「要配慮個人情報」と「個人情報」の相違点を解説

法律 2021.01.26
「要配慮個人情報」と「個人情報」の相違点を解説

2017年施行の個人情報保護法改正により、要配慮個人情報が定められました。

要配慮個人情報は「個人情報の一種なのでは」と誤解されることもありますが、企業によって曖昧な認識では許されない必ず理解しておくべき事項です。

本記事では、要配慮個人情報の概要や設定された理由、具体例や企業に求められる姿勢について説明します。

1. 要配慮個人情報とは?

要配慮個人情報は、個人情報保護法の事項で「本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める記述等が含まれる個人情報(引用:改正個人情報保護法第二条第三項)」と定義されています。

つまり、偏見や差別につながりうるセンシティブな個人情報が要配慮個人情報です。要配慮個人情報の取得や提供は、通常の個人情報以上に厳しいルールが設定されています。

要配慮個人情報は2005年の個人情報保護法施行時には定義されておらず、2017年施行の「改正個人情報保護法」に定められました。設定された理由として、

  • 個人情報(センシティブな個人情報を含む)を不正取得する事件が相次いでいたこと
  • 「EU個人データ保護指令」への対応が求められていたこと

の2つが挙げられます。

特に重要だったのは

EU個人データ保護指令(2018年からはGDPR:EU一般データ保護規則)への対応です。

当時、日本はEU個人データ保護指令における「十分性認定(EU域内と同等の個人情報保護水準にある国だとする認定)」を目指していました。

十分性認定を受けていない国は、EU域内からの個人データの移転について「標準契約条項(SCC)」や「拘束的企業準則(BCR)」へ対応しなければならないなど、著しい制限がかかるためです。

EU個人データ保護指令では、センシティブな情報の取得を原則禁止しています。十分性認定のためには日本もセンシティブな情報についてのルールを整える必要があり、そこで要配慮個人情報が誕生することになったのです。

なお、要配慮個人情報を定義するなどの取り組みを進めていった結果、日本は2019年1月23日から十分性認定を受けています。

2. 一般的な個人情報と要配慮個人情報の違い

個人情報保護法において、一般的な個人情報とは「生存する個人に関する情報であって、氏名や生年月日等により特定の個人を識別することができるもの(引用:個人情報保護法ハンドブック)」を指します。

前述のとおり、要配慮個人情報は「個人情報のなかでも偏見や差別につながりうるセンシティブなもの」です。つまり、要配慮個人情報は一般的な個人情報の一部ということになります。

定義以外の両者の違いには、「取得の違い」と「第三者提供(オプトアウト)の違い」が挙げられます。

要配慮個人情報は、取得および第三者提供に特別な制限がかかります。法令で定められた一部の例外を除いて、本人の同意を得る前に要配慮個人情報を取得することは禁止されており、またオプトアウト(一定条件下でおこなえる直接的な本人同意なしの第三者提供)も不可能です。

3. どのような情報が要配慮個人情報に該当するのか

では、具体的にどのような情報が要配慮個人情報に当たるのか見ていきましょう。「個人情報の保護に関する法律についてのガイドライン(通則編)」を参考に、定義や具体例を紹介します。

3.1. 人種

人種、世系又は民族的若しくは種族的出身を広く意味する。

民族的・種族的な出身が該当します。例えば「〇〇部落の出身」「日系〇世」「アイヌ民族」などの情報です。国籍や「外国人であること」自体は要配慮個人情報に含まれません(法的な地位であって人種とは異なるとされています)。また肌の色も、あくまでも人種を類推させるだけの情報だとし、人種の情報に該当しません。

3.2. 信条

個人の基本的なものの見方、考え方を意味し、思想と信仰の双方を含むもの

信仰する宗教はもちろんのこと、「金融分野における個人情報保護に関するガイドライン」によると、政治的な思想も該当すると考えられています。

3.3. 社会的身分

ある個人にその境遇として固着していて、一生の間、自らの力によって容易にそれから脱し得ないような地位を意味し、単なる職業的地位や学歴は含まない。

「被差別部落の出身であること」や「非嫡出子であること」など、本人の努力で覆すことが困難な社会的身分が該当します。閑職についている、といった職業上の地位は含まれません。

3.4. 病歴

病気に罹患した経歴を意味するもので、特定の病歴を示した部分(例:特定の個人

ががんに罹患している、統合失調症を患っている等)が該当する。

病歴は、言葉のとおり過去に何らかの病気にかかった情報を指します。「ハンセン病」に代表されるように、病気を原因とした差別や偏見が過去にあったことから定義されています。

