「機微情報」をマスターしよう!
個人情報に関する業務を行っていく中で、「機微情報」という言葉を目にしたことがある方も多いと思います。しかし、その定義や取り扱い方法について「なんとなく」で済ませていませんか?ここで改めて確認し、正しく取り扱うことで、機微情報に関する業務での事故を未然に防ぎましょう。
目次
「機微情報」とは?
実は、「機微情報」に関連する言葉・概念は3つあります。
- 「機微(センシティブ情報)」
- 「特定の機微な個人情報」
- 「要配慮個人情報」
大変紛らわしいですが、その中身をしっかりと理解して業務を行わなければ、様々なリスクが生じます。
順番にその定義と内容を確認していきましょう。
金融分野ガイドラインの「機微(センシティブ)情報」
「機微情報」と一言で言うと、現在は「金融分野ガイドライン」に記載のある「機微(センシティブ)情報」を指します。具体的には以下の情報が当てはまります。
- 要配慮個人情報に該当する情報
- 本人の人種
- 信条
- 社会的身分
- 犯罪の経歴、犯罪により害を被った事実
- 労働組合への加盟
- 門地、本籍地
- 保険医療、性生活
ただし、この「金融分野ガイドライン」は「金融分野における個人情報取扱事業者」が対象となります。個人情報を取り扱う全ての事業者が遵守しなければならないものではありません。
「特定の機微な個人情報」とは
個人情報を取り扱う全ての事業者に関わり、かつ「機微」というワードが含まれるものに、「特定の機微な個人情報」というものがあります。
個人情報マネジメントシステムの旧規格である「JISQ15001:2006」では、「特定の機微な個人情報」に関する規定が定められていました。これには以下の5項目が挙げられています。
a)思想,信条又は宗教に関する事項
b)人種,民族,門地,本籍地(所在都道府県に関する情報を除く),身体・精神障害,犯罪歴その他社会的差別の原因となる事項
c)勤労者の団結権,団体交渉その他団体行動の行為に関する事項
d)集団示威行為への参加,請願権の行使その他の政治的権利の行使に関する事項
e)保健医療又は性生活に関する事項
簡単にまとめると、
- 個人の信仰
- 人種や障害
- 労働組合等における活動
- 政治的なデモ活動
- 医療や性生活
などが、「特定の機微な個人情報」に含まれるということです。
どの項目も、流出することで社会的な差別に繋がってしまう恐れがあります。
事業者は、これらの情報について、取得・利用・提供が制限されます。
ただし、「特定の機微な個人情報」に言及する「JISQ15001:2006」は2017年に改訂され、「特定の機微な個人情報」という言葉は使われなくなりました。代わりに「要配慮個人情報」という言葉が使われるようになります。
「要配慮個人情報」とは
「要配慮個人情報」は、新規格である「JISQ15001:2017」に登場する言葉であり、個人情報保護法において以下のように定義が定められています。
「要配慮個人情報」とは、本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める記述等が含まれる個人情報をいう。
(引用元:https://elaws.e-gov.go.jp/document?lawid=415AC0000000057)
取り扱いを配慮する理由は、「機微情報」も「要配慮個人情報」も同じく”不当な差別等の防止”です。
「JISQ15001:2017」は、全ての個人情報取扱事業者が対象となっており、「要配慮個人情報」を適切に取り扱う必要があります。
「要配慮個人情報」と「機微(センシティブ)情報」は何が違う?
では、「要配慮個人情報」と「機微(センシティブ)情報」は何が違うのでしょうか。
先ほど、対象者が違うということはお伝えしましたが、対象となる情報の範囲も違う部分があります。
対象範囲は「機微(センシティブ)情報」の方が広いです。「機微(センシティブ)情報」は「要配慮個人情報」の中身を全て含みます。その上で、さらに
- 労働組合への加盟
- 門地、本籍地
- 保険医療
- 性生活
なども含まれます。
「要配慮個人情報」にも病歴が含まれますが、「機微(センシティブ)情報」は医師の診療等に拠らない市販薬の服用等も含みます。
個人情報取扱事業者の中でも、金融分野に関してはより厳しい規則が定められているということです。
「要配慮個人情報」と「特定の機微な情報」は何が違う?
