GTM-MML4VXJ
Skip to main content

English

Japan

  1. ホーム >
  2. コラム >
  3. オピニオン >
  4. シリーズ【個人情報保護はこう変わる】(3)要配慮個人情報を明確に定義

シリーズ【個人情報保護はこう変わる】(3)要配慮個人情報を明確に定義

-情報の種類と本人同意の必要性など留意が必要-

2016年10月31日(月曜日)

1.要配慮個人情報とは何か

要配慮個人情報とは、慎重な取り扱いを要する個人情報のことであり、従来、機微な情報とかセンシティブ情報などと呼ばれていたものです。従来、法令で必ずしも明確には定義されていなかった情報です。定義したルールおよび名称を例示します。

【図表1】従来、機微情報等を定義したルールの例
ルールの例 名称
プライバシーマーク規格(JIS15001) 機微な個人情報
厚労省・経産省 個人情報保護ガイドライン 機微に触れる情報、機微にわたる個人データ(以上の2つの表現)
金融庁 個人情報保護ガイドライン 機微(センシティブ)情報

機微な情報には、本籍地、政治的見解などが含まれます。これら本籍地、思想信条などは、通常の感覚としては自分から提供したくないし、相手から収集することも控えてきました。例えば、銀行口座を作るために運転免許証を提示すると、銀行職員は免許証のコピーをとりますが、機微な情報である本籍地の記載欄は黒塗りをして保管します。このような処置をすると、銀行側は本籍地を収集したことにならないとみなされるためです。

では、現代において、本籍地が機微な情報なのかと考えると、必ずしもそうではないと考えます。なぜならば本籍地は自由に変更できるためです。しかし、今も本籍地は機微な情報として捉えられています。それは、はるか以前に差別を受けた地域であっても、生まれ育った人が、現時点で差別を受けないとは断言できないためです。

また労働組合への加盟に関する情報も含まれます。ですが、一般社員の労働組合加入が義務付けられるユニオンショップ制(多くの大企業で採用されている)をとっている会社の一般社員にとっては、機微な情報とは考えられません。労組支部の役員といっても、組合活動を望まなくても誰かを選任しなければならないため、例えば内勤の一般社員がやむなく支部役員になることも少なくないのではないでしょうか。

さらに宗教に関する情報は、社員から通常は収集することはありません。しかし宗教法人における職員採用については例外的に認められると考えます。正反対の行動をとる宗教の信者を雇い入れて、職員が自身の信教のために、ある宗教行事を拒否されたといった事態が起これば円滑な業務遂行は望めないからです。

このように、要配慮個人情報は、一律で配慮することではなく、本人に対してどの程度深く配慮をしなくてはいけないのかを検討したうえで取り扱いを決定しなければなりません。

2.なぜ要配慮個人情報を明確に定義したのか

2017年春に全面施行(予定)となる改正個人情報保護法では、これらの情報を要配慮個人情報として法律の条文として明確に定義しました。定義した理由は、様々な理由がありますが、一番の理由はグローバル対応です。具体的には、EUのルールに近づけるためと言っていいでしょう。なお、EUのルールどおりではなく、日本流にアレンジしており、前述の労働組合への加盟については、含まれておりません。

3.要配慮個人情報の定義はどうなったのか

本人にとって差別などの不利益を被るおそれがある個人情報であり、次のように3つに分類できます。(法令で定義された内容は後述します。)

【図表2】新しく定義された要配慮個人情報のカテゴリ
1 人の特性に関する情報(人種、信条、社会的身分など)
2 病歴や身体の状況に関する情報
3 犯罪・非行等に関する情報

これらは、自身の問題として考えれば、他人に教えたくなければ、また知られたくもない情報です。

また、これらの情報には実際には異なるが、他人から想像できる情報も含まれます。例えば、罪が無いにもかかわらず逮捕され、裁判では無罪となったケースにおいても、逮捕された事実自体を要配慮個人情報として取り扱わなければなりません。

