ものづくり経営革新等支援機関

特殊な種類の個人データ(センシティブデータ)の処理について(1)

https://imamura-net.com

完全版を表示する

おはようございます!マネジメントオフィスいまむらの今村敦剛です。

GDPRのなかでも特に配慮が必要なのが、第9条で述べられている「特殊な種類の個人データ」(センシティブデータと呼ばれる)です。その処理について留意すべき点を確認していきたいと思います。

当ページの内容は、情報提供のみを目的として提供されており、GDPRがどのようにあなたおよびあなたの組織に適用されるかについて、法的な助言として提供するものではありません。したがって、当ページの記載事項に基づいて判断してはなりません。あなたの弁護士等と協力して、GDPRがあなたの組織に具体的にどのように適用されるのかを、話し合うことをお勧めします。したがって当社は、このページの情報について、法的な保証を行いません。このページに記載されている情報や見解は、予告なしに変更することがあります。

特殊な種類の個人データ(センシティブデータ)とは

特殊な種類の個人データが特別な保護を受けるのは、その取扱いの過程が基本的な権利及び自由に対する深刻なリスクをつくり出しうるものであるためです。病歴などが第三者に漏えいすると、差別や偏見を招く可能性もあるからですね。

まずは特殊な種類の個人データの定義ともいえる第9条第1項を見てみましょう。下記に書かれているカテゴリーのデータは、原則として取り扱い禁止です。

人種的若しくは民族的な出自、政冶的な意見、宗教上若しくは思想上の信条、又は、労働組合への加入を明らかにする個人データの取扱い、並びに、遺伝子データ、自然人を一意に識別することを目的とする生体データ、健康に関するデータ、又は、自然人の性生活若しくは性的指向に関するデータの取扱いは、禁止される。

(個人情報委員会 一般データ保護規則条文より)

GDPRでは、指令にはなかった「遺伝子データ」「生体データ」が追加されています。興味深いことに、前文(51)では、写真がセンシティブデータに該当するかどうかについて述べられていますが、センシティブデータだとは「即断してはならない」と書かれています。写真が生体データとして扱われるかどうかは、映っている人を一意に識別・認証することができる特別な技術的手段を用いて取り扱われる場合のみです。

また、加盟国は、遺伝子データ、生体データ又は健康に関するデータの取扱いに関し、その制限を含め、付加的な条件を維持又は導入することができるとされています。

社会保障番号(日本でいうマイナンバーのようなもの)なども漏えいしたら大きな問題になるはずなのに、どうして「特殊な種類の個人データ」はこの分類なの?と疑問にも思いますが、基本的には差別や偏見による不利益を助長する可能性のあるデータのことを指すと考えるのがよいでしょう。余談ですが、この考え方の源流は世界人権宣言にあり、第二次世界大戦の反省から起きた考え方でもあります。ナチスはユダヤ人だけではなく、キリスト教系の新宗教信者や同性愛者なども強制収容したからです。これらの人種、民族、宗教、性生活といった情報(すなわちセンシティブデータ)をもとに、ナチスは虐待を加えたのです。

適用の除外について(センシティブデータの取り扱いが可能となるケース)

原則としてはセンシティブデータの取り扱いは禁止なのですが、例外が規程されています。ただし注意しなければならないのは、例外規程のどれかに該当する場合も、必ず第6条で定められている適法根拠を踏まえないといけません(つまり第6条と第9条の例外規定を同時に満たす必要がある)。その他、どのようにセンシティブデータが使われるかについては、管理者は適切かつ完全に、通知をしなければなりません(12条~14条)

そのような(GDPRの他の要求事項も必ず満たす必要があるという)前提の上で、例外規定を見てみましょう。

(a) 同意

(a)データ主体が、一つ又は複数の特定された目的のためのその個人データの取扱いに関し、明確な同意を与えた場合。ただし、EU法又は加盟国の国内法が第1項に定める禁止をデータ主体が解除できないことを定めている場合を除く。

(個人情報委員会 一般データ保護規則条文より)

センシティブデータの場合、同意は明示的(explicit)でなければなりません。書面であることはもちろん、手書きの署名などが望ましいという解釈もあります(電子的のも電子署名などが必要という解釈も)。とにかく、通常よりも厳しいレベルでの同意が求められるでしょう。どの程度の厳密なレベルの同意が必要かは、加盟国によって異なる場合もありうるので注意が必要です。

(b) 雇用、社会保障、社会的保護における義務の履行の場合

(b)EU法若しくは加盟国の国内法により認められている範囲内、又は、データ主体の基本的な権利及び利益のための適切な保護措置を定める加盟国の国内法による団体協約によって認められる範囲内で、雇用及び社会保障並びに社会的保護の法律の分野における管理者又はデータ主体の義務を履行する目的のため、又は、それらの者の特別の権利を行使する目的のために取扱いが必要となる場合。

(個人情報委員会 一般データ保護規則条文より)

例えばですが、センシティブデータを提供するデータ主体が、求職者や従業員である場合は、雇用関連法規で求められる範囲内でセンシティブデータの取り扱いができるということです。

(c) データ主体が同意を与えることのできない緊急時

(c)データ主体が物理的又は法的に同意を与えることができない場合で、データ主体又はその他の自然人の生命に関する利益を保護するために取扱いが必要となるとき。

(個人情報委員会 一般データ保護規則条文より)

例えば、データ主体がケガや病気で意識不明となり、緊急に対応をしなければならないといったケースが該当するでしょうか。

 

センシティブデータ処理の例外規定は全部で10あります。残りの7つはまた改めてまとめたいと思います。

  • B!

最近の人気記事

1
ISO9001が2025~2026年に改訂予定です

おはようございます!マネジメントオフィスいまむらの今村敦剛です。 国際標準化機構(ISO)は、現行のISO9001:2015(品質マネジメントシステム規格I)を改訂する準備を進めているようです。現在の ...

2
ISOマネジメントシステムが追補改訂 変更内容は?企業はどういう対応が必要なの?(1)

おはようございます!マネジメントオフィスいまむらの今村敦剛です。 2024年2月、ISO(国際標準化機構)は、マネジメントシステム規格に「気候変動への配慮」を盛り込む形で規格の一部を改定しました。今回 ...

3
【内部監査レベルアップ講座】ISO9001/ISO14001もはかどる5S活動(1)

おはようございます!マネジメントオフィスいまむらの今村敦剛です。 5Sの考え方がISO9001や14001の運用に役立つことがあります。その逆もあって、ISOの仕組みが5S活動に役立つこともあるんです ...