Loading...

Loading...

JCICコラム

------------------------------------------------------------------------
新型コロナ:データ・プライバシーに関する各国及び国際機関の論点整理
------------------------------------------------------------------------

 蔓延する新型コロナウイルス感染症の対応に各国が追われている。人と人との接触により患者が増えていく中、患者の行動、他人との接触状況などの情報を収集することが感染拡大の回避につながるが、他方でこれは、個人のプライバシーの侵害にもなり得る。
 この問題に各国あるいは国際機関はどう対応しようとしているのか。英語情報が入手出来る国・機関の最新関連情報を主として以下にまとめた(現時点で入手できた情報に限りがあるため、今後さらに収集、補足していく予定である)。
 事態が急速に変化・進展しているため、当局も後手に回っており、明確な指針を打ち出せているところは少ないように思われる。しかし基本的にはこのような緊急事態にあることを考慮し、「医療用」の目的においての個人データの利用については、適切な手段をとれば柔軟に判断するという姿勢を見せている国が多い。その中で欧州委員会が「接触者追跡アプリ」の利用について、踏み込んだ姿勢を示そうとしているのが興味深い。

【英国】
 英国個人情報保護監督機関(Information Commissioner’s Office)が本年3月12日に公開した「データ保護とコロナ・ウイルス」によれば、この非常事態において公的機関や医療関係者が人々と直接コミュニケーションを取りたいという必要性がきわめて大きい中、データ保護・電子コミュニケーション法は政府、国民保険サービス(NHS)やその他医療関係者が、健康に関わる公的なメッセージを電話、手紙、メールで送ることを妨げない、としている。また、最新技術を用いての安全、迅速な診療や診断も妨げられない。そして、公的機関は公衆衛生への深刻な脅威を防御するため、個人データをさらに収集、共有することも必要とする可能性があるとも指摘している。その上で、同機関は現実的・合理的な考え方をする規制機関であり、現下の健康上の緊急事態においてやむを得ない公益を考慮し、判断していく、と表明している[1]。
また、同機関が発表した「知っておくべきこと」では、組織に対し、従業員や来訪者の健康データの収集については、必要以上のデータを収集しないこと。収集したデータは適切な保護手段を用いて取り扱うことと示している[2]。

【カナダ】
 プライバシー庁(Office of the Privacy Commissioner of Canada)が本年3月20日に公表した「「新型コロナウイルスの流行下でのプライバシーに関する手引き」では、本ウイルス流行下でのプライバシー関連の義務については、「公衆衛生上の危機下にあっても、プライバシー関連法は適用されるが、適切な情報共有を妨げるものではない」と記述されている[3]。

【米国】
 米国人権保護局 (Office of Civil Rights)は2020年3月30日に発表した「新型コロナウイルスによる公衆衛生上の国家的非常事態における遠隔医療コミュニケーションに関する裁量権の通知」の中で、
国家的な公衆衛生の危機下における遠隔診療の提供が善意でなされる場合、米国HIPAA法(医療保険の携行性.と責任に関する法律)の法的要請に従わなくとも同局がペナルティを科すことはない、と記載している[4]。

【シンガポール】
 個人データ保護委員会(Personal Data Protection Commission)が公表しているFAQによれば、「新型コロナウイルス流行という状況下で、各団体は接触状況の追跡その他の目的で来訪者のパーソナル・データを収集、利用、公表することはできるか」という質問に対し、以下のように回答している[5]。
・このような非常事態の際には、接触状況の追跡その他の目的で必要とされる個人情報を収集することは可能。
・個人の命、健康、安全に対する脅威である緊急事態に対応するため、個人情報保護法第2,3、4表の1(b)に従い、事前の合意なしに接触状況の追跡その他の目的で個人情報を収集、利用、公表することは可能。
・新型コロナウイルスの流行下においては、各団体は個人を正確に特定するために国民識別カード番号、外国人登録番号、パスポートナンバーなどを要求し得る。必要と認められる場合には各団体はそれらを収集し得る。
・それらの個人情報を収集する団体は、許可のないアクセス・公表などから個人データを保護するための適切なセキュリティの措置を取ったり、また、事前の同意や法の下での許可なく個人データがその他の目的に使用されることがないよう個人情報保護法のデータ保護規定に従わなければならない。各団体は、接触状況の追跡などの目的がなくなった時にはそのデータを抹消すること。

