2017年5月に施行された改正個人情報保護法では、「要配慮個人情報」という新しい言葉が定義された。
以前から、JIS Q 150001では「特定の機微な個人情報」という言葉はあったが、個人情報保護法にて新たに「要配慮個人情報」として明文化されることになった。
要配慮個人情報とはどのような個人情報のことなのか、その定義と具体例を示して分かりやすく解説していこう。
- 要配慮個人情報とは?要配慮個人情報の定義
- 要配慮個人情報に該当する個人情報は?
- 「推知させる情報にすぎないもの」は含まない
- オプトアウトによる第三者提供は禁止
- 要配慮個人情報が追加された背景
- 要配慮個人情報を英語で書くと?
- さいごに
要配慮個人情報とは?要配慮個人情報の定義
まず、要配慮個人情報の定義を確認していこう。
個人情報情報保護法によると、要配慮個人情報は次のように記述されている。
この法律において「要配慮個人情報」とは、本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める記述等が含まれる個人情報をいう。
(個人情報保護法第2条第3項)
長い文章で分かりにくいかもしれないが、このように、人種、信条、社会的身分、病歴、犯罪の経歴、犯罪や差別などの、個人情報の中でも特にセンシティブな情報を「要配慮個人情報」としている。
その目的は、条文にあるとおり、「不当な差別、偏見その他の不利益が生じないよう」にすることだ。
では、もう少し具体的に、どのような個人情報が「要配慮個人情報」に分類されるのだろうか?
個人情報の保護に関する法律についてのガイドライン (以下、ガイドライン)には、その詳細が記されているため、そちらを見ていこう。
要配慮個人情報に該当する個人情報は?
ガイドラインによると、要配慮個人情報は11のカテゴリーに分類することができる。
- 人種
- 信条
- 社会的身分
- 病歴
- 犯罪の経歴
- 犯罪により害を被った事実
- 身体障害、知的障害、精神障害、発達障害
- 健康診断やその他の検査の結果
- 健康診断等の結果に基づき指導や診療などが行われたこと
- 被疑者又は被告人として刑事事件に関する手続きが行われたこと
- 少年法の適用で調査等の手続きが行われたこと
それぞれ、簡単に解説していこう。
人種
「人種」については、人種・世系、民族的・種族的出身を広く意味するものだ。
ただ、単純な国籍や「外国人」という情報は法的地位であるため、それだけでは「人種」には含まれない。また、「肌の色」も人種を推知させるだけのものなので、含まれない。
信条
「信条」は、個人の基本的なものの見方、考え方を意味する。思想と信仰の双方を含むものとなっている。
そのため、たとえば「キリスト教」や「仏教」を信ずるといった情報は要配慮個人情報となる。ただ、「聖書」を購入したという情報のみでは、「推知」するにすぎず、要配慮個人情報とはいえない。
社会的身分
「社会的身分」は、「ある個人にその境遇として固着していて、一生の間、自らの力によって容易にそれ から脱し得ないような地位」のことを意味する。
そのため、職業的地位や学歴などの、その人の力によって変えうるものは含まれない。
病歴
「病歴」は、がんに罹患しているなど、病気に罹患した経歴を意味する。
犯罪の経歴
「犯罪の経歴」は、これまでの有罪判決を受け確定したという事実が該当する。
犯罪により害を被った事実
「犯罪により害を被った事実」は、「犯罪の経歴」とは反対に、犯罪の被害を受けた事実を意味する。
具体的には、刑事事件に関するものが該当となる。
身体障害、知的障害、精神障害、発達障害
正確には、「身体障害、知的障害、精神障害(発達障害を含む。)その他の個人情報保護委員会規 則で定める心身の機能の障害があること」のこと。
ガイドラインによると、具体的には以下の4つの情報が該当する。
- 「身体障害者福祉法別表に掲げる身体上の障害」があることを特定させる情報
- 「知的障害者福祉法にいう知的障害」があることを特定させる情報
- 「精神保健及び精神障害者福祉に関する法律(昭和 25 年法律第 123 号)にいう精神障害があることを特定させる情報
- 「治療方法が確立していない疾病その他の特殊の疾病であって障害者の日常生活及び社会生活を総合的に支援するための法律第 4 条第 1 項の政令で定めるものによる障害の程度が同項の厚生労働大臣が定める程度であるもの」があることを特定させる情報
健康診断やその他の検査の結果
労働安全衛生法に基づいた行われた健康診断の結果、同法に基づいて行われたストレスチェックの結果、高齢者の医療の確保に関する法律に基づいて行われた特定健康診査の結果などが該当する。
健康診断等の結果に基づき指導や診療などが行われたこと
健康診断の結果のみならず、その情報をもとに指導や診療が行われたことも要配慮個人情報に該当する。
被疑者又は被告人として刑事事件に関する手続きが行われたこと
本人を被疑者又は被告人として刑事事件に関する手続が行われたという事実は、要配慮個人情報に該当する。
ただ、他人を被疑者とする犯罪捜査のために取調べを受けた事実などは、これに該当しない。
少年法の適用で調査等の手続きが行われたこと
本人を非行少年又はその疑いのある者として、保護処分等の少年の保護事件に関する手続が行われたという事実が該当する。
「推知させる情報にすぎないもの」は含まない
ここまでで、要配慮個人情報に含まれる個人情報について、具体的に整理をしてきた。
1点間違えやすい点として、ガイドラインに記載の通り、「推知させる情報にすぎないもの」は、要配慮個人情報には含まれないとされていることに気をつけておきたい。
たとえば、「宗教に関する書籍の購買履歴」は「信条を推知させる情報にすぎない」ため要配慮個人情報ではない。また、「肌の色」は「人種を推知させる情報にすぎない」ため、同じく要配慮個人情報ではないということだ。
オプトアウトによる第三者提供は禁止
要配慮個人情報は、通常の個人情報よりもより慎重に扱う必要がある。
そのため、「オプトアウトによる第三者提供」は禁止されている。
要配慮個人情報の取得や第三者提供には、原則として本人の同意が必要であり、法第23条第2項の規定による第三者提供(オプトアウトによる第三者提供)は認められていないので、注意が必要である
個人情報保護法第23条2項では、個人情報取扱事業者があらかじめ本人へ通知し個人情報保護委員会に届け出を行うことで、第三者への提供を許しているが、要配慮個人情報についてはこの対象ではないというわけである。
要配慮個人情報が追加された背景
17年施行の改正個人情報保護法で「要配慮個人情報」が追加された背景としては、「EUデータ保護指令」の十分性の認定を受けるためという理由が大きいと言われている。
日本はプライバシー保護の観点でも、EUを参考にしており、足並みを揃えていきたいという思いがあるのかもしれない。
要配慮個人情報を英語で書くと?
要配慮個人情報を英語で書くと「Special care-required personal information」となる。
シンプルに「sensitive personal information」と書いている文章もあるが、欧州委員会の公式サイトに掲載されているドキュメントで「Special care-required personal information」と記載されていることから、こちらを利用するのが正しいといえる。
さいごに
本記事では、改正個人情報保護法で新たに定義された「要配慮個人情報」について整理をしてきた。
様々な言葉が出てきて分かりにくいところだが、ガイドラインを丁寧に読み進めることで、大枠が掴めてくる。
さらに深掘りをしたい方は、ぜひガイドラインを見てみていただければと思う。