要配慮個人情報と個人情報の相違点を解説

個人情報保護法法律 2025.07.23
要配慮個人情報と個人情報の相違点を解説
>>「個人情報保護法」対応、まずはプロに相談しませんか?今すべき対策はここからチェック!

現在では当たり前になりつつある「要配慮個人情報」は、2017年施行の個人情報保護法改正(平成27年法律65号)により新設された概念です。
たしかに、要配慮個人情報は個人情報の一種ですが、個人情報の中で厳格な規制が課されている特別な類型であり、昨今問題提起され始めているプロファイリングとの関係など、整理しなければならない点も多く十分な理解が必要です。
本記事では、要配慮個人情報の概要や設定された理由、具体例や企業に求められる姿勢について説明します。
※本記事は2024年8月14日時点の情報に基づいて執筆しています

要配慮個人情報とは?

要配慮個人情報とは、不当な差別や偏見につながりうるセンシティブな個人情報のうち特別な配慮が求められるものを指します。

個人情報保護法では以下のように定義されています(同法第2条第3項)。

「本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める記述等が含まれる個人情報」

要配慮個人情報の取得、漏えいや第三者提供については、通常の個人情報とは異なる特別なルールが課されています。

「要配慮個人情報」概念が設けられた背景

要配慮個人情報は2003年の個人情報保護法制定時には定義されておらず、特定分野の法律にかかるガイドラインにおいて「機微情報(センシティブデータ)」が定められていたに過ぎませんでしたが、2017年施行の個人情報保護法改正(平成27年法律65号)にて個人情報保護法に定義が置かれました。その理由として、以下の2つが挙げられます。

  • 不当な差別や偏見を招くおそれのあるセンシティブな個人情報を本人が意図せず取得されてしまうこと自体が問題であること
  • EUから十分性認定(EUデータ保護指令第25条、GDPR第45条)を受けるために個人情報とは別のカテゴリの規律を置くことが必要であること

このうち特に重要だったのは、EU個人データ保護指令(2018年からはGDPR:EU一般データ保護規則)への対応です。
当時、日本はEUデータ保護指令における「十分性認定(EU域内と同等の個人情報保護水準にある国だとする認定)」を受けることを目指していました。
十分性認定を受けていない国は、EU域内からの個人データの移転について「標準契約条項(SCC)」(EUデータ保護指令第26条第4項、GDPR第46条)や「拘束的企業準則(BCR)」(EUデータ保護指令第26条第2項、GDPR第47条)へ対応しなければならないなど、厳しい制限がかかるためです。

EUデータ保護指令第8条やGDPR第9条では、特別なカテゴリのデータ("special categories of data")や特別なカテゴリの個人データ("special categories of personal data")として定められているセンシティブな情報の処理を原則として禁止しています。
十分性認定のためには日本もセンシティブな情報についてのルールを整える必要があり、そこで要配慮個人情報が新設されることになったのです。

なお、要配慮個人情報を定義するなどの取り組みを進めていった結果、日本は2019年1月23日付けでEUから十分性認定を受けていますが、ガイドラインによるルールの補完が必要とされています(後述)。

参考:GDPRの十分性認定とは?日本企業への影響と求められる対応

通常の個人情報と要配慮個人情報の違い

要配慮個人情報も個人情報
個人情報保護法において、通常の個人情報とは以下をいいます(同法第2条第1項第1号参照)。
「生存する個人に関する情報であって、氏名や生年月日等により特定の個人を識別することができるもの」

そして前述のとおり、要配慮個人情報は不当な差別や偏見につながりうるセンシティブな個人情報のうち特別な配慮が求められるものです。つまり、要配慮個人情報は通常の個人情報にも該当するということです。

要配慮個人情報に課される特別の規制は、3点あり、①取得、②漏えい、③第三者提供(オプトアウト)にかかるものです。つまり、①法令で定められた一部の例外を除いて、本人の同意を得ずに要配慮個人情報を取得することは禁止されており(個人情報保護法第20条第2項)、②要配慮個人情報の漏えい等はその件数を問わず常に報告や本人通知の対象となり(同法第26条第1項、同法施行規則第7条第1号)、③オプトアウト(一定条件下で本人の同意なく行える第三者提供)は禁止されます(同法第27条第2項但書)。
なお、一部に誤解があるようですが、現行法において、要配慮個人情報を仮名加工することや匿名加工することは可能であり(「個人情報の保護に関する法律についてのガイドライン」に関するQ&A14-6、同15-10)、この点において通常の個人情報との相違点はありません。

