コロナウイルス(Covid-19)とGDPR (3)

コロナウイルス対応とGDPRの具体的な内容について、まずは、総論的なものからみていきます。(GDPRというよりも個人データ保護ですが)

バード・アンド・バート法律事務所のレポートは、「正式なデータ保護当局のガイダンス」から分析しています。いくつか拾ってみましょう。

オーストラリアのガイダンス

個人情報は、「知る必要」ベースで使用または開示する必要があります
COVID-19を防止または管理するために合理的必要なかぎりで、最小限の個人情報のみが、収集、使用、または開示されえます
職場において、COVID-19の感染が確認済み(もしくは、その疑いがある)場合において対応する際には、個人情報がどのように取り扱われるかをスタッフに通知するための措置を検討してください
従業員がリモートで作業している場所を含めて、個人情報を安全に保つための合理的な手順が整っていることを確認してください

ベルギーのガイダンス

これは、適法性、予防措置と一般原則についての解説、そして、FAQについてのコメントがなされています。

中国のガイダンス(中国語のみ)

興味深いので機会翻訳ですが、訳出してみます。ちなみにこれは、2月10日にだされています(早い)。中央ネットワークセキュリティ情報委員会です

コロナウイルス感染症肺炎の新たな流行状況の共同予防・管理における個人情報保護のため、個人情報を含むビッグデータを積極的に活用し、共同予防・管理業務を支援しています。中央ネットワークセキュリティおよび情報技術委員会の承認を得て、以下のような関連事項が通知される。

1.「中華人民共和国のネットワークセキュリティ法」、「中華人民共和国感染症の予防と管理に関する法」および「公衆衛生上の緊急事態に関する緊急規制」に基づき国務院の保健局により認可された機関を除き、すべての地方自治体および部門は個人情報の保護を重視する必要があります。他の組織または個人は、流行防止および疾病の予防と管理を理由に収集される人物の同意なしに個人情報を収集または使用してはなりません。法律および行政規制に他の規定がある場合、それらはそれらの規定に従って実施されるものとする。

2.共同防衛および共同管理に必要な個人情報の収集は、国家標準「個人情報セキュリティ基準」を参照し、最小範囲の原則を遵守する必要があります。原則として、収集される主体は、感染診断人物、感染が疑わしい人物、濃厚接触などの主要なグループに限定され、特定の領域を一般的に対象とされない。特定の地域の人々に対する事実上の差別の形成を防ぐ必要があります。

3.疫病の予防および疾病の予防と管理のために収集された個人情報は、他の目的には使用されません。共同防衛および共同統制作業の必要性を除き、収集された人物の同意なしに、ユニット、個人が名前、年齢、ID番号、電話番号、自宅住所などの個人情報を開示することは許可されません。

4.個人情報を収集または管理する組織は、個人情報のセキュリティ保護に責任を持ち、厳重な管理と技術的保護措置を講じて盗難や漏洩を防止します。

5.有能な企業に、関連部門の指導の下でビッグデータを積極的に使用して、感染診断者、感染疑い者、および濃厚接触者などの主要人物の流れを分析および予測し、共同の予防と制御のためのビッグデータサポートを提供するように奨励します。

6.個人情報を収集、使用、開示する法令違反を発見した組織または個人は、ネットワークおよび公共セキュリティ部門に適時に報告することができます。ネットワーク情報部門は、個人情報の違反、違法な収集、使用、開示、および中華人民共和国のサイバーセキュリティ法および関連する規制に従って大量の個人情報が漏洩する原因となるインシデントに迅速に対処するものとします。民国。犯罪に関与する公安機関は、法律に従って厳しく取り締まるものとする。

フランスのガイダンス

 してはいけないこと、できることを簡単に解説しています。

ドイツのガイダンス

 現在の状況が、政治家や社会は、データ保護が制限されるべきであるとしているが、それは、理解しうるとしても、基本権の保護は、基本的なものであるとしています。そして、感染とデータ保護が正反対にあるわけではないとしています。(が、このガイダンス自体は、抽象論でとまっています)

イタリアのガイダンス

 これは、感染予防のために、保健省の提供する指示に従って、訪問者や利用者に対して、健康状態や訪問先を聞くようににというガイダンス(3月2日)。ただし、3月14日には、手順についての改正のガイダンスがでています。 

プロトコル自体は、こちら。

シンガポールのガイダンス

「COVID-19接触追跡のための個人データの収集に関する勧告」です。

組織は、2019年のコロナウイルス病(COVID-19)の発生時などの緊急事態が発生した場合に、連絡先の追跡やその他の対応策を目的として、施設への訪問者の個人データを収集する場合があります。

として、

組織はCOVID-19ケースの場合に個人を正確に識別するために国民識別番号を必要とする場合があるため、組織はこの目的で訪問者のNRIC、FIN、またはパスポート番号を収集する場合があります。

というところが特徴的です。また、収集のひな型が準備されています。

英国の情報ハブ

いろいろな情報が集約されています。個別の論点で、見ていったほうがいいかもしれません。

情報主体の観点からと、取扱事業者の観点からとで分析されています。