機微(センシティブ)情報とは?
定義・種類・要配慮個人情報との違い
などを分かりやすく解説!

おすすめ資料を無料でダウンロードできます
個人情報に関する研修資料
この記事のまとめ

機微情報とは、個人情報のうち、特に取り扱いに注意すべき情報として、金融関連分野の個人情報保護ガイドラインで取扱方法が定められている情報をいいます。

機微情報については、一般的な個人情報や要配慮個人情報とは異なる取り扱いが必要となります。

この記事では、機微情報の定義、種類や機微情報の取扱規制の内容などを分かりやすく解説します。

ヒー

「取得する個人情報が機微情報に当たらないか確認しましょう」と言われましたが、機微情報って何のことですか?

ムートン

機微情報は個人情報の中でも特に取り扱いに注意すべき情報で、個人情報保護に関するガイドラインに定義があります。確認しましょう。

※この記事は、2024年7月5日に執筆され、同時点の法令等に基づいています。

※この記事では、法令名を次のように記載しています。

  • 個人情報保護法…個人情報の保護に関する法律
  • 個人情報保護法施行令…個人情報の保護に関する法律施行令
  • 個人情報保護ガイドライン(通則編)…個人情報の保護に関する法律についてのガイドライン(通則編)
  • 金融分野ガイドライン…金融分野における個人情報保護に関するガイドライン
  • 信用分野ガイドライン…信用分野における個人情報保護に関するガイドライン
  • 債権管理回収業分野ガイドライン…債権管理回収業分野における個人情報保護に関するガイドライン

目次

機微(センシティブ)情報とは

機微情報の定義

機微情報」とは、個人情報のうち、以下のガイドラインにおいて、特に取り扱いに注意すべき情報として取り扱い方法が定められている情報です。「センシティブ情報」という場合もあります。

✅ 金融分野ガイドライン(5条)
✅ 信用分野ガイドライン(Ⅱ2.(2))
✅ 債権管理回収業分野ガイドライン(第4)
(以下、併せて「ガイドライン」)

具体的には、個人情報保護法2条3項に定める要配慮個人情報労働組合への加盟門地本籍地保健医療性生活に関する情報が機微情報に当たります。

ただし、本人等により公開されているものや、外形上明らかなものを除きます

個人情報との関係

機微情報は、個人情報の一部ですから、機微情報を取り扱うに当たっては、個人情報保護法も適用されます。
しかしながら、機微情報は、金融機関やカード会社、債権回収会社等が取り扱う個人情報の中で、特に取り扱いに注意すべき情報のため、個人情報保護法に加え、ガイドラインにより、その他の個人情報と比べてより慎重な取り扱いが求められています。

金融分野ガイドラインとは

金融分野ガイドラインは、金融庁が所管する分野(以下、「金融分野」)における個人情報の取り扱いについてのガイドラインです。

金融分野ガイドラインでは、金融分野において個人情報を保護するために特に必要な措置や、金融分野の事業者が個人情報の適正な取り扱いを行うための具体的な指針などが定められています。

ガイドラインの対象となる事業者は、銀行保険会社証券会社貸金業者電子マネー事業者などの金融庁所管分野の事業者です。

信用分野ガイドラインとは

信用分野ガイドラインは、経済産業省が所管する信用分野における個人情報の取り扱いについてのガイドラインです。

信用分野ガイドラインでは、信用分野において個人情報を保護するために特に必要な措置や、信用分野の事業者が個人情報の適正な取り扱いを行うための具体的な指針などが定められています。

ガイドラインの対象となる事業者は、クレジットカード会社などの割賦販売事業者です。

債権管理回収業分野ガイドラインとは

債権管理回収業分野ガイドラインは、法務省が所管する債権管理回収業分野における個人情報の取り扱いについてのガイドラインです。

債権管理回収業ガイドラインでは、債権管理回収業分野において個人情報を保護するために特に必要な措置や、債権回収業者が個人情報の適正な取り扱いを行うための具体的な指針などが定められています。

