Financial and Social System of Information Security

インターネットに代表されるIT社会の影の部分に光をあて、金融詐欺・サイバー犯罪予防等に関する海外の最新情報を提供

「EU域内のCOVID -19の急速なパンデミック化の中で企業が取り組むべき従業員や家族等の収集や周知などに関しイタリアやデンマークの個人情報監督機関がガイダンスを発布」(その1)

2020-03-10 17:05:13 | EU加盟国の情報規制機関

 新型コロナウイルスのグローバルな拡散が続くなかで3月4日、大手ローファーム“Covington .& Burling LLP”のニュース「イタリア情報保護監督機関(以下、“Garante”)は、新型コロナウイルス感染症(「COVID-19」)の蔓延を防ぐための取り組みの文脈で、企業がイタリアの従業員等の個人データをどのように処理すべきかを明確にする「声明」を発表」が届いた。 

 また、Lexblog (注1)は3月5日、「デンマークのデータ保護局(Datatilsynet:Danish Data Protection Agency:以下”GDA”) (注1)は、コロナウイルス(「COVID-19」)危機の状況で企業が従業員の個人データを処理する方法を明確にするガイダンス文書を発行した」を報じた(GDAのリリース原本(デンマーク語)参照) )。 これは、イタリアの監督当局(「Garante」)による同様のガイダンスの公開に続くものである(以前のLexblogブログ参照)。

今回のDatatilsynetのアプローチは、イタリアのGaranteのアプローチよりも柔軟に思える。すなわち、 Datatilsynetによれば、雇用主は、状況が必要に応じて、従業員に関する情報を大幅に収集および開示することができ、そのような収集または開示が雇用法または健康法の下で禁止されておらず、問題の情報が 非常に詳細で具体的でなければ認めあられるように読める。

 今回のブログは、この両国の対応の比較の上で紹介する。

1.イタリアの情報保護監督機関(Garante)の声明の内容
(1) “Covington .& Burling LLP”の解説文の仮訳
 2020年3月2日、イタリア監督当局(以下、“Garante”という)は、新型コロナウイルス病(「COVID-19」)の蔓延を防ぐための取り組みの文脈で、企業がイタリアの従業員と他の人の個人データをどのように処理すべきかを明確にする「声明」を発表した。(イタリア語の声明を参照)。
Garanteは、企業が従業員(またはその家族)が感染した可能性のあるCOVID-19症状や所在に関する体系的かつ一般化された方法で収集してはならないことを明らかにした。 Garanteによると、そのような情報の収集は医療当局に委ねるべきであり、法律で特に要求されたり、管轄当局から要求されたりしない限り、従業員の健康データの自発的な収集に取り組むべきはないとする。

 しかし、一方、Garanteは、従業員は通常、伝染病のリスクを含め、彼らが認識している職場で健康と安全上のリスクを雇用主に知らせなければならない旨を強調した。したがって、企業は、従業員が最近疫学的リスク領域にさらされた場合や、伝染の可能性に関するその他の関連情報を持っている場合は、企業に通知するよう従業員に周知することができる。

 同「声明」は、今後続くGaranteのこの問題に関する推論についてあまり詳しく述べていないが、GaranteはEUデータ保護一般規則(GDPR)の下で健康データを処理するための条件をむしろ厳密に解釈すべきであることを示唆している。

  したがって、企業は、イタリアにおける現在の公衆衛生危機の深刻さを踏まえて、COVID-19の拡散を防ぐための健康データの処理が、データ主体または他の自然人の「重要な利益を保護するために必要な」場合、または実質的な公共の利益の理由で必要な」場合または「予防または職業医学の目的のために必要な場合」は、単に合法的に行われた判断される可能性があると単に仮定すべきでない。

 いずれにせよ、企業は、イタリアでのCOVID-19のさらなる拡大の可能性に応じて、情報保護の管轄権をもつイタリア監督当局(Garante)が採用する可能性のある緊急措置を注意深く監視し、遵守する必要がある。 雇用主を含むより多くの企業や組織等が、COVID-19がもたらす公衆衛生上の脅威に対応し、政策を実施し、拡散を防ぐための保護措置を導入することで、他のEUのプライバシー監視・監督当局が関連するガイダンスを採用するかどうかは不明である。グローバルな法律事務所である Covington & Burling LLPは引き続きこの分野の動向を監視する。

