おはようございます!マネジメントオフィスいまむらの今村敦剛です。
GDPRのなかでも特に配慮が必要なのが、第9条で述べられている「特殊な種類の個人データ」(センシティブデータと呼ばれる)です。その処理について留意すべき点を、先日に続いて確認していきたいと思います。
スポンサーリンク
特殊な種類の個人データ(センシティブデータ)とは
センシティブデータ取り扱いの全体的な解説については、下記のページをご参考ください。
-
-
特殊な種類の個人データ(センシティブデータ)の処理について(1)
おはようございます!マネジメントオフィスいまむらの今村敦剛です。 GDPRのなかでも特に配慮が必要なのが、第9条で述べられている「特殊な種類の個人データ」(センシティブデータと呼ばれる)です。その処理 ...
適用の除外について(センシティブデータの取り扱いが可能となるケース)
原則としてはセンシティブデータの取り扱いは禁止なのですが、例外が規程されています。ただし注意しなければならないのは、例外規程のどれかに該当する場合も、必ず第6条で定められている適法根拠を踏まえないといけません(つまり第6条と第9条の例外規定を同時に満たす必要がある)。その他、どのようにセンシティブデータが使われるかについては、管理者は適切かつ完全に、通知をしなければなりません(12条~14条)
そのような(GDPRの他の要求事項も必ず満たす必要があるという)前提の上で、例外規定(d)~(j)を見てみましょう。
(d) 政党や宗教団体などによる取り扱い
(d)政冶、思想宗教又は労働組合の目的による団体、協会その他の非営利組織による適切な保護措置を具備する正当な活動の過程において、当該取扱いが、その組織の構成員若しくは元構成員、又は、その組織の目的と関係してその組織と継続的に接触をもつ者のみに関するものであることを条件とし、かつ、データ主体の同意なくその個人データが当該組織の外部に開示されないことを条件として、取扱いが行われる場合。
(個人情報委員会 一般データ保護規則条文より)
政党や宗教団体(教会など)を意図した例外規定です。これらの団体がセンシティブデータの処理を行う場合は当然ながら、①適法根拠に基づき、②適切な安全管理措置を講じ、③特定の目的に沿ったものとして、行わなければなりません。
(e) データ主体自らが公開しているもの
(e)データ主体によって明白に公開のものとされた個人データに関する取扱いの場合。
(個人情報委員会 一般データ保護規則条文より)
データ主体が自ら公にしている情報のことですね。例えばメディアのインタビューで、自らの政治的信条や病気の状態などを明らかにしている場合などが該当するのでしょうか。メディアには、SNSなども含まれるかもしれません。
(f) 訴えの提起等
(f)訴えの提起若しくは攻撃防御のため、又は、裁判所がその司法上の権能を行使する際に取扱いが必要となる場合。
(個人情報委員会 一般データ保護規則条文より)
一例ですが、医療保険の加入者が保険金の請求をする際に、その訴えが正当かどうかを調査するために、保険会社によって医療データが扱われる場合などがあげられるでしょう。
(g) 公共の利益
(g)求められる目的と比例的であり、データ保護の権利の本質的部分を尊重し、また、データ主体の基本的な権利及び利益の安全性を確保するための適切かつ個別の措置を定めるEU法又は加盟国の国内法に基づき、重要な公共の利益を理由とする取扱いが必要となる場合。
(個人情報委員会 一般データ保護規則条文より)
実はこの「公共の利益」には、GDPRにも指令にも明確な定義がありません。加盟国が解釈する余地があると言えるでしょう。いくつかの加盟国では既に特定がされているようですが、例えばイタリアでは、公的な健康サービス機関などが実施する特定の活動が「重要な公共の利益」などとみなされているようです。
(h)労働者の業務遂行能力の評価や医療上で必要な場合
(h)EU法又は加盟国の国内法に基づき、又は、医療専門家との契約により、かつ、第3項(筆者注:第9条第3項のこと)に定める条件及び保護措置に従い、予防医学若しくは産業医学の目的のために、労働者の業務遂行能力の評価、医療上の診断、医療若しくは社会福祉又は治療の提供、又は、医療制度若しくは社会福祉制度及びそのサービス提供の管理のために取扱いが必要となる場合。
(個人情報委員会 一般データ保護規則条文より)
「または」や「もしくは」や「かつ」が多用されていて非常にわかりにくい日本語ですが、おおざっぱに言うと医療目的や社会的なケアの目的のためにセンシティブデータを処理する場合だと言えます。主には医師や看護師などに適用される規程とみてよいと思われます。医療従事者であれば、患者の状態にかかわるデータは処理せざるをえませんね。また、雇用者が従業員の配置や役割を検討する際なども(例えば体のどこかに不調があり、肉体労働ができない等)、これに該当すると思われます。
GDPRの他の条項はもちろんのこと、業界や医療機関などで定められている個人情報保護の方針等にしたがって処理をしなければならないのは言うまでもありません。
(i) 公衆衛生の分野における公共の利益
(i)データ主体の権利及び自由、特に、職務上の秘密を保護するための適切かつ個別の措置に関して定めるEU法又は加盟国の国内法に基づき、健康に対する国境を越える重大な骨威から保護すること、又は、医療及び医薬品若しくは医療機器の高い水準の品質及び安全性を確保することのような、公衆衛生の分野において、公共の利益を理由とする取扱いが必要となる場合。
(個人情報委員会 一般データ保護規則条文より)
「公衆衛生」の定義は、前文(54)に記されています。「健康に関する全ての要素、換言すると、健康状態のこととして解釈されなければならない。それは、疾病率及団痒害、健康状態に影孵を与える素因、医療の必要性、医療に割り当てられる資源、医療の提供及び医療へのユニバーサルアクセス、並びに、医療の支出及び賓金手当、そして、死亡原因を含む。」というのが定義です(欧州議会及び理事会の規則NO 1338/2008の定義でもある)。
この規定は、公衆衛生に従事する人や、医薬品・医療機器の監督業務に従事する人が、健康に関するデータを処理することを想定したものと思われます。(つまり行政機関が中心でしょうか)。
(j) 科学的研究若しくは歴史的研究の目的又は統計の目的
j)求められる目的と比例的であり、データ保護の権利の本質的部分を尊重し、また、データ主体の基本的な権利及び利益の安全性を確保するための適切かつ個別の措置を定めるEU法又は加盟国の国内法に基づき、第89条第1項に従い、公共の利益における保管の目的、科学的研究若しくは歴史的研究の目的又は統計の目的のために取扱いが必要となる場合。
(個人情報委員会 一般データ保護規則条文より)
例えば大学と薬品メーカーが共同で新薬などの研究をするというケースが該当するでしょうか。科学的研究もしくは歴史的研究の目的、統計の目的でデータを取り扱うことについては、個別の条文(第89条)にも要求事項があります。