要配慮個人情報の具体例

では、具体的にどのような情報が要配慮個人情報に当たるのか見ていきましょう。「個人情報の保護に関する法律についてのガイドライン(通則編)」などを参考に、定義や具体例を紹介します。

※本記事執筆時点では、2023年12月一部改正版を参照しました。

人種

人種、世系又は民族的若しくは種族的出身を広く意味する。
民族的・種族的な出身が該当します。例えば「〇〇部落の出身」「日系〇世」「アイヌ民族」などの情報です(第189回国会衆議院内閣委員会第7号平成27年5月20日向井政府参考人発言)。国籍や「外国人であること」自体は要配慮個人情報に含まれません(法的な地位であって人種とは異なるとされています)。また肌の色も、あくまでも人種を推知させるだけの情報だとし、人種には含まれません。

信条

個人の基本的なものの見方、考え方を意味し、思想と信仰の双方を含むもの

信仰する宗教はもちろんのこと、政治的な主義や思想も含まれると考えられており、「政治・宗教等の団体に所属しているという事実」(「2017年2月28日付け結果公表パブコメ【別紙1】No.70)や、
特定の政党の党員であること」(2016年11月30日付け結果公表パブコメ【別紙2-1】」No.204)は要配慮個人情報に該当します。
他方、「いわゆる(政治的・宗教的)傾向企業に所属しているという事実」(2017年2月28日付け結果公表パブコメ【別紙1】No.70)や、「嗜好、嫌煙家であること、菜食主義であること、食べ物の好き嫌い」は信条に含まれないとされています(2016年11月30日付け結果公表パブコメ【別紙2-1】No.204)。
なお、「宗教に関する書籍の購買や貸出しに係る情報等」は、「当該情報だけでは、それが個人的な信条であるのか、単に情報の収集や教養を目的としたものであるのか判断することが困難であり」(「「個人情報の保護に関する法律についてのガイドライン」に関するQ&A1-27」)、信条を推知させる情報に過ぎず、「信条」には含まれないとされています(「ガイドライン通則編2-3)。

社会的身分

ある個人にその境遇として固着していて、一生の間、自らの力によって容易にそれから脱し得ないような地位を意味し、単なる職業的地位や学歴は含まない。

「被差別部落の出身であること」や「嫡出でない子であること」など、本人の努力で覆すことが困難な社会的身分が該当します(「第189回国会衆議院内閣委員会第7号平成27年5月20日向井政府参考人発言)。閑職についている、といった職業上の地位は含まれません。

社会的身分が上記のとおり個人に固着する地位であるのに対し、「門地」は「特殊の家系に基づく身分」を指し(「2017年2月28日付け結果公表パブコメ【別紙1】No.54)、いわゆる家柄を意味する点で違いがあり、「金融関連分野ガイドライン(金融分野における個人情報保護に関するガイドライン・信用分野における個人情報保護に関するガイドライン・債権管理回収業分野における個人情報保護に関するガイドライン)においては「機微(センシティブ)情報」に含まれています。 

なお、金融関連分野ガイドラインにおいては、門地のほか「本籍地」もセンシティブ情報に含まれていますが、これは「社会通念上、本籍地はプライバシー保護上厳正な管理が求められ、金融分野においても本籍地情報の取得について原則としてこれを行わないとの自主的な指針等が従来より明らかにされていること」によります(「金融審議会金融分科会特別部会(第16回)【資料2】「金融分野における個人情報保護に関するガイドライン」に対する主な意見」

病歴

病気に罹患した経歴を意味するもので、特定の病歴を示した部分(例:特定の個人ががんに罹患している、統合失調症を患っている等)が該当する。」 

病歴は、特定の個人が過去病気に罹患していた経歴や病気に罹患している情報を指します。「ハンセン病」に代表されるように、特定の病気を原因とした差別や偏見が過去にあったことを踏まえて立法化されています(「 感染症の予防及び感染症の患者に対する医療に関する法律前文参照)。 

