナウイルス(「COVID-19」)に関する声明を発表した。 この声明は、ICOが現在の健康緊急事態に照らしてGDPRの遵守に関して「合理的かつ実用的な」アプローチを取ることを明らかにしている。

 アイルランドの監督・規制機関と同様に、ICOは英国のデータ保護法(Data Protection Act 2018)がCOVID-19パンデミックがもたらす課題に対処する邪魔をしていないことを強調した。 また、現在の危機の深刻さに照らして、ICOは法執行に関する実用的なアプローチを採用し、「企業など組織にペナルティを課さない、すなわち..他の分野を優先するか、この特別な期間中に彼らの通常のアプローチを適応させる必要がある。 これは、以下のとおり各事項に関するICOの見解に反映されている。

(1) データ主体の情報開示請求の制限:ICOは、法定期限内に情報開示要求に対応できない組織・団体等に対して規制措置を講じないことを表明した。 この点に関し、ICOはパンデミック中に情報開示請求を行う際に理解できる遅延が発生する可能性があることを、通信チャネルを通じてデータ主体に通知する。

(2) 個人データと在宅勤務(home work)のセキュリティ対応:ICOは、データ保護法が在宅勤務においても適用例外ではないことを明らかにし、企業等が通常の状況で使用する在宅勤務に対して同じ種類のセキュリティ対策を検討するようアドバイスした。

(3) 従業員または訪問者に関する健康にかかる個人データの収集:ICOによると、特定の国を訪問したか、またはCOVID-19症状が発生しているかどうかを人々に尋ねるのは合理的である。 これは、スタッフの健康と安全を守ろうとする多くの組織・団体等にとって、頻繁に懸念される問題である。 ただし、企業は必要以上のデータを収集せず、また収集した情報が適切な保護措置で取り扱われるようにすべきである。

(4) 企業内の機密性と情報の共有問題:ICOは、雇用主が注意義務を放棄し、健康と安全を保護するために、組織・団体内にCOVID-19の感染事例、または疑わしい事例があったことをスタッフに知らせる可能性があるとの見解を取った。しかし、影響を受ける個人に名前を付ける必要は「おそらく」ないとアドバイスし、組織・団体等が他人の幸福を守るために実際に人の名前を共有することが厳密に必要かどうかを検討する必要があることを示唆した。

(5)公的機関と従業員の健康情報を共有する問題:ICOは、企業が特定の個人に関する情報を公的機関と共有するよう求められる可能性は低いが、データ保護法はそれを妨げないだろうと述べた。

 他の多くのEU加盟国の監督・規制当局も同様のガイダンスを公開しているが、ICOよりも厳しいアプローチを取っている場合がある。このため、ある時点で欧州データ保護委員会(「EDPB」)の介入を必要とする場合がありうる。 

Ⅲ. 2020.3.11 LexBlog「Irish Supervisory Authority Issues Guidance on Data Protection and COVID-19」
 LexBlogの記事をもとに、その主な概要を仮訳する。

 2020年3月6日、規制・監督機関であるアイルランド情報保護委員会(「Data Protection Commission:以下、DPC)は、COVID-19の拡散を封じ込めてのその影響を緩和するための措置を講じる際に企業等が個人データを処理する方法に関するガイダンスを発布した。

 DPCは、データ保護法が医療の提供および公衆衛生問題の管理の妨げにならないことを明らかにしたが、COVID-19危機のコンテキストで個人データを処理する場合、企業は次の義務に留意する必要があることを強調した。

(1)ガイダンス発布の法的根拠:DPCによると、組織・団体等が管轄当局の指導または指示に従って行動している場合、関連するデータ処理が「公共の利益のために必要である」ことに基づいて合法と見なされる可能性が高いGDPR第9条(2)(i)に基づく公衆衛生の領域である。ただし、適切な保護手段を実装する必要がある。このような保護手段には、①データへのアクセスの制限、②消去の厳密な時間制限、③個人のデータ保護権を保護するための適切なスタッフのトレーニングなどの他の手段が含まれる。

 また、DPCは、雇用主には従業員を保護する法的義務があるため、企業は2005年アイルランド労働安全衛生法(改正)と同様に、従業員の個人データを処理するために、GDPR(「雇用分野の義務」)第9条(2)(b)に依存する可能性があることを明かとした。ただし、雇用主は、この法的根拠に依存する必要がある場合にのみ信頼し、処理されるデータは、以下で詳述するように、機密扱いで処理されるようにする必要がある。

 さらに、DPCは、他の法的根拠が特定できない緊急事態では、企業が個人データを処理して個々のデータ主体または他の人の個人の重要な利益を保護するためにGDPR第9条(2)(c)に依存する立場にある可能性があると考えた。

 上記に照らして、DPCによれば、雇用主は1)従業員と訪問者に、彼らが影響を受けた地域を訪れた、および/または症状を経験している場合、彼らに知らせるよう要求する」こと、および2)「もし彼らが必要な措置を講じるために、COVID-19の医療診断(medical diagnosis)を受けるべきである。それにもかかわらず、「アンケートなどのより厳しい要件の実装する場合は、必要性と比例性、およびリスクの評価に基づいた強力な正当化が必要だと述べた。

