要配慮個人情報と個人情報の相違点を解説
2017年施行の個人情報保護法改正により、要配慮個人情報が定められました。
要配慮個人情報は「単に個人情報の一種なのでは」と思われるかもしれませんが、企業にとって曖昧な認識では許されない事項です。
本記事では、要配慮個人情報の概要や設定された理由、具体例や企業に求められる姿勢について説明します。
要配慮個人情報とは?
要配慮個人情報は、個人情報保護法の事項で「本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める記述等が含まれる個人情報(引用:改正個人情報保護法第二条第三項)」と定義されています。
つまり、偏見や差別につながりうるセンシティブな個人情報が要配慮個人情報です。要配慮個人情報の取得や提供は、通常の個人情報以上に厳しいルールが設定されています。
要配慮個人情報は2005年の個人情報保護法施行時には定義されておらず、2017年施行の「改正個人情報保護法」にて定められました。設定された理由として、
- 個人情報(センシティブな個人情報を含む)を不正取得する事件が相次いでいたこと
- 「EU個人データ保護指令」への対応が求められていたこと
の2つが挙げられます。
特に重要だったのは、「EU個人データ保護指令(2018年からはGDPR:EU一般データ保護規則)」への対応です。
当時、日本はEU個人データ保護指令における「十分性認定(EU域内と同等の個人情報保護水準にある国だとする認定)」を目指していました。
十分性認定を受けていない国は、EU域内からの個人データの移転について「標準契約条項(SCC)」や「拘束的企業準則(BCR)」へ対応しなければならないなど、著しい制限がかかるためです。
EU個人データ保護指令では、センシティブな情報の取得を原則禁止しています。十分性認定のためには日本もセンシティブな情報についてのルールを整える必要があり、そこで要配慮個人情報が誕生することになったのです。
なお、要配慮個人情報を定義するなどの取り組みを進めていった結果、日本は2019年1月23日から十分性認定を受けています。
一般的な個人情報と要配慮個人情報の違い
個人情報保護法において、一般的な個人情報とは「生存する個人に関する情報であって、氏名や生年月日等により特定の個人を識別することができるもの(引用:個人情報保護法ハンドブック)」を指します。
前述のとおり、要配慮個人情報は「個人情報のなかでも偏見や差別につながりうるセンシティブなもの」です。つまり、要配慮個人情報は一般的な個人情報の一部に該当します。
定義以外の両者の違いには、「取得の違い」と「第三者提供(オプトアウト)の違い」が挙げられます。
要配慮個人情報は、取得および第三者提供に特別な制限がかかります。法令で定められた一部の例外を除いて、本人の同意を得る前に要配慮個人情報を取得することは禁止されており、またオプトアウト(一定条件下でおこなえる直接的な本人同意なしの第三者提供)も不可能です。
どのような情報が要配慮個人情報に該当するのか
では、具体的にどのような情報が要配慮個人情報に当たるのか見ていきましょう。「個人情報の保護に関する法律についてのガイドライン(通則編)」を参考に、定義や具体例を紹介します。
人種
「人種、世系又は民族的若しくは種族的出身を広く意味する。」
民族的・種族的な出身が該当します。例えば「〇〇部落の出身」「日系〇世」「アイヌ民族」などの情報です。国籍や「外国人であること」自体は要配慮個人情報に含まれません(法的な地位であって人種とは異なるとされています)。また肌の色も、あくまでも人種を類推させるだけの情報だとし、人種の情報に該当しません。
信条
「個人の基本的なものの見方、考え方を意味し、思想と信仰の双方を含むもの」
信仰する宗教はもちろんのこと、「金融分野における個人情報保護に関するガイドライン」によると、政治的な思想も該当すると考えられています。
社会的身分
「ある個人にその境遇として固着していて、一生の間、自らの力によって容易にそれから脱し得ないような地位を意味し、単なる職業的地位や学歴は含まない。」
「被差別部落の出身であること」や「非嫡出子であること」など、本人の努力で覆すことが困難な社会的身分が該当します。閑職についている、といった職業上の地位は含まれません。
病歴
「病気に罹患した経歴を意味するもので、特定の病歴を示した部分(例:特定の個人ががんに罹患している、統合失調症を患っている等)が該当する。」
