新型コロナウイルス対応のための雇用主による従業員個人データの収集に関するフランス監督機関通知


まとめ

  • フランスのデータ保護監督機関(CNIL)は、新型コロナウイルスの蔓延にあたり、雇用主が従業員の個人データを収集することに関する通知(以下「本通知」)を公表した。本通知は、専門家や個人からCNILに寄せられた質問に応える形で公表されたものである。
  • 本通知は、フランス労働法の規定を前提とし、個人データ保護の観点から雇用主と従業員の個人データ保護上の義務を示している。産業医などの医療専門家のみが特別カテゴリーデータである従業員の健康データを直接取り扱い、記録・保管することができ、雇用主が直接従業員の健康データを処理することは認められない。
  • 従業員においては、業務上接触可能性のある人の健康を維持させる義務が労働法上課されていることを踏まえ、他者との接触がある従業員は新型コロナウイルス感染を雇用主に申告する義務があるとしている。
  • また、従業員の感染に関する情報を保健機関に通知できるが、感染した従業員の身元を他の従業員と共有することは禁止される。

雇用主のセキュリティ上の義務

雇用主は、労働法および公務員の管理に関する政令(特に労働法の第4121-1条および第4422-1条、または1982年5月28日の政令第82-453号(改正))に従い、従業員の健康と安全の保護責任がある。労働リスク防止対策、情報提供、教育訓練、労働条件に合わせた作業組織や資源の投入は、雇用主の責任となる。雇用主は、法的義務を遵守するために必要な場合、GDPRに基づき個人データを処理する権利を有する。
具体的には、以下において、雇用主による従業員の個人データ処理は合法的であるとされる。

  • 他の従業員と接触して働く従業員に感染または感染の疑いがある際、労働条件を適応させることを唯一の目的として、本人または管轄の保健当局に個別に情報提供する場合
  • 必要に応じて、専用の安全なチャンネルを設定し、保健当局への感染情報の伝達を容易にする場合
  • リモートワークを促進し、産業医学の活用を促す場合

従業員及び代理人のセキュリティ上の義務

各従業員または代理人は、彼ら自身の健康と安全だけでなく、その専門的な活動中に接触する可能性がある人々の健康を維持するための注意義務がある(労働法典の第L.4122-1条)。
通常の状況では、従業員は病気休暇を取得する権利がある場合にのみ、病気の詳細を雇用主に知らせなければならない。しかし、新型コロナウイルスのようなパンデミックの状況下では、他人(同僚や公衆)と接触して仕事をする従業員は、ウイルスに感染した場合、またはウイルスに感染した疑いがある場合で、同僚の何人かがウイルスにさらされた可能性がある場合には、雇用主にその旨を通知しなければならない。一方で、例えばテレワークをしていたり、同僚や一般の人と接触せずに一人で仕事をしていたりする従業員は、この情報を雇用主に伝える必要はない。

雇用主による報告書の取り扱い

雇用主は、組織的措置(テレワーク、産業医への紹介など)、研修や情報提供、特定の職業上のリスク防止措置など、法的義務や契約上の義務を果たすために必要なデータのみを処理することができる。そのため雇用主は、日付、本人の身元、感染または感染の疑いがあることを示した事実、組織的な措置に関する要素のみを扱うことができる。必要に応じ雇用主は、感染可能性のある健康管理情報や医療ケアに必要な情報を管轄の保健当局に伝えることができる。しかし、いかなる場合でも、感染の可能性のある者の身元を他の従業員に伝えてはならない。

健康関連のデータ処理とGDPRの適用範囲に関する注意事項

雇用主は、特に従業員や公衆を保護することを目的に、ウイルス感染の疑いを管理する以上の健康データを収集することで、関係者のプライバシーを不当に侵害する恐れのある対策をとってはならない。この原則は、「何人も、実行されるべき仕事の性質によって正当化されない、または求められた目標に比例しない個人の権利、個人および集団の自由に制限をかけてはならない」とするフランス労働法の第L.1121-1条より導かれる。個人の健康状態に関するデータは、その機微な性質のため、実際には非常に特別な法的保護の対象となっており、原則として処理が禁止されている。
個人の安全確保と基本的な権利と自由を尊重のバランスを取りながら従業員の個人健康データを処理するためには、必ずGDPRで定められた例外(注:第9条の特別カテゴリーデータの処理例外)に該当しなければならない。さらに、健康関連データは非常に高い安全性と機密性の条件の下で扱われ、処理を許可された者だけが取り扱わなければならない。
労務分野におけるGDPR上の例外は限られており、一般的には以下のいずれかが該当する。

  • 労働法、社会保障、社会保護の観点から義務を果たすために、雇用主がこれらのデータを処理する必要性(これは、従業員による報告書の処理の場合に当てはまる)
  • 予防医学または職業医学、労働者の作業能力の(健康)評価、医学的診断などの目的のために、保健専門家がこれらのデータを処理する必要がある場合

以上から、従業員の健康状態を確保するために可能な限りの措置を講じたいと考える雇用主は、健康管理の中心となる産業保健サービスに頼らなければならない。従業員の体温や、新型コロナウイルス感染において障害を悪化させる可能性のある特定の病態(「併存疾患」)に関するファイルを雇用主が作成することはできない。
CNILはまた、処理対象の個人の体温は健康に関するセンシティブなデータであり、特別な保護が必要であると指摘している。また、GDPRは自動化された処理(特にコンピュータ処理)またはファルが作成される非自動化処理にのみ適用されると指摘している。そのため、データの痕跡を残さずに、あるいは他の操作(体温記録、データフィードバックなど)を行わずに、施設入口にある手動式体温計(非接触式赤外線温度計など)によって体温を確認することそのものは、データ保護規制の対象外となる。

血清学的検査と健康状態のアンケートの実施

復職時にウイルスへの感染状況や健康状態を把握したいとする雇用主もいるが、労働総局(DGT)は「企業が従業員のために行ったスクリーニング・キャンペーンは認可されていない」と指摘している。CNILは、保健担当者(特に産業医など)のみが、従業員または代理人の健康状態に関するデータや、特に家族の状況、生活状況、あるいは移動の可能性に関する情報を含む医療ファイルやアンケートを収集し、実施し、アクセスすることができるとしている。医療、血清学的検査、新型コロナウイルススクリーニング検査についても同様であり、その結果は医療機密の対象となる。そのため雇用主は、従業員が職場復帰に適しているかどうかについての医療専門家の意見のみを受け取ることができる。雇用主は、従業員の他の健康状態を保有せず、病気休暇の処理と同様の方法で、専門家意見のみを処理することができる。

事業継続計画(BCP)

BCPの作成では、従業員の安全を守るためのすべての手段が含まれていなければならず、また、サービスの継続性を確保するために必要とされる人々、維持すべき本質的な活動を特定しなければならない。そして、この目的を達成するために必要なデータのみを含む場合にのみ、BCP計画の精緻化と維持のために個人を指名するファイルを作成することが可能である。CNILは、雇用主が処理するデータの安全性と機密性を、あらゆる場合において保証しなければならないとしている。

保健所からの要望・勧告

健康データは、保健当局によって収集される可能性があり、新型コロナウイルスの症状や特定の人の最近の動きに関する情報の評価や収集は、これらの公的機関の責任で行われている。CNILは個人や専門家に対し、健康当局の勧告に従うよう求め、所轄官庁から要請された個人の健康に関するデータのみを収集するよう求めている。

 

【CNILの本通知】
Coronavirus (COVID-19) : les rappels de la CNIL sur la collecte de données personnelles par les employeurs

関連記事