要配慮個人情報とは? 定義・具体例・個人情報との違い・ 取扱いに関する注意点などを解説!

社内研修でそのまま使える資料」を無料配布中!
ハラスメント研修資料
個人情報に関する研修資料
この記事のまとめ

「要配慮個人情報」とは、本人に対する不当な差別・偏見その他の不利益が生じないように、取扱いについて特に配慮を要する一定の個人情報を意味します。

要配慮個人情報については、一般的な個人情報とは異なる取扱いが必要となります。個人情報保護法の規定を踏まえて、個人情報の内容に応じた適切な取扱いを行いましょう。

この記事では、個人情報保護法上の「要配慮個人情報」について、定義や取扱いに関する注意点などを解説します。

昨今、個人情報の取扱いについてどんどん厳格化していっていますよね。

そうですね。EUのGDPRに違反した場合、制裁金が高額になることもありますし、個人情報の取扱いには最新の注意を払わないといけない時代ですね。

※この記事は、2022年5月20日時点の法令等に基づいて作成されています。

※この記事では、法令名を次のように記載しています。

  • 個人情報保護法…個人情報の保護に関する法律
  • 個人情報保護法施行令…個人情報の保護に関する法律施行令
  • 個人情報保護法施行規則…個人情報の保護に関する法律施行規則
  • EUデータ保護指令…Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data
    (日本語訳:個人データ取扱いに係る個人の保護及び当該データの自由な移動に関する1995年10月24日の欧州議会及び理事会の95/46/EC指令)
  • GDPR…REGULATION (EU) 2016/679 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation)
    (日本語訳:個人データの取扱いと関連する自然人の保護に関する、及び、そのデータの自由な移転に関する、並びに、指令95/46/EC を廃止する欧州議会及び理事会の2016年4月27日の規則(EU) 2016/679 (一般データ保護規則))

要配慮個人情報とは

「要配慮個人情報」とは、本人に対する不当な差別・偏見その他の不利益が生じないように、取扱いについて特に配慮を要する一定の個人情報を意味します。

個人情報保護法2条3項に、その定義があります。

(定義)

第2条 (略)

2 (略)

3 この法律において「要配慮個人情報」とは、本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める記述等が含まれる個人情報をいう。

「個人情報の保護に関する法律」– e-Gov法令検索 – 電子政府の総合窓口e-Gov イーガブ

個人情報と要配慮個人情報の関係を図にして表すと、以下のとおりです。

個人情報の中に要配慮個人情報がある、という整理になります。

要配慮個人情報の要件

以下の2つの要件を満たす情報が、要配慮個人情報に当たります(個人情報保護法2条3項)。

✅ 「個人情報」に該当すること
✅ 「個人情報保護法又は個人情報保護法施行令に定める記述等」が含まれていること

個人情報の定義

「個人情報」とは、以下2つに該当する情報のことを言います(個人情報保護法2条1項)。

氏名・生年月日その他の記述等により、特定の個人を識別できる情報
個人識別符号が含まれる情報

なお、個人識別符号の例としては、以下の符号が挙げられます(同条2項、個人情報保護法施行令1条、個人情報保護法施行規則3条、4条)。

個人識別符号の例

✅ DNA情報や容貌など、身体的特徴を変換した符号
✅ 旅券番号
✅ 基礎年金番号
✅ 免許証番号
✅ 住民票コード
✅ 個人番号(マイナンバー)
✅ 健康保険証の被保険者記号、番号
など

要配慮個人情報に含まれる記述等の定義・具体例

✅ 人種
✅ 信条
✅ 社会的身分
✅ 病歴
✅ 犯罪の経歴
✅ 犯罪の被害にあった事実
✅ 身体障害・知的障害・精神障害等があること
✅ 健康診断等の結果
✅ 保健指導・診療・調剤に関する情報
✅ 逮捕・差押えなどの刑事事件に関する手続が行われたこと(犯罪の経歴を除く)
✅ 少年の保護事件に関する手続が行われたこと
✅ ゲノム情報

