要配慮個人情報とセンシティブ情報は何が違う?

「要配慮個人情報」や「センシティブ情報(機微情報)」といった言葉を目にした時、その違いや特徴をパッと思い出すことはできるでしょうか。紛らわしい言葉の定義を整理して、それぞれの要件や注意点を把握することは、業務におけるミス軽減にも繋がるでしょう。
この記事では、要配慮個人情報とセンシティブ情報の違いや、扱う際のポイントを解説します。小さなミスが大きな影響を及ぼす個人情報管理において、考えるべき対策も最後にお伝えします。
目次
紛らわしい言葉の定義を確認
個人情報にまつわる用語には、定義や表記が紛らわしいものが多くあります。
今回は、”そもそも「個人情報」とは何か”といったところから、関連の強い「要配慮個人情報」「特定の機微な個人情報」「センシティブ情報」の3つを確認します。
①個人情報
個人情報の定義は個人情報保護法で定められています。
簡単にまとめますと、個人情報とは
生存する個人に関する
- 特定の個人を識別できる情報:氏名、生年月日など
- 個人識別符号
となります。
①生存すること②特定の個人を識別できること、の2つが重要なポイントです。
また、個人識別符号とは、具体的には免許証番号やクレジットカード番号などの個人に割り当てられる番号や、DNA・指紋などコンピューターで用いる身体的な情報のことを指します。
②要配慮個人情報
では、個人情報に「要配慮」という言葉が加えられた「要配慮個人情報」は何を指すのでしょうか。
「要配慮個人情報」は、個人情報保護法において以下のように定められています。
「要配慮個人情報」とは、本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める記述等が含まれる個人情報をいう。
個人情報の中でも、不当な差別や偏見が生じないように配慮を必要とする情報を指すということです。
「要配慮個人情報」は、2017年から適用されている新規格である「JISQ15001:2017」で登場しました。旧規格「JISQ15001:2006」における「特定の機微な個人情報」に対応する概念です。この「特定の機微な個人情報」に関しても、下で確認していきます。
反対に、要配慮個人情報ではないもの
要配慮個人情報に含まれない情報について、押さえておきたいポイントは以下の3つです。
- 本籍地
- 労働組合等への加盟
- 性生活
これらは、旧規格の「特定の機微な個人情報」には含まれるものの、新規格の「要配慮個人情報」には含まれないものです、
③特定の機微な個人情報
個人情報マネジメントシステムの旧規格である「JISQ15001:2006」では、「特定の機微な個人情報」という概念が定義されていました。簡単にまとめると、以下の通りです。
- 個人の信仰
- 人種や障害
- 労働組合等における活動
- 政治的なデモ活動
- 医療や性生活
こういった「特定の機微な個人情報」も、不当な差別や偏見を生じさせないように配慮を必要とする情報です。事業者には取得・利用・提供の制限が課されました。
④センシティブ情報
センシティブ情報は「機微情報」とも言います。「機微(センシティブ)情報」と表記されることが多いかもしれません。これは、金融分野ガイドラインに規定が記載されています。具体的には以下の情報が当てはまります。
- 要配慮個人情報に該当する情報
- 本人の人種
- 信条
- 社会的身分
- 犯罪の経歴、犯罪により害を被った事実
- 労働組合への加盟
- 門地、本籍地
- 保険医療、性生活
この「金融分野ガイドライン」は「金融分野における個人情報取扱事業者」が対象となるため、より厳しい規定が定められています。一般の個人情報取扱事業者は対象になりません。
「要配慮個人情報」と「センシティブ情報」の違いは?
上で確認したように、「要配慮個人情報」は「センシティブ情報」に含まれる概念となります。つまり、センシティブ情報の方が対象範囲が広いということです。
>>>センシティブ情報(機微情報)に関して、詳しくはコチラ
「機微情報」をマスターしよう!
