漏えいすると不当な差別や偏見などの不利益が生じる恐れがある要配慮個人情報は、他の個人情報よりも慎重に扱う必要があります。要配慮個人情報の具体例や取り扱いルールをしっかりと理解し、適切に取扱いましょう。
本記事では、要配慮個人情報の定義や具体例、取扱いルールについて解説します。
1. 要配慮個人情報とは
要配慮個人情報とは、不当な差別や偏見などの不利益が生じる恐れがある情報を指します。
この法律において「要配慮個人情報」とは、本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める記述等が含まれる個人情報をいう。
引用:個人情報保護法2条3項 |
要配慮個人情報が漏えいすると個人のプライバシーや差別の原因となる可能性が高いため、慎重に取り扱う必要があります。
具体的には、以下のような情報が要配慮個人情報に該当します。
- 人種や信条
- 社会的身分
- 病歴
- 犯罪歴
- 犯罪の被害にあった事実
- 身体・知的・精神障害に関する情報
- 健康診断結果
- 保健指導の履歴
- 刑事事件に関する手続
- 少年の保護事件に関する手続
- 遺伝子検査結果などのゲノム情報
【参考資料】
要配慮個人情報の取得には本人の同意が必要であり、無断での取得や利用は原則として禁止されています。また、オプトアウト(事後の同意)による提供も禁止されており、情報漏えい時には報告義務が課されます。
■個人情報との違い
個人情報と要配慮個人情報の違いは、情報の性質とそれに伴う法的な規制の厳しさにあります。
個人情報とは、名前や住所、電話番号、メールアドレスといった、特定の個人を識別できる情報です。一方、要配慮個人情報は、人種や信条、社会的身分、病歴、犯罪歴、その他の個人に関するセンシティブな情報を指します。要配慮個人情報は個人の権利や自由に直接影響を与える可能性があるため、その取り扱いには特に慎重な対応が求められます。
個人情報保護法によれば、要配慮個人情報を収集、利用する際には、必ず本人の明確な同意を得る必要があります。例えば、医療機関が患者の健康情報を他の組織に提供する際には、患者の同意が必要です。
さらに、要配慮個人情報を取り扱う事業者は、情報漏えいを防ぐために適切なセキュリティ対策を講じる義務があります。情報管理の責任者を設置し、従業員に対する教育や訓練を行うことも重要です。
【関連記事】
2. 要配慮個人情報に該当する情報の具体例
要配慮個人情報に該当する主な情報は以下の通りです。
- 人種
- 信条
- 社会的身分
- 病歴
- 犯罪歴
- 犯罪の被害にあった事実
- 身体・知的・精神障害に関する情報
- 健康診断結果
- 保健指導の履歴
- 刑事事件に関する手続
- 少年の保護事件に関する手続
- 遺伝子検査結果などのゲノム情報
それぞれの情報の概要と取り扱い方について解説します。
【参考資料】
■人種
人種や世系、民族的・種族的出身は、要配慮個人情報に該当します。ただし、国籍はどこかと言った情報や単に外国人であるという情報は法的地位にすぎないため、単体では要配慮個人情報における人種には含みません。また、人種を推測させる情報でしかない肌の色も要配慮個人情報における人種には含みません。
■信条
信条とは、個人が持つ宗教的、政治的、哲学的な信念や考え方を指します。信条は個人の内面的な部分に深く関わる情報であり、その取扱いには特に注意が必要です。
ただし、宗教に関する書籍の購買履歴や特定の政党が発行する新聞や機関誌などを購読しているという事実については、個人的な信条なのか情報収集を目的としたものなのか判断できないため、要配慮個人情報に該当しません。
参考:「個人情報の保護に関する法律についてのガイドライン」 に関するQ&A Q1-27
■社会的身分
社会的身分とは、自らの力によって容易に変更ができない地位を意味します。単なる職業的地位や学歴については、要配慮個人情報に該当しません。一方、同和地区出身であることは社会的身分に当たると考えられるため、要配慮個人情報に該当します。
参考:同和地区出身であることは、要配慮個人情報に該当するのか。
■病歴
病歴とは、診断名や治療内容、入院歴、手術歴などを含めた、個人が過去に経験した病気や健康状態に関する情報を指します。病歴は人に知られることで社会的な不利益を被る可能性があるため、病歴の取扱いには個人情報保護法に基づく対応が必要です。
たとえば、病院が患者の病歴を他の医療機関に提供する場合、患者の同意を得なければなりません。例外的に、緊急時や法的義務がある場合には、同意なしで提供されることもあります。
また、病院で受診した事実や薬局で調剤を受けた事実についても、要配慮個人情報に該当します。