これらの各記述に関するポイントは、「個人情報の保護に関する法律についてのガイドライン(通則編)」の2-3にて解説されています。

個人情報保護委員会ウェブサイト「個人情報の保護に関する法律についてのガイドライン(通則編)」

人種

人種・世系・民族的出身・種族的出身は、「人種」として広く要配慮個人情報に該当します。

ただし、単純な国籍や「外国人」という情報は法的地位にすぎないため、「人種」には該当しません。また、肌の色は人種を推知させる情報にすぎないため、「人種」には含まれません。

信条(宗教上の信仰や、政治的・思想的な主義など)

個人の基本的なものの見方・考え方は、「信条」として要配慮個人情報に該当します。

思想(政治的・思想的な主義など)と信仰(宗教的な信仰)の両方が「信条」に含まれます。

社会的身分(被差別部落の出身・非嫡出子など、自らの力ではどうすることもできない地位のこと。単なる職業的地位や学歴は含まれない)

個人の境遇として固着していて、自らの力では容易に脱し得ないような地位は、「社会的身分」として要配慮個人情報に該当します。

被差別部落の出身や非嫡出子など、自らの力では一生どうすることもできない地位は、社会的身分の典型例です。ただし、単なる職業的地位や学歴は社会的身分に含まれません。

病歴

病気に罹患した経歴は、「病歴」として要配慮個人情報に該当します。

がんに罹患している、脳性麻痺の症状がある、統合失調症を患っているなど、特定の病歴を示す情報は病歴に該当し、要配慮個人情報として取り扱うことが必要です。

犯罪の経歴

有罪の判決を受け、それが確定した事実(=前科)は、「犯罪の経歴」として要配慮個人情報に該当します。罪名・量刑は問いません。

なお、不起訴処分となった事実や無罪判決が確定した事実は「犯罪の経歴」に該当しませんが、後述する別の類型の要配慮個人情報に該当します。

犯罪の被害にあった事実

刑罰法令(刑法その他の罰則が規定されている法律)に定められる犯罪のうち、刑事事件としての捜査が開始されたものの被害を受けた事実は、要配慮個人情報に該当します。

身体的被害・精神的被害・金銭的被害など、被害の種類を問いません。

身体障害・知的障害・精神障害等があること

身体障害・知的障害・精神障害や、治療方法が確立していない一定の疾病があること、または過去にあったことを特定させる情報は、要配慮個人情報に該当します。

(例)
✅ 障害に関する医師の診断結果
✅ 障害者手帳の交付を受けた事実
✅ 身体障害があることがわかる外見
など

健康診断等の結果

本人の健康状態が判明する検査の結果は、要配慮個人情報に該当します。

(例)
✅ 健康診査
✅ 健康診断
✅ 特定健康診査
✅ 健康測定
✅ ストレスチェック
✅ 遺伝子検査(診療の過程で行われたものを除く)
✅ 人間ドックの検査結果
など

ただし、要配慮個人情報の対象となるのはあくまでも「結果」であり、単に健康診断等を受診した事実は要配慮個人情報に該当しません。

逮捕・差押えなどの刑事事件に関する手続が行われたこと(犯罪の経歴を除く)

有罪判決が確定した事実(=犯罪の経歴)のほか、本人を被疑者または被告人として、刑事事件に関する手続が行われた事実も要配慮個人情報に該当します。

(例)
✅ 逮捕
✅ 捜索
✅ 差押え
✅ 勾留
✅ 公訴の提起(起訴)
など

なお、他人を被疑者とする犯罪捜査のために取調べを受けた事実や、証人として尋問を受けた事実などは要配慮個人情報に該当しません。

少年の保護事件に関する手続が行われたこと

本人を非行少年またはその疑いのある者として、保護処分などの少年保護事件に関する手続が行われた事実は、要配慮個人情報に該当します。

成人の犯罪経歴や刑事手続を受けた事実と同様に、差別や偏見を生じさせて本人の更生を妨げ得る事実のため、要配慮個人情報とされています。

ゲノム情報

遺伝子検査によって判明するゲノム情報の中には、将来発症し得る可能性のある病気や、治療薬の選択に関する情報など、差別・偏見に繋がり得るものが含まれることがあります。

