改正個人情報保護法 要配慮個人情報とは
今回の個人情報保護法改正では、「要配慮個人情報」という概念が導入されました。従前も「センシティブ情報」などと呼ばれて特別の配慮が必要な個人情報として個別の業界のガイドラインなどではルールが定められていましたが、個人情報保護法では特別の定めをしていませんでした。今回の改正によってこのような情報に特別のルールが設定されることになります。
1 要配慮個人情報とは
要配慮個人情報とは、本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他、本人に対する不当な差別、偏見その他の不利益が生じない様にその取扱に特に配慮を要するものとして政令で定める記述などが含まれる個人情報をいうと定義されています。(個人情報保護法2条3項)
人種には民族的又は種族的出身を広く意味しますが、単純な国籍や外国人という情報そのものは法的地位を示しているだけですので、人種には含まれません。
社会的身分とは、ある個人に境遇として固着していて、一生の間、自らの力によって容易にそれから脱しないような地位を意味し、単なる職業的地位や学歴は含まないとされています。
病歴は病気に罹患した経歴を意味しますが、具体的にどのような病気に関する情報が要配慮個人情報に該当するのかは、ケースバイケースで判断されることになるので、ある程度保守的に考えておいたほうが良さそうです。
また、法律で明示されている「病歴」だけでなく、政令で健康診断の検査結果や、それに基づいて診療や治療をうけた事実も要配慮個人情報に含まれています。これらは職場の健康診断に関連しても問題となり得るわけですが、職場の健康診断が労働安全衛生法に基づいて実施されている場合には、法律に基づいて職場は健康診断結果を把握する事になりますから、要配慮個人情報としての扱いから除外することが出来ます(個人情報保護法17条2項1号)。他方で、職場で労働安全衛生法で定められている以上の内容の健康診断を実施している場合には、その健康診断結果の取得は法令に基づくものといえないため、本人の同意を得る必要が出て来ます。
このような、要配慮個人情報に該当する情報については、通常の個人情報よりも扱いが厳しくなっており、次にみていくとおり、その取得や第三者提供については原則として本人の同意が必要とされています。
2 要配慮個人情報の取得
通常の個人情報については、その取得に際して本人の同意を必ずしも必要としておらず、利用目的を通知又は公表していればよいとされています(個人情報保護法18条1項)。但し、利用目的外の利用(個人情報保護法16条1項)や第三者に提供する場合(個人情報保護法23条1項)には本人の同意が必要となります。
これに対して、要配慮個人情報については、その内容の重要性から、本人の同意なく取得してはならないとされています(個人情報保護法17条2項)。
ただ、常に本人の同意を必要としているわけではなく、いくつかの例外を定めており、これまでの業務が不当に制限されることのないように配慮されていますから、「要配慮個人情報だから本人の同意がなければ取得出来ずに困ってしまう!」とあわてる前に、以下の例外規定に該当しないか検討するようにしましょう。
1)法令に基づく場合
2)人の生命、身体、又は財産を保護するために必要であり、本人の同意を得ることが難しいとき(急病人で家族から病歴を訊く場合など)
3)公衆衛生の向上又は児童の安全な育成の推進のために特に必要がある場合であって、本人の同意をえることが困難であるとき(児童虐待などに関する情報の関係機関での共有など)
4)国の機関などが法令の定める事務を遂行するために必要であって、本人の同意を得ることによって事務の遂行に支障を及ぼすとき(警察による犯罪捜査に協力する場合など)
5)要配慮個人情報が本人や国などによって公開されている場合
6)本人を目視又は撮影することにより、その外形上明らかな要配慮個人情報を取得する場合(防犯カメラの映像など)
7)法令に基づく第三者提供として取得する場合(業務の受託や事業承継の関係で取得する場合)
ちなみに、本人から適正に取得する(本人が提供している情報について理解しており、相手の利用目的を理解できることが前提です。)のであれば、本人が要配慮個人情報を提供したことをもって本人の同意があったと考える事ができますので、本人からの取得の場合にはあまり問題にはならないと考えられます。
3 要配慮個人情報の第三者提供
個人情報を第三者に提供するには、原則として本人の同意が必要とされています(個人情報保護法第23条1項)。
ちなみに親子会社やフランチャイズ本部と加盟店の間でも基本的に第三者への提供とされるため注意が必要です。(業務委託や共同利用として認められれば別です。)
通常の個人情報であれば、オプトアウト(利用目的として第三者提供が特定されており、第三者提供される個人データの項目、提供の方法、本人の求めに応じた利用停止の手続が明示されていれば、予め本人の同意を得なくとも第三者提供ができるという制度です。法改正によって、個人情報保護委員会への届出が必要となり、ハードルが高くなりました。)によって、本人の同意なく第三者提供する道もあるのですが、要配慮個人情報についてはこのオプトアウトの利用が出来なくなっています(個人情報保護法23条2項)
但し、要配慮個人情報であっても、法令に基づく場合や、人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難な場合、公衆衛生の向上や児童の健全な育成の推進のために特に必要があって本人の同意を得ることが困難な場合、国の期間などが法令に基づく事務を遂行するのに協力する必要があり、本人の同意を得ると当該事務の遂行に支障が生じる場合など、元々個人情報の第三者提供が本人の同意なく出来る場合(個人情報保護法23条1項各号)や、業務委託先や共同利用の場合など法が制限する第三者への提供に該当しないとされている場合(個人情報保護法23条5項)には、本人の同意なく提供可能とされています。