要配慮個人情報とは?個人情報との違い、取り扱う際の注意点など徹底解説!
昨今の社会において情報の価値は非常に高く、特に企業活動などにおいて、膨大な量の情報が関係してきます。その中で個人情報は、最も丁重に扱うべき情報であり、個人情報の保護は企業活動を行う上で、必須で取り組むことになっています。
個人情報の保護に関する法律である個人情報保護法は、近年制定されたものであり、平成29年5月に改正法が施行されました。個人情報保護法は用語の定義が不明確なものもあり、適切に個人情報を取り扱えていると思っていても、知らないうちに法令違反になってしまう可能性もあります。法令違反になってしまった場合、顧客や取引先など社会からの信頼を失い、甚大なダメージを負うことになります。
そんな中で改正法の施行により、新たに「要配慮個人情報」という項目が追加され、個人情報の取り扱いはさらに複雑化しています。
企業運営の中で適切な情報管理を行うためには、個人情報の項目を正確に把握することが非常に重要です。
そこで今回は、改正法で新たに追加された「要配慮個人情報」について、概要からしっかりとご説明させていただきます。
目次
要配慮個人情報とは何か
要配慮個人情報とは、本人に対しての不当な差別や偏見、その他の不利益が生じないように、取り扱いについて、特に配慮が必要な一定の個人情報のことを指します。
この個人情報については、個人情報保護法第2条の3項に定義されています。
通常の個人情報との関係性を表すと、個人情報という大枠の中に要配慮個人情報が含まれているという関係になります。
要配慮個人情報の要件と定義
要配慮個人情報の要件を満たすのは以下の2点です。
- 個人情報に該当すること
- 「個人情報保護法または個人情報保護法施行令に定める記述等」が含まれていること
そもそも個人情報とは、以下の要件を満たす情報のことを指します。
- 氏名、生年月日その他の記述などにより特定の個人を識別可能な情報
- 個人識別符号を含む情報
このように要配慮個人情報は、個人情報の中に含まれている特殊な個人情報なのです。
要配慮個人情報に関して改正された理由・背景
要配慮個人情報に関して改正が必要になった背景は、EUが関連しています。EUのデータ保護指令では、機微情報を取得することが原則禁止となっています。日本がEUデータ保護指令から、欧州委員会認定の個人情報保護施策の水準を示す「十分性認定」を得るためには、この取り決めを法律で定める必要性が浮上し、今回個人情報保護法を改正することになりました。
要配慮個人情報に該当する情報
具体的に要配慮個人情報に該当する例は、以下のようなものが挙げられます。
1. 人種
人種は、民族的・種族的な出身やアイデンティティなどが該当します。在日○○人などは等配慮個人情報に該当しますが、国籍自体はただの法的地位でしかないため、要配慮個人情報には該当しません。また、肌色に関しても、人種を特定できる情報ではないため、要配慮個人情報には該当しません。
2. 信条
信条とは、個人の基本的な考えのことを指し、思想や信仰などを含みます。具体的には、信仰する宗教や政治的な思想などが該当します。
3. 社会的身分
社会的身分とは、簡単にいうと個人がその環境に固着していて、自分の力では簡単にそれから脱することのできない地位のことを指します。具体的には、非嫡出子や被差別部落生まれであることなどが該当します。
4. 病歴
病歴は名前の通り、病気の罹患履歴ですが、病気の種類によって過去に差別や偏見が生じてきたために、要配慮個人情報に該当します。
5. 犯罪の経歴
犯罪の履歴は前科のことを指します。刑務所に収容された出来事や、出所したことも有罪判決が下ったことを示すため、犯罪の経歴に関する要配慮個人情報として該当します。
6. 犯罪により害を被った事実
「暴行事件の被害者になった」「詐欺にあった」「誹謗中傷を受けた」などのような、刑事事件の被害を被った情報が該当します。
7. 心身の障害
これは、医師から身体的・精神的な障害があると診断されたことや障害者手帳などの交付を受けていることなどの情報が該当します。
8. 健康診断の結果
労働安全衛生法で定められている健康診断やストレスチェックを受けた際の診断結果が、こちらに該当する情報になります。
9. 診療・治療歴など
病院などの、診察や通院、入院治療の過程で、医療従事者などが知り得た患者に関する情報のことを指します。こちらは調剤を行う薬剤師も同様に、調剤記録やお薬手帳なども該当します。
10 .掲示手続きを受けた事実
5.犯罪の経歴は有罪判決を受けた事例が該当しましたが、無罪判決を受けたり、不起訴処分で釈放になった場合も、要配慮個人情報に該当します。しかし、第三者の事件に関して、証人として事情聴取を受けただけでは、被疑者などには該当していないため、要配慮個人情報として認められません。
11. 少年法による手続きを受けた事実
少年法に規定されている非行少年として、聴取や保護処分が下されたことに関する情報のことを指します。
要配慮個人情報の取り扱い規則に違反した場合の罰則
ここまで要配慮個人情報の具体例を見てきましたが、要配慮個人情報の取り扱い規則に違反した場合、個人情報時保護委員会による行政指導や処分、刑事罰の対象になってしまう可能性があります。以下で具体的に解説します。
1.個人情報保護委員会による報告要求や立ち合い検査
要配慮個人情報の取り扱い規則を遵守しているか調査するため、個人情報保護委員会は、事業者に対して必要な報告や資料の提出の請求や、立入検査を行う権限を持っています。事業者は委員会の調査に応じる義務があるため、協力せず違反した場合は、罰則が課される可能性があります。