これらの情報は、「健康診断等の結果」や「保健指導・診療・調剤に関する情報」として、要配慮個人情報に該当する可能性があります。

要配慮個人情報に当たらないもの

要配慮個人情報に含まれるべき記述等を推知(推測して知ること)させるに過ぎない情報は、要配慮個人情報に該当しません。このような情報を、一般に「推知情報」と言います。

要配慮個人情報に当たらない推知情報の例は、以下のとおりです。

✅ 肌の色(人種の推知情報)
✅ 特定の宗教に関する本を購入したという購買履歴の情報(信条の推知情報)
✅ 特定の政党が発行する新聞や機関誌等を購読しているという情報(信条の推知情報)
✅ 犯罪行為を撮影した防犯カメラ映像(犯罪の経歴の推知情報)
など

要配慮個人情報に関する規制が設けられた理由・背景

要配慮個人情報に関する規制は、2017年施行の改正個人情報保護法で新設されました。規制が設けられた理由・背景としては、以下の3点が挙げられます。

①特に慎重な取扱いを要する個人情報について、特別な規制を設けるため
②条例やガイドラインによる規制と足並みを揃えるため
③個人情報に係る制度について、EUから「十分性認定」を受けるため

それぞれ詳しく解説していきます。

①特に慎重な取扱いを要する個人情報について、特別な規制を設けるため

要配慮個人情報は、個人情報の中でも、人権保護の観点から特に慎重な取扱いが要求されるものです。

そのため、要配慮個人情報に対する本人のコントロールを強化し、本人の意図しないところで第三者提供が行われることがないようにする特別の規制が設けられました。

②条例やガイドラインによる規制と足並みを揃えるため

2017年の改正法施行前は、個人情報の内容・性質によって規制内容が分けられてはいませんでした。しかし各都道府県の条例や、各省庁の定めるガイドラインにおいては、一部のセンシティブな個人情報について特別の取扱いが定められていました。

センシティブな個人情報をより慎重に取り扱うことには合理性があると考えられるため、条例やガイドラインによる規制と足並みを揃えるべく、個人情報保護法でも要配慮個人情報の規制が設けられました。

③個人情報に係る制度について、EUから「十分性認定」を受けるため

EUにおける個人情報保護のルールを定める「EUデータ保護指令(2017年改正当時。現在はGDPR)」では、EU企業などが第三国へ個人データを移転するに当たり「十分性認定」を要求しています。

十分性認定とは

個人データの移転先である第三国が、十分なデータ保護の水準を確保していると欧州委員会が認定すること

したがって、日本企業がEU企業と円滑に取引を行うためには、欧州委員会の十分性認定を受けられるだけの個人情報保護体制を整備することが不可欠です。

この点、要配慮個人情報に関する特別の規律が法律上設けられていないことは、十分性認定を受けるに当たっての障壁になり得るものと考えられました。また、EU以外の国でも、センシティブな個人情報の取扱いについて特別の規定を設けている例が多く、国際的に整合性の取れた規律を整備することが要請されていました。

国家間取引(クロスボーダー取引)が増大する状況において、EUをはじめとする諸外国の個人情報保護法制との整合性を確保し、円滑な個人情報の移転を可能とするために、要配慮個人情報の規制が設けられた背景があります。

要配慮個人情報について設けられている特別の規制内容

要配慮個人情報については、通常の個人情報とは異なる以下の規制が適用されます。

✅ 要配慮個人情報を取得する場合、原則として本人の同意が必要となる
✅ オプトアウト方式による要配慮個人情報の第三者提供は禁止されている
✅ 行政機関が個人情報を保有する場合、個人情報保護委員会に通知する義務がある