この観点からは、一般的に罹患する可能性が高い軽微な病気(風邪や花粉症等)まで要配慮個人情報として保護する必要性があるかは疑問ですが、差別や偏見を招くおそれの有無の線引きが困難であることから、病気の種類や軽重を問わず要配慮個人情報として保護する必要性があるとされています(「平成28年10月5日付け結果公表パブコメ 【別紙2】No.156)。

なお、身長・体重・血圧等の健康に関する情報は、病気を推知させる情報に過ぎず「病歴」には該当しませんが、医師等による業務に関して知り得た場合は後記「健康診断等の結果」として要配慮個人情報に該当し得る点に注意が必要です(「ガイドライン通則編2-3(8) 参照)。

犯罪の経歴

前科、すなわち有罪の判決を受けこれが確定した事実が該当する。」 

犯罪行為をおこない、有罪判決を受けて確定した場合が該当します。受刑の経歴は有罪判決を受け確定した事実として要配慮個人情報に該当します。 
他方、犯罪行為が撮影された防犯カメラ映像については、「犯罪行為が疑われる映像が映ったのみでは、犯罪の経歴にも刑事事件に関する手続が行われたことにも当たらない」ことから、要配慮個人情報に該当しないとされています(「個人情報の保護に関する法律についてのガイドライン」に関するQ&A1-31)。また、刑罰以外の制裁(過料や行政処分等)を受けた事実は「犯罪の経歴」には該当せず、ある人が反社会的勢力に属しているという情報は、「犯罪の経歴」や「刑事事件に関する手続が行われたこと」に当たらないとされています(2016年10月5日結果付け公表パブコメ【別紙2】No.143)。

なお、刑事事件に関する手続が行われたものの無罪や不起訴になった場合は「3.10. 刑事手続を受けた事実」で紹介します。

犯罪により害を被った事実

身体的被害、精神的被害及び金銭的被害の別を問わず、犯罪の被害を受けた事実を意味する。

有罪の判決が確定した犯罪に限らず、刑事事件に関する手続に着手された犯罪の被害にあった事実は、要配慮個人情報に該当します。「過去に詐欺に遭った」「過去に性犯罪に遭った」などが該当します。これは、詐欺被害者の名簿にかかるオプトアウトを防ぐ趣旨であり、また性犯罪等被害者のプライバシーを保護する趣旨でもあります。

心身の障害

身体障害、知的障害、精神障害(発達障害を含む。)その他の個人情報保護委員会規則で定める心身の機能の障害があること(政令第 2 条第 1 号関係)

次のいずれかの心身の機能の障害があることを特定させる情報が該当します(ガイドライン通則編2-3(7)、個人情報保護法施行規則第5条)。
①身体障害者福祉法別表に掲げる身体上の障害
②知的障害者福祉法にいう知的障害
③精神保健及び精神障害者福祉に関する法律にいう精神障害
④治療方法が確立していない疾病その他の特殊の疾病であって障害者の日常生活及び社会生活を総合的に支援するための法律第4条第1項の政令で定めるものによる障害の程度が同項の主務大臣が定める程度であるもの

具体的には、「障害者手帳を交付されている情報」「医師から障害があると診断された情報」「外見上、明らかに障害があると判断できる情報(例えば映像や写真など)」などです。

健康診断などの結果

本人に対して医師その他医療に関連する職務に従事する者(次号において「医師等」という。)により行われた疾病の予防及び早期発見のための健康診断その他の検査(同号において「健康診断等」という。)の結果(政令第 2 条第 2 号関係)

健康診査・健康診断・特定健康診査・健康測定・ストレスチェック・遺伝子検査(診療の過程で行われたもの以外)など、受診者本人の健康状態が判明する検査の結果が該当します(ガイドライン通則編2-3(8) )。具体的には、労働安全衛生法に基づいて行われた健康診断の結果や同法に基づいて行われたストレスチェックの結果などです。なお、法律に定められた健康診査の結果等に限られず、人間ドックなど任意で実施する検査の結果や、医療機関を介さないで行われた遺伝子検査により得られた本人の遺伝型とその遺伝型の疾患へのかかりやすさに該当する結果等も含まれるとされています。

ただし、健康診断等を受診したこと自体や前述のとおり、フィットネスクラブで計測された場合など(2016年11月30日付け結果公表パブコメ【別紙2-1】No.215)、健康診断等とは関係のない形で入手された場合における身長・体重・血圧等の情報は、要配慮個人情報に該当しません。

