コラム
Column
Column
1 はじめに
個人情報の保護に関する法律(以下、「個人情報保護法」といいます)は、平成15年に公布され、平成17年に全面施行されましたが、その後、様々な課題が認識されるに至り、消費者の個人情報の保護を図りつつ、事業者によるパーソナルデータの円滑な利活用を促進させ新産業・新サービスを創出するための環境の整備を行うことを目的として、平成27年に改正されました。そして、本年5月30日からは、個人情報を取り扱う大半の事業者に改正された個人情報保護法が適用されております。
平成17年の個人情報保護法の施行により企業の個人情報に関する感度は高くなりましたが、中には、個人情報保護法施行前から続けている取組について、法律で定められた手続が必要であると気づかず、従前と変わらぬ運用を続けている場合があります。今回はそのような例として、メーカーなどが行っている社内で発生した労災事故の情報をグループ会社間で共有する取組について、個人情報保護法においてどのような手続が必要とされているのか、想定事例をベースにして見ていきたいと思います。
2 想定事例
A社は日本に本社のあるメーカーであり、世界中にグループ会社があります。A社グループでは安全対策の一環として、グループ会社において労災事故が発生した場合には、事故発生の日時・状況、事故の原因・内容、被害状況、関与した従業員の情報(氏名、社員番号、職種、役職、年齢、勤続年数等)、再発防止策等の事故情報を「事故報告書」という所定のフォーマットに纏めることになっています。そして、各グループ会社は、まず事故報告書をA社に送付し、A社の判断・指示により、事故報告書を他のグループ会社にも送付することがあります。
今般、日本国内にあるB社で、従業員であるC氏が高所作業中に転落し傷害を負う労災事故が発生しました。診断結果は腰椎圧迫骨折で全治2か月です。B社がA社に本件事故の内容を纏めた事故報告書を送付したところ、A社は本件が重大事故であり、またグループ会社にとっても教訓になると考えたため、B社に対し、海外子会社を含む全グループ会社に事故報告書を送付するよう依頼し、B社は全世界のA社グループ各社に事故報告書を送付しました。
3 B社で必要となる対応
上記の想定事例において、B社は事故情報を入手・整理して事故報告書を作成し、A社を始めとするグループ各社に事故報告書を送付しなければなりませんが、その際に、個人情報保護法上(以下、単に「個人情報保護法」と記載している場合は、改正後の個人情報保護法のことを指します)どのような点に注意しなければならないでしょうか。
⑴ 事故情報を収集する際の手続
B社では、事故報告書を作成する前提として、今回の事故情報を入手・整理する必要がありますが、上記想定事例の場合、C氏が全治2か月の腰椎圧迫骨折との診断を受けたことは、「疾病、負傷その他の心身の変化を理由として、本人に対して医師等により心身の状態の改善のための指導又は診療若しくは調剤が行われたこと」(個人情報の保護に関する法律施行令2条3号)に該当しますので、要配慮個人情報(個人情報保護法2条3項)となります。そこで、原則として、本人であるC氏の同意を得てこうした情報を取得しなければなりません(同法17条2項)。但し、救急対応や労働者死傷病報告のために要配慮個人情報を入手した場合等、「人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき」や「法令に基づく場合」には、C氏の同意は不要となります(同項各号)。また、C氏から直接傷害の内容を聞いた場合には、通常の場合、本人の同意に基づく取得と理解してよいと思われます。
⑵ 事故報告書をA社に送付する際の手続
B社は事故報告書をA社に送付していますが、B社がA社に提供しようとする事故報告書が「個人データ」(同法2条6項)に当たる場合には、原則として、C氏の同意を得た上でA社に提供しなければなりません(第三者提供の制限。同法23条1項)。そのため、事故報告書が「個人データ」に当たるか否かが問題になりますが、「個人データ」とは、「個人情報データベース等を構成する個人情報」ですので、まずはB社が作成する事故報告書が「個人情報データベース等」(同法2条4項)に該当するか否かを検討する必要があります。「個人情報データベース等」とは、「個人情報を含む情報の集合物」であって、「特定の個人情報を電子計算機を用いて検索することができるように体系的に構成したもの」等をいいますので(同項)、B社の作成する事故報告書が従業員の氏名や社員番号によって検索できるよう体系的に整理されているのであれば、「個人情報データベース等」に該当します(個人情報の保護に関する法律についてのガイドライン(通則編)16頁、17頁)。そのため、このような場合には、C氏の同意を得てからA社に事故報告書を提供しなければなりません。
なお、A社グループ間で事故報告書を共同利用することについて、共同利用の対象となる個人データの項目、共同利用者の範囲、共同利用の目的、個人データの管理責任者等について、予めC氏に通知しているか、又は容易に知りうる状態に置いている場合には、例外的にC氏の同意は不要となります(共同利用。同条5項3号)。共同利用という方法を採用しようとするのであれば、社内のイントラネットに共同利用に関する事項を掲載しておけば手続は簡便となります(但し、海外のグループ会社に事故報告書を送付する場合には、共同利用の手続以外に⑶で後述する同意の取得が必要となります)。