【イスラエル】
 プライバシー保護局(Privacy Protection Authority)が、3月23日に発表した「コロナウイルス流行下でのプライバシーに関するガイドライン」には以下の点が記載されている[6]。
・プライバシーは憲法で認められた権利であり、基本法及びプライバシー保護法(1981年)に定められている。プライバシー保護法は現在のような特殊な状況であっても、ウイルスの蔓延を防ぐこととプライバシーの侵害を防ぐこととのバランスをとる必要がある。
・人々の安全のためにある程度の個人のプライバシーの侵害が正当化されうる現在のような場合においても、プライバシー保護局のスタンスは変わらない。プライバシー保護の原則に従わねばならず、侵害するような行動も必要最小限にとどめなければならない。
・原則として、個人データは、ウイルスの蔓延の防御、疫学的研究、労働安全など最初の用途以外に流用してはならない。当初の目的以外のデータ利用はプライバシーの侵害とみなされる。
・当初目的が達成された段階でデータ・コントローラー及び加工者はデータを破棄すること。

【韓国[7]】
 2020年3月18日付のネイチャー誌の報道によれば、感染者数が増加し始めた2月の時点で、韓国政府は大規模な追跡調査を開始した。患者は、年齢、性別はもちろん、分刻みの行動履歴、さらにはクレジットカード利用記録、人と会った時間と場所、トイレに行った時間、マスクをしていたか否かまで丸裸に追跡され、公表される。MERSの後、2015年にこういった情報公開を可能にする法律が制定されたことで、こうした調査が法的に可能となった[8]。しかしアジア太平洋問題に関するオンラインマガジンのThe Diplomatの4月13日付の記事によれば、このような徹底調査と情報公開により患者への差別感情が惹起されたこともあり、同国の国家人権局(National Human Rights Commission)がパンデミック調査の新たなガイドラインを公開した[9]。この中では、患者の移動や接触履歴に関するログが「不必要に詳細」だったとし、患者に心理的な傷を負わせ、自己申告に消極的な風潮を作り出したとしている。同ガイドラインでは、すべての患者の履歴を統合し、年齢・性別で個体情報を編集することを推奨している。また韓国疾病予防管理センターでは3月14日に、患者のデータ収集と公表に関する新たなガイドラインを発表している。更新された3つの主要点は、①行動のログをとる期間を限定、②接触追跡の範囲を限定、③職業や自宅住所など個人が特定できる情報を公開情報から削除、である。

【EU】
 EUの執行機関である欧州委員会(European Commission)は4月8日、「モバイル・データやアプリを利用して出口戦略を支援するための提言」を発表[10]。コロナ・ウイルスによるパンデミックに対応するためのモバイル・データやアプリの利用に関し、EU共通のアプローチをとるための方法についての提言であり、デジタル・ツールがEUの定める法規制を遵守するものであれば、封じ込め措置の段階的解除において鍵となる役割を果たしうるとした。これに関する同日のプレスリリースでは、レインダース法務担当欧州委員の、「欧州の基本的権利を引き続き完全に尊重する。欧州のデータ保護に関するルールは世界で最も厳しく、この危機下においても同様であり、データ保護当局と密に協議していく」という発言を引用している[11]。4月16日、「接触者追跡と警告用モバイル・アプリの利用に関するEUガイドブック」公開に際して発出されたプレスリリースでは、域内市場担当のブルトン欧州委員の以下の発言を引用している[12]:「接触者追跡アプリはコロナウイルスの蔓延を防ぐため、特にEU各国の出口戦略の一部として有用だ。しかしこれらのアプリを使うには、強力なプライバシー保護措置が大前提となる。パンデミックとの戦いにおいてイノベーティブであること、技術の最大限の活用は必要だが、我々の価値やプライバシーについて妥協はしない」。その上で、アプリの利用が任意であること、必要性がなくなればすぐに利用を止めること、プライバシー保護のためのBluetoothなどの技術を活用すること、人々の位置情報を追跡しないこと、匿名化されたデータに依拠することなど、これらのアプリ利用に関するEUとしての原則を提示している[13]。

(文責:藤原)


[1] https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2020/03/data-protection-and-coronavirus/
[2] https://ico.org.uk/global/data-protection-and-coronavirus-information-hub/data-protection-and-coronavirus/
[3] https://priv.gc.ca/en/opc-news/news-and-announcements/2020/an_200320/
[4] https://www.hhs.gov/hipaa/for-professionals/special-topics/emergency-preparedness/notification-enforcement-discretion-telehealth/index.html
[5] https://www.ifaq.gov.sg/PDPC/apps/Fcd_faqmain.aspx#FAQ_2110433
[6] https://www.gov.il/en/departments/publications/reports/korona_privacy
[7] 韓国についてはメディア報道に依拠している。
[8] https://www.nature.com/articles/d41586-020-00740-y
[9] https://thediplomat.com/2020/04/south-koreas-experiment-in-pandemic-surveillance/
[10] https://ec.europa.eu/info/sites/info/files/recommendation_on_apps_for_contact_tracing_4.pdf
[11] https://ec.europa.eu/commission/presscorner/detail/en/ip_20_626
[12] https://ec.europa.eu/commission/presscorner/detail/en/ip_20_670
[13] ガイドブックについては、https://ec.europa.eu/health/sites/health/files/ehealth/docs/covid-19_apps_en.pdf