ガイドラインの対象となる事業者は、債権管理回収業に関する特別措置法に基づき、法務大臣から同法3条の営業許可を受けた債権回収会社(いわゆる「サービサー」)です。

機微情報の種類|具体例も解説

ガイドラインでは、以下の16種類の情報を機微情報としています。

機微情報のうち、左側の11種類は要配慮個人情報にも該当します(個人情報保護法2条3項、個人情報保護法施行令2条)。

1|人種

機微情報における「人種」は、社会通念上、皮膚の色、髪の形状等身体の生物学的諸特徴を共有するとされている人々の集団をさし、人種、血統や民族・種族的出身を広く意味します。
ただし、単純な国籍や「外国人」という情報は法的な地位ですから、それだけでは人種には含まれません。
また、肌の色は、人種を推知させる情報にすぎないため、機微情報でいう「人種」には含まれません。

2|信条

信条」は、個人の基本的なものの見方、考え方を意味し、政治や倫理的な思想などの宗教的意味を持たない思想と宗教的な意味を持つ信仰の双方を含みます。

具体的には、○○党の党員であるとか、○○教の信者などの情報が該当します。

3|社会的身分

社会的身分」は、ある個人にその境遇として固着していて、一生の間、自らの力によって容易にそれから脱し得ないような地位を意味します。

具体的には、「非嫡出子」「被差別部落の出身」などが該当します。
なお、単なる職業的地位や学歴など、自己の努力・才覚などに関係するものは含みません。

4|病歴

病歴」は、特定の病気に罹患した経歴をいいます。

例えば、「○○がんに罹患していた」「統合失調症を患っている」などがこれに該当します。

5|犯罪の経歴

犯罪の経歴」は、有罪の判決を受けこれが確定した事実(=前科をいいます。
また、受刑(刑を受けた)の経歴もここに含まれます。

なお、いわゆる「前歴」(=逮捕、拘留された事実、無罪となった事実や少年が保護処分になった事実など)は、「犯罪の経歴」ではなく、以下に記載する「刑事事件に関する手続」や「少年の保護事件に関する手続」に該当します。

6|犯罪の被害を受けた事実

犯罪の被害を受けた事実」は、身体的被害、精神的被害や金銭的被害など、被害の区別を問わず、犯罪の被害にあった事実をいいます。

なお、たとえ犯罪の被害を受けたとしても刑事事件に関する手続が開始されていない場合には、該当しません。

7|身体障害、知的障害、精神障害等(個人情報保護法施行令2条1号)

身体障害・知的障害・精神障害についての情報」は、身体障害・知的障害・精神障害に関する情報のうち、障害等があること・過去にあったことを特定させる情報をいいます。

具体的には以下のようなものが該当します。

  • 医師等により身体・知的・精神障害があると診断・判定されたこと
  • 障害者手帳の交付を受け、これを所持していることや所持していたこと
  • 本人の外見上明らかに身体上の障害があること
  • 医師により、特殊の疾病による障害により継続的に日常生活や社会生活に相当な制限を受けていると診断されたこと

8|健康診断等の結果(個人情報保護法施行令2条2号)

健康診断等の結果」は、疾病の予防や早期発見を目的として行われた健康診査、健康診断、特定健康診査、健康測定、ストレスチェック、遺伝子検査(診療の過程で行われたものを除く)等、受診者本人の健康状態が判明する検査の結果をいいます。

具体的には以下のようなものが該当します。

  • 労働安全衛生法に基づいて行われた健康診断やストレスチェックの結果
  • 高齢者の医療の確保に関する法律に基づいて行われた特定健康診査の結果
  • 個人が任意でうけた人間ドックの結果
  • 遺伝子検査により得られた本人の遺伝型とその遺伝型の疾患へのかかりやすさに該当する結果

ただし、健康診断等を受診したという事実は該当しません。
また、身長、体重、血圧、脈拍、体温等の個人の健康に関する情報を、健康診断、診療等の事業とは関係ない方法で知った場合には、これには該当しません。

9|保健指導・診療・調剤に関する情報(個人情報保護法施行令2条3号)

保健指導・診療・調剤に関する情報」は、保健指導・診療・調剤に関して本人の健康状態が明らかとなる情報です。

具体的には以下のようなものが該当します。

  • 健康診断等の結果をうけて、医師等が行う保健指導や特定保健指導等の内容
  • 保険指導を受けた事実
  • 診療記録、調剤録、薬剤服用歴やお薬手帳に記載された情報
  • 病院等を受診した事実
  • 薬局等で調剤を受けたという事実

