ニュース

クレーム処理における EU 一般データ保護規則に基づく対応の実施について

2018/05/25 第18-001号
2018年3月16日付特別回報でお知らせしたように、EU一般データ保護規則(General Data Protection Regulation、以下”GDPR”または”当該規則”)では、違反した場合に高額の制裁金を科すことを定めています。本回報では組合員やコレスポンデントその他の関係者の方々に向け、違反リスク軽減のための更なるガイダンスをご提示すると共に、個人データ取り扱いに関し、当組合が予定している変更事項をお知らせいたします。2018年3月16日付特別回報でお知らせしたように、EU一般データ保護規則(General Data Protection Regulation、以下”GDPR”または”当該規則”)では、違反した場合に高額の制裁金を科すことを定めています。本回報では組合員やコレスポンデントその他の関係者の方々に向け、違反リスク軽減のための更なるガイダンスをご提示すると共に、個人データ取り扱いに関し、当組合が予定している変更事項をお知らせいたします。

 

個人データの十分な保護を確保するためには、船員や乗客の傷病などの人身クレームにおける個人データの取り扱いが当組合にとって最大の課題です。

 

データの最小化とプライバシーバイデザイン

前回報でお知らせしたとおり、当組合はGDPRの下で”管理者”であり、当該規則の遵守を示す責任があります。そのため、当組合はデータ最小化とプライバシーバイデザイン(プライバシー保護を考慮した制度設計)といったGDPRの基本原則に従い、以下の事項を実施したいと考えています。

  • 流通する個人情報を量的に制限すること
  • 個人データの移転をより安全に行うため、既存のテクノロジーを更に活用すること
  • やり取りする個人データを可能な限り匿名化すること

 

Eメールの宛先やCCはやり取りを続けるにつれ増えていきますので、本来含まれるべきでない人が宛先やCCに入ってしまっていてもそれを見出すことは困難です。また、業界の関係者になりすました詐欺メールも増えています。このような詐欺は金銭目的であることが通常ですが、当組合がこのようなメールへ返信すると、データ侵害につながる可能性もあります。

 

傷病クレームを処理する際に、組合員やコレスポンデント等を含む世界中のサービス業者と個人の機微データを緊急にやり取りしなければならないことは頻繁に起きます。この点からも、GDPRの原則を実施することは特に重要です。

 

そこで次に個人データ取り扱いの「ベストプラクティス」ガイダンス10ヶ条をご案内したいと思います。

 

  1. 尊重する:
    自分の個人データだった場合にどのような扱われ方を望むかを考え、それと同様に全ての個人データを尊重して扱う。

  1. Eメールや紙面による個人データの記載を最小限にとどめる:
    個人データの記載と流通が少ないほど保護が容易になる。クレーム処理に必要な情報のみを送信する。

  1. サイバーセキュリティ :
    パスポートや診断書、雇用契約書などの添付物を送付する際には、パスワード保護をかけたり安全なメールサーバーを使用したりするなど、セキュリティ上の措置を活用し、コンピューターシステムの安全性を確保する。当組合では情報保護のために自動暗号化やウェブポータルの使用を検討しています。

  1. 匿名化:
    船員などの個人の識別方法として、名前や生年月日以外の方法を使うようにする。他の識別方法としては、リファレンス番号を船名、事故の性質、下船場所などと併用することが考えられる。この方法は、メールの件名と本文に適用する。もし名前を記載せざると得ない場合は、一緒に記載する他の識別項目はできるだけ少なくする。当組合でもクレームに関する記述にこの方法を採用する意向です。実施されれば、クレームを直接処理する担当者以外は、クレームの当事者が誰であるかを特定することが不可能になると思われます。

  1. 新しく始める:
    メールにおいて個人を特定することが避けられない場合は、それに対するメールは返信や転送ではなく新しく作成し、メールチェーンにおいて同じ個人データが繰り返し読み手の目に触れないようにする。

