要配慮個人情報とは?具体例や規制内容、ペナルティなどを徹底解説
全国20拠点以上!安心の全国対応
記事目次
要配慮個人情報とは?
「要配慮個人情報」とは、2017年施工の法改正により新設された概念であり、個人情報(個人情報の保護に関する法律(以下、「法」という。)第2条1項)のうち、不当な差別や偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める記述等が含まれる情報を指します。
要配慮個人情報については、その取得をする場合やその管理について個人情報よりも厳格な規律がされております。
要配慮個人情報の定義
「要配慮個人情報」とは、個人情報(法2条1項)のうち本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実、その他不当な差別や偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める記述等が含まれる個人情報をいいます(法第2条3項)。
そのため、「要配慮個人情報」に該当するためには、当然ながら、まず個人情報であることが要件になります。
政令で定める記述等については、以下で説明して行きます。
「個人情報」とは
法で定められている「個人情報」(法第2条1項)とは、生存する個人に関する情報であって、氏名、生年月日その他の記述等により特定の個人を識別することができるものまたは個人識別符号が含まれるものをいうとされております(法第2条1項)。
個人識別符号とは、当該情報から特定の個人を識別することができるものとして政令定められた文字、番号、記号その他の符号を指します。
この中にはパスポート番号等の符号だけでなく、身体的特徴のいずれかを文字や番号等により記号化した情報も含まれます。
要配慮個人情報の具体例
「要配慮個人情報」は、個人情報のうち以下の記述等が含まれる情報を指します。
①人種、②信条、③社会的身分、④病歴、⑤犯罪経歴、⑥犯罪の被害に遭った事実、⑦身体障碍・知的障害・精神障害があること、⑧健康診断等の結果、⑨健康診断等の結果等に基づく医師等による指導等、⑩刑事事件に関する手続きが行われたこと、⑪少年の保護事件に関する手続きが行われたこと、⑫ゲノム情報です。
以下でそれぞれの記述の具体例等について説明をして行きます。
①人種
人種、世系又は民族的若しくは種族的出身を広く意味するとされております。
なお、単純な国籍や「外国人」という情報は法的地位であり、それだけでは人種には含まないとされております。
また、肌の色は、人種を推知させる情報にすぎないため、人種には含まれません。
②信条
個人の基本的なものの見方、考え方を意味し、思想と信仰の双方を含むものです。
③社会的身分
ある個人にその境遇として固着していて、一生の間、自らの力によって容易にそれから脱し得ないような地位を意味し、単なる職業的地位や学歴は含まれません。
④病歴
病気に罹患した経歴を意味するもので、特定の病歴を示した部分(例:特定の個人ががんに罹患している、統合失調症を患っている等)が該当します。
⑤犯罪経歴
前科、すなわち有罪の判決を受けこれが確定した事実が該当します。
⑥犯罪の被害に遭った事実
身体的被害、精神的被害及び金銭的被害の別を問わず、犯罪の被害を受けた事実を意味する。
具体的には、刑罰法令に規定される構成要件に該当し得る行為のうち、刑事事件に関する手続に着手されたものが該当します。
⑦身体障害・知的障害・精神障害があること
身体障害があることを特定させる情報については、医師又は身体障害者更生相談所により、身体上の障害があることを診断又は判定されたこと、身体障害者手帳の交付を受け、これを所持していること又は過去に所持していたこと、本人の外見上明らかに身体上の障害があることがこれに該当するとされております。
また、知的障害があることを特定させる情報については、医師、児童相談所、知的障害者更生相談所、精神保健福祉センター、障害者職業センターにより、知的障害があると診断又は判定されたこと(障害の程度に関する情報を含む。)、療育手帳の交付を受け、これを所持していること又は過去に所持していたこと(障害の程度に関する情報を含む。)がこれに該当するとされております。
精神障害があることを特定させる情報について、医師又は精神保健福祉センターにより精神障害や発達障害があると診断又は判定されたこと(障害の程度に関する情報を含む。)、精神障害者保健福祉手帳の交付を受け、これを所持していること又は過去に所持していたこと(障害の程度に関する情報を含む。)がこれに該当するとされております。