10|刑事事件に関する手続(個人情報保護法施行令2条4号)

刑事事件に関する手続」は、本人を被疑者または被告人として刑事事件に関する手続が行われたという事実をいいます。

具体的には以下のようなものが該当します。

  • 逮捕、勾留、捜索や差押えがされた事実
  • 起訴された事実
  • 起訴猶予や不起訴処分となった事実

なお、他人を被疑者とする犯罪捜査のために取調べを受けた事実や、証人として尋問を受けた事実に関する情報は、本人を被疑者または被告人としていないことから、これには当たりません。

11|少年の保護事件に関する手続(個人情報保護法施行令2条5号)

少年の保護事件に関する手続」とは、本人を非行少年またはその疑いのある者として、少年の保護事件に関する手続が行われたという事実をいいます。

具体的には、以下のような事項に関する事実が該当します。

  • 家庭調査官による調査手続き
  • 観護措置
  • 審判
  • 保護処分

12|保険医療に関するその他の情報

保険医療に関するその他の情報」は、医療保険制度に基づいて行われる医療に関する情報のうち、以下に定める情報(要配慮個人情報に該当する情報)以外の情報をいいます。

  • 病歴
  • 身体障害、知的障害、精神障害等
  • 健康診断等の結果
  • 医師等による保健指導・診療・調剤

具体的には、医師等の診断等によらず、自己判断により市販薬を服用しているといった情報がこれに当たります。

「保険医療に関するその他の情報」は、要配慮個人情報ではありませんが、機微情報に該当します。

13|労働組合への加盟

労働組合への加盟」は、労働組合への加入等に関する情報をいいます。
労働組合とは「労働者が主体となって自主的に労働条件の維持・改善や経済的地位の向上を目的として組織する団体」のことです。
「労働組合への加盟」は、要配慮個人情報ではありませんが、機微情報に該当します。

14|門地

「門地」とは、特殊の家系に基づく身分をいいます。
皇族や旧華族の家柄などの情報がこれに当たります。

「門地」は、要配慮個人情報ではありませんが、機微情報に該当します。

15|本籍地

本籍地」とは、戸籍が所在する場所をいいます。

なお、「国籍」は、「人種」の項目で解説したとおり、機微情報ではありません。
また、パスポートに記載された「本籍地」も、都道府県のみの記載のため、機微情報には当たりません。

「本籍地」は、要配慮個人情報ではありませんが、機微情報に該当します。

16|性生活

性生活」についての情報も、要配慮個人情報ではありませんが、機微情報に当たります。

機微情報と要配慮個人情報との違い

要配慮個人情報とは

要配慮個人情報とは、本人に対する不当な差別・偏見その他の不利益が生じないように、取り扱いについて特に配慮を要する一定の個人情報として個人情報保護法に定められている個人情報をいいます。

その具体的な内容は、個人情報保護法2条3項と個人情報保護法施行令2条で定められています。

機微情報と要配慮個人情報の関係

機微情報は、2004年に制定されたガイドラインにおいて、初めて規定されました。

2004年当時は、個人情報保護法に「要配慮個人情報」の概念がなく、取り扱いに特に注意が必要な個人情報についての規定がなかったことから、金融機関等が取り扱う情報のうち、特に配慮を要する個人情報について、個人情報保護法よりも厳格な取り扱いを規定するために設けられたものです。
その後、2017年施行の個人情報保護法改正で要配慮個人情報が規定されたことに伴い、同年のガイドライン改定で、機微情報は、要配慮個人情報に金融関連分野で特に取り扱いに注意を要する情報を加える形で、定義し直されました。

上記のとおり、機微情報は、ガイドラインの中で、個人情報のうち特に取り扱いに注意すべき情報として定められているものであり、その中には要配慮個人情報も含まれます。

機微情報の取扱規制

原則的な取り扱い

機微情報は、取り扱いに特に注意を要する情報であり、ガイドラインの適用がある企業は、原則として機微情報を取得・利用・第三者提供をすることはできません

例外的な取り扱い

しかしながら、保険会社が保険加入を認めるか否かを判断するため、保健情報を確認する場合など、企業が個人と取引を行うに当たり、機微情報を利用しなければならない場合もあります。