診療・治療歴など

健康診断等の結果に基づき、又は疾病、負傷その他の心身の変化を理由として、本人に対して医師等により心身の状態の改善のための指導又は診療若しくは調剤が行われたこと(政令第 2 条第 3 号関係)

医師や薬剤師などから指導や治療を受けた事実も、要配慮個人情報に当たります。
こちらは、例えば「精神科などを受診した事実そのものが、差別や偏見を生じさせるおれのある情報であると考えられる」( 2016年11月30日付け結果公表パブコメ【別紙2-1】No.221)など、事実それ自体が「病気を推知又は特定させる可能性があることを勘案」して政令指定されているため(第10回個人情報保護委員会【資料1】「要配慮個人情報に関する政令の方向性について」 )、内容だけでなく、指導や治療、調剤を受けたこと自体も含まれますので、注意が必要です(「個人情報の保護に関する法律についてのガイドライン」に関するQ&A1-28)。

なお、金融関連分野ガイドラインにおいては、「保健医療」に関する情報がセンシティブ情報に含まれていますが、例えば、「医師等の診察等によらず、自己判断により市販薬を服用しているといったケース」が含まれるとされています(2017年2月28日付け結果公表パブコメ【別紙1】No.52)。

刑事手続を受けた事実

本人を被疑者又は被告人として、逮捕、捜索、差押え、勾留、公訴の提起その他の刑事事件に関する手続が行われたこと(犯罪の経歴を除く)(政令第 2 条第 4 号関係)

「3.5.犯罪の経歴」と関連して、「告訴、検察官への送致、不起訴等も含め、本人が被疑者又は被告人の立場として刑事事件に関して刑事訴訟法に基づく一切の手続を受けた事実」が含まれます(2016年11月30日結果公表パブコメ【別紙2-1】No.211)。起訴され無罪判決を受けたことも当然に含まれます。ポイントは、本人が被疑者又は被告人であるケースに限られる点です。本人以外の事件について証人や参考人として聴取を受けた事実は要配慮個人情報に該当しません(ガイドライン通則編2-3(10) )。

少年法による手続きを受けた事実

本人を少年法(昭和 23 年法律第 168 号)第 3 条第 1 項に規定する少年又はその疑いのある者として、調査、観護の措置、審判、保護処分その他の少年の保護事件に関する手続が行われたこと(政令第 2 条第 5 号関係)

「3.5. 犯罪の経歴」と「3.10. 刑事手続きを受けた事実」に関連した項目です。
>> 個人データ利用には同意取得を。取得から管理、各種ツール連携まで実現する方法とは?

要配慮個人情報に該当しないものは何か

金融関連分野ガイドラインにおけるセンシティブ情報には含まれるものの、要配慮個人情報に該当しない情報としては、以下の4つが挙げられます。

  • 本籍地
  • 労働組合への加盟
  • 保健医療
  • 性生活に関する事項

EU又は英国域内から提供された一部データの取り扱いには注意が必要

これらのうち、EU又は英国域内から十分性認定に基づき提供された個人データに含まれる性生活・性的指向・労働組合に関する情報については、要配慮個人情報と同様に取り扱う必要があります。

"EU又は英国域内から十分性認定に基づき提供を受けた個人データに、GDPR及び英国GDPRそれぞれにおいて特別な種類の個人データと定義されている性生活、性的指向又は労働組合に関する情報が含まれる場合には、個人情報取扱事業者は、当該情報について法第2条第3項における要配慮個人情報と同様に取り扱うこととする。"
出典:「個人情報の保護に関する法律に係るEU及び英国域内から十分性認定により移転を受けた個人データの取扱いに関する補完的ルール」(1)

これは、次のとおり、GDPR第9条第1項において労働組合への加入を明らかにする個人データ処理及び性生活や性的指向に関するデータ処理が禁止されていることを日本の個人情報保護法制に反映させる趣旨です。

"Processing of personal data revealing racial or ethnic origin, political opinions, religious or philosophical beliefs, or trade union membership, and the processing of genetic data, biometric data for the purpose of uniquely identifying a natural person, data concerning health or data concerning a natural person's sex life or sexual orientation shall be prohibited."
出典:GDPR第9条第1項