その他、医師により、厚生労働大臣が定める特殊の疾病による障害により継続的に日常生活又は社会生活に相当な制限を受けていると診断されたこと(疾病の名称や程度に関する情報を含む。)がわかる記述もこちらの要配慮個人情報に該当します。
⑧健康診断等の結果
労働安全衛生法(昭和47年法律第57号)に基づいて行われた健康診断の結果、同法に基づいて行われたストレスチェックの結果、高齢者の医療の確保に関する法律(昭和57年法律第80号)に基づいて行われた特定健康診査の結果などが該当します。
また、法律に定められた健康診査の結果等に限定されるものではなく、人間ドックなど保険者や事業主が任意で実施又は助成する検査の結果も該当します。
さらに、医療機関を介さないで行われた遺伝子検査により得られた本人の遺伝型とその遺伝型の疾患へのかかりやすさに該当する結果等も含まれます。
⑨医師等による指導・診療・調剤内容
労働安全衛生法に基づき医師又は保健師により行われた保健指導の内容、同法に基づき医師により行われた面接指導の内容、高齢者の医療の確保に関する法律に基づき医師、保健師、管理栄養士により行われた特定保健指導の内容等が該当するとされています。
また、法律に定められた保健指導の内容に限定されるものではなく、保険者や事業主が任意で実施又は助成により受診した保健指導の内容も該当するとされています。
なお、保健指導等を受けたという事実も該当します。
⑩刑事事件に関する手続きが行われたこと
本人を被疑者又は被告人として刑事事件に関する手続が行われたという事実が該当します。
他人を被疑者とする犯罪捜査のために取調べを受けた事実や、証人として尋問を受けた事実に関する情報は、本人を被疑者又は被告人としていないことから、これには該当しません。
⑪少年の保護事件に関する手続きが行われたこと
本人を非行少年又はその疑いのある者として、保護処分等の少年の保護事件に関する手続が行われたという事実が該当します。
⑫ゲノム情報
ゲノムとは、簡単に言うと遺伝子をはじめとする遺伝情報のことです。
ゲノム情報の中には、将来発症する可能性がある病気や、治療薬の選択に関する情報などが含まれることがあります。
要配慮個人情報に該当しない情報の具体例
上記の記述を含まない情報は要配慮個人情報には該当しません。
また、上記の情報を推知させるに過ぎない情報は要配慮個人情報にはふくまれません。
例えば、何らかの宗教や思想に関わる書籍の購入履歴等については心情を推知させるに過ぎない情報であるため、要配慮個人情報には含まれません。
要配慮個人情報の規制ができた背景
要配慮個人情報は、2017年施行の法改正により新設された概念です。
この法改正がなされた背景には、情報管理の重要性が認識されたこと、GDPRの十分性認定を受ける必要性があったこと、ガイドラインの運用が定着していたこと等が挙げられます。以下で詳しく説明して行きます。
情報管理の重要性が高まったこと
昨今のデジタル化が進む中で情報の伝達の障壁が低くなったことから、一度取得された情報は、オンラインに乗せられ瞬時に拡散したり、データベースに保存して膨大なデータと関連づけることが可能になりました。
そこで、情報の取得や提供の管理をこれまでよりも厳格化する必要が出てきたのです。
2017年施行の法改正はこのような社会の変化から国民の情報が適切に管理されることを実現するために行われたと言えます。
GDPRの十分性認定を受けるために必要があること
GDPRはEU内の個人情報保護を定めるルールであり、この規定によるとEU内の個人情報を提供するためには、提供先である国がEU以外の国であってもGDPRの要件を満たしていることが求められており、GDPRにおける十分性の認定を受けなければEU市場での経済活動ができなくなるため、日本としては日本企業がEU市場で活動をするために十分性の認定を受ける必要性があったと考えられます。
ガイドライン等のソフトローによる運用が定着していたこと
法律上は個人情報の性質に応じた取り扱いの分類は規定されていませんでしたが、ガイドラインや各都道府県の条例では、一部のプライバシー情報について特別の制限を課していたため、2017年施行の法改正は全く新しいルールを創設したものではなく、これまで条例やガイドラインにより実務上行われていた運用レベルに合わせて法律を改正したものとも捉えることができます。
そのため、法律の改正ができる状態であったところ、上記のGDPRの十分性認定を受ける必要性があったことが契機となり法改正がなされたものと考えられます。
要配慮個人情報の特別な規制内容
「要配慮個人情報」に該当する場合には、通常の個人情報よりも取得や管理について厳格な制限は規定されています。「要配慮個人情報」該当する場合の規制内容について説明して行きます。