(2) 2020.3.2 イタリア情報保護庁「コロナウイルス関連:情報保護庁(Garante)の声明文」の公表
Garanteのリリース文を仮訳する。

・・・・・・・

・・・・・

 新型コロナウイルスに関し、日曜大工(DIY)的な個人情報の収集や開示等を行ってはならない、とイタリア情報保護庁(Garante)は言う。

 民間機関と公的機関は、保健省と管轄機関からの指示に従わなければなりません
Garanteは、収集の可能性に関する官民の利害関係者から、訪問者やユーザーを登録する際に、コロナウイルスによる症状の存在に関する情報と伝染からの予防措置等の最新の動きに関するニュースとして、いくつかの質問を受けている。同様に、公的および民間の雇用主は、イタリアのGaranteに、インフルエンザの兆候の欠如、および私的な領域に関する事項について、従業員から「自己申告」を得ることができるかどうかを尋ねられた。

 この点に関連して、我々は、ここ数週間で採択された緊急法では、疫学的リスクの分野だけでなく、最新の規制によって特定された自治体で過去14日間滞在している人を提供することを指摘する規定は、かかりつけ医の機関によって、地域の保健当局に通知しなければならない。その権限は、特別な隔離措置を含む必要なチェックを行う責任がある。

 一方、雇用者は、個々の労働者への特定の要求や無許可の調査、インフルエンザの兆候の存在に関する情報を含め、作業者と最も近い連絡先、または作業環境外の領域に関する任意の方法等につき、事前かつ体系的かつ一般化された方法で収集することを控えなければならない。

 コロナウイルスの拡散を防ぐことは、専門的な方法でこのミッションを排出する任務を負っている事業体によって追求される目的です。

 コロナウイルスの典型的な症状と各個人の最近の動きに関する情報の調査と収集は、医療従事者と市民保護システムの責任であり、これは、最近採用された公衆衛生規則の遵守を確保する任務を負う団体でもある。

 職場での健康と安全に対する危険を雇用主に知らせる従業員の義務は、偏見を持たないままである。この点に関して、行政大臣は最近、彼らは危険区域に旅行することに関し、各公務員と行政で様々な方法で働く人々がそれぞれの行政に報告する義務に関する運用上の指示を提供した。

この文脈において、雇用者は、専用のチャネルを含め、経路を通して経路を促進することによって、必要に応じてそのようなコミュニケーションを行うよう従業員に勧告することができる。コロナウイルスから生じる職場における健康への「生物学的」リスクの変化を的確な団体に知らせる義務は、有能な労働者の健康監視に関連する他のタスクと共に偏見を持たないように残されて最もリスクにさらされた労働者が極めてまれな医療訪問を受ける可能性など管轄権を持つ医師,を通じて行われる。 
 一般の人々と連絡を取る職務を遂行する従業員(例えば、フロントオフィス、サービスデスクなど)が、仕事の過程でコロナウイルスの疑いのあるケースに遭遇した場合、その従業員は雇用主を含む的確な保健サービスに通知され、また相談した医療専門家によって提供される予防指示に従う。

 さらに、管轄当局は、採択されたに緊急条項が従って一般に公開されているすべての施設への訪問者のアクセスを可能にするために、各コントローラが実施しなければならない一般的な予防措置を既に定めている。
したがって、そして、コロナウイルス関連の処置の全国的な調整のための要求にかなう施設の招待に応じて、厳しく、また、ユーザーの健康に関するデータの収集を狙う自主的なイニシアティブとそのようなイニシアティブが法律によって管理されないか、要求にかなう組織体によって命じられない労働者を保証することなくコロナウイルスの拡散を防止するようにという保健省と権限を持つ機関により提供される指示に従うよう、Garanteはすべてのコントローラに要請する。

2.デンマーク・データ保護局(Datatilsynet)の新型コロナウイルス(COVID-19)危機の状況で企業が従業員の個人データを処理する方法を明確にするガイダンス文書
(1)Lexblogニュース「デンマークのデータ保護局(Datatilsynet:Danish Data Protection Agency:以下”GDA”)は、コロナウイルス(「COVID-19」)危機の状況で企業が従業員の個人データを処理する方法を明確にするガイダンス文書」を発布
以下で、仮訳する。

 2020年3月5日に、デンマークのデータ保護局(以下、“Datatilsynet”)は、コロナウイルス(「COVID-19」)危機の状況で企業が従業員の個人データを処理する方法を明確にするガイダンス文書を発行した(デンマーク語の原文参照 )。これは、以前に取り上げたイタリアの監督当局(「Garante」)による同様のガイダンスの公開に続くものである。(以前のLexblogブログ参照)。


 Datatilsynetのアプローチは、Garanteのアプローチよりも柔軟に思える。 Datatilsynetによると、雇用主は、状況が必要に応じて、従業員に関する情報を大幅に収集および開示することができ、問題となる個人情報が非常に詳細で具体的でない場合はそのような収集または開示が雇用法または健康法の下で禁止されていないとするものである。
 たとえば、Datatilsynetは、COVID-19危機の状況において、雇用主は次のことを合法的に記録および開示できると考えている。(i)従業員が疫学的リスクエリアを訪問したかどうか。 (ii)従業員が自宅に隔離されている(理由を述べることなく); (iii)従業員が病気であること(理由を述べることなく)。これはデンマークのガイダンスでは明示的に言及されていないが、問題の開示は主に会社内部の開示として理解されるべきであると仮定することは論理的であると思える。