  1. 全員に返信? :
    「全員に返信」を使う前に宛先やCcの全員がそのメールを受信することが適切かどうかを確認する。

  1. 公式のメールアドレスを使う:
    非公式または個人の、その他保護されていないメールアカウントを使用しない。

  1. 片付けてロックする:
    デスクから離れる際にはデスクを片付け、コンピューター画面をロックする。紙資料は安全な方法で処分する。

  1. GDPRを十分に理解する:
    違反した場合の罰則などを含め、GDPRが自らの事業にどのように適用されるかを十分に理解する。

  1. これらのガイドラインを全役職員と共有する

当組合は、組合員、保険仲立人、またコレスポンデントやサーベイヤー、その他の専門家といった取引業者も一般的には当組合同様に管理者の立場となると認識しており、上述のセキュリティ対策を実施することで、データ処理により発生し、当組合と組合員の両方が影響を受ける可能性のあるリスクが軽減されます。EU/EEA域内に所在する関係者、又はEU/EEA域外に在るも人身クレームの処理においてJPI英国サービス株式会社(当組合子会社)に個人データを送付する場合がある関係者に於かれましては、上述及びその他の対策をご自身の組織にとって適切な形で取り入れることを検討頂きますようお願い致します。

 

GDPRの域外適用範囲-EU/EEA 域内外で従事する船員への適用に関して-

 

2018年3月16日付回報でお知らせしたように、GDPRは、EU/EEA 域内に所在し、EU/EEA国籍を持つ個人のデータを処理するEU/EEA域内の組織を有する船主および(または)船舶管理会社に適用されます。例えば船主がドイツの船舶管理会社を通し、ポーランド人航海士を所有船に配乗させていた場合、当該航海士の個人データは当該規則の適用対象です。また、以下のようにEU/EEAの域内から域外にデータを移転するケースでは、EU/EEA域外でも当該規則が適用されます。

 

次のようなケースで船員を雇用する場合

 

  • 船主(船舶管理会社)はEU/EEA域内に所在し、EU/EEA域外から船員を雇用する場合。
  • 船主(船舶管理会社)はEU/EEA域外に所在し、EU/EEA域内から船員を雇用する場合。
  • 船主(船舶管理会社)がEU/EEA域外に所在し、EU/EEA域外の船員を雇用しているが、本船がEU/EEA域内を航行し、EU/EEA域内から域外にデータを移転する可能性がある場合。

 

多くの組合員の方々がフィリピン、インド、ウクライナなどのEU/EEA域外の船員を雇用するために現地の船員配乗会社を起用しています。それらの船員はEU/EEA域内に組織を有する船主(船舶管理会社)に雇用されているため、船員がEU/EEA国籍でなくとも、船員の個人データ処理は当該規則の適用対象となります。

 

さらに、船主(船舶管理会社)がEU/EEA域外に所在していても、EU/EEA域内の船員を雇用している場合は、EU/EEAに所在する個人のデータを処理することになるため、同データ処理は当該規則の適用対象となります。

 

船主のプライバシー責任

 

船員の傷病クレームに関しては、各クラブは船主の雇用者責任の保険者である場合が多く、その場合、船主(船舶管理会社)は保険会社やその他の第三者と船員の個人情報を共有する可能性があることを船員に通知しなくてはなりません。

 

大部分の組合員に於かれましては、船員との雇用契約や労働協約にはデータ保護条項(通知)が含まれていないか、または更新が必要となると思われます。従って、前項でご説明したGDPRの適用範囲に当てはまる場合、船員に必要な通知を行っていただくようお願いいたします。

 

(既にあるとすれば)現行の包括的なプライバシーに関する通知(Privacy notice)に加え、組合員の方々には、傷病クレームに関する次の条項を通知に含めることを検討されるようお勧めします。

 

  • どのような情報が処理されているか?
    (例)船員の身元、健康、傷病に関する個人の機微情報、財務情報。
  • それらの情報は如何なる目的で処理されているか?
    (例)治療と保険請求を行うため。
  • それらの情報がどのような法的根拠に基づき処理されているか?
    (例)個人の重要な利益を守るため、雇用契約を履行するため、クレームへの対応または弁護を行うため、(船員への)保険提供などの法的義務を遵守するため。
  • それらのデータは誰に移転される可能性があるか?
    (例)船員のクレーム、治療、移動費用、送還の管理に関わるEU/EEA域内外の保険会社、保険仲立人、医療施設。
  • それらの情報が保管される期間は?
    (例)雇用期間、時効およびその他の関連要因を考慮して決められる。

これはGDPR遵守を保証する網羅的なリストではありませんが、少なくともこれにより組合員の方々が適法に当組合にクレーム情報を提供することができるようになります。

 

これらに加え、各国の法制に照らした、具体的な法的見解を得ることも必要と考えます。

 

当組合が組合員に推奨するその他の措置については、前回報の「組合員への更なる影響」をご参照ください。

 

国際P&Iグループの全てのクラブが類似した内容の回報を発行しています。