fbpx

情報セキュリティにまつわる
お役立ち情報を発信

お役立ちコンテンツ一覧

要配慮個人情報とセンシティブ情報は何が違う?


「要配慮個人情報」や「センシティブ情報(機微情報)」といった言葉を目にした時、その違いや特徴をパッと思い出すことはできるでしょうか。紛らわしい言葉の定義を整理して、それぞれの要件や注意点を把握することは、業務におけるミス軽減にも繋がるでしょう。
この記事では、要配慮個人情報とセンシティブ情報の違いや、扱う際のポイントを解説します。小さなミスが大きな影響を及ぼす個人情報管理において、考えるべき対策も最後にお伝えします。

紛らわしい言葉の定義を確認

個人情報にまつわる用語には、定義や表記が紛らわしいものが多くあります。
今回は、”そもそも「個人情報」とは何か”といったところから、関連の強い「要配慮個人情報」「特定の機微な個人情報」「センシティブ情報」の3つを確認します。

①個人情報

個人情報の定義は個人情報保護法で定められています。
簡単にまとめますと、個人情報とは
 生存する個人に関する

  • 特定の個人を識別できる情報:氏名、生年月日など
  • 個人識別符号

となります。
①生存すること②特定の個人を識別できること、の2つが重要なポイントです。
また、個人識別符号とは、具体的には免許証番号やクレジットカード番号などの個人に割り当てられる番号や、DNA・指紋などコンピューターで用いる身体的な情報のことを指します。

②要配慮個人情報

では、個人情報に「要配慮」という言葉が加えられた「要配慮個人情報」は何を指すのでしょうか。
「要配慮個人情報」は、個人情報保護法において以下のように定められています。
「要配慮個人情報」とは、本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める記述等が含まれる個人情報をいう。

個人情報の中でも、不当な差別や偏見が生じないように配慮を必要とする情報を指すということです。
「要配慮個人情報」は、2017年から適用されている新規格である「JISQ15001:2017」で登場しました。旧規格「JISQ15001:2006」における「特定の機微な個人情報」に対応する概念です。この「特定の機微な個人情報」に関しても、下で確認していきます。

反対に、要配慮個人情報ではないもの

要配慮個人情報に含まれない情報について、押さえておきたいポイントは以下の3つです。

  • 本籍地
  • 労働組合等への加盟
  • 性生活

これらは、旧規格の「特定の機微な個人情報」には含まれるものの、新規格の「要配慮個人情報」には含まれないものです、

③特定の機微な個人情報

個人情報マネジメントシステムの旧規格である「JISQ15001:2006」では、「特定の機微な個人情報」という概念が定義されていました。簡単にまとめると、以下の通りです。

  • 個人の信仰
  • 人種や障害
  • 労働組合等における活動
  • 政治的なデモ活動
  • 医療や性生活

こういった「特定の機微な個人情報」も、不当な差別や偏見を生じさせないように配慮を必要とする情報です。事業者には取得・利用・提供の制限が課されました。

④センシティブ情報

センシティブ情報は「機微情報」とも言います。「機微(センシティブ)情報」と表記されることが多いかもしれません。これは、金融分野ガイドラインに規定が記載されています。具体的には以下の情報が当てはまります。

  • 要配慮個人情報に該当する情報
    • 本人の人種
    • 信条
    • 社会的身分
    • 犯罪の経歴、犯罪により害を被った事実
  • 労働組合への加盟
  • 門地、本籍地
  • 保険医療、性生活

この「金融分野ガイドライン」は「金融分野における個人情報取扱事業者」が対象となるため、より厳しい規定が定められています。一般の個人情報取扱事業者は対象になりません。

「要配慮個人情報」と「センシティブ情報」の違いは?

上で確認したように、「要配慮個人情報」は「センシティブ情報」に含まれる概念となります。つまり、センシティブ情報の方が対象範囲が広いということです。
>>>センシティブ情報(機微情報)に関して、詳しくはコチラ
「機微情報」をマスターしよう!

要配慮個人情報を扱う時の規制

要配慮個人情報を扱う際は、取得と第三者提供に制限がかけられています。
 取得:原則として、あらかじめ本人の同意がなければ取得禁止
 第三者提供:オプトアウトの禁止
※オプトアウトとは:本人から第三者提供の同意を取らず、第三者提供の停止を求められたときに提供をやめること

センシティブ情報を扱う時の規制

機微(センシティブ)情報の場合は、要配慮個人情報よりも厳しく、取得と第三者提供に加えて利用に関しても規制が加えられています。また、取得と第三者提供の規制も厳しくなっています。
 取得:原則禁止
 利用:原則禁止
 第三者提供:原則禁止

なお、要配慮個人情報・機微(センシティブ)情報ともに、規制には例外が設けられています。機微(センシティブ)情報の場合は「必要な場合」に限られますが、要配慮個人情報では「本人の同意を得ることが困難であるとき」という文言が付される場合もあります。

「要配慮個人情報」と「個人情報」の違い

では、そもそも「個人情報」と「要配慮個人情報」は何が違うのでしょうか。
ここでキーになってくるのは、「要配慮」という言葉です。要配慮個人情報は”配慮が必要な個人情報”であると解釈でき、個人情報よりもセンシティブであり、偏見や差別に繋がり得る情報だと言えます。こういった定義の違いは取得や第三者提供での扱いにも差が現れます。

