「要配慮個人情報」とは何か? 具体例で簡単に解説!
改正個人情報保護法(2017年5月30日施行)では個人情報のカテゴリーが明確化され、「要配慮個人情報」という新しい項目が定義されました。
プライバシーマークの新準拠規格「JIS Q 15001:2017」でもこの改正個人情報保護法の内容を受け、要配慮個人情報の適切な取り扱いが求められるようになりました。
ここでは、個人情報保護法の条文、ガイドライン、JISの旧規格「JIS Q 15001:2006」で定義されていた「特定の機微な個人情報」との関係などを踏まえ、要配慮個人情報について明らかにしていきたいと思います。
要配慮個人情報にあたる情報とは?
それではではまず、改正個人情報保護法の条文から要配慮個人情報の定義を見ていきます。
「要配慮個人情報」とは、本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める記述等が含まれる個人情報をいう。
ここでは、以下の項目を含む個人情報を「要配慮個人情報」であるとしています。
- 人種
- 信条
- 社会的身分
- 病歴
- 犯罪の経歴
- 犯罪により害を被った事実
これに加え「個人情報の保護に関する法律についてのガイドライン(通則編)」では、要配慮個人情報該当する項目を追記しています。それらを要約すると以下のようになります。
- 心身の機能の障害について
- 健康診断等の結果や診療歴など
- 刑事事件・少年の保護事件に関する内容について
それでは、各項目をそれぞれ詳しく見ていきます。
人種
人種の定義については、ガイドラインに以下のような記述があります。
人種、世系又は民族的若しくは種族的出身を広く意味する。
本人の出身や民族的アイデンティティなどがこれにあたります。
具体例としては、「日系○世」「アイヌ民族」「韓国人・在日韓国」などの情報が該当します。
大枠として「人種=民族」と単純に捉えておいても問題ありません。
ただし、以下の内容については要配慮個人情報にあたらないとされています。
- 単純な国籍
- 外国人であること
- 肌の色
国籍や外国人であることなどの情報は、単純に「法的地位」としての情報に分類されるため除外されます。
また、肌の色は人種や民族を推察できる情報ではありますが、確定的情報ではないのでこれに含まれません。
信条
信条は、ガイドラインで次のように定義されています。
個人の基本的なものの見方、考え方を意味し、思想と信仰の双方を含むものである。
基本的にこの条文をそのまま捉えてもらえれば結構です。
ただし、「思想」についてはその範囲が明確にされていませんので、他のガイドラインから推察する必要があります。例えば、金融分野における個人情報保護に関するガイドラインの「機微(センシティブ)情報」での「思想」には「政治的見解」が含まれるとありますので、要配慮個人情報での「思想」についても同様の条件が想定されます。
一方、「信仰」については、単純に「○○教徒である」「○○教を信仰している」などが該当すると考えて問題ないでしょう。
社会的身分
続いて、社会的身分について見ていきます。
ある個人にその境遇として固着していて、一生の間、自らの力によって容易にそれから簡単に脱し得ないような地位を意味し、単なる職業的地位や学歴は含まない。
ここで言う社会的身分とは、記述の通り、職業や所属先の役職などは含まず、出身などによって生まれながらにして決まってしまう地位を指します。一般的に、「被差別部落出身者であること」「非嫡出子であること」などが社会的身分として判断されることがあります。
病歴
病歴とは、言葉の通り、本人が過去に患った疾病の履歴を指します。
主に医療機関などが取り扱う個人情報に含まれます。
犯罪の経歴
過去に刑事事件で判決が確定し、刑の言い渡しを受けた事実(前科)があること、又はその履歴など。
犯罪により害を被った事実
犯罪の被害を受けた事実やその履歴など。(身体的被害、精神的被害、金銭的被害を問わず。)
心身の機能の障害について
ガイドラインでは、以下のように記載されています。
身体障害、知的障害、精神障害(発達障害を含む。)その他の個人情報保護委員会規則で定める心身の機能の障害があること。
これは、身体障害、知的障害、精神障害などがあることを特定させる情報のことです。
ガイドラインを踏まえて要約すると、以下の事実を判断できる情報がそれにあたります。
- 医師などにより、障害があると診断されたこと。