2.個人情報保護委員会による指導や助言
要配慮個人情報の管理について、違法であったり、不適切なものが認められた場合、個人情報保護委員会は事業者に対して、指導や助言を行う権限を持ちます。
委員会の指導や助言は、行政指導と認められ、法的な拘束力は持ちません。
しかし、この指導などを無視してしますと、一段階上の韓国や命令として下る可能性があります。よって、委員会の指導などを受けた際には、誠実に対応しましょう。
3.個人情報保護委員会による勧告や命令、公表
要配慮個人情報の管理の中で、個人情報時保護法違反に該当する事例があった場合、個人情報保護委員会は、事業者に対し、違反を是正するための勧告を行う権限を持ちます。
正当な理由なしに、勧告に従わない場合は、是正措置命令を行う権限も有し、緊急の措置が必要になる重大な事例では、勧告の段階を経ずに、是正措置命令を発出することも可能です。
もし事業者が是正措置命令に違反すると、委員会による公表処分の対象に該当するため、注意が必要になります。
4.刑事罰処分
- 個人情報保護委員会の報告・資料・質問・検査の要求を拒否した場合
- 虚偽の報告・資料・答弁をした場合
上記二点を行った場合には、行為者に対して「50万円以下の罰金」が科されます。
さらには、委員会の是正措置命令に違反した場合は、行為者に対し、「1年以下の懲役または100万円以下の罰金」が科されます。
個人情報保護法によって、刑事罰処分が下りますので、要配慮個人情報の取り扱いには十分な注意が必要です。
個人情報にはない要配慮個人情報の特別な規則内容
要配慮個人情報では、基本的な個人情報とは異なる規則が適用されます。
その規則三点について、以下で詳しく解説します。
1.要配慮個人情報を取得する際、原則として本人の同意が必要
まず一点目が、情報取得時の同意の有無です。
通常の個人情報では、不正目的でない限り、取得自体には本人の同意は必要ありません。
一方で、要配慮個人情報では取得時に原則、本人の事前の同意が必要になります。
ただし、法令に基づく場合など、一部例外的に同意なしで取得が認められることがあります。
2.オプトアウト方式による要配慮個人情報の第三者提供の禁止
二点目が、第三者提供に関してです。
オプトアウト方式とは、本人の明確な意思がない場合でも、提供停止の請求を受けるまでは。個人に関するデータの第三者提供を行う方式のことを指します。
通常の個人情報では、オプトアウト方式による第三者提供は認められていますが、要配慮個人情報に当てはまるデータに関しては、同方式による第三者提供が認められていません。
そのため、要配慮個人情報では、第三者提供する際に、本人の明確な事前同意が必要となります。
3.行政機関が個人情報を保有する場合、個人情報保護委員会への通知義務がある
最後は、行政機関が保有する場合に関してです。
行政機関が個人情報データを保有したい場合には、個人情報保護委員会に対し、当該個人情報データに関して、一定の事項を通知する義務が生じます。
その際に、個人情報データに記録される情報に、要配慮個人情報が含まれていた場合には、その旨も通知しなければなりません。
取得が必要になった際の注意点
要配慮個人情報を取得する事業者は、個人情報保護法及びガイドラインの規則を守る義務が生じます。
正しく取得・利用するために個人情報保護法及びガイドラインについて正しく理解するとともに、取得後の厳重な管理体制も構築しましょう。
まとめ
いかがでしたか?
本記事では、要配慮個人情報に関して、個人情報との違いや取り扱い時の注意点などを解説しました。
要配慮個人情報は、特に配慮が必要で、取得の際には、取り扱いについての正しい知識や情報を守る高い意識が必要になります。
要配慮個人情報を取得する上で、不安を抱えていらっしゃる事業者様は、コンサルティング会社へ相談してみることもおすすめします。
株式会社UPFでは、数多くの企業様の個人情報管理に関してサポートしてきた実績があります。
要配慮個人情報に関してお悩みの企業様・ご担当社様は、どうぞお気軽にお問い合わせください。
お問い合わせはこちらから。
株式会社UPFについて詳しくはこちらから。
この記事を書いた人
株式会社UPF
同じテーマの記事はこちら
JIS Q 15001とは何か?Pマークとの関連性から活用メリットまで解説します
JIS Q 15001とはどのように活用されるものなのでしょうか。また、JIS Q 15001について調べると必ず目にするPマークはどのようなもので、JIS Q 15001とはどの […]
ISMAP管理基準とは?徹底的に解説!
日本初の情報セキュリティ評価制度ISMAPについてご存じでしょうか? 近年テレワークの拡大やDX化の促進によりクラウドサービスへの関心が高まっています。 本記事ではISMAPの概要 […]
ISMAPクラウドサービスリストとは?徹底的に解説!
日本初の情報セキュリティ評価制度ISMAPについてご存じでしょうか? まだまだ馴染みのない言葉だと思います。今後デジタル化がさらに加速する中で多くのクラウドサービスが開発されていく […]
isms認証とiso27001認証との違いを徹底解説!
情報セキュリティの管理を考える上で、無視できないのがISMS認証です。この名称を聞いたことがある人も多いのではないでしょうか。その他にはISO27001認証、Pマーク等、ISMS認 […]
ISMAPのメリット、登録方法まで徹底解説!
ISMAPは2020年6月から運用が始まっています。2021年3月に初めてISMAPのクラウドサービスリストが公開され、四半期ごとに更新されています。 この記事では、ISMAPの解 […]