4.要配慮個人情報を収集する場合の留意事項は何か

改正個人情報保護法では、要配慮個人情報の取得は、特別に認められた場合を除いて原則禁止としています。また、事前に本人の同意が必要と規定しました。

したがって、業務遂行上、最低限の要配慮情報のみ取り扱うようにすることがまず重要であり、取り扱う場合は本人の事前同意を得なければなりません。

【図表3】要配慮個人情報の取得における要件
現行 改正後
要配慮個人情報の取得時に必要な要件 利用目的の明示 利用目的の明示および
本人の事前の同意(注1

しかし、「病歴や身体の状況に関する情報」に関しては、通常、行っている健康診断などにおいては、今までの取り扱いと実務上異なることはないため、それほど神経質になる必要はありません。医療現場における無用な混乱等を招かないような配慮がなされています。

2016年10月に公開された個人情報保護ガイドライン案(通則編)では、要配慮個人情報の収集や提供について、法令に基づく場合、人の生命・身体などの保護のためやむを得ないケースなど、本人同意が不要な例を規定しています。

  • (1)会社で行う健康診断によって社員の身体状況や病状を取得する場合
    (根拠:労働安全衛生法に基づく)
  • (2)急病などの事態が生じたとき、本人の病歴等を医療機関へ通知する場合
    (根拠:人の生命などの保護)
  • (3)事業者間において、不正対策のため、暴力団等の犯罪履歴などの情報を共有する場合
    (根拠:法人の権利利益の保護)

以上のような例外も許容されていることから、実務において、本人同意を得て、要配慮個人情報を取得するケースは稀なケースと考えられます。例えば、前述した、宗教法人において本人の信教情報を取得するようなケースが考えられます。

5.オプトアウト方式で要配慮個人情報を第三者提供することは禁止

「オプトアウト」とは、市販されている住宅地図で用いられる収集と第三者提供の同様の方法です。例えば、戸建住宅を持っている方は、住宅地図に姓が記載されています。自分が知らないうちに地図に載っている(=第三者提供されている)ことが通常であり、同意を求められることは、収集の場に居合わせない限り稀でしょう。しかし後に、所有者が地図への記載停止を求めれば、住宅地図作成会社は応じます。このように、後になって提供を停止できる方法を「オプトアウト」と呼びます。

一方、要配慮個人情報については、そもそも他人に知られたくない情報ですので、オプトアウト方式で第三者提供することは現状でも考えられません。そのため、改正法では明確に禁止と規定しました。

なお、通常の第三者提供(「オプトイン」と呼ぶ)においては、通常の個人情報と同様に事前の本人同意が必要となります。

6.プライバシーマークの認証を取得している事業者の対応

プライバシーマーク規格であるJIS15001とは、若干の差異があります。しかし、JIS15001は、法令にも準拠すると規定しています。したがって、改正個人情報保護法とJIS規格の双方を、センシティブ情報として扱うことが現実的な対応となります。

【図表4】プライバシーマーク制度における機微な個人情報の例示
  • 思想、信条、宗教
  • 人種、民族、門地、本籍地、身体・精神障害、犯罪歴その他社会的差別の原因となる事項
  • 勤労者の団結権、団体交渉その他団体行動の行為に関する事項
  • 集団示威行為への参加、請願権の行使その他の政治的権利の行使に関する事項
  • 保健医療、性生活

7.EUデータ規則との対応

2018年5月施行予定のEUデータ保護規則にも特別のカテゴリに関する個人情報の取り扱いのルールが規定されています。これも同様に原則取り扱いを禁止して、法令等で許される場合を、第2項以降で規定します。

【図表5】EUデータ保護規則における特別な種類の個人データ

EUデータ保護規則 第9条( 特別な種類の個人データの取扱い)
第1項 人種もしくは民族的素性、政治的思想、宗教的もしくは哲学的信条、または労働組合員資格に関する個人データの取扱い、および遺伝データ、自然人の一意な識別を目的とした生体データ、健康に関するデータ又は自然人の性生活若しくは性的嗜好に関するデータの取扱いは禁止する。