そこで、ガイドラインでは、以下の場合には、例外的に機微情報を取得、利用や第三者提供できることとしています(金融分野ガイドライン5条1項、信用分野ガイドラインⅡ.2(2)、債権回収業分野ガイドライン第4第1項)。

① 法令等に基づく場合
② 人の生命、身体や財産の保護のために必要がある場合
③ 公衆衛生の向上や児童の健全な育成の推進のため特に必要がある場合
④ 国の機関、地方公共団体等が法令の定める事務を遂行することに対して協力する必要がある場合
⑤ 学術研究機関等から提供を受ける場合(当該学術研究機関等と共同して学術研究を行う場合に限る。)、学術研究機関等に個人データを提供する際に利用する場合や学術研究機関等に第三者提供する場合(本人の権利利益を不当に侵害するおそれがある場合を除く)
⑥ 相続手続による権利義務の移転等の遂行に必要な限りで取得、利用や第三者提供する場合
⑦ 事業の適切な業務運営を確保する必要性から、本人の同意に基づき業務遂行上必要な範囲で機微情報を取得、利用や第三者提供する場合
⑧ 機微情報に該当する生体認証情報を本人の同意に基づき、本人確認に用いる場合
⑨ 源泉徴収事務等の遂行上必要な範囲において、政治・宗教等の団体若しくは労働組合への所属や加盟に関する従業員等の機微情報を取得、利用や第三者提供する場合(金融分野)
⑩ 戸籍謄本その他の本人を特定することができる書類について本人特定のために必要な場合(信用分野・債権回収業分野)
⑪ 債権の内容の特定に必要な限りにおいて、取得、利用又は第三者提供する場合(債権回収業分野)

なお、上記を理由に、機微情報を取得等する場合には、機微情報を上記以外の目的で利用等しないように、特に慎重に取り扱わなければなりません

また、取得した機微情報の第三者提供をする場合、個人情報保護法27条2項に定めるオプトアウトの方法(本人の明示的な同意がなくとも、提供停止の求めを受けるまでは個人データの第三者提供を行う方式)を利用することはできません。

なお、機微情報は個人情報ですから、上記の制限のほか、取得や第三者提供には原則として本人の同意を要するなど(20条2項・27条1項)、個人情報保護法の規定も遵守する必要がある点、注意が必要です。

機微情報を取り扱う際に注意すべきポイント

自社で機微情報を取り扱う場合、ガイドライン違反が生じないよう、以下の順序で検討するとよいでしょう。

機微情報を取り扱う際に注意すべきポイント

① 自社が機微情報を取り扱っているかを確認する
② 自社での取り扱いがガイドラインで認められる例外に当たるか確認する
③ 取り扱う機微情報ごとに取得・利用・第三者提供の方法や保管方法、漏えいが生じた際の対応方法についてマニュアルを作成する
④ 実務上の取り扱いを定期的に確認し、必要に応じ、マニュアルや実務フローを改定する

①自社が機微情報を取り扱っているかを確認する

自社がガイドラインの適用事業者の場合、まずは、自社で機微情報を取り扱っているか、また、取り扱っている場合、どの情報を何の目的で取り扱っているかを正確に把握する必要があります。

しかしながら、情報化社会では、企業が取り扱う情報の種類や取扱部署も多岐にわたっており、例えばアンケートで市販薬の服薬状況を記入させるなど、思わぬところで機微情報を取得している可能性もあります。

そこで、機微情報に該当する項目を具体的に記載した書類を各部に配布する等により、何が機微情報に当たるかを明確にした上で、取り扱いの有無や取り扱っている機微情報の項目・目的等を確認するとよいでしょう。

②自社での取り扱いがガイドラインで認められる例外に当たるか確認する

自社で機微情報を取り扱っている場合、念のため、ガイドラインで例外的に認められている取り扱いに該当するかを確認するとよいでしょう。
もし、ガイドラインで認められていない取り扱いがあった場合には、ただちに是正する必要があります。

③取り扱う機微情報ごとに取得・利用・第三者提供の方法や保管方法、漏えいが生じた際の対応方法についてマニュアルを作成する

自社が機微情報を取り扱っている場合、当該機微情報がガイドラインで認められた目的以外で利用されたりすることがないよう、利用方法等についてのマニュアル等を作成するとよいでしょう。