病歴は、言葉のとおり過去に何らかの病気にかかった情報を指します。「ハンセン病」に代表されるように、病気を原因とした差別や偏見が過去にあったことから定義されています。
犯罪の経歴
「前科、すなわち有罪の判決を受けこれが確定した事実が該当する。」
犯罪行為をおこない、有罪判決を受けた場合が該当します。無罪や不起訴になった場合は「3.10. 刑事手続きを受けた事実」でご紹介します。
犯罪により害を被った事実
「身体的被害、精神的被害及び金銭的被害の別を問わず、犯罪の被害を受けた事実を意味する。」
刑事事件により犯罪被害にあった事実も要配慮個人情報の対象です。「過去に詐欺にあった」などが該当します。
心身の障害
「身体障害、知的障害、精神障害(発達障害を含む。)その他の個人情報保護委員会規則で定める心身の機能の障害があること(政令第 2 条第 1 号関係)」
該当するのは、「障害者手帳を交付されている」「医師から障害があると診断された」「外見上、明らかに障害があると判断できる情報(例えば映像や写真など)」などです。
健康診断などの結果
「本人に対して医師その他医療に関連する職務に従事する者(次号において「医師等」という。)により行われた疾病の予防及び早期発見のための健康診断その他の検査(同号において「健康診断等」という。)の結果(政令第 2 条第 2 号関係)」
健康診断の結果(任意の診断も含む)が該当します。ただし「健康診断を受けたこと」自体は該当しません。また身長や体重、血圧などの情報を健康診断とは関係のない形で入手した場合も、要配慮個人情報に含まれません。
診療・治療歴など
「健康診断等の結果に基づき、又は疾病、負傷その他の心身の変化を理由として、本人に対して医師等により心身の状態の改善のための指導又は診療若しくは調剤が行われたこと(政令第 2 条第 3 号関係)」
医師や薬剤師などから指導や治療を受けた事実も、要配慮個人情報として取り扱われます。こちらは内容だけでなく、「指導や治療を受けたこと」自体も含まれるため注意が必要です。
刑事手続きを受けた事実
「本人を被疑者又は被告人として、逮捕、捜索、差押え、勾留、公訴の提起その他の刑事事件に関する手続が行われたこと(犯罪の経歴を除く)(政令第 2 条第 4 号関係)」
「3.5.犯罪の経歴」と関連して、こちらは無罪や不起訴処分になったものを指します。ポイントは、本人が被疑者あるいは被告人であるケースに限られる点です。「本人以外の事件について参考人などとして聴取を受けた」といったケースには該当しません。
少年法による手続きを受けた事実
「本人を少年法(昭和 23 年法律第 168 号)第 3 条第 1 項に規定する少年又はその疑いのある者として、調査、観護の措置、審判、保護処分その他の少年の保護事件に関する手続が行われたこと(政令第 2 条第 5 号関係)」
「3.5. 犯罪の経歴」と「3.10. 刑事手続きを受けた事実」に関連した項目です。
要配慮個人情報に該当しないものは何か
一方で、企業として覚えておきたい要配慮個人情報に該当「しない」情報として、以下の4点が挙げられます。
- 本籍地
- 勤労者の団結権、団体交渉その他団体行動の行為に関する事項
- 集団示威行為への参加、請願権の行使その他の政治的権利の行使に関する事項
- 性生活に関する事項
出典:一般社団法人中部産業連盟Pマーク審査センター「JISQ15001規格改正に伴う新審査基準の説明(主に更新事業者向け)」より抜粋・引用
これらは、一般財団法人日本情報経済社会推進協会の認定する「プライバシーマーク制度(JIS Q 15001:2006)」において「特定の機微な個人情報」として定められていたものです。
前述のとおり、2005年施行の個人情報保護法には要配慮個人情報に相当する枠組みは存在しませんでした。しかし、当時から個人情報保護法よりも厳格な保護水準を定めるプライバシーマークでは、センシティブな情報を「特定の機微な個人情報」と独自に分類し、その取り扱いに注意を求めていました。
2017年の要配慮個人情報の誕生に伴い、現在では「特定の機微な個人情報」は廃止され、プライバシーマークでも要配慮個人情報の定義が取り入れられています。
要配慮個人情報に対して企業に求められる姿勢
要配慮個人情報に該当するデータは限定的であるとはいえ、取り扱いに特別な注意が求められます。では、企業は要配慮個人情報に対してどのように向き合えばよいのでしょうか。