取得時に本人の同意が必要
「要配慮個人情報」を取得するためには、原則として本人の同意を得る必要があります(法第20条2項)。
「本人の同意」とは、通常の個人情報を目的外利用する場合と同様に本人の「要配慮個人情報」が、個人情報取扱事業者によって示された取扱方法で取り扱われることを承諾する旨の当該本人の意思表示をいうと解されます。
また、本人の同意を得るとは、本人の承諾する旨の意思表示を当該個人情報取扱事業者が認識することをいい、事業の性質及び個人情報の取扱状況に応じ、本人が同意に係る判断を行うために必要と考えられる合理的かつ適切な方法によらなければならないとされています。
なお、個人情報の取扱いに関して同意したことによって生ずる結果について、未成年者、成年被後見人、被保佐人及び被補助人が判断できる能力を有していないなどの場合は、親権者や法定代理人等から同意を得る必要があります。
<例外>本人の同意が不要なケース
「要配慮個人情報」を取得するには本人の同意を得る必要がありますが、以下の場合には本人の同意を得る必要はないとされています(法第20条2項各号)。
- 法令に基づく場合
- 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき
- 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき
- 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき
- 当該個人情報取扱事業者が学術研究機関等である場合であって、当該要配慮個人情報を学術研究目的で取り扱う必要があるとき(当該要配慮個人情報を取り扱う目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)
- 学術研究機関等から当該要配慮個人情報を取得する場合であって、当該要配慮個人情報を学術研究目的で取得する必要があるとき(当該要配慮個人情報を取得する目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)(当該個人情報取扱事業者と当該学術研究機関等が共同して学術研究を行う場合に限る。)
- 当該要配慮個人情報が、本人、国の機関、地方公共団体、学術研究機関等、第57条第1項各号に掲げる者その他個人情報保護委員会規則で定める者により公開されている場合
- その他前各号に掲げる場合に準ずるものとして政令で定める場合
オプトアウト方式による第三者提供は禁止されている
通常の個人情報については、第三者提供の同意の取得方法としてオプトアウト方式による取得が認められていますが、要配慮個人情報については、オプトアウト方式を取ることはできません(法第27条2項但書き)。
オプトアウト方式とは、本人の同意を得ずに第三者提供を行い、本人の求めがある場合に第三者提供を停止するという手法です。
行政機関が保有する場合は個人情報保護委員会への通知義務がある
「要配慮個人情報」を行政機関が取得する場合には、個人情報保護委員会への通知が義務付けられています。
GDPRにおける十分性認定の要件として独立の監督期間が存在することが考慮されていることから、行政に対する個人情報保護委員会への通知義務が規定されたものと考えられます。
事業者が要配慮個人情報を取り扱う際の留意点
「要配慮個人情報」については、以上のような個人情報にはない特別なルールがあるため、事業者はこれまでの個人情報に関する取り扱いに加え、「要配慮個人情報」の扱いについても従業員に周知しておく必要があります。
また、誤って「要配慮個人情報」を取得しないように注意する必要があります。
要配慮個人情報の従業員への周知
「要配慮個人情報」は新設された概念であるため、今一度「個人情報」の定義と合わせて「要配慮個人情報」の定義や具体例を担当従業員に周知する必要があるでしょう。
今後は、EUの情報管理がワールドスタンダードになる可能性が高く、日本企業に求められる情報管理に対するリテラシーもさらに高くなっていくことが考えられます。
そのため、日本の法律上のルールを遵守していることは最低限の対応であるため、新設された制度について担当の従業員にしっかり周知する必要があるでしょう。
誤って要配慮個人情報を取得してしまわないように注意
前述のように「要配慮個人情報」は取得するだけでも原則として本人の同意を要することから、企業としては誤って「要配慮個人情報」を取得することがないように、個人から提供される情報に「要配慮個人情報」が混入することがないよう配慮する必要があります。
要配慮個人情報のルールに違反するとどうなる?