3.5. 犯罪の経歴

前科、すなわち有罪の判決を受けこれが確定した事実が該当する。

犯罪行為をおこない、有罪判決を受けた場合が該当します。無罪や不起訴になった場合は「3.10. 刑事手続きを受けた事実」でご紹介します。

3.6. 犯罪により害を被った事実

身体的被害、精神的被害及び金銭的被害の別を問わず、犯罪の被害を受けた事実を意味する。

刑事事件により犯罪被害にあった事実も要配慮個人情報の対象です。「過去に詐欺にあった」などが該当します。

3.7. 心身の障害

身体障害、知的障害、精神障害(発達障害を含む。)その他の個人情報保護委員会規則で定める心身の機能の障害があること(政令第 2 条第 1 号関係)

該当するのは、「障害者手帳を交付されている」「医師から障害があると診断された」「外見上、明らかに障害があると判断できる情報(例えば映像や写真など)」などです。

3.8. 健康診断などの結果

本人に対して医師その他医療に関連する職務に従事する者(次号において「医師等」という。)により行われた疾病の予防及び早期発見のための健康診断その他の検査(同号において「健康診断等」という。)の結果(政令第 2 条第 2 号関係)

健康診断の結果(任意の診断も含む)が該当します。ただし「健康診断を受けたこと」自体は該当しません。また身長や体重、血圧などの情報を健康診断とは関係のない形で入手した場合も、要配慮個人情報に含まれません。

3.9. 診療・治療歴など

健康診断等の結果に基づき、又は疾病、負傷その他の心身の変化を理由として、本人に対して医師等により心身の状態の改善のための指導又は診療若しくは調剤が行われたこと(政令第 2 条第 3 号関係)

医師や薬剤師などから指導や治療を受けた事実も、要配慮個人情報として取り扱われます。こちらは内容だけでなく、「指導や治療を受けたこと」自体も含まれるため注意が必要です。

3.10. 刑事手続きを受けた事実

本人を被疑者又は被告人として、逮捕、捜索、差押え、勾留、公訴の提起その他の刑事事件に関する手続が行われたこと(犯罪の経歴を除く)(政令第 2 条第 4 号関係)

「3.5.犯罪の経歴」と関連して、こちらは無罪や不起訴処分になったものを指します。ポイントは、本人が被疑者あるいは被告人であるケースに限られる点です。「本人以外の事件について参考人などとして聴取を受けた」といったケースには該当しません。

3.11. 少年法による手続きを受けた事実

本人を少年法(昭和 23 年法律第 168 号)第 3 条第 1 項に規定する少年又はその疑いのある者として、調査、観護の措置、審判、保護処分その他の少年の保護事件に関する手続が行われたこと(政令第 2 条第 5 号関係)

「3.5. 犯罪の経歴」と「3.10. 刑事手続きを受けた事実」に関連した項目です。

4. 要配慮個人情報に対して企業に求められる姿勢

要配慮個人情報に該当するデータは多岐に渡り、取り扱いに特別な注意が求められます。では、企業は要配慮個人情報に対してどのように向き合えばよいのでしょうか。

「事前同意の取得」「オプトアウトの禁止」などのルールを守るのも大切ですが、最も大切なのは、できるだけ要配慮個人情報を取得しないことです。

要配慮個人情報は通常の個人情報よりもセンシティブで、万が一流失や不正利用などの事故を起こした場合、一個人に対して大きな被害を与えてしまう危険性を抱えることになります。業務上どうしても必要な情報以外は取得しないことが最良のリスクマネジメントでしょう。

どうしても要配慮個人情報を取得しなければならない場合には、不適切な取り扱いをおこなわないよう最大限の注意を払いましょう。保管に際しても、デジタルデータであればパスワードをかけたりアクセスできる人数を最小限にする、アナログであれば金庫など不特定多数の人間が触れない場所に保管するといった工夫が必要です。

また、社員に対して個人情報保護の意識を持つよう教育するうえで、要配慮個人情報の重要性についても十分に伝えておくことも必要です。

5. まとめ

ここまで、「要配慮個人情報」とは何か、その概要や、具体的に該当する情報などを紹介してきました。

本文中でも触れたとおり、要配慮個人情報は、個人情報のなかでも偏見や差別につながりかねない情報を含むものです。法律や倫理の面から、取り扱いには細心の注意が求められます。「プライバシー保護」が声高に叫ばれる現代においてこれを軽視することは、一個人に対して大きな被害を与えてしまう可能性があります。速やかに社内での枠組みを定めておきましょう。