旧規格「JISQ15001:2006」での「特定の機微な個人情報」は、新規格「JISQ15001:2017」の「要配慮個人情報」に対応する概念となります。
しかし、両者はぴったり重なるものではありません。
「要配慮個人情報」と「特定の機微な情報」の違いはどこにあるのでしょうか。
まず、要配慮個人情報にのみ含まれる項目は以下の2点です。
- 社会的身分
- 犯罪により害を被った事実
反対に、特定の機微な情報のみに含まれる項目もあります。
- 労働組合への加盟状況
- 政治的な権利の行使
- 本籍地
- 性生活
最後に、両者ともに含まれるものの、範囲が少し異なる項目を確認します。
・医療に関する事項
要配慮個人情報:「病歴」… 病歴、健康診断の結果、医師等による診察や調剤等、身体・知的障害等
特定の機微な情報:「保険医療」… 上記に加えて、市販薬の服用等の個人的な行為も含む
医療に関する事項では、特定の機微な情報の方が、要配慮個人情報よりも範囲が広いことがわかります。
ここまで、「要配慮個人情報」・「機微(センシティブ)情報」・「特定の機微な個人情報」の内容と違いについて確認してきました。内容や名前が似通っており、混同しやすいかもしれません。対象者と対象範囲の2点をしっかり押さえましょう。
機微(センシティブ)情報・要配慮個人情報の取扱い
機微(センシティブ)情報は、原則として取得、利用、第三者提供が禁止されています。
要配慮個人情報にも制限はありますが、機微(センシティブ)情報よりは緩い規制となっています。
取得:原則として、あらかじめ本人の同意がなければ取得禁止
利用:制限はない
第三者提供:オプトアウトの禁止
一方で、機微情報・要配慮個人情報ともに例外が認められています。
例えば「取得」に関して、法令に基づく場合や生命・身体・財産の保護のために必要がある場合は取得が認められます。
なお、機微(センシティブ)情報の場合は「必要な場合」に限られることが多いですが、要配慮個人情報では「本人の同意を得ることが困難であるとき」という文言が付されるケースもあります。
参考までに、例外の全文は以下の通りです。
*機微情報
① 法令等に基づく場合
② 人の生命、身体又は財産の保護のために必要がある場合
③ 公衆衛生の向上又は児童の健全な育成の推進のため特に必要がある場合
④ 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合
⑤ 法第20条第2項第6号に掲げる場合に機微(センシティブ)情報を取得する場合、法第18条第3項第6号に掲げる場合に機微(センシティブ)情報を利用する場合、又は法第27条第1項第7号に掲げる場合に機微(センシティブ)情報を第三者提供する場合
⑥ 源泉徴収事務等の遂行上必要な範囲において、政治・宗教等の団体若しくは労働組合への所属若しくは加盟に関する従業員等の機微(センシティブ)情報を取得、利用又は第三者提供する場合
⑦ 相続手続による権利義務の移転等の遂行に必要な限りにおいて、機微(センシティブ)情報を取得、利用又は第三者提供する場合
⑧ 保険業その他金融分野の事業の適切な業務運営を確保する必要性から、本人の同意に基づき業務遂行上必要な範囲で機微(センシティブ)情報を取得、利用又は第三者提供する場合
⑨ 機微(センシティブ)情報に該当する生体認証情報を本人の同意に基づき、本人確認に用いる場合
(引用元:https://www.ppc.go.jp/personalinfo/legal/kinyubunya_GL/#a5)
*要配慮個人情報
a) 法令に基づく場合
b) 人の生命,身体又は財産の保護のために必要がある場合であって,本人の
同意を得ることが困難であるとき
c) 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合
であって,本人の同意を得ることが困難であるとき
d) 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事
務を遂行することに対して協力する必要がある場合であって,本人の同意
を得ることによって当該事務の遂行に支障を及ぼすおそれがあるとき
e) その他,個人情報取扱事業者の義務などの適用除外とされている者及び個
人情報保護委員会規則で定めた者によって公開された要配慮個人情報,又