- 障害者手帳、療育手帳、精神障害者保健福祉手帳などの交付を受けていること。
- 医師により、厚生労働大臣が定める特殊の疾病※1による障害で継続的に日常生活・社会生活に制限があると診断されたこと。
- 本人の外見上明らかに身体上の障害※2があること。
1 特定疾病については、厚生労働省「特定疾病の選定基準の考え方」参照。
2 身体上の障害については、e-Gov 身体障害者福祉法 別表参照。
4 については、防犯カメラの映像や写真などの情報が考えられます。
健康診断等の結果や診療歴など
健康診断等の結果
健康診断やストレスチェック等、本人の健康状態についての検査結果が該当します。
また、任意で実施する人間ドックや医療機関を介さない遺伝子検査などの結果もこれに含まれます。
診療や治療の履歴
ガイドラインで該当する箇所は以下です。
健康診断等の結果に基づき、又は疾病、負傷その他の心身の変化を理由として、本人に対して医師等により心身の状態の改善のための指導又は診療若しくは調剤が行われたこと
これは、医師・薬剤師などから保健指導や調剤を受けた事実やその内容、診療の過程で知り得た本人の身体の状態など、広範な情報を指します。
ただし、健康に関する情報(身長、体重、血圧、脈拍、体温等)で、健康診断・診療等の事業やそれに関連する業務とは関係がない方法で取得した情報は除外されます。
刑事事件・少年の保護事件に関する内容について
ガイドラインを踏まえて要約すると、以下の事実を示す情報がこれにあたります。
- 本人を被疑者や被告人として、刑事事件に関係する手続きが実施されたこと。
- 少年法にもとづき、本人に非行やその疑いがあるとして、保護処分等に関係する手続が実施されたこと。
「要配慮個人情報」と「特定の機微な個人情報」の違いは?
プライバシーマークの旧規格「JIS Q 15001:2006」では「特定の機微な個人情報」という定義がありましたが、新規格ではこの定義が廃止され、改正個人情報保護法で定義された要配慮個人情報が代替されることになりました。
旧規格でプライバシーマークを運用されている事業者様にとっては、すでに取得している特定の機微な個人情報をどのように取り扱えばよいのか悩ましいところだと思います。
旧規格の「特定の機微な個人情報」の定義は以下です。
- 思想、信条又は宗教に関する事項。
- 人種、民族、門地、本籍地(都道府県に関する情報を除く。)、身体・精神障害、犯罪歴その他社会的差別の原因となる事項。
- 勤労者の団結権、団体交渉その他団体行動の行為に関する事項。
- 集団示威行為への参加、請願権の行使その他の政治的権利の行使に関する事項。
- 保健医療又は性生活に関する事項。
a・bの定義については要配慮個人情報の定義にほぼ同等の内容がありますが、c~eに関しては同等の表現を見つけるのは難しいのではないでしょうか。
それでは、新規格に合わせるにあたってどのように処理するのが最適なのでしょうか?
単純に考えれば、組織内で保管・利用する個人情報を全て洗い直し、新基準の要配慮個人情報にあたるかどうかを再精査することが想定されます。
ただ、この方法では手間と労力がかかるうえ、一定のまとまった時間が必要になると思います。
なので、当面は特定の機微な個人情報をそのまま要配慮個人情報として管理を続け、そこから漏れる要配慮個人情報は随時にピックアップするなど、現実的な方法で進めるのが良いかと思います。
要配慮個人情報はどのように取り扱うべきか?
本人の同意を得る
取得・利用・提供する場合に、書面による本人の同意を得る必要があります。
(一部例外を除く※1)
ただし、要配慮個人情報はオプトアウト※2での第三者提供ができないので注意が必要です。
1 一部例外については、個人情報の保護に関する法律についてのガイドライン(通則編)をご確認ください。
2 本人に対して事前に個人情報を第三者に提供する可能性があることを通知する、または知り得る状況に置くことで提供について同意を得たと判断すること。
安全管理(セキュリティ対策)について
改正個人情報保護法では、要配慮個人情報に対して特別な安全管理を求める記述はありませんが、一般的には通常の個人情報より厳重な安全管理をするのが望ましいと考えられます。
すでに旧規格でプライバシーマークを取得されている事業者様であれば、特定の機微な個人情報に対して実施している安全管理措置をそのまま利用することなどが現実的ではないでしょうか。
ここは事業者様の裁量に任される部分ですので、事業の実態に合った管理を行えば良いと思います。
