１．緊急時の個人情報の取扱い

災害時等の緊急時に備えて、従業員の安否確認のために事前に緊急連絡網を整備している企業も多いでしょう。
このような「緊急時」には、どのように個人情報を取り扱うべきなのでしょうか。

企業が個人情報を取り扱う大原則として、プライバシーマークでは「個人情報を取得する際は、本人に利用目的を明示した上で同意を取ること」と規定しています。
したがって、緊急連絡網についても事前に利用目的を説明し、本人から同意を取っていれば問題ありません。

しかしながら、緊急連絡網を配布するとなると配布後の個々の管理は難しくなるため、利用目的を説明するだけでなく、漏えいした場合のリスクに関しても同時に従業員に伝えることが大切です。

一般社団法人日本経済社会推進協会（JIPDEC）でも災害時等の緊急事態における個人情報の取扱いについてHPで掲載しているので、参考にしてみるとよいでしょう。

２．救急車を呼ぶような緊急時はどうする？

救急車を呼ぶような緊急時には、名前や住所、症状、必要に応じて持病の有無などの個人情報が必要となります。
これらの情報は、もちろん個人情報であり、「症状」や持病を抱えている等の「病歴」に至っては要配慮個人情報に該当します。

基本的には本人の同意なく、これらの情報を提供することはできませんが、結論から言うと、このようなケースでは本人の同意を得ることなく、個人情報を救急隊員に提供できます。

提供時の個人情報と要配慮個人情報の取扱いルールを見てみましょう。

【J.8.8 個人データの提供に関する措置】

1．個人データを第三者に提供する場合には、あらかじめ、本人に対して、当該個人データを第三者に提供することに関して、J.8.5のa)～d)に示す事項又はそれと同等以上の内容の事項、及び取得方法を通知し、本人の同意を得ること。

2． 個人データを第三者に提供する場合に、本人に通知し、本人の同意を得ることを要しない場合は、以下の場合に限定すること。

a)J.8.5の規定によって、個人データを第三者に提供することに関して、既にJ.8.5のa)～d)の事項又はそれと同等以上の内容の事項を本人に明示し、本人の同意を得ているとき、又はJ.8.7の規定によって、既にJ.8.5のa)～d)の事項又はそれと同等以上の内容の事項を本人に通知し、本人の同意を得ているとき

b)本人の同意を得ることが困難な場合であって、法令等が定める手続に基づいた上で、次に示す事項又はそれと同等以上の内容の事項を、あらかじめ、本人に通知し、又はそれに代わる同等の措置を講じているとき
1)事業者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名
2)第三者への提供を利用目的とすること
3)第三者に提供される個人データの項目
4)第三者への提供の手段又は方法
5)本人の請求などに応じて当該本人が識別される個人データの第三者への提供を停止すること
6)取得方法
7)本人からの請求などを受け付ける方法
8)その他個人の権利利益を保護するために必要なものとして個人情報保護委員会規則で定める事項

c)法人その他の団体に関する情報に含まれる当該法人その他の団体の役員及び株主に関する情報であって、かつ、本人又は当該法人その他の団体自らによって公開又は公表された情報を提供する場合であって、法令等が定める手続に基づいた上で、b)の1)～8)で示す事項又はそれと同等以上の内容の事項を、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているとき

d)特定した利用目的の達成に必要な範囲内において、個人データの取扱いの全部又は一部を委託するとき

e)合併その他の事由による事業の承継に伴って個人データを提供する場合であって、承継前の利用目的の範囲内で当該個人データを取り扱うとき

f)個人データを共同利用している場合であって、共同して利用する者の間で、J.8.7に規定する共同利用について契約によって定めているとき

g)J.8.3のa)～d)、又は、J.8.3のj)～l)のいずれかに該当する場合

【J.8.3 要配慮個人情報】
2．要配慮個人情報を取得、利用する際、書面による本人の同意を得ることを要しないときとは、以下の場合に限定すること。

a)法令に基づく場合

b)人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき

c)公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき

d)国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることによって当該事務の遂行に支障を及ぼすおそれがあるとき