取得を要する事態をなるべく避ける
「事前同意の取得」「オプトアウトの禁止」などのルールを守るのも大切ですが、最も大切なことは、できるだけ要配慮個人情報を取得しないことです。
要配慮個人情報は通常の個人情報よりもセンシティブで、万が一流失や不正利用などの事故を起こした場合、一個人に対して大きな被害を与えてしまう危険性を抱えることになります。業務上どうしても必要な情報以外は取得しないことが最良のリスクマネジメントでしょう。
人材の採用や健康診断など要配慮個人情報の取得が必要な際の注意点
それでも、採用や健康診断時など、どうしても要配慮個人情報を取得しなければならないタイミングは存在します。その場合には、以下の「要配慮個人情報を例外的に本人同意なしで取得できる条件」を満たしていないか確認してみましょう。
(適正な取得)
第十七条 個人情報取扱事業者は、偽りその他不正の手段により個人情報を取得してはならない。
2 個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、要配慮個人情報を取得してはならない。
一 法令に基づく場合
二 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
三 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
四 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
五 当該要配慮個人情報が、本人、国の機関、地方公共団体、第七十六条第一項各号に掲げる者その他個人情報保護委員会規則で定める者により公開されている場合
六 その他前各号に掲げる場合に準ずるものとして政令で定める場合
引用:「個人情報の保護に関する法律」
(要配慮個人情報を本人の同意なく取得することができる場合)
第七条 法第十七条第二項第六号の政令で定める場合は、次に掲げる場合とする。
一 本人を目視し、又は撮影することにより、その外形上明らかな要配慮個人情報を取得する場合
二 法第二十三条第五項各号(法第三十五条の二第六項の規定により読み替えて適用する場合及び法第三十五条の三第二項において読み替えて準用する場合を含む。)に掲げる場合において、個人データである要配慮個人情報の提供を受けるとき。
引用:「個人情報の保護に関する法律施行令」
例えば、人材採用時に必要な写真撮影などは「⑥-1」に該当する可能性があると考えられます。健康診断についても、放射線や鉛などを取り扱う有害業務に従事させた後など、労働安全衛生法に基づき行うものであれば「①」に該当し得るでしょう。
要配慮個人情報の取得や保管はNG?
上記の例外に該当しない場合には、要配慮個人情報の取得には本人の同意が必須です。
一方、保管に関しては、法律上の定義では要配慮個人情報だからといって特別なルールがあるわけではありません。通常の個人データと同様、個人情報保護法第20条に基づき適切な安全管理措置を講じる必要があります。
しかし、要配慮個人情報の性質を考慮すると、たとえ具体的に定められていなくても、より厳重な注意を払うべきでしょう。
- パスワードの設定、端末や保管室へ物理的にカギをかけるなどのセキュリティ対策
- 社員研修などにより、要配慮個人情報の重要性を社内へ浸透させる
- 必要でなくなった段階で速やかにデータを消去する
上記のような対策が徹底できるよう、社内の情報管理体制を今一度見直していく姿勢が企業には求められています。
まとめ
ここまで、「要配慮個人情報」とは何か、その概要や、具体的に該当する情報などを紹介してきました。
本文中でも触れたとおり、要配慮個人情報は、個人情報のなかでも偏見や差別につながりかねない情報を含むものです。法律や倫理の面から、取り扱いには細心の注意が求められます。「プライバシー保護」が声高に叫ばれる現代においてこれを軽視することは、一個人に対して大きな被害を与えてしまう可能性があります。速やかに社内での枠組みを定めておきましょう。
公開日:2021年1月26日
パーソナルデータの取扱いにお悩みの方に
- 海外ツールは同意取得バナーがごちゃごちゃしていてわかりにくい…
- 誰にどこまで同意を取ったか管理するのが大変…
- ツールを導入するたびに手作業で全部同意を取り直すのは面倒…
- 同意は管理できても他社システムを上手く連携して使えないと…
で、すべて解決!