要配慮個人情報を扱う時の規制
要配慮個人情報を扱う際は、取得と第三者提供に制限がかけられています。
取得:原則として、あらかじめ本人の同意がなければ取得禁止
第三者提供:オプトアウトの禁止
※オプトアウトとは:本人から第三者提供の同意を取らず、第三者提供の停止を求められたときに提供をやめること
センシティブ情報を扱う時の規制
機微(センシティブ)情報の場合は、要配慮個人情報よりも厳しく、取得と第三者提供に加えて利用に関しても規制が加えられています。また、取得と第三者提供の規制も厳しくなっています。
取得:原則禁止
利用:原則禁止
第三者提供:原則禁止
なお、要配慮個人情報・機微(センシティブ)情報ともに、規制には例外が設けられています。機微(センシティブ)情報の場合は「必要な場合」に限られますが、要配慮個人情報では「本人の同意を得ることが困難であるとき」という文言が付される場合もあります。
「要配慮個人情報」と「個人情報」の違い
では、そもそも「個人情報」と「要配慮個人情報」は何が違うのでしょうか。
ここでキーになってくるのは、「要配慮」という言葉です。要配慮個人情報は”配慮が必要な個人情報”であると解釈でき、個人情報よりもセンシティブであり、偏見や差別に繋がり得る情報だと言えます。こういった定義の違いは取得や第三者提供での扱いにも差が現れます。
個人情報を取得する際の注意点
免許証やマイナンバーカード、住民票などを通して個人情報を取得する際にも、要配慮個人情報や機微(センシティブ)情報の扱いに注意しなければなりません。
例えば住民票の写しの場合、「本籍地」は要配慮個人情報には該当しないものの、機微(センシティブ)情報に該当します。マスキングしてコピーを取るなど、住民票の一部分だけを個別に対応する必要があります。
要配慮個人情報を扱う企業として押さえておきたいポイント
ここまで確認してきたように、要配慮個人情報を扱う際は様々な点に注意しなければなりません。要配慮個人情報を扱う企業として、どのような意識が必要でしょうか。
①そもそも取得する頻度・量を減らす
一番簡単な方法は、要配慮個人情報を取得する頻度や量を減らしてしまうことです。取得するから管理のリスクや手間が生じるので、その絶対量を減らすことがリスクヘッジになります。業務の中で本当に必要な情報だけを取得し、それ以外の取得は控えた方が良いでしょう。
②採用や健康診断で得た要配慮個人情報の管理
そうは言っても、全社員が通る道である採用や健康診断に関する業務では、要配慮個人情報に該当する情報が多く発生します。その場合は、取得規制の例外を確認しましょう。
例えば、「本人を目視し、又は撮影することにより、その外見上明らかな要配慮個人情報を取得する場合」があります。これに当てはめて考えると、人材採用時に必要となる写真撮影は、本人の同意なく取得できる要配慮個人情報に含まれると考えられます。
③要配慮個人情報の取得・保管はどこまでOK?
例外に該当しない場合は、要配慮個人情報を取得する際に本人の同意が必要となります。
しかし保管に関しては、特別なルールが定められているわけではありません。適切な安全管理措置を講じる必要はありますが、通常の個人情報と特段異なる基準は定められていません。
ただ、「要配慮」個人情報であることを考えると、通常の個人情報よりも厳重な管理をすることが望ましいでしょう。万が一要配慮個人情報が流出してしまった際の責任が、個人情報の場合より重くなることも考えられます。
例えばパソコンのパスワードやキャビネット等の鍵をより厳重なものにする、社員への研修を徹底する、などが考えられます。要配慮個人情報を扱う際は、社内の情報管理体制を見直し、隙の無い態勢を構築することが求められるでしょう。
個人情報を利活用する際の流れ
最後に、個人情報の利活用における注意点をまとめておきます。
①取得
個人情報を取得する際は以下の点に注意する必要があります。
- 取得前か取得後に利用目的を公表・通知する
- 不正な手段で取得してはならない
- 利用目的の範囲内で利用する
※要配慮個人情報を取得する際は原則本人の同意が必要
②保管・管理
取得した次のステップである管理については、以下の点に注意する必要があります。
- 安全に管理するための必要な措置をとる
- 不要になったデータは消去するように努める
- 本人から個人情報の取扱いに関する苦情があった場合は迅速・適切に処理をする
- 本人から開示請求があった場合は応じる
③第三者への提供