要配慮個人情報を取得する場合、原則として本人の同意が必要となる

通常の個人情報については、偽りその他不正の手段によって取得する場合を除き、取得そのものについて本人の同意は必要とされていません(個人情報保護法20条1項)。

これに対して、要配慮個人情報を取得する場合には、原則として本人の事前同意が必要となります(同条2項)。

例外的に本人の同意が不要となる場合

ただし、以下のいずれかに該当する場合には、例外的に本人の事前同意がなくとも、要配慮個人情報を取得できます(個人情報保護法20条2項各号、個人情報保護法施行令9条各号)。

✅ 法令に基づく場合
✅ 人の生命・身体・財産の保護に必要な場合で、本人の同意を得ることが困難なとき
✅ 公衆衛生の向上・児童の健全な育成の推進のために特に必要な場合で、本人の同意を得ることが困難なとき
✅ 国の機関・地方公共団体又はその受託者が、法令上の事務遂行に協力する必要がある場合で、本人の同意を得ることにより、事務遂行に支障を及ぼすおそれがあるとき
✅ 学術研究機関等が、要配慮個人情報を学術研究目的で取扱う必要があるとき(本人の権利利益を不当に侵害するおそれがある場合を除く)
✅ 学術研究機関等と共同で学術研究を行う事業者が、当該学術研究機関等から学術研究目的で要配慮個人情報を取得するとき(本人の権利利益を不当に侵害するおそれがある場合を除く)
✅ 本人・国の機関・地方公共団体・学術研究機関等・報道機関・著述者・宗教団体・政治団体や、これらに相当する外国の機関等によって、要配慮個人情報が公開されている場合
✅ 本人を目視・撮影することにより、外形上明らかな要配慮個人情報を取得する場合
✅ 個人データ取扱いの委託・事業承継等によって、個人データである要配慮個人情報の提供を受けるとき

オプトアウト方式による要配慮個人情報の第三者提供は禁止されている

「オプトアウト方式」とは、本人の明示的な同意がなくとも、提供停止の求めを受けるまでは個人データの第三者提供を行う方式を意味します(個人情報保護法27条2項本文)。

通常の個人データについては、オプトアウト方式による第三者提供が認められています。これに対して、要配慮個人情報に該当する個人データについては、オプトアウト方式による第三者提供が認められません(同項但書き)。したがって、要配慮個人情報に該当する個人データを第三者提供する場合、事前に本人の明示的な同意を得ることが必須となります。

行政機関が個人情報を保有する場合、個人情報保護委員会に通知する義務がある

行政機関が個人情報ファイルを保有しようとする場合、個人情報保護委員会に対して、当該個人情報ファイルに関する一定の事項を通知しなければなりません(個人情報保護法74条1項)。

その際、個人情報ファイルに記録される個人情報に要配慮個人情報が含まれる場合には、その旨を通知事項に含める必要があります(同項6号)。

要配慮個人情報を取扱う事業者の留意事項

要配慮個人情報を取り扱う事業者は、個人情報保護法令及びガイドラインの規定を遵守する必要があります。特に、以下のポイントに留意して要配慮個人情報を取扱いましょう。

✅ 誤って要配慮個人情報を受領した場合は、すぐに返送・廃棄する
✅ 要配慮個人情報を加工することは可能である

誤って要配慮個人情報を受領した場合は、すぐに返送・廃棄する

要配慮個人情報の取得には、原則として本人の同意が要件とされています。したがって、本人の同意なく要配慮個人情報を取得することは、原則違法です。

ただし、誤って受領した要配慮個人情報については、すぐに返送・廃棄するなどの対応をとれば、積極的な「取得」行為がないものとして、個人情報保護法違反には当たらないと解されています。顧客などから提供された資料等に要配慮個人情報が含まれていた場合、速やかに返送・廃棄などを行いましょう。