日本では性生活・性的指向に関する情報は要配慮個人情報に含まれない
なお、日本の個人情報保護法制において、労働組合に関する情報や性生活・性的指向に関する情報が要配慮個人情報に含まれないのは、次の理由によります。

"労働組合の組合員であることについては、日本において、半数以上がユニオンショップ協定を締結しているため、必ずしも秘匿性の高い情報とは言えず、また、労働組合員であることを理由とした不当労働行為等が労働組合法などで禁止をされております。こういった観点から、今回は要配慮個人情報としないこととしてはどうかと考えております。 "
引用:第5回個人情報保護委員会議事録23頁〔事務局説明〕

"性的指向と性自認、労働組合員であることに関しては、今、これらを入れるというのは、時期尚早なのではないかと思います。 (中略)
性的指向と性自認に関しては、どちらかというと、議論が一定の方向に収れんしているかというと、そこまでの合意はなさそうな気もします。 "
引用:第5回個人情報保護委員会議事録23-24頁〔丹野委員発言〕

日本での遺伝データ・生体データの取り扱いには注意が必要
その他、GDPRにおいて特別なカテゴリに属する個人データに含まれる遺伝データや生体データ("genetic data, biometric data for the purpose of uniquely identifying a natural person"target="_brank")について、日本の個人情報保護法制では次のような整理がされています。

"遺伝子検査により判明する情報の中には、差別、偏見につながり得るもの(例:将来発症し得る可能性のある病気、治療薬の選択に関する情報等)が含まれ得るが、当該情報は、「本人に対して医師その他医療に関連する職務に従事する者により行われた疾病の予防及び早期発見のための健康診断その他の検査の結果」(政令第2条第2号関係)又は「健康診断等の結果に基づき、又は疾病、負傷その他の心身の変化を理由として、本人に対して医師等により心身の状態の改善のための指導又は診療若しくは調剤が行われたこと」(政令第2条第3号関係)に該当し得る。"
ガイドライン通則編2-3※

このうち、消費者直販型遺伝子検査の結果(いわゆるDTC(direct to consumer)遺伝子検査の結果)は、それが「医師その他医療に関連する職務に従事する者」(個人情報保護法施行令第2条第2号)により行われ、かつ、疾病の予防及び早期発見のために行われたものである場合は、要配慮個人情報に該当します。(「個人情報の保護に関する法律についてのガイドライン」に関するQ&A1-29)

なお、生体データに関しては2024年6月27日公表の「個人情報保護法 いわゆる3年ごと見直しに係る検討の中間整理」において、「諸外国における法制度なども参考にしつつ、特に要保護性が高いと考えられる生体データについて、実効性ある規律を設けることを検討する必要がある」と提言されています(同4頁)。

参考:第275回個人情報保護委員会【資料1】個人情報保護法 いわゆる3年ごと見直し規定に基づく検討(個人の権利利益のより実質的な保護の在り方①)

推知情報は要配慮個人情報に該当しない
さらに、上記のほか、要配慮個人情報を推知させる情報にすぎないもの(「推知情報」)については、要配慮個人情報に該当しないとされています(ガイドライン通則編2-3)。

そこで、何が推知情報なのかが問題となりますが、必ずしも明確ではありません。ただ、個人情報保護委員会が公表している資料をベースとすると、次の2つのステップに分けて考えることができます。
つまり、①取得し又は取得した情報の情報源等に照らし、当該情報が真実といえるかどうかを検討し(「個人情報の保護に関する法律についてのガイドライン」に関するQ&A4-10、2016年11月30日付け結果公表パブコメ【別紙2-1】No.217・No.249)、②当該情報が真実であるといえる場合に、当該情報から一義的に導き出される事実それ自体が不当な差別又は偏見を招くおそれのある法定の要配慮個人情報に該当するかどうか(2016年11月30日付け結果公表パブコメ【別紙2-1】No.237)を検討します。①②いずれにおいても否定の場合は、推知情報に過ぎない、という整理になります。

推知情報は要配慮個人情報に該当しないため、推知情報により個人データを作成したとしても要配慮個人情報には該当しないとされており(2016年11月30日付け結果公表パブコメ【別紙2-1】No.249)、推知情報を含む個人情報を利用した「プロファイリング」(パーソナルデータ+α研究会による「プロファイリングに関する最終提言」(2022年4月22日公表)4頁によれば「パーソナルデータとアルゴリズムを用いて、特定個人の趣味嗜好、能力、信用力、知性、振舞いなどを分析又は予測すること」を意味しますがGDPRとは異なる定義です)により要配慮個人情報に相当する情報を推知することは、日本の個人情報保護法制においては禁止されていません。