若干の相違点はありますが、要配慮個人情報の主旨からは、違和感はないものと考えます。EU居住者の個人情報を日本へ移転するといった場合は、差異に留意をしてください。

日本での要配慮個人情報には性に関する事項は含まれておりませんが、例えば、性同一性障害は医療における診断・治療行為であり、「病歴や身体の状況に関する情報」です。一方、いわゆるLGBT(注2)に関する情報については、特段の法律もなく、法令上の要配慮情報には直接該当しないと考えられますが、両者の区別については、実務上難しい面もあり、取り扱いには留意が必要です。

8.終わりに

以上、要配慮個人情報についてご説明しましたとおり、法令は改正されましたが、通常の取り扱いに関しては、それほど相違すべき事項はないと考えます。要配慮個人情報の定義は、今後とも適宜見直しが行われるものと想定できます。個人情報保護ガイドラインは概ね3年で見直しが行われてきましたので、改正された点、特に行ってはならないことについては事前の正しく理解したうえで、業務上の留意事項などを整理しておくことが重要です。

■改正個人情報保護法で定義された要配慮個人情報

【図表6】(ご参考)改正個人情報保護法で定義された要配慮個人情報
改正個人情報保護法 施行令(案)・施行規則(案)
1.本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実
2.本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するもの (1)身体障害、知的障害、精神障害(発達障害を含む。)等、心身の機能の障害があること。
①身体障害者福祉法における身体上の障害
②知的障害者福祉法における知的障害
③精神保健及び精神障害者福祉に関する法律における精神障害
④治療方法が確立していない疾病等による障害の程度が厚生労働大臣が定める程度であるもの
(2)本人に対して医師その他医療に関連する職務に従事する者により行われた健康診断その他の検査の結果
(3)健康診断その他の検査の結果に基づき、又は疾病、負傷その他の心身の変化を理由として、本人に対して医師その他医療に関連する職務に従事する者により心身の状態の改善のための指導又は診療若しくは調剤が行われたこと。
(4)本人を被疑者又は被告人として、逮捕、捜索、差押え、勾留、公訴の提起その他の刑事事件に関する手続が行われたこと。
(5)本人を非行少年又はその疑いのある者として、調査、観護の措置、審判、保護処分その他の少年の保護事件に関する手続が行われたこと。

注釈

(注1) : 本人の事前の同意:2016年10月公開のガイドライン案(通則編)では、本人から直接取得する場合、書面や口頭による提供をもって同意があったと解釈できると記載されています。現時点では、明示的な同意でなくとも黙字の同意であっても同意とみなすことができると理解しております。

(注2) : LGBT : 女性同性愛者(レズビアン、Lesbian)、男性同性愛者(ゲイ、Gay)、両性愛者(バイセクシュアル、Bisexual)、性同一性障害を含む性別越境者など(トランスジェンダー、Transgender)の人々を意味する頭字語

シリーズ【個人情報保護はこう変わる】

関連サービス

【個人情報マネジメント支援サービス】
PUSH型の情報提供やご相談などを通じて、マイナンバー制度や改正個人情報保護法への対応を側面からご支援します。月額払いも可能な、3種の基本サービスタイプをご用意しました。


上 茂之

上 茂之(うえ しげゆき)
株式会社富士通総研 金融・地域事業部 エキスパートコンサルタント 兼 富士通株式会社マーケティング戦略室番号制度推進室員
2007年富士通総研入社。これまで、個人情報保護、情報セキュリティ、内部統制、事業継続計画、金融機関におけるシステムリスク管理態勢構築など、リスクマネジメント分野をテーマとしたコンサルティング業務に従事。2014年からは国のマイナンバー調査業務に参画し、民間企業におけるマインバー対応に関するコンサルティング業務に従事中である。