ここでは、「要配慮個人情報」についての規制に違反するとどのようになるのかについて解説して行きます。
必要な報告や資料の要求・立入検査の実施
個人情報保護委員会は、個人情報取扱業者等に対して、個人情報取り扱い事業者の義務等の実施に必要な限度で、個人情報等の取り扱いに関して、必要な報告や資料の提出を求めたり、質問や立入検査を実施したりする権限があります(法第146条1項)。
個人情報取り扱い事業者の義務等とは、法に規定する個人情報等の取り扱いに関する事項を指しているため、個人情報保護法に規定される事業者側のルール全般についてこれを遵守させるために必要な範囲で報告や資料提出、立入検査を実施できることになっています。
個人情報保護委員会による行政指導
個人情報保護委員会は、個人情報取り扱い事業者の義務等の実施に必要な範囲で行政指導を行うこともできます(法第147条)。行政指導とは、違法状態や不適切な運用がなされている状態の事業者に対して行政機関がその違法状態や不適切な状態を是正するように指導することをいいます。
前述の報告や資料の提供、立入検査の実施等と同様に個人情報保護委員会は個人情報保護法で規定する個人事業者の義務等に関する事項全般を遵守させるために行政指導を行うことができます。
勧告・是正措置命令・公表
個人情報保護員会は、上記の行政指導を行なっても違法状態を是正しない業者に対して、その状態を是正するために必要な措置を取ることを韓国することができます。
そして、勧告を受けた事業者が正当な理由なく、その勧告にかかる措置を取らない場合において、個人の重体な権利利益の侵害が切迫していると認めるときは、当該個人情報取扱業者に対し、その勧告にかかる措置を取るべきことを命ずることができます。
さらに、その命令に違反した事業者等については、その命令に違反したことを公表することができるとされています。
刑事罰
必要な報告や資料の提出、立入検査の拒否をした場合や、虚偽の報告をした場合には50万円以下の罰金とされており(法第182条1項)、勧告にかかる命令に違反した場合には、1年以下の懲役または100万円以下の罰金に処する(法178条)とされています。
そして、当該法人に対しては、1億円以下の罰金刑が規定されています(法第184条1項)。
以上のとおり、個人情報保護法の違反については、刑事罰が定められています。
刑事罰であるため、当該処分をする前提として、検察官送致が行われるため、メディアで取り上げられ報道される可能性があります。
個人情報の取扱いに関するご相談は東京スタートアップ法律事務所
個人情報の取り扱いに関しては、昨今の情報管理に対するリテラシーの向上により、急激に規制が厳しくなっており、これからも規制が変容していく可能性の高い分野といえます。
また、GDPRのように今後は世界で事業を展開するに当たっては、より高度の情報管理体制を整備しておくことが必要になります。
スタートアップの時点では個人情報の保護に関する配慮をする余裕がないという事業者様も少ないかと存じますが、他の法律業務と合わせて弁護士のフォローを受けることで最低限必要な整備をすることができます。
違法な状態が指摘されてからこれを是正するのには莫大なリーガルフィーがかかってしまうため、事前に顧問弁護士に相談しながら事業を拡大していくのが望ましいといえます。
当事務所では、個人情報保護に詳しい弁護士が、最低限必要な整備と、事業の拡大に合わせて対応が必要な事項を精査して効率的な事業展開をサポートさせていただきます。
まとめ
今回の記事では、個人情報保護に関する法律におけるルールのうち特に「要配慮個人情報」について解説をしてまいりました。
日本の情報管理に関する法律も急激に変化をしてきている状況ではありますが、世界基準で見ると日本はまだまだ情報管理に対する意識やルールの整備について遅れをとっていると言えます。
そのため、これからも日本の情報管理に関する分野のルールは目まぐるしく変化していく可能性があると言えます。
今後日本企業が世界で活躍するためには、EU諸国の動向に目を配っていく必要があるでしょう。
- 得意分野
- ガバナンス関連、各種業法対応、社内セミナーなど企業法務
- プロフィール
- 埼玉県出身 明治大学法学部 卒業 早稲田大学大学院法務研究科 修了 弁護士登録 都内法律事務所 入所 東京スタートアップ法律事務所 入所