参考:「個人情報の保護に関する法律についてのガイドライン」 に関するQ&A Q1-28
■犯罪歴
犯罪歴とは、有罪の判決を受け、確定した事実です。犯罪歴は個人の社会的評価に大きな影響を与える可能性があるため、要配慮個人情報に該当します。例えば、過去の犯罪歴が明らかになると、就職や社会生活で不利益を被ることがあるかもしれません。このため、法律では犯罪歴を含む情報を取り扱う際には、本人の同意を得ることが原則とされています。
また、受刑の経歴についても、「有罪の判決を受けてこれが確定したこと」に当たるため、要配慮個人情報に該当します。
参考:「個人情報の保護に関する法律についてのガイドライン」 に関するQ&A Q1-30
ただし、犯罪行為を撮影した防犯カメラ映像については、犯罪の経歴でも刑事事件に関する手続でもないため、要配慮個人情報に該当しません。
参考:「個人情報の保護に関する法律についてのガイドライン」 に関するQ&A Q1-31
■犯罪の被害にあった事実
暴力や詐欺、ストーカー行為など、犯罪の被害にあった事実は、要配慮個人情報に該当します。漏えいした場合には被害者が再び被害を受ける可能性があるため、慎重な取扱いが必要です。
■身体・知的・精神障害に関する情報
身体・知的・精神障害に関する情報は誤った取り扱いが差別や偏見を生む可能性があるため、要配慮個人情報として特に慎重に取り扱われるべきです。具体的には、身体障害者手帳の番号や知的障害の診断結果、精神障害に関する医療記録などが該当します。
■健康診断結果
健康診断結果は、要配慮個人情報に該当する代表的な例です。なぜなら、健康診断結果には個人の健康状態や病歴、潜在的な病気のリスクなど、極めてプライベートな情報が含まれているからです。このような情報が他者に知られると、個人のプライバシーが侵害される恐れがあり、場合によっては差別や偏見の原因になることもあります。
■保健指導の履歴
個人の健康状態や生活習慣に関するデータを含む保健指導の履歴は、要配慮個人情報に該当する具体的な情報の1つです。具体的には、健康診断等の結果に基づいた医師の指導内容や生活習慣の改善計画などが含まれます。
■刑事事件に関する手続
刑事事件に関する手続は、要配慮個人情報として特に慎重に扱われるべき情報です。具体的には、逮捕や起訴、裁判の進行状況、判決内容などが含まれます。これらの情報は、個人のプライバシーに深く関わるため、取り扱いには細心の注意が必要です。たとえば、過去に刑事事件で逮捕された事実が第三者に知られると、社会的な評価に大きな影響を与える可能性があります。
日本以外の国から刑事事件に関する手続きを受けた場合においても、要配慮個人情報に該当します。
参考:「個人情報の保護に関する法律についてのガイドライン」 に関するQ&A Q1-32
また、無罪判決を受けた場合においても、要配慮個人情報に該当します。無罪判決だけでなく、刑事訴訟法に基づく逮捕や捜索、差押え、勾留、公訴の提起、不起訴、不送致、微罪処分なども同様です。
参考:「個人情報の保護に関する法律についてのガイドライン」 に関するQ&A Q1-33・34
■少年の保護事件に関する手続
少年の保護事件に関する手続きは、要配慮個人情報として特に慎重に扱われるべき情報です。具体的には、家庭裁判所での審判記録や少年鑑別所での調査結果、保護観察所での指導内容など、法的な手続きや保護措置が取られる過程で収集される情報が該当します。
■遺伝子検査結果などのゲノム情報
遺伝子検査結果やゲノム情報は、要配慮個人情報に該当する可能性があります。
これらの情報は個人の健康状態や遺伝的特徴を詳細に示すものであり、他者に漏れることで差別やプライバシー侵害のリスクを伴う可能性が高いです。例えば、遺伝子検査によって将来的な病気のリスクが判明した場合、就職や保険加入に影響を及ぼすことも考えられます。
また、消費者直販型遺伝子検査の結果については、下記を満たす場合には要配慮個人情報に該当します。
- 当該検査が施行令第2条第2号に規定する「医師その他医療に関連する職務に従事する者」によって行われたものである
- 疾病の予防及び早期発見のために行われたものである
遺伝子検査結果は医療機関や研究機関で利用される場合が多く、これらの機関では厳格な情報管理が求められています。情報漏えいのリスクを最小限に抑えるために、セキュリティ対策や情報の取り扱いについての教育が重要です。
参考:「個人情報の保護に関する法律についてのガイドライン」 に関するQ&A Q1-29
3. 要配慮個人情報に該当しない情報の具体例
■推測される情報