 ただし、Datatilsynetは、情報の収集と開示は必要なものに限定する必要があると強調した。したがって、データを処理する前に、雇用主は、(ⅰ)問題の情報を収集または開示する正当な理由があるかどうか、(ⅱ)開示の目的が「少なく話す」ことによって達成できるかどうか、および(ⅲ)名前を言及することが本当に必要かどうかを慎重に検討する必要がある(たとえば、検疫で自宅にいる従業員の名前等)。

 これが特に法律によって必要とされるか、所管官庁によって要請されない限り、Datatilsynetが従うアプローチはGarante(それは雇用主たる会社がCOVID-19危機に関連して彼らの従業員に関する情報の自然堆積に従事するべきでないと最近考えた)のそれより厳しくない。
 現在、ヨーロッパの多くの組織、団体等がポリシーを実施し、COVID-19の拡散を防ぐためのセーフガードを導入しているため、他のEU情報監督当局が同様のガイドラインを採用する可能性がある。 EUの監督当局が当面の問題について異なる見解を持っていると思われる場合、欧州データ保護委員会(「EDPB」)がこの問題に関するガイドラインを発行する可能性もある。

(2) Datatilsynetのガイダンス「GDPRと新型コロナウイルス対応」の内容
 デンマーク語のガイダンスを読んだが、前述のLexblogの内容とほぼ同一であることから、ここでは省略する。
***********************************************************************
(注1) 米国を中心とするグローバルはブロガーや弁護士の法律共同発表サイト“Lexblog”サイトについてわが国ではほとんど紹介されていない。同サイトのAbout usを仮訳する。なお、筆者自身このサイトを日頃活用しており。今後ブロガーとしてチャレンジする予定である。

「2004年、16年の弁護士を務めた技術系起業家のKevin O’Keefeは、弁護士にはブログを作成するべきだという考えを表明した。彼は、この新しい技術を活用することで、弁護士は以前には存在しなかった方法で自分の名前を築くことができると信じていた。このビジョンに触発され、O’Keefeは弁護士向けのブログを作成することでガレージからLexBlogを開始した。
LexBlogは、小さなスタートアップから法律業界の評判の良いブランドに成長したため、同社はRSS、SEO、ソーシャルメディアツールなど、クライアントのニーズを満たすブログを強化するSaaSテクノロジー(注3)を開発した。
しかし、技術を超えた何かが、世界的な出版ネットワークとしてのLexBlogの評判を固めた。これは、法律業界内の優秀な人材の努力を強調するエンパワーメント環境の開拓に揺るぎない焦点である。
今日、LexBlogのネットワーク内には25,000人を超えるブロガーがおり、その中には米国のトップ200の法律事務所の約1,000のブログの半分以上が含まれている。しかし、もっと重要なことは、LexBlogは、法務コミュニティが提供するリアルタイムのニュースと洞察を提供するという同社の使命を中心に構築されたグローバルネットワークの強化に専念している点である。
LexBlogは、数千人の法律思想家からのニュースと解説の集約とシンジケートにより、弁護士向けの出版ソリューション以上のものにし、1)アイデアの交換、2)機会の共有、そして3)一緒に学ぶことに情熱を傾けるコミュニティの出発点といえる。

 (注2) デンマークのデータ保護局(Datatilsynet)に関しては、筆者ブログ「GDPR違反に基づきタクシー会社に対し120万DKK(約2,011万円)のはじめての罰金の告発を受け、裁判所命令が下る (その1)」同(その2完)等を参照。

(注3) サービスとしてのソフトウェア(Software as a service :SaaS)は、サードパーティ・プロバイダーがアプリケーションをホストし、インターネット経由で顧客に提供するソフトウェア配布モデルである。 SaaSは、サービスとしてのインフラストラクチャ(IaaS)およびサービスとしてのプラットフォーム(PaaS)と並んで、クラウドコンピューティングの3つの主要なカテゴリの1つである。 
***********************************************
Copyright © 2006-2020 芦田勝(Masaru Ashida).All Rights Reserved.You may reproduce materials available at this site for your own personal use and for non-commercial distribution.

 

コメント    この記事についてブログを書く
  • X
  • Facebookでシェアする
  • はてなブックマークに追加する
  • LINEでシェアする
« 米国のイラン革命防衛隊・司... | トップ | イギリスやアイルランド等に... »
最新の画像もっと見る

コメントを投稿

EU加盟国の情報規制機関」カテゴリの最新記事