(2) 透明性とプライバシーに関する通知:DPCは、個人データを処理する組織・団体等は、COVID-19の拡散を制限するために実装する対策について透明でなければならないことを強調した。特に、関係者に適切で、簡潔で理解しやすい通知を提供する必要がある。この通知には、とりわけ、個人データの収集目的とデータの保持期間を指定する必要がある。

(3)個人情報の機密性とセキュリティ保護:DPCは、雇用主は従業員の個人データをセキュリティと機密性を保証する方法で処理することを確認する必要があると判断した。影響を受けた個人の身元は、特定の正当な理由なしに第三者または同僚に開示されるべきではない。言い換えれば、雇用主は、その組織にCOVID-19のケースまたは疑わしいケースがあったことをスタッフに通知し、自宅で仕事をするよう依頼することができるが、影響を受ける個人は名前を付けるべきではない。

(4) 処理データの最小化:DPCは、COVID-19の拡散を防止または抑制するための対策を実施する目的を達成するために必要な最小限のデータのみを処理するよう企業に警告した。

(5) 記録の保持:DPCによると、コントローラーは、COVID-19を管理するために実装された、個人データの処理を含む意思決定プロセスを文書化することを保証する必要がある。

 なお、アイルランドのDPCのガイダンスの公開は、フランス、デンマーク、アイスランド、イタリア、ルクセンブルク、ノルウェー、ポーランドを含む他のヨーロッパの規制当局による同様のガイダンスの公開に続くものである。ただし、ドイツやスペインのようなヨーロッパの主要な管轄当局は、この問題に関するガイダンスをまだ公表していないが、Ⅴ.で述べるとおりその後、公表した。また、 EUデータ保護委員会(「EDPB」)も、EUの監督当局の見解が必ずしも一致していないことを考えると、ある時点で介入することを決定する可能性がある。(注1)

Ⅳ. 2020.3.10 ルクセンブルグ大公国データ保護国家委員会(CNPD) 「コロナウイルス(COVID-19):健康危機の文脈における個人データの収集に関するCNPDの推奨事項」
 その主な概要を仮訳する。

 欧州連合は現在、コロナウイルスに関連した例外的な健康危機を経験している。 これに関連して、ルクセンブルクの民間および公的プレーヤーは、日々の業務においてますます複雑な課題に直面している。
 専門家や個人は、医療の外で、従業員/代理人に関するデータ、または外部の人(訪問者、顧客、サプライヤーなど)に関するデータを収集および使用する可能性に疑問を抱く。 コロナウイルスの特定の症状があるかどうかを判断するために、そのウイルスにさらされた可能性が高いか、リスク領域に移動した可能性がある。 健康に関連するデータを含む個人データの収集は私的領域内に収まる可能性があるため、CNPD (Commission nationale pour la protection des données):はこのコンテキストでいくつかのルールを以下で思い出したいと考える。

(1) 民間および公的機関に対し推奨されること
 職業上の文脈では、民間および公的機関は、職場での従業員/代理人の安全と健康を確保する法的義務を負っている(労働法(Code du travail)第L.312-1条)。リスクを制限するために、彼らはそれ自体、予防措置、情報および訓練措置を実施し、内部指示を確立しなければならない。
 このコンテキストでは、企業・組織等の当事者は次のことがでる。
① 意識を高め、従業員/エージェントに、彼らまたは有能な保健当局への暴露の可能性に関連して、彼らに関する情報の個々のフィードバックを実施するように招待する。
②必要に応じて、データのセキュリティと機密性を保証する専用チャネルを設定することにより、情報の送信を促進する。
③リモートによる作業方法の導入を促進し、産業医学の使用を奨励する。
報告があった場合、事業者は自分の安全と健康の義務の一部として、次のことを記録できる。
(ⅰ)感染された疑いのある人の日付と身元。
(ⅱ)実施された組織的措置(収容措置、テレワーク、産業医学サービスとの接触など)。
 したがって、事業者は、それを要求する保健当局に、感染した人の可能な医療または治療に必要な感染の性質に関連する要素を伝えることができる。
従業員やその代理人の側の問題では、各従業員/代理人は、他者および自分自身の健康と安全を維持するためのあらゆる手段を実行する必要がある(労働法第L.313-1条)。 原則として、ウイルスとの接触が疑われる場合は雇用主に通知してください。
 最後に、健康当局は、状況に適した措置を講じる資格のある健康当局によって収集できる。 新型コロナウイルスの症状に関する情報および特定の個人の最近の動きに関する情報の評価と収集は、これらの公的機関の責任である。

(2)禁止行為
民間および公共の関係者がウイルスの拡散を制限するための措置(例:移動の制限または衛生措置の遵守)を実施する場合、そのような措置は関係者のプライバシーの尊重を考慮に入れる必要がある。
したがって、行動主体は、体系的かつ一般的な方法で、または個々の問い合わせや要求、外部の従業員/人およびその親によって提示される可能性のある症状の検索に関する情報を収集することを控えなければならない。