第三者へ提供する際は、あからじめ本人の同意をとっておく必要があります。
例外は主に以下の3点です。
- 法令に基づく場合
- 本人の同意を得ることが困難な場合(一部)
- オプトアウト手続きを踏んでいる
※オプトアウトに関しては、要配慮個人情報を除く
万全な個人情報管理体制をつくるには
ここまで、要配慮個人情報や機微(センシティブ)情報について、詳しく確認してきました。紛らわしい要件や注意点があり、これらの情報を扱う事業者は細心の注意を払わなければなりません。
その中で重要になるのは社員教育です。実際に要配慮個人情報などを扱う社員が十分な知識を持つ必要がありますし、全社として個人情報の取扱いに対して自覚的・主体的に動けるようになることも望ましいです。
そういった社内体制を構築するために、プライバシーマーク(Pマーク)(Pマーク)の取得を目指すことはいかがでしょうか。プライバシーマーク(Pマーク)とは、個人情報の適切な管理体制が整備されている会社を認定する仕組みであり、プライバシーマーク(Pマーク)を取得することで取引先や一般消費者に安心感を与えることができます。
プライバシーマーク(Pマーク)取得には厳しい審査がありますが、株式会社UPFには、業界No.1を誇る実績に基づく、プライバシーマーク(Pマーク)教育のノウハウがございます。
教育実施でお悩みの企業様・ご担当社様は、どうぞお気軽にお問い合わせください。
お問い合わせはこちらから。
株式会社UPFについて詳しくはこちらから。
よくある質問(FAQ)
Q. Pマーク取得にはどのくらいの期間・費用がかかりますか?
A. 一般的に6〜12ヶ月、費用は相場120万円〜です。ただし株式会社UPFでは税抜き49万円〜・最短スケジュールでのサポートを提供しています。累計5,000社超(業界No.1)の実績で効率的に取得をサポートします。
Q. コンサル会社を使わずに自社だけでPマークを取得できますか?
A. 可能ではありますが、書類作成・社内体制整備・審査対策など多くの工数が必要で、専任担当者が必要になります。コンサル会社を利用することで大幅に工数を削減でき、審査通過率も高まります。
Q. Pマーク・ISMSはどんな企業が取得すべきですか?
A. 個人情報を扱う企業全般が対象ですが、特に上場・IPOを目指す企業、大企業・官公庁との取引企業、EC・医療・教育機関などに強く推奨されます。どちらの認証が適切か、株式会社UPFの無料相談でご確認いただけます。
※ 本記事は2026年1月時点の情報をもとに、株式会社UPFが監修・執筆しています。Pマーク・ISMSに関する最新情報は無料相談でご確認ください。
この記事を書いた人
株式会社UPF
同じテーマの記事はこちら
サプライチェーン全体のセキュリティを「見える化」する新制度「SCS評価制度」がいよいよ始まります✨UPFにできること
サイバー攻撃の手口が年々巧妙になるなか、最近特に増えているのが「取引先を踏み台にして、本来の標的企業へ侵入する」という手口です。 セキュリティが手薄な中小企業を経由することで、大企 […]
個人情報保護法改正案に専門家が懸念――本人同意なき第三者提供とPマーク取得企業が知るべきリスク
国会で審議中の個人情報保護法改正案をめぐり、専門家や消費者団体から強い懸念の声があがっている模様ですね。 参院デジタルAI特別委員会が開いた参考人質疑では、改正案の核心となる「本人 […]
AIツール利用中の情報漏洩、他人事ではない!今すぐガイドラインを整備すべき理由(マネーフォワードのケース)
(本記事は、プライバシーマーク(Pマーク)・ISMS取得コンサルティングで業界No.1・累計5,000社超の実績を持つ株式会社UPFが執筆・監修しています。) 2026年5月1日、 […]
AIで爆速開発した東大生限定アプリ「UTopiaユートピア」が情報漏洩で即停止!バイブコーディングの落とし穴と、企業が学ぶべきこと
2026年4月、「男子東大生×女子大生限定」を謳うマッチングアプリ「UTopia(ユートピア)」がリリースされました。 しかし正式サービス開始からわずか1週間も経たないうちに、個人 […]
JIS Q 15001とは何か?Pマークとの関連性から活用メリットまで解説します
JIS Q 15001とはどのように活用されるものなのでしょうか。また、JIS Q 15001について調べると必ず目にするPマークはどのようなもので、JIS Q 15001とはどの […]