e)当該要配慮個人情報が、法令等により個人情報取扱事業者の義務などの適用除外とされている者及び個人情報保護委員会規則で定めた者によって公開された要配慮個人情報であるとき

f) 本人を目視し、又は撮影することにより、その外形上明らかな要配慮個人情報を取得又は利用する場合

g)個人情報保護法二十七条第五項各号に掲げる場合において、個人データである要配慮個人情報の提供を受けるとき

h)個人情報取扱事業者が学術研究機関等である場合であって、当該要配慮個人情報を学術研究目的で取り扱う必要があるとき（当該要配慮個人情報を取り扱う目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。）

i)学術研究機関等から当該要配慮個人情報を取得し、利用する場合であって、当該要配慮個人情報を学術研究目的で取得し、利用する必要があるとき（当該要配慮個人情報を取得する目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。） （当該個人情報取扱事業者と当該学術研究機関等が共同して学術研究を行う場合に限る。）

引用：プライバシーマークにおける個人情報保護マネジメントシステム構築・運用指針

注目すべきは、【J.8.8個人データの提供に関する措置】の2において、本人の同意がなくても例外事項に該当する場合は、本人の個人情報を提供できると規定していることです。

今回の救急車を呼ぶような緊急時は、J.8.8のただし書き（例外事項）g）に規定されている「J.8.3 要配慮個人情報にあるただし書きb）」の”人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき”に該当します。
したがって、本人の同意がなくても救急隊員に個人情報を提供することができます。

これはPマークに限ったことではなく、個人情報保護法でも「人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき」は本人の同意は不要となります（法第 27 条第１項第２号）。

３．緊急時の対応を社内で共有しておくことが大事

Pマークでは、事前に緊急事態を特定するための手順とその対応を実施・維持することが求められます。

【J.4.4.2 緊急事態への準備】

1．緊急事態を特定するための手順及び特定した緊急事態にどのように対応するかの手順を内部規程として文書化すること。

2． 緊急事態への準備及び対応に関する規定には、個人情報保護リスクを考慮し、その影響を最小限とするための手順を含むこと。

3．緊急事態への準備及び対応に関する規定には、緊急事態が発生した場合に備え、次の事項を対応手順に含むこと。
a)漏えい、滅失又はき損等が発生した個人情報の内容を本人に速やかに通知するか、又は本人が容易に知り得る状態に置くこと。
b)二次被害の防止、類似事案の発生回避などの観点から、可能な限り事実関係、発生原因及び対応策を、遅滞なく公表すること。
c)事実関係、発生原因及び対応策を関係機関に直ちに報告すること。

4． 緊急事態が発生した場合、定めた手順に従って緊急事態への対応を実施すること。

引用：プライバシーマークにおける個人情報保護マネジメントシステム構築・運用指針

ここでいう「緊急事態」とは、定義する事柄は事業者によって細かくは異なるものの、外部からのクレームや事故・事件等が起こった場合などを想定するケースが多いです。

前述した、救急車を呼ぶような緊急事態についてを考慮するとなかなか難しいですが、そういうケースの場合は社内教育の一環として、救急隊員に対する個人情報の提供は本人の同意は要らない旨を伝えるだけでも良いと思います。

重要なことは、緊急時の対応手順を明確にし、それを社内で共有することです。
また、定期的にその手順を見直し、必要に応じて更新することも大切です。

４．まとめ

緊急時の個人情報の取扱いは、Pマークの規格要求事項や個人情報保護法に基づいて適切に行うことが求められます。
そのためには、個人情報の取扱いに関する例外事項の把握や緊急時の対応手順を明確にし、それを社内で共有することが大切です。
また、その手順は定期的に見直し、必要に応じて更新することも忘れてはなりません。

ISO・Pマークについてのお悩みはありませんか？

プロのコンサルタントにお気軽にご相談ください。

• 無料お問合せ
• オンライン
  相談予約

ISO・Pマークについてのお悩みはありませんか?

プロのコンサルタントにお気軽にご相談ください。

• 無料お問合せ
• オンライン相談予約