要配慮個人情報を加工することは可能である

統計データ・ビックデータなどを想定した「仮名加工情報」(個人情報保護法2条5項)や「匿名加工情報」(同条6項)への加工については、通常の個人情報と要配慮個人情報の間で、規制内容に違いはありません。

仮名加工情報特定の個人を識別できる情報(氏名など)を、他の情報と照合しない限り特定の個人を識別することができないように加工した情報
匿名加工情報特定の個人を識別することができないように個人情報を、復元できないよう加工した情報

したがって、要配慮個人情報を仮名加工情報や匿名加工情報に加工することは、通常の個人情報と同様に可能です。ただし加工の際には、個人情報保護法の加工に関する規制を遵守してください。

要配慮個人情報の取扱いルールに違反した場合のペナルティ

要配慮個人情報の取扱いルールに違反した場合、個人情報保護委員会による行政処分や行政指導、さらに刑事罰の対象となる可能性があります。

個人情報保護委員会による報告要求・立入検査等

取扱いルール違反の有無を調査するため、個人情報保護委員会には、事業者に対して必要な報告や資料の提出を求めたり、質問や立入検査を実施したりする権限が与えられています(個人情報保護法143条1項)。

事業者には個人情報保護委員会の調査に協力する義務があります。義務を守らない場合は罰則が科されるため(「刑事罰」にて後述)、誠実に調査へ協力する必要があります。

個人情報保護委員会による指導・助言

要配慮個人情報について、違法又は不適切な取扱いが認められる場合には、個人情報保護委員会は、事業者に対して指導・助言を行うことができます(個人情報保護法144条)。

個人情報保護委員会の指導・助言は行政指導と位置付けられ、法的拘束力はありません。しかし、指導・助言を無視した場合は、さらに進んだ段階の勧告・命令へと発展する可能性が高いです。

そのため、個人情報保護委員会の指導・助言を受けた場合には、誠実に従うことをお勧めいたします。

個人情報保護委員会による勧告・命令・公表

要配慮個人情報の取扱いにつき、個人情報保護法違反が認められる場合には、個人情報保護委員会は事業者に対して、違反を是正するために必要な措置をとるよう勧告できます(個人情報保護法145条1項)。

正当な理由なく勧告に従わない事業者に対しては、是正措置命令を行うことも可能です(同条2項)。また、個人の重大な権利利益を害する事実があるため、緊急に措置を取る必要がある場合には、勧告を経ることなく是正措置命令を行うことができます(同条3項)。

是正措置命令に違反した事業者については、個人情報保護委員会による公表処分の対象となります(同条4項)。

刑事罰

以下の場合には、行為者には「50万円以下の罰金」が科されます(個人情報保護法177条1号)。

✅ 個人情報保護委員会による報告要求・資料提出要求・質問・検査を拒否した場合、
✅ 虚偽の報告・資料提出・答弁をした場合、

また、法人の代表者・代理人・使用人その他の従業者が上記の違反行為を犯した場合、法人にも「50万円以下の罰金」が科されます(同法179条1項2号)

さらに、個人情報保護委員会の是正措置命令に違反した場合、行為者には「1年以下の懲役又は100万円以下の罰金」が科されます(同法173条)。また、法人の代表者・代理人・使用人その他の従業者が是正措置命令違反を犯した場合、法人にも「1億円以下の罰金」が科されます(同法179条1項1号)。

この記事のまとめ

要配慮個人情報の記事は以上です。最新の記事に関する情報は、契約ウォッチのメルマガで配信しています。ぜひ、メルマガにご登録ください!

参考文献

内閣官房IT総合戦略室「個人情報保護法の改正概要(平成27年11月)」

個人情報保護委員会ウェブサイト「日EU間・日英間のデータ越境移転について」

個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン(通則編)」