"'profiling' means any form of automated processing of personal data consisting of the use of personal data to evaluate certain personal aspects relating to a natural person, in particular to analyse or predict aspects concerning that natural person's performance at work, economic situation, health, personal preferences, interests, reliability, behaviour, location or movements;"

引用:GDPR第4条第4号

ただし、プロファイリング等本人に関する行動・関心等の情報を分析する処理を行う場合、分析結果をどのような目的で利用するかのみならず、前提としてそのような分析処理を行うことを含めて、利用目的を特定する必要がある点に留意が必要です(ガイドライン通則編3-1-1、「個人情報の保護に関する法律についてのガイドライン」に関するQ&A2-1)。

他方、放送受信者等の個人情報保護に関するガイドライン第42条第1項は、視聴履歴から要配慮個人情報を推知する行為をしないよう注意しなければならないとしています。

"視聴者特定視聴履歴を取り扱うに当たっては、要配慮個人情報を推知し、又は第三者に推知させることのないよう注意しなければならない。"
出典:放送受信者等の個人情報保護に関するガイドライン

これは、次のような考慮によるものです(放送受信者等の個人情報保護に関するガイドラインの解説7-3-1)。

  • 日常の視聴履歴を蓄積することにより取得する個人情報は、多様かつ膨大になり得るものであり、その分析により、放送受信者等の趣味・嗜好等について、高い確度で推知することが可能となる
  • 分析の方法によっては、趣味・嗜好等にとどまらず、放送受信者等の信条等の要配慮個人情報まで、推知することが可能となるおそれがある
  • 膨大なデータに基づく分析により、要配慮個人情報を推知する行為は、「真実らしく受け取られる情報」の取得としてプライバシー権を侵害する可能性や、ひいては、要配慮個人情報の取得につながるおそれも否定できない

このような考慮は、いわゆるプロファイリングによるデータ分析に関しても同じく必要となります。

この点、情報銀行事業に関する民間の認定スキームについてですが、次のとおり、プロファイリングにより要配慮個人情報を推知すること自体、本人に重大な不利益を及ぼす可能性がある場合は、本人同意を得ることが望ましいとされています。

"要配慮個人情報等を推知することにより利用者個人に重大な不利益を与える可能性のあるプロファイリングについては、当該プロファイリングを「要配慮プロファイリング」として、要配慮プロファイリングを取り扱うことのみならず、分析・予測に含まれるロジック(実施する場合)や、利用者個人への影響・リスクに関する有意な情報について明示し、本人同意を得ることが望ましい。"
出典:「情報信託機能の認定に係る指針Ver3.0」21頁

プロファイリング等により高い確度で要配慮個人情報を推知することが上記ステップ①を満たし「確定情報」(「個人情報の保護に関する法律についてのガイドライン」に関するQ&A4-10)といえるのか難しい問題ですが、そもそも、真実ではない情報(フェイク)で、かつ、当該情報により導き出される事実が不当な差別又は偏見を招くおそれのある法定の要配慮個人情報に該当する場合、より一層、当該情報は処理されるべきではないといえるのではないでしょうか。

"Notwithstanding the first subparagraph, an AI system referred to in Annex III shall always be considered to be high-risk where the AI system performs profiling of natural persons."
EU Artificial Intelligence Act第6条第3項後段

要配慮個人情報に対してかかる規制

要配慮個人情報に該当するデータは限定的であるとはいえ、取り扱いに特別な注意が求められます。では、企業は要配慮個人情報に対してどのように向き合えばよいのでしょうか。

要配慮個人情報の取得や保管はNG?