また、ガイドラインでは、個人情報の管理方法について詳細に定められていますので、それに沿った管理となるよう、管理方法を整えた上で、その運用についてもマニュアルを作成する必要があります。

なお、住民票の本籍地欄など、本人確認書類に、意図せず機微情報が含まれてしまう場合もありますので、マニュアルでは、例えば、「住民票などの本人確認書類に本籍地の記載があった場合には、マスキングした上で保管する」など、対象となりうる書類や保管方法を具体的に記載するとよいでしょう。

④定期的に実務上の取り扱いを確認し、必要に応じ、マニュアルや実務フローを改定する

マニュアル作成後は、機微情報の取り扱いがマニュアルに沿っているかを定期的に確認しましょう。

マニュアルに沿った運用ができていない場合、マニュアルが実際の実務に即していないことも考えられますから、異なった運用がされている原因を確認し、実務フローやマニュアルを変更することも検討しましょう。

機微情報を漏えいさせてしまった場合

機微情報を漏えいさせてしまった場合、以下の対応が必要です。

① 本人への通知、個人情報保護委員会・監督官庁への報告
② 事後対応(安全管理措置の改善等・被害者対応)

①本人への通知、個人情報保護委員会・監督官庁への報告本人への報告

機微情報を含む個人データが漏えいした場合、個人情報保護法の定めに従った本人への通知義務および個人情報保護委員会や監督官庁への報告義務があります(個人情報保護法26条1項・2項、金融分野ガイドライン11条1項前段等。なお、本人への通知が困難である場合は、本人の権利利益を保護するために必要な代替措置によることが認められています)。

さらに、金融分野ガイドラインでは、努力義務として、取り扱う個人情報(機微情報に限らない)が漏えいした場合の本人への通知と監督官庁への報告を求めています(金融分野ガイドライン11条2項・3項)。

なお、銀行法等の業法によっては、個人データの漏えいについて報告義務を負わせているものもあるため、自社に適用される業法に基づく報告義務にも対応が必要です。

②事後対応(安全管理措置の改善等・被害者対応)

機微情報の情報漏えいが生じた場合、上記の通知・報告のほか、漏えい原因等に応じて、安全管理措置の改善等被害者対応を行う必要があります。

なお、金融分野ガイドラインでは、金融機関等が取り扱う情報の性質やその取扱方法の特殊性等に鑑み、努力規定として、個人情報の漏えいが起きた場合、二次被害の防止、類似事案の発生回避等の観点から、当該事案等の事実関係や再発防止策等について、速やかに公表すべきことを定めています(金融分野ガイドライン11条4項)。

また、被害者に対しては、上記の通知のほか、必要に応じ、被害者対応を行う必要があります。
機微情報は、本人にとって極めて重要な情報ですから、被害を抑えるために個人でとりうる対策をできるだけ早く告知するとともに、被害対応窓口の設置や、謝罪金の配布などもあわせて検討すると良いでしょう。

最後に

機微情報は、金融関連企業が取り扱う個人情報の中でも、特に取り扱いに配慮を要する情報であり、取扱方法に問題があったり、漏えい事故が起こった場合には、取扱企業の社会的信用が著しく損なわれ、また、個人情報保護委員会や監督官庁による処分が行われる可能性もあります。
本記事を参考に、ガイドラインに定める機微情報の内容や取扱規制を再度確認の上、自社での機微情報の取り扱いが適正に行われているか、再度検証してみるとよいでしょう。

ムートン

最新の記事に関する情報は、契約ウォッチのメルマガで配信しています。ぜひ、メルマガにご登録ください!

おすすめ資料を無料でダウンロードできます
個人情報に関する研修資料

参考文献

個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン(通則編)」

個人情報保護委員会「「個人情報の保護に関する法律についてのガイドライン」に関するQ&A」

個人情報保護委員会・金融庁「金融分野における個人情報保護に関するガイドライン」

個人情報保護委員会・金融庁「金融分野における個人情報保護に関するガイドラインの安全管理措置等についての実務指針」

個人情報保護委員会・金融庁「金融機関における個人情報保護に関するQ&A」

個人情報保護委員会・経済産業省「信用分野における個人情報保護に関するガイドライン」

個人情報保護委員会・法務省「債権管理回収業分野における個人情報保護に関するガイドライン」