IT用語集
多要素認証(MFA)とは? その重要性や3つの認証要素について解説
要配慮個人情報とは? 10分でわかりやすく解説
目次
UnsplashのThisisEngineeringが撮影した写真
要配慮個人情報とは、不当な差別や偏見などの不利益が生じないよう特に慎重な取り扱いが求められる個人情報です。病歴や犯罪の経歴などが該当し、企業は該当する情報の範囲と管理の考え方を整理しておく必要があります。この記事では、要配慮個人情報の定義、具体例、通常の個人情報との違い、取り扱い時の注意点を順に確認します。
要配慮個人情報とは? 定義と例
個人情報保護法における要配慮個人情報の定義
要配慮個人情報とは、個人情報保護法第2条第3項で定義されている、人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実、その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める記述等が含まれる個人情報のことを指します。
一般的な属性情報(氏名、住所、電話番号など)と比べて、漏洩や不適切な利用があった際の影響が大きい点が特徴です。そのため、取得・利用・保管・廃棄の各場面で、より厳格な管理が求められます。
通常の個人情報との違い
通常の個人情報も適切な管理が必要ですが、要配慮個人情報は本人への不利益につながるおそれがより大きいため、取得時の同意や管理方法をより慎重に検討する必要があります。通常の個人情報と同じ感覚で扱わないことが重要です。
要配慮個人情報に該当する具体的な情報の種類
要配慮個人情報には、以下のような情報が含まれます。
- 人種
- 信条
- 社会的身分
- 病歴
- 犯罪の経歴
- 犯罪により害を被った事実
- 身体障害、知的障害、精神障害(発達障害を含む)その他の個人情報保護委員会規則で定める心身の機能の障害があること
- 本人に対して医師その他医療に関連する職務に従事する者により行われた疾病の予防及び早期発見のための健康診断その他の検査の結果
- 健康診断等の結果に基づき、または疾病、負傷その他の心身の変化を理由として、本人に対して医師等により心身の状態の改善のための指導または診療もしくは調剤が行われたこと
- 本人を被疑者または被告人として、逮捕、捜索、差押え、勾留、公訴の提起その他の刑事事件に関する手続が行われたこと
- 本人を少年法に規定する少年または同法に規定する保護事件に関する手続の対象となる者として、調査、観護の措置、審判、保護処分その他の少年の保護事件に関する手続が行われたこと
これらは、単に「センシティブな情報」という感覚的な分類ではなく、法令上明確に列挙されています。自社が扱う情報の中に該当するものがないかを定期的に洗い出し、確認することが重要です。
要配慮個人情報を取り扱う際の注意点
要配慮個人情報を取り扱う際は、次のような点に注意が必要です。
- 利用目的を特定し、必要最小限の範囲内で取り扱うこと
- 取得時に本人の同意を得ること(原則)
- 漏洩・紛失・不正アクセスを防ぐ安全管理措置を講じること
- 第三者提供の制限を遵守すること
- 保有個人データの開示・訂正等の請求に適切に対応すること
要配慮個人情報は、取り扱いを誤れば重大な人権侵害や社会的な批判につながりかねません。技術的な対策だけでなく、社内ルールや運用プロセスの整備も含めて総合的に管理することが求められます。
要配慮個人情報の取得時は本人同意が原則
要配慮個人情報は、取得時に原則として本人の同意を得る必要があります。同意を得る方法としては、以下のような形が考えられます。
| 方法 | 概要 |
|---|---|
| 書面による同意 | 同意書や申込書等の書面に、収集・利用目的や第三者提供の有無等を明示し、本人の署名や記名押印を得る方法 |
| 電子的な同意 | ウェブサイト上で同意ボタンをクリックしてもらう方法や、メールで同意の意思表示を得る方法など |
| 口頭による同意 | 対面や電話で説明し、口頭で同意を得る方法(日時・内容など記録を残すことが望ましい) |
人の生命、身体または財産の保護のために必要があり、本人の同意を得ることが困難な場合など、法令上の例外に当たるときは、同意なく取得できることがあります。ただし、例外の判断は限定的に行う必要があります。
また、要配慮個人情報を含む個人データは、法第27条第2項のオプトアウトによる第三者提供の対象にできません。取得時の同意だけでなく、第三者へ提供する場面でも通常の個人情報より慎重な判断が必要です。
企業が要配慮個人情報を適切に管理するために必要な対策
要配慮個人情報を管理する際は、取得時のルールだけでなく、保管、共有、廃棄、事故対応までを含めて体制を整える必要があります。本人への不利益や企業の信用低下につながるおそれがあるため、部門任せにせず、組織として管理することが重要です。
要配慮個人情報の適切な取得方法
要配慮個人情報を取得する際は、原則として本人の同意が必要です。収集目的や利用範囲、第三者提供の有無を明確に説明し、書面や電子的な方法で記録に残します。また、取得する項目は業務目的に照らして必要な範囲に絞る必要があります。過剰な収集は、管理負荷と漏えいリスクの両方を増やします。
たとえば、採用選考や健康診断、福利厚生申請などの場面では、業務目的に照らして本当に必要な項目だけを収集するよう、申請書やフォームの設計段階から見直すことが有効です。
安全管理措置の実施と従業員教育の徹底
要配慮個人情報を保護するには、技術的、物理的、人的な安全管理措置が必要です。具体的には、アクセス制御、データの暗号化、ログ管理、施錠管理などが挙げられます。加えて、従業員に取扱いルールを周知し、判断を誤りやすい場面を教育で補うことが欠かせません。
