情報セキュリティ 関連コラム

個人情報は「命を守る」ためにある~災害時における個人情報の取り扱いのヒント~(後編)

2023.04.24

総合研究部 専門研究員 大越 聡

前回のコラムでは、災害時における個人情報の取り扱いについて、東日本大震災における個人情報のいわゆる「2000個問題」や、考え方の前提となる部分を考察した。できれば本コラムを読む前に以前のコラムもあわせてお読みいただきたい。

▼個人情報は「命を守る」ためにある~災害時における個人情報の取り扱いのヒント~(前編)

令和3年の個人情報保護法改正では、見直しのポイントとして以下の点を挙げている。

  1. 個人情報保護法、行政機関個人情報保護法、独立行政法人等個人情報保護法の3本の法律を一本に統合するとともに、地方公共団体の個人情報保護制度についても統合後の法律において全国的な共通ルールを規定し、全体の所管を個人情報保護委員会に一元化する。
  2. 医療分野・学術分野の規制を統一するため、国公立の病院、大学などには原則として民間の病院・大学等と同等の規律を適用する。
  3. 学術分野を含めたGDPRの十分性認定への対応を目指し、学術研究に係る適用除外規定について、一定の適用除外ではなく、義務ごとの例外規定として精緻化する。
  4. 個人情報の定義などを国・民間で統一するとともに、行政機関などでの匿名加工情報の取り扱いに関する規律を明確化する。

前回も解説したように、まずは行政機関や独立行政法人においてそれぞれ内容の異なっていた個人情報保護法を一本化したことが今回の法改正の大きな特徴だ。その上で、個人情報の保有や取得・運用・提供に関する基本的な考え方をまとめ、災害時に柔軟な運用ができることを目指している。いわゆる行政機関における個人情報の取り扱いの「例外」について考えるものだが、参考までに、民間事業者における個人情報保護法の例外として、以下のものが挙げられている。

  • 法令に基づく場合(警察、裁判所、税務署等からの照会)
  • 人の生命・身体・財産の保護に必要で本人の同意取得が困難な場合
  • 公衆衛生・児童の健全育成に必要で本人の同意取得が困難な場合
  • 学術研究目的での提供・利用、委託・事業承継・共同利用など
▼出典:「個人情報保護法」をわかりやすく解説個人情報の取扱いルールとは?

もちろん、災害時だからといって個人情報の取り扱いは注意しなければいけない。例えば安否確認サービスを導入するにあたってはプライベートのアドレスも十分に個人情報と解される。取得するにあたってはきちんと利用目的を提示し、目的外の利用をしてはならない。事業者が周辺の帰宅困難者を受け入れるときには名簿の作成が必要となるが、その時にも同様の対応が必要となる。災害時でもよほどの緊急性を要しない場合には個人情報保護法に則った対応が必要になるので、十分に注意していただきたい。

行政機関の災害時における個人情報の例外を考える

行政機関における個人情報保護法の例外措置としての利用目的以外の利用・提供について、改定法では以下のように定められている。

行政機関の長等は、次のいずれかに該当すると認めるときは、利用目的外の目的のために保有個人情報を利用し、または提供することができる。ただ、これらに該当する場合であっても、本人又は第三者の権利利益を不当に侵害する恐れがあると認められるときは、利用し、又は提供することができない(法第69条第2項)

  1. 本人の同意があるとき、又は本人に提供するとき
  2. 行政機関が法令(条例を含む)の定める事務又は業務の遂行に必要な限度で保有個人情報を内部で利用する場合であって、当該保有個人情報を利用することについて相当の理由があるとき
  3. 他の行政機関、独立行政法人等、地方公共団体の機関又は地方独立行政法人に保有個人情報を提供する場合において、提供を受ける者が法令(条例を含む)の定める事務又は業務の遂行に必要な限度で提供に係る個人情報を利用し、かつ、当該個人情報を利用することについて相当の理由があるとき
  4. (1)から(3)までに記載する場合のほか、専ら統計の作成又は学術研究の目的のために保有個人情報を提供するときに、本人以外の者に提供することが明らかに本人の利益になるとき、その他保有個人情報を提供することについて特別の理由があるとき

上記における「相当の理由があるとき」とは、行政機関などの恣意的な判断を許容するものではなく、「少なくとも、社会通念上、客観的にみて合理的な理由があることが求められる」とされている。「相当な理由」があるかどうかは最終的には行政機関の長が個別に判断することになるものの、「例外としてふさわしい理由があること」が求められるとされる。

応急仮設住宅の個人情報を民間事業者に提供できる?個別事例の検討

今回の指針では、以下の15の事例を活用して災害時の個人情報の取り扱いについて検討している。このうち、民間事業者に関わるものをいくつかピックアップしてみてみたい。

事例4 一時滞在施設における受入者名簿の提供(施設管理者が民間事業者の場合)

「受入者名簿」(一時滞在施設管理者を管理する民間事業者が作成)に記載された個人情報を地方公共団体は提出してもらえるのかという事例である。この場合、まず一時滞在施設における民間事業者が個人データを地方公共団体へ提供することについて利用目的として特定の上、当該利用目的を明示し、本人同意を取得している場合は、民間事業者が地方公共団体に情報提供することは可能である。できれば民間事業者としてはこうした手続きを円滑に行えるよう、地方公共団体と協定を結ぶなどしておくことが望ましいといえる。

また、ここでは例外として災害対策基本法の規定に基づき、被災者の安否に関する照会に回答するため、地方公共団体から被災者に関する情報提供の求めがあったときや、人の生命、身体又は財産の保護のために必要がある場合にあって、本人の同意をとることが困難な場合、民間事業者は地方公共団体へ情報提供して差し支えないと判断することは妥当であるとしている。

事例6 応急仮設住宅の入居者への生活支援・見守り・心のケア支援等

応急仮設住宅の入居希望申込書に記載された個人情報を、入居者への生活支援・見守りなどのために民間事業者に提供しても良いかという事例である。東日本大震災では大きく自治体によって判断の分かれるところであった。今回の指針では、まず原則として民間事業者に情報提供する旨を利用目的に含めておけば、利用目的内として情報提供を行うことが可能としている。できれば、民間事業者へ情報提供することを利用目的に含めることが望ましいだろう。

こちらでも例外として、民間事業者への情報提供を利用目的として特定していなかった場合でも、本人が同意した場合や、人の生命、身体又は財産の保護のため個人情報の利用・提供が明らかに本人の利益になる場合は情報提供して差し支えないと判断することは妥当であるとしている。

まとめ

今回の指針の作成により、行政機関が民間事業者に個人情報を提供するときの一定の判断基準ができたことは評価できる。原則としてはまず民間事業者に個人情報を提供することをあらかじめ利用目的に含めることによって、作業を円滑に進めることが望ましい。利用目的に含んでいない場合においては、「の生命、身体又は財産の保護のために必要がある場合にあって、本人の同意をとることが困難な場合」、「人の生命、身体又は財産の保護のため個人情報の利用・提供が明らかに本人の利益になる場合」などが判断基準となるだろう。

いずれにせよ、災害時に被災者の命を救うためには、公共団体と民間事業者の密接な連携が不可欠となる。平時から両者が協働して訓練・演習などを通じて災害が発生した時の個人情報の取扱いについての問題点を洗い出し、利用目的を明確化しておくことが必要だ。

(了)

Back to Top