要配慮個人情報に該当しない情報の一例として、「推測される情報」があります。趣味や嗜好、行動パターンなどは特定の状況下で推測されることがありますが、直接的に個人を特定することが難しいため、要配慮個人情報には含まれません。
たとえば、宗教に関する書籍を購入しているという情報は個人的な信条が推測されるだけにすぎず、情報の収集や教養を目的としている可能性もあるため、要配慮個人情報には該当しないと判断されるわけです。
【参考】
「個人情報の保護に関する法律についてのガイドライン」 に関するQ&A Q1-27
■労働組合や門地に関する情報(機微情報)
保険医療や労働組合に関する情報、門地や本籍地、性生活の情報については、金融分野ガイドラインが定める機微情報に該当しますが、要配慮個人情報には該当しません。
機微情報とは、個人のプライバシーや権利に直結する情報です。機微情報と要配慮個人情報には重複する情報がありますが、法律上の取り扱い基準が異なる場合があります。
【関連記事】
4. 要配慮個人情報に関する法律と規制
要配慮個人情報の取得や提供、漏えい時の報告・通知などについては、個人情報保護法でルールが定められています。個人情報保護法に違反した場合、個人情報保護委員会から勧告や命令、公表、指導などの処分を受ける恐れがあります。
■本人の同意なしの取得禁止
個人情報保護法において、要配慮個人情報を本人の同意なしで取得することは原則として禁止されています。
個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、要配慮個人情報を取得してはならない。
引用:個人情報保護法20条2項 |
ただし、すべてのケースで本人同意が必要というわけではなく、例外規定も存在します。例えば、法令に基づく場合や、生命・身体の保護のために緊急を要する場合など、特定の条件下では同意なしに取得が認められることがあります。
■オプトアウトによる提供の禁止
要配慮個人情報については、個人情報保護法27条2項の規定による第三者提供は認められていません。
個人情報取扱事業者は、第三者に提供される個人データについて、本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止することとしている場合であって、次に掲げる事項について、個人情報保護委員会規則で定めるところにより、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届け出たときは、前項の規定にかかわらず、当該個人データを第三者に提供することができる。ただし、第三者に提供される個人データが要配慮個人情報又は第二十条第一項の規定に違反して取得されたもの若しくは他の個人情報取扱事業者からこの項本文の規定により提供されたもの(その全部又は一部を複製し、又は加工したものを含む。)である場合は、この限りでない。
引用:個人情報保護法27条2項 |
オプトアウトとは、個人情報を第三者に提供する際に本人の同意を得ずに進める手法です。要配慮個人情報に関しては、オプトアウトによる第三者提供が禁止されています。
■報告義務
要配慮個人情報が漏えいした場合、個人情報保護委員会への報告と本人への通知が義務付けられています。
個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失、毀損その他の個人データの安全の確保に係る事態であって個人の権利利益を害するおそれが大きいものとして個人情報保護委員会規則で定めるものが生じたときは、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を個人情報保護委員会に報告しなければならない。ただし、当該個人情報取扱事業者が、他の個人情報取扱事業者又は行政機関等から当該個人データの取扱いの全部又は一部の委託を受けた場合であって、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を当該他の個人情報取扱事業者又は行政機関等に通知したときは、この限りでない。
引用:個人情報保護法26条1項 |
【関連記事】
個人情報漏えい時の報告義務とは?本人への通知が必要な場合や具体例、手続きを解説
5. まとめ
今回は、要配慮個人情報の具体例と取り扱いのルール・注意点について解説しました。
要配慮個人情報は個人のプライバシーに深く関わるものであり、適切な取り扱いが求められます。本記事で解説した要配慮個人情報の具体例や取り扱いのルール・注意点を参考に、情報管理方法を見直し、適切な対応策を実施しましょう。
アトミテックでは、委託先リスク管理の手順をまとめた委託先リスク管理ガイドを公開しています。ぜひ自社の委託先管理の参考になさってください。