【ご案内】当サイトの閲覧には、SSL対応のブラウザをご利用ください。⇒WEBサイトの利用について

ホーム > よくある質問と回答 > FAQ:15.災害時の個人情報の取扱いについて

FAQ:15.災害時の個人情報の取扱いについて

よくある質問カテゴリー
15-1 災害時の個人情報の提供について
15-2 緊急連絡網について
15-3 在宅勤務について

15-1 災害時の個人情報の提供について

15-1-1 震災で負傷した社員の個人情報を提供する件
今回の震災で当社の社員数名が負傷しました。なかには意識不明の者もいました。救急隊に本人の氏名、性別、年齢、住所、緊急連絡先、勤務先、健康保険証情報等を書面で渡しました。救急隊からかかりつけの病院も聞かれましたが分かりませんでした。この場合、救急隊に本人の同意を得ないで本人の個人情報を提供してしまいましたが、JIS Q 15001上は問題ありませんか。

本人の同意がない限り個人情報を提供できないという誤解が多いようですが、JIS Q 15001の3.4.2.8(提供に関する措置)では、本人の同意がなくても例外事項に該当する場合は、本人の個人情報を提供できると規定しています。本件の場合は、例外事項 として3.4.2.8のただし書きg)に規定されている“3.4.2.6のただし書きb)”に該当しますので、本人の同意がなくても救急隊に負傷者の個人情報を提供することができます。3.4.2.6(利用に関する措置)のただし書きについては、下記をご覧ください。なお、個人情報保護法の第23条第1項(第三者提供の制限の原則)にも同様の規定があります。

< JIS Q 15001の3.4.2.6(利用に関する措置)のただし書き >
a)法令に基づく場合
b)人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき
c)公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき
d)国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき

(平成29年5月30日改訂)

15-1-2 行方不明社員の個人情報を提供する件
今回の震災で当社の社員1名が行方不明になりました。安否確認のため本人の自宅や緊急連絡先さらには警察に問い合わせても行方が分かりませんでしたので、「災害・消息情報サービス」を運営している通信事業者のウェブサイトに掲載したところ、本人の知人からの情報で近くの病院に入院していることが判明しました。今回は、本人の同意を得ないで本人の個人情報をウェブサイトにて公開してしまいましたが、JIS Q 15001上問題はありませんか。

本件の場合も、15-1-1と同様にJIS Q 15001の3.4.2.8(提供に関する措置)の例外事項 g)に規定されている“3.4.2.6のただし書きb)”に該当すると考えられますので、本人の同意を得なくても本人の個人情報を通信事業者の「災害・消息情報サービス」サイトに掲載することは可能であると考えられます。このような「災害・消息情報サービス」サイトは、不特定多数の者に閲覧されるため、本人の個人情報を掲載する場合は、その必要性を十分に検討した上で、サイト運営者の利用規約を遵守して掲載内容を決めるなど慎重な対応が必要です。
なお、今回のような震災の経験を踏まえて、緊急時対応策の一環として、あらかじめ通信事業者の「災害・消息情報サービス」サイトへの掲載などについても、社員から同意を得るなどの対応策を検討すると良いでしょう。

15-2 緊急連絡網について

15-2-1 緊急連絡網の配布について
今回の震災を契機に、社員の緊急連絡網を整備し、全社員に配布したいと考えています。緊急連絡網には、社員個人の固定電話番号、携帯電話番号及びメールアドレスが含まれます。それを紙に印刷して配布することを検討しています。しかし、緊急連絡網の携行、自宅保管、個人の携帯電話のアドレス帳に登録するなど、会社として管理することは非常に困難です。このような想定で緊急連絡網を配布しても、JIS Q 15001上は問題ありませんか。

プライバシーマーク付与事業者であるため、緊急時に必要な連絡網の整備ができないというのでは支障が生じる場合があります。JIS Q 15001は、適切な個人情報の取扱いを支援するためのツールです。確かに社員に配布した後の緊急連絡網の管理は難しいと言えます。しかし、緊急連絡網が必要であると考えるのであれば、その利用目的、それが部外者にわたったときのリスクを理解させ、その取扱いに関する注意事項を徹底するなどの対策を講じた上で、実施すれば問題ないと思います。

(平成29年5月30日改訂)

15-2-2 会社内の緊急連絡網の利用目的と配布について
当社では、社員の個人情報の利用目的を人事管理・労務管理のためと定めていますが、今回の震災をきっかけに、会社の緊急連絡網を作成して配布しようと思っています。当初の利用目的の範囲内で行えると考えてよろしいでしょうか。

当初の人事管理・労務管理の利用目的に含めることは不可能ではないと考えられますが、人事管理・労務管理の利用目的で管理している個人情報に緊急連絡先を新しく追加して、社員にその利用目的を明示して、同意を得た方がよろしいと思います。今回の震災に基づく措置であれば、社員の理解も得られやすいと思います。

15-3 在宅勤務について

15-3-1 計画停電による在宅勤務について
今回の震災に伴う計画停電対策として、当社では在宅勤務の導入を検討しています。プライバシーマーク制度面から注意すべき点があれば教えて下さい。

在宅勤務の場合もオフィスで作業するのと同様にリスク対策が必要であると考えるところから検討を始めてはいかがでしょうか。ウィルス対策、ユーザーアカウントの設定、外部記録媒体の取り扱い、暗号化などいろいろな観点があります。また、最近では自宅のパソコンをシンクライアントパソコンとして使用できるようにする技術が開発されています。これらの安全管理策を、在宅で行う業務に応じて検討し、実施したらどうでしょうか。なお、経済産業省は、各事業者の参考になるような個人情報保護対策事例を「個人情報の適正な保護に関する取組実践事例調査」(*)で公表していますので参考にしてください。

(*) 経済産業省:「個人情報の適正な保護に関する取組実践事例調査」報告書の公表について
http://www.meti.go.jp/policy/it_policy/privacy/061215kozinzyouhou.html