それでも、企業の場合、特に人事・労務関係の場面において(採用や健康診断等)、どうしても要配慮個人情報を取得しなければならないタイミングは存在します。
その場合には、取得につき法定の要件(個人情報保護法第20条第2項、同法施行令第9条)を満たしているか確認することが必要です。

原則として、要配慮個人情報の取得には本人の同意を得ることが必要です。例外として実務上重要なものは、以下のの4つです。

  1. 法令に基づく場合(個人情報保護法第20条第2項第1号)
  2. 本人等により公開されている場合(同項第7号)
  3. 本人を目視し又は撮影することにより、その外形上明らかな場合(同項第8号、同法施行令第9条第1号)
  4. 委託や共同利用による場合(同条第2号)

採用手続時の履歴書や面接応対において、応募者本人から直接要配慮個人情報を取得する場合は、本人の同意があると考えてよいでしょう。

なお、応募者のSNSチェックやリファレンスチェックに関しては、個人情報保護法以外に職業安定法の規律にも注意が必要です。

例えば、応募者がSNSにアップロードしている情報が要配慮個人情報であるとしても、それは本人が自ら公開しているものであり、本人同意なく取得可能ですが、職業安定法に基づく指針によれば、人種・民族等社会的差別の原因となるおそれのある事項、思想・信条・労働組合への加入状況は業務目的の達成に必要不可欠であり、かつ、収集目的を示して本人から直接収集する以外の方法で収集してはならないとされています。

また、労働安全衛生法に基づく健康診断(同法第66条)の結果を、当該健康診断の実施主体である事業者が医師等から取得することは、法令に基づく場合といえます。また、事業者が健康保険法第150条第2項に基づく健保組合の求めに応じて健診結果を提供する場合も、法令に基づく場合に該当します( 「健康保険組合等における個人情報の適切 な取扱いのためのガイダンス」を補完する事例集(Q&A)問338)

これらの法定の要件を満たさずに要配慮個人情報を取得した場合、個人情報保護法違反となるおそれがあるほか、プライバシー権の侵害として不法行為に基づく損害賠償請求や差止請求等を受けるリスクがあります。

  • 苦情の申出(個人情報保護法第40条)
  • 監督機関の報告・立入検査(同法第146条)
  • 指導・助言(同法第147条)
  • 勧告・命令・緊急命令・公表(命令違反は罰則)(同法第148条、第178条、第184条)
  • (保有個人データとして取り扱う場合)利用停止等請求(同法第35条第1項)

一方、保管に関しては、要配慮個人情報だからといって特別なルールが課されるわけではありません。通常の個人情報・個人データと同様、個人情報保護法第23条に基づき適切な安全管理措置を講じる必要があります。
なお、要配慮個人情報の性質を考慮すると、特に漏えい時のリスクが高いことから(同法第26条第1項、同法施行規則第7条第1号)、より厳重な注意を払うべきでしょう。

    パスワードの設定、端末や保管室へ物理的にカギをかけるなどのセキュリティ対策
    社員研修などにより、要配慮個人情報の重要性を社内へ浸透させる
    必要でなくなった段階で速やかにデータを消去する

上記のような対策が徹底できるよう、社内の情報管理体制を今一度見直していく姿勢が企業には求められています。

取得を要する事態をなるべく避ける

「事前同意の取得」「オプトアウトの禁止」などのルールを守るのも大切ですが、最も大切なことは、できるだけ要配慮個人情報を取得しないことです。
要配慮個人情報は通常の個人情報よりもセンシティブで、万が一漏えいや不正利用などの事故を起こした場合、一個人に対して大きな被害を与えてしまう危険性を抱えることになりますし、企業としても報告や本人通知の対応にコストをかけなければならなくなります。業務上どうしても必要な情報以外は取得しないことが最良のリスクマネジメントでしょう。

まとめ

ここまで、「要配慮個人情報」とは何か、その概要や、具体的に該当する情報などを紹介してきました。
本文中でも触れたとおり、要配慮個人情報は、個人情報のなかでも差別や偏見につながりかねない情報を含むもので、取扱いには細心の注意が求められます。AIを利用したプロファイリングによる要配慮個人情報の推知に関しても、EUの例のように規制される可能性もあります。速やかに社内での枠組みを定めておきましょう。

公開日:2021年1月26日

パーソナルデータの取扱いにお悩みの方に

  • 海外ツールは同意取得バナーがごちゃごちゃしていてわかりにくい…
  • 誰にどこまで同意を取ったか管理するのが大変…
  • ツールを導入するたびに手作業で全部同意を取り直すのは面倒…
  • 同意は管理できても他社システムを上手く連携して使えないと…

Trust 360で、すべて解決!