 たとえば、行動主体は以下の行為を差し控える必要がある。
1)従業員に体温の声明を毎日伝えるか、以前に確立した医療シートまたはアンケートに記入することを要求する。
2)訪問者または他の外部の人に、コロナウイルスの症状がないこと、または最近危険地帯に旅行したことがないことを証明する事前に確立された宣言書に署名してもらう。
3)機密保持の目的で、ウイルスの拡散を防ぐという文脈で実行されるデータ処理は、特に健康データに関して、データのセキュリティを保証するような方法で実行する必要がある。したがって、関係者の身元は、明確な正当化なしに、第三者または同僚に開示してはならない。

 これらの推奨事項は、悪化したシナリオのコンテキストで行われる可能性のある、より制限的な状態の措置を害することなく、CNPDによって伝達されなければならない。
 この目的のために、CNPDはwww.gouvernement.lu / coronavirusのサイトで入手可能な情報も参照することを勧める。

Ⅴ.主要EU加盟国の情報保護監督機関の新型コロナウイルス(COVID-19)の急速な拡散をめぐるGDPRとの関連を含む事業主等の情報管理ガイダンスの策定状況
 Covington & Burling LLPがまとめたEU加盟国の情報保護機関のガイダンスの最新の発布状況URL一覧は以下のとおりである。
 フランスデンマークスペインアイスランドアイルランドイタリアルクセンブルグネザーランド(オランダ)ノルウェーポーランドスロベニアスロバキア英国ベルギードイツチェコ共和国フィンランドリヒテンシュタインスウェーデンオーストリアハンガリーギリシャを含む他のEEA内の情報保護規制当局による同様のガイダンス・声明の公開が行われている。
******************************************************

(注) 2020年3月16日、欧州データ保護会議(EDPB)の議長であるアンドレア・イェリネック(Andrea Jelinek:オーストリア) は、COVID-19の発生に関連した個人データの処理に関する声明を発表した。

Andrea Jelinek

 この声明は、EUデータ保護法(GDPR)が新型コロナウイルスの世界的大流行と戦うための措置の採用を妨げるものではないことを明らかにした。ただし、個人データの処理を伴うパンデミックと戦うための対策を採用する際には、管理者(雇用者を含む)および政府が以下のとおり、いくつかの考慮事項に留意する必要があると強調した。Covington & Burling LLPのブログ「EDPB Chair Issues Statement on Data Protection and COVID-19」を引用、仮訳する。

(1) 法的基盤
 EDPRBは、GDPRが、データ主体の同意なしに、企業および公的機関がCOVID-19パンデミックのコンテキストで個人データを処理できるいくつかの法的根拠を提供していることに注意する。この声明では、現在の状況に関連する以下の法的根拠に特に言及している。「公衆衛生の分野での公共の利益のために必要な」処理(GDPR第9条(2)(i))。 「データ主体または他の自然人の重大な利益を保護する必要がある」処理(GDPR第6条(1)(d)および9(2)(c)); 「法的義務の遵守に必要な」処理(GDPR第6条(1)(c)および9(2)(b))。これは、EDPBが、少なくともこれが比例的に行われた場合、病気のDP延を防ぐために、企業が従業員や健康データを含む他者の個人データの収集に従事する可能性に開かれていることを示唆する。

(2) 電子通信データ(モバイル・ロケーションデータなど)の処理と緊急立法の内容
 Jelinek議長は、EUのePrivacy Regulation(ePrivacy 規則)を実装する加盟国の国内法では、データが匿名化された場合にのみ関連サービスプロバイダーがロケーション・データを使用できることを規定している(たとえば、集約によるまたは影響を受けた個人の同意を得て)。これにより、公的機関は、通常集計データに基づいて、特定の場所でのモバイル・デバイスの集中に関するレポートを生成できると説明した。
 この匿名の位置データのみでは処理できないモバイル・デバイス等の追跡問題につき、ePrivacy規則により、EU加盟国は、緊急法の下で影響を受ける個人の同意なしに識別可能な電子通信データの処理を提供できる。ただし、そのような内容をも持つ法律が必要であり、適切であり、バランスが取れていなければならない。特に、司法救済の権利を個人に付与するなど、適切な保護手段を提供する必要がある。この点に関して、いくつかの加盟国が新型コロナウイルスと戦うための緊急法を採用するか、またはすでに採用していることに留意すべきであり、新型コロナウイルスの拡散の制限の手段としてモバイル・デバイスの追跡を許可するためにその裁量権を利用することを決定することが必要である。

*************************************************************
Copyright © 2006-2020 芦田勝(Masaru Ashida).All Rights Reserved.You may reproduce materials available at this site for your own personal use and for non-commercial distribution.

 

コメント
  • X
  • Facebookでシェアする
  • はてなブックマークに追加する
  • LINEでシェアする