付与事業者: 15,515

制度案内

TOP > 制度案内 > PMS構築・運用 > 災害時の個人情報の取扱い

災害時の個人情報の取扱い

災害発生時の個人情報の取扱いについてプライバシーマーク制度としての考え方をご案内しますので、参考としてください。

災害時の個人情報の提供について

震災で負傷した社員の個人情報の提供

【事例】

震災で当社の社員数名が負傷しました。なかには意識不明の者もいました。救急隊に本人の氏名、性別、年齢、住所、緊急連絡先、勤務先、健康保険証情報等を書面で渡しました。救急隊からかかりつけの病院も聞かれましたが分かりませんでした。この場合、救急隊に本人の同意を得ないで本人の個人情報を提供してしまいましたが、JIS Q 15001上は問題ありませんか。

【対応】

本人の同意がない限り個人情報を提供できないという誤解が多いようですが、JIS Q 15001の3.4.2.8(提供に関する措置)では、本人の同意がなくても例外事項に該当する場合は、本人の個人情報を提供できると規定しています。本件の場合は、例外事項として3.4.2.8のただし書きg)に規定されている“3.4.2.6(利用に関する措置)のただし書きb)”に該当しますので、本人の同意がなくても救急隊に負傷者の個人情報を提供することができます。個人情報保護法の第23条(第三者提供の制限)にも同様の規定があります。

行方不明社員の個人情報の提供

【事例】

震災で当社の社員が行方不明になりました。安否確認のため本人の自宅や緊急連絡先さらには警察に問い合わせても行方が分かりませんでしたので、「災害・消息情報サービス」を運営している通信事業者のウェブサイトに掲載したところ、本人の知人からの情報で近くの病院に入院していることが判明しました。今回は、本人の同意を得ないで本人の個人情報をWEBサイトにて公開してしまいましたが、JIS Q 15001上問題はありませんか。

【対応】

本件の場合も、前項と同様にJIS Q 15001の3.4.2.8(提供に関する措置)の例外事項 g)に規定されている“3.4.2.6(利用に関する措置)のただし書きb)”に該当すると考えられますので、本人の同意を得なくても本人の個人情報を通信事業者の「災害・消息情報サービス」サイトに掲載することは可能であると考えられます。このような「災害・消息情報サービス」サイトは、不特定多数の者に閲覧されるため、本人の個人情報を掲載する場合は、その必要性を十分に検討した上で、サイト運営者の利用規約を遵守して掲載内容を決めるなど慎重な対応が必要です。
なお、今回のような震災の経験を踏まえて、緊急時対応策の一環として、あらかじめ通信事業者の「災害・消息情報サービス」サイトへの掲載などについても、社員から同意を得るなどの対応策を検討すると良いでしょう。

緊急連絡網について

緊急連絡網の配布

【事例】

震災を契機に、社員の緊急連絡網を整備し、全社員に配布したいと考えています。緊急連絡網には、社員個人の固定電話番号、携帯電話番号およびメールアドレスが含まれます。それを紙に印刷して配布することを検討しています。しかし、緊急連絡網の携行、自宅保管、個人の携帯電話のアドレス帳に登録するなど、会社として管理することは非常に困難です。このような想定で緊急連絡網を配布しても、JIS Q 15001上は問題ありませんか。

【対応】

プライバシーマーク付与事業者であるため、緊急時に必要な連絡網の整備ができないというのでは支障が生じる場合があります。JIS Q 15001は、適切な個人情報の取扱いを支援するためのツールです。確かに社員に配布した後の緊急連絡網の管理は難しいと言えます。しかし、緊急連絡網が必要であると考えるのであれば、その利用目的、それが部外者にわたったときのリスクを理解させ、その取扱いに関する注意事項を徹底するなどの対策を講じた上で、実施すれば問題ないと思います。

会社内の緊急連絡網の利用目的と配布

【事例】

当社では、社員の個人情報の利用目的を人事管理・労務管理のためと定めていますが、今回の震災をきっかけに、会社の緊急連絡網を作成して配布しようと思っています。当初の利用目的の範囲内で行えると考えてよいでしょうか。

【対応】

当初の人事管理・労務管理の利用目的に含めることは不可能ではないと考えられますが、人事管理・労務管理の利用目的で管理している個人情報に緊急連絡先を新しく追加して、社員にその利用目的を明示して、同意を得た方がよろしいと思います。震災に基づく措置であれば、社員の理解も得られやすいと思います。

在宅勤務について

計画停電による在宅勤務

【事例】

震災に伴う計画停電対策として、当社では在宅勤務の導入を検討しています。プライバシーマーク制度面から注意すべき点があれば教えて下さい。

【対応】

在宅勤務の場合もオフィスで作業するのと同様にリスク対策が必要であると考えるところから検討を始めてはいかがでしょうか。ウイルス対策、ユーザーアカウントの設定、外部記録媒体の取扱い、暗号化などいろいろな観点があります。また、最近では自宅のパソコンをシンクライアントパソコンとして使用できるようにする技術が開発されています。これらの安全管理策を、在宅で行う業務に応じて検討し、実施したらどうでしょうか。なお、経済産業省は、各事業者の参考になるような個人情報保護対策事例を「個人情報の適正な保護に関する取組実践事例調査」(*)で公表していますので参考にしてください。

(*) 経済産業省:「個人情報の適正な保護に関する取組実践事例調査」報告書の公表について
http://www.meti.go.jp/policy/it_policy/privacy/061215kozinzyouhou.html

ページトップへ戻る