個人情報を取得する際の注意点

免許証やマイナンバーカード、住民票などを通して個人情報を取得する際にも、要配慮個人情報や機微(センシティブ)情報の扱いに注意しなければなりません。
例えば住民票の写しの場合、「本籍地」は要配慮個人情報には該当しないものの、機微(センシティブ)情報に該当します。マスキングしてコピーを取るなど、住民票の一部分だけを個別に対応する必要があります。

要配慮個人情報を扱う企業として押さえておきたいポイント

ここまで確認してきたように、要配慮個人情報を扱う際は様々な点に注意しなければなりません。要配慮個人情報を扱う企業として、どのような意識が必要でしょうか。

①そもそも取得する頻度・量を減らす

一番簡単な方法は、要配慮個人情報を取得する頻度や量を減らしてしまうことです。取得するから管理のリスクや手間が生じるので、その絶対量を減らすことがリスクヘッジになります。業務の中で本当に必要な情報だけを取得し、それ以外の取得は控えた方が良いでしょう。

②採用や健康診断で得た要配慮個人情報の管理

そうは言っても、全社員が通る道である採用や健康診断に関する業務では、要配慮個人情報に該当する情報が多く発生します。その場合は、取得規制の例外を確認しましょう。
例えば、「本人を目視し、又は撮影することにより、その外見上明らかな要配慮個人情報を取得する場合」があります。これに当てはめて考えると、人材採用時に必要となる写真撮影は、本人の同意なく取得できる要配慮個人情報に含まれると考えられます。

③要配慮個人情報の取得・保管はどこまでOK?

例外に該当しない場合は、要配慮個人情報を取得する際に本人の同意が必要となります。
しかし保管に関しては、特別なルールが定められているわけではありません。適切な安全管理措置を講じる必要はありますが、通常の個人情報と特段異なる基準は定められていません。

ただ、「要配慮」個人情報であることを考えると、通常の個人情報よりも厳重な管理をすることが望ましいでしょう。万が一要配慮個人情報が流出してしまった際の責任が、個人情報の場合より重くなることも考えられます。
例えばパソコンのパスワードやキャビネット等の鍵をより厳重なものにする、社員への研修を徹底する、などが考えられます。要配慮個人情報を扱う際は、社内の情報管理体制を見直し、隙の無い態勢を構築することが求められるでしょう。

個人情報を利活用する際の流れ

最後に、個人情報の利活用における注意点をまとめておきます。

①取得

個人情報を取得する際は以下の点に注意する必要があります。

  • 取得前か取得後に利用目的を公表・通知する
  • 不正な手段で取得してはならない
  • 利用目的の範囲内で利用する

※要配慮個人情報を取得する際は原則本人の同意が必要

②保管・管理

取得した次のステップである管理については、以下の点に注意する必要があります。

  • 安全に管理するための必要な措置をとる
  • 不要になったデータは消去するように努める
  • 本人から個人情報の取扱いに関する苦情があった場合は迅速・適切に処理をする
  • 本人から開示請求があった場合は応じる

③第三者への提供

第三者へ提供する際は、あからじめ本人の同意をとっておく必要があります。
例外は主に以下の3点です。

  • 法令に基づく場合
  • 本人の同意を得ることが困難な場合(一部)
  • オプトアウト手続きを踏んでいる

※オプトアウトに関しては、要配慮個人情報を除く

万全な個人情報管理体制をつくるには

ここまで、要配慮個人情報や機微(センシティブ)情報について、詳しく確認してきました。紛らわしい要件や注意点があり、これらの情報を扱う事業者は細心の注意を払わなければなりません。
その中で重要になるのは社員教育です。実際に要配慮個人情報などを扱う社員が十分な知識を持つ必要がありますし、全社として個人情報の取扱いに対して自覚的・主体的に動けるようになることも望ましいです。
そういった社内体制を構築するために、プライバシーマーク(Pマーク)の取得を目指すことはいかがでしょうか。プライバシーマークとは、個人情報の適切な管理体制が整備されている会社を認定する仕組みであり、プライバシーマークを取得することで取引先や一般消費者に安心感を与えることができます。
プライバシーマーク取得には厳しい審査がありますが、株式会社UPFには、業界No.1を誇る実績に基づく、プライバシーマーク(Pマーク)教育のノウハウがございます。
教育実施でお悩みの企業様・ご担当社様は、どうぞお気軽にお問い合わせください。

お問い合わせはこちらから。
株式会社UPFについて詳しくはこちらから。

ご相談はこちら

この記事を書いた人

株式会社UPF

株式会社UPF

東京都中央区に本社を構える株式会社UPFです。 日本全国を対象にPマーク(プライバシーマーク)とISMS(ISO27001)の新規取得コンサルティング、取得後の運用支援事業を展開しております。 プライバシーマークについてのお問い合わせ・ご相談は→03-6661-0846セキュリティーコンサルティング事業部まで

同じテーマの記事はこちら

すべて見る
ご相談はこちら

お電話でのお問い合わせ

電話03-6661-0846