以上に加えて、第三者提供を行う者は、個人情報保護法第25条に従い、第三者提供に係る記録を作成・保存しなければなりません(但し、共同利用に該当する場合は記録の作成・保存は必要ありません)。また、第三者提供の受け手側にも、一定の確認義務があります(同法26条)。従って、B社には記録義務及び保存義務が、A社には確認義務が課せられることになります。この各手続の詳細につきましては、後のコラムで説明をする予定ですので、ここでは省略させて頂きます。
⑶ 事故報告書を海外のグループ会社に送付する際の手続
B社は事故報告書を海外のグループ会社にも送付していますが、個人情報保護法は海外の第三者に対する個人データの提供について新たに規定を設けて規制をしていますので注意が必要です。即ち、改正前の個人情報保護法は個人データを第三者に提供するにあたって、第三者が国内か海外かの区別をしていなかったため、本人の知らないところで個人情報の保護が不十分な国に個人情報を移転されて思わぬ被害を被るリスクが指摘されており、このリスクに対応するため、改正された個人情報保護法第24条では、外国にある第三者に個人データを提供する場合には、原則として本人の同意が必要であると規定されました(共同利用の場合であっても、この手続は必要です)。
このように、B社は海外のグループ会社に事故報告書を送付する際にC氏の同意を得る必要があるのですが、この手続を省くことはできないでしょうか。この点、個人情報保護法第24条には例外規定が定められており、「個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国として個人情報保護委員会規則で定めるもの」は「外国」に含まれず、また、「個人データの取扱いについてこの節の規定により個人情報取扱事業者が講ずべきこととされている措置に相当する措置を継続的に講ずるために必要なものとして個人情報保護委員会で定める基準に合致する体制を整備している者」は「第三者」に含まれないとされています。
前者については、本コラム作成の時点において未だ個人情報保護委員会規則で定められた国はありませんので、この規定を根拠に本人同意の手続を省略することはできません。
一方、後者を根拠として本人同意の手続を省略できる可能性はあります。「個人情報保護委員会で定める基準に合致する体制」とは、「1 個人情報取扱事業者と個人データの提供を受ける者との間で、当該提供を受ける者における当該個人データの取扱いについて、適切かつ合理的な方法により、法第4章第1節の規定の趣旨に沿った措置の実施が確保されていること。2 個人データの提供を受ける者が、個人情報の取扱いに係る国際的な枠組みに基づく認定を受けていること。」のいずれかと定められており(個人情報の保護に関する法律施行規則第11条)、上記1の「適切かつ合理的な方法」については、同一の企業グループ内で個人データを移転する場合には、「提供元及び提供先に共通して適用される内規、プライバシーポリシー等」が例示されています(個人情報の保護に関する法律についてのガイドライン(外国にある第三者への提供編)3-1)。従って、A社グループで共通の内規やプライバシーポリシーが定められている場合には、各グループ会社は「第三者」に当たらず、C氏の同意を得る手続は不要となります(同法24条)。他方、上記のような内規やプライバシーポリシーが定められていない場合には、原則通り「外国にある第三者への提供を認める旨の本人の同意」が必要となります。グローバルに活動する企業の場合であっても、必ずしもグループ会社において共通の社内規定を定めているとは限りませんが、個人情報保護法対応の観点からは、このような対応をしていると一定のメリットがあるということになります。
⑷ B社としての対応方法
B社が従来の事故報告書を海外を含むグループ会社間で共有しようとする場合には、上記のような個人情報保護法に合致した運用が求められることになります。しかしながら、実際に個人情報保護法に定められた手続を遵守するには相応の労力が予想されます。また、多くの従業員から同意が得られなくなった場合には、制度自体が運用できなくなるというリスクもあります。
そのため、現実的な対応としては、事故報告書に記載する内容を見直して、単に事故内容だけを記載し、従業員個人に関する記載は記載しないようにすることが考えられます。労災事故の内容を紹介し、再発防止につなげるというのが目的なのであれば、事故を起こした従業員に関する情報で必要なものは限られるはずです(例えば、事故を起こした従業員の年齢や勤続年数は必要かもしれませんが、氏名や社員番号は必ずしも必要ではないように思います)。事故報告書がどのような目的で作成されており、何を記載し、何を省略すべきか、また、どの範囲に開示すべきか、今一度運用を見直すことも必要ではないでしょうか。
4 最後に
本コラムに記載したような事故情報の共有は各社で行われていますが、個人情報保護法を意識せずに運用している会社もあるように思います。本コラムでご紹介した事故情報の共有だけでなく、社内の様々な制度の運用を個人情報保護法の観点から見直してみてはいかがでしょうか。
以上