新型コロナウイルス感染症対策としてコンタクトトレーシングアプリを 活用するための個人情報保護委員会の考え方

個人情報保護委員会ホームページより

　ICT 技術やデータを活用した新型コロナウイルス感染症対策の一つとして、コンタクトトレーシングアプリの導入が世界的に進展しつつあるが、これらのアプリに関する個人情報の保護と利活用の在り方については、国際的にも議論となっている。

　コンタクトトレーシングアプリの機能やシステムの構造は、各国・地域によって異なるが、概ね、携帯端末の Bluetooth 等の技術を用いて、アプリ利用者同士の一定水準以上の接触（いわゆる「濃厚接触」）の履歴を作成・保存し、これを手掛かりに、アプリ利用者に感染者が出た場合に速やかに当該利用者の濃厚接触者に警告を出すというものである。新型コロナウイルス感染症対策では、濃厚接触者に速やかに適切な行動を促し、更なる感染拡大防止を図る観点から、これらのアプリの有効性が指摘される一方、個人情報やプライバシーを保護する観点からの考慮が重要であるとの議論がある。

　現在、我が国においても、内閣官房新型コロナウイルス感染症対策テックチームにおける官民連携した取組みとして、濃厚接触者に速やかに濃厚接触の事実を伝え、保健所から指導を得るなど当該濃厚接触者によるその後の適切な対応に繋げていくことを目的に、コンタクトトレーシングアプリの導入の検討が進められているところである。そこで、当委員会として、個人情報に係る個人の権利利益の確保の要請と感染症対策という公共政策上の利用の要請とのバランスに留意しつつ、これらのアプリを活用するための考え方を示すこととした。

　当委員会としては、これらのアプリが、個人情報の保護の要請を十分に踏まえながら、新型コロナウイルス感染症の感染拡大防止のための有力な手法の一つとなることを強く期待する。

（１）これらのアプリは、利用者の PCR 検査結果や、当該利用者の行動履歴（他人との接触履歴）といった、扱いを誤れば当該利用者の権利利益を大きく侵害しかねない情報を取り扱うシステムであることから、適切な設計と運用が求められる。利用者の権利利益を適切に保護しつつ、これらのアプリによるデータの利活用を図っていくためには、これらのアプリの利用は、個人に十分かつ具体的な内容の情報を伝えた上で、当該個人の任意の判断（同意）により行われるべきである。また、これらのアプリは、多数の利用者を得ることにより十分な効果が期待されるという特性がある。したがって、利用者を拡大し有益なアプリとして機能させるためには、アプリに関与する事業者が、国や地方公共団体とも連携し、アプリ運用の透明性の確保や適切な安全管理措置の実施により利用者の信頼を得ていくことが必要不可欠である。

（２）他の国・地域において先行して導入され、又は検討されているアプリや、我が国において先行的に開発が進められているアプリの例を踏まえると、アプリに関与する事業者が取得する情報が個人情報の保護に関する法律（平成 15 年法律第57 号。以下個人情報保護法という。）に規定する個人情報に当たらないものが多いと考えられるものの、その場合においても当該事業者の保有する他の情報との関係によっては個人情報となる可能性もあることから、アプリごと、事業者ごとに具体的に検証した上で、個人情報保護法など関係法令に則った適切な運用が求められる。

（３）アプリに関与する事業者が個人情報取扱事業者である場合、個人情報保護法の規定の遵守の観点から、特に次の事項について留意することが重要である。また、アプリ運用の透明性を確保し、利用者の信頼を得るためには、これらの事項を公表することが望ましい。

① 取得する個人情報の利用目的をできる限り具体的に特定し、利用者にわかりやすく明示した上で、要配慮個人情報の取得や、個人データの第三者への提供のための本人同意を取得しているか。

　（例）感染症対策全体の仕組みの中でのアプリの位置づけ、感染症対策のため個人データを取得する旨、データ項目ごとの利用目的や利用方法、データの第三者提供先とその理由、提供先第三者での利用目的や利用方法など

② 利用目的との関係で必要のないデータを取得したり、必要のない第三者に提供したりしていないか。

③ 取得したデータを利用する必要がなくなったときは、当該データを遅滞なく消去することとなっているか。

（例）濃厚接触履歴データの保存期間は、疫学上の観点を踏まえた適切な長さに設定され、当該期間が経過したら確実に消去されることとなっているか。

④ データの安全管理措置や従業者・委託先の監督は適切に行われているか。

⑤ 利用者の問い合わせや苦情を受け付ける体制をとっているか。