は政令で定められた要配慮個人情報であるとき
(引用元:https://kikakurui.com/q/Q15001-2017-01.html)
本人確認書類の機微情報の留意点
上記の通り、金融分野における個人情報取扱事業者は、「機微(センシティブ)情報」の取得そのものが原則として禁止されています。そのため、本人確認書類に機微(センシティブ)情報の記載がある場合はマスキングしなければなりません。具体的にどのような情報がマスキングの対象となる(機微(センシティブ)情報に該当する)か、確認しましょう。
*機微(センシティブ)情報に該当する
- 住民票の写しの「本籍地」
- 身体障害者手帳の「障害名」「障害等級」
- 健康保険証の「通院歴」
*機微(センシティブ)情報に該当しない
- 運転免許証や健康保険証等の「臓器提供意思確認欄」
- 住民票の写しの「国籍」
- パスポートの「国籍」と「本籍」(都道府県名のみのため)
なお、金融分野ガイドラインや個人情報保護法に直接拠るわけではありませんが、他に個別に取得が制限されている情報もあります(個人番号など)。
実際の規定の作り方
2017年以前の旧規格「JISQ15001:2006」で規定を既に作っていた場合は、「特定の機微な個人情報」と「要配慮個人情報」が両方とも含まれる規定に改訂することが望ましいと考えられます。
既に確認してきたように、「特定の機微な個人情報」と「要配慮個人情報」はぴったり重なるわけではありません。そのため、「要配慮個人情報」を含むのはもちろんですが、既に取得した「特定の機微な個人情報」に関する規定も残しておく方が個人情報保護の観点からも望ましいでしょう。
これから規定を定める事業者の方は、金融分野でなければ、「要配慮個人情報」の範囲をしっかりと理解した上で、顧客・消費者等に安心してもらえる規定づくりが必要です。
まとめ
ここまで、「機微(センシティブ)情報」の内容や規制事項を中心に、類似する言葉との違いも含めて確認してきました。
これらの情報は、取り扱いに非常に注意する必要があります。万が一外部に漏れてしまうと、差別に繋がってしまうからです。それだけでなく、会社の信用を落としてしまうことにも繋がります。
個人情報を扱う企業は、その取得や管理等が適切に行われている”証”としてプライバシーマークの取得を行うことで、取引先や一般消費者に向けて安心感を与えることができます。
機微(センシティブ)情報・要配慮個人情報の管理体制を社内で構築することと同時に、外部へのアピールもできるプライバシーマークの取得も視野に入れてはいかがでしょうか。
プライバシーマーク取得には厳しい審査がありますが、株式会社UPFには、業界No.1を誇る実績に基づく、プライバシーマーク(Pマーク)の取得、教育のノウハウがございます。
教育実施でお悩みの企業様・ご担当社様は、どうぞお気軽にお問い合わせください。
この記事を書いた人
株式会社UPF
同じテーマの記事はこちら
JIS Q 15001とは何か?Pマークとの関連性から活用メリットまで解説します
JIS Q 15001とはどのように活用されるものなのでしょうか。また、JIS Q 15001について調べると必ず目にするPマークはどのようなもので、JIS Q 15001とはどの […]
ISMAP管理基準とは?徹底的に解説!
日本初の情報セキュリティ評価制度ISMAPについてご存じでしょうか? 近年テレワークの拡大やDX化の促進によりクラウドサービスへの関心が高まっています。 本記事ではISMAPの概要 […]
ISMAPクラウドサービスリストとは?徹底的に解説!
日本初の情報セキュリティ評価制度ISMAPについてご存じでしょうか? まだまだ馴染みのない言葉だと思います。今後デジタル化がさらに加速する中で多くのクラウドサービスが開発されていく […]
isms認証とiso27001認証との違いを徹底解説!
情報セキュリティの管理を考える上で、無視できないのがISMS認証です。この名称を聞いたことがある人も多いのではないでしょうか。その他にはISO27001認証、Pマーク等、ISMS認 […]
ISMAPのメリット、登録方法まで徹底解説!
ISMAPは2020年6月から運用が始まっています。2021年3月に初めてISMAPのクラウドサービスリストが公開され、四半期ごとに更新されています。 この記事では、ISMAPの解 […]