定期的な研修や啓発活動を行い、要配慮個人情報を取り扱う際に「どこまでが許容されるのか」「どのような行為がNGなのか」を具体的な事例を交えながら共有することで、現場での判断ミスを減らすことができます。
要配慮個人情報の廃棄・削除プロセスの確立
不要になった要配慮個人情報は、定めた手順に沿って廃棄または削除する必要があります。紙媒体はシュレッダーや溶解処理、電子データは復元が難しい方法で削除することが基本です。
また、廃棄・削除の実施記録を残し、監査やトレースができるようにしておくことも重要です。委託先で廃棄する場合には、委託契約書で方法や責任範囲を明確にし、必要に応じて証明書の提出を求めるとよいでしょう。
要配慮個人情報の漏洩時の対応手順の策定
要配慮個人情報の漏えい事故に備えて、原因の確認、影響範囲の特定、本人への通知、個人情報保護委員会への報告、対外公表の要否判断までを含む手順をあらかじめ定めておく必要があります。役割分担と連絡体制を平時から明確にしておくことで、事故発生時の初動がぶれにくくなります。
平時の訓練も重要です。要配慮個人情報の事故は影響が大きく、通常の個人情報以上に社会的な注目を集めやすいため、広報や顧客対応を含めた計画として準備しておく必要があります。
こうした対策は、取得から廃棄までの各段階を切れ目なく管理するための基本です。
要配慮個人情報の取り扱いにおけるコンプライアンス
個人情報保護法に基づく要配慮個人情報の取り扱い
個人情報保護法と個人情報保護委員会のガイドラインでは、人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実などを要配慮個人情報とし、取得には原則として本人の同意が必要とされています。また、要配慮個人情報を含む個人データは、オプトアウトによる第三者提供の対象にできません。法令に沿ったルールを整えずに扱うと、本人への不利益だけでなく、企業の管理責任も問われます。
また、法改正やガイドラインの改定により、求められる水準が変化する場合もあります。個人情報保護委員会など公的機関が公表する最新情報を定期的に確認し、自社のルールに反映させることが大切です。
要配慮個人情報の不適切な取り扱いによるリスク
要配慮個人情報を適切に取り扱わない場合、さまざまなリスクが生じます。例えば、本人の同意なく取得した場合は法令違反と判断される可能性があり、行政対応や損害賠償請求につながるおそれがあります。また、漏えい事故が起これば、本人への権利侵害にとどまらず、企業の社会的信用を大きく損なう要因になります。
さらに、SNS等を通じて情報が拡散した場合、法的責任だけでなくレピュテーションリスクも長期的に残る可能性があります。リスクを最小限に抑えるためにも、要配慮個人情報の適切な管理体制の構築が欠かせません。
要配慮個人情報の取り扱いに関する社内規程の整備
要配慮個人情報を適切に管理するには、社内規程の整備が必要です。定義、取得、利用、保管、廃棄の手順、安全管理措置、従業員の教育・監督、漏えい時の対応を文書化し、全社で同じ基準で運用できるようにします。
規程は、個人情報保護法をはじめとする関連法令に沿って作成し、組織や業務の変化に応じて見直す必要があります。文書を作るだけで終わらせず、日常業務で運用できる形にすることが重要です。
要配慮個人情報の取り扱いに関する従業員の意識向上
要配慮個人情報の取り扱いを徹底するには、従業員一人ひとりの理解を高める必要があります。定期的な研修や周知を通じて、要配慮個人情報の重要性と具体的なルールを共有することが重要です。
特に、要配慮個人情報を直接取り扱う部署には、実務に即した教育が必要です。具体的な事例を使って判断のポイントを共有することで、不適切な取り扱いを防ぎやすくなります。
要配慮個人情報の取り扱いでは、法令の理解に加え、社内ルールと運用体制の整備が欠かせません。自社の業務フローやシステムを点検し、どこで取得し、どこで保管し、誰が利用できるのかを明確にすることが重要です。
まとめ
要配慮個人情報は、人種、信条、病歴、犯罪の経歴など、不当な差別や偏見などの不利益につながり得る情報です。企業が適切に管理するには、利用目的の明確化、必要な範囲での取得、安全管理措置、従業員教育が欠かせません。また、取得時の同意、第三者提供、漏えい時の対応といった法令上のポイントも押さえる必要があります。
まずは、自社がどの情報を要配慮個人情報として扱う可能性があるのかを確認し、取得から廃棄までの流れを点検することが実務上の出発点になります。
Q.要配慮個人情報とは何ですか?
要配慮個人情報とは、人種、信条、病歴、犯罪の経歴など、不当な差別や偏見などの不利益が生じないよう特に慎重な取り扱いが求められる個人情報です。個人情報保護法で定義されています。
Q.要配慮個人情報と通常の個人情報の違いは何ですか?
氏名や住所などの通常の個人情報より、本人への不利益につながるおそれが高いため、取得時の本人同意や第三者提供の制限など、より慎重な取り扱いが求められる点が異なります。
Q.どのような情報が要配慮個人情報に該当しますか?
人種、信条、社会的身分、病歴、心身の機能の障害があること、健康診断の結果、医師等による指導・診療・調剤が行われた事実、犯罪の経歴、犯罪により害を被った事実、刑事事件や少年保護事件の手続が行われた事実などが該当します。
Q.要配慮個人情報を取得する際に本人の同意は必ず必要ですか?
取得時には原則として本人の同意が必要です。ただし、人の生命、身体または財産の保護のために必要で、本人の同意を得ることが困難な場合など、法令上の例外に当たるときは同意なく取得できることがあります。
Q.企業は要配慮個人情報をどのように管理すべきですか?
利用目的の明確化と必要最小限の取得、安全管理措置(アクセス制御・暗号化など)の実施、社内規程の整備、従業員教育、廃棄・削除ルールの徹底など、組織的・技術的な管理体制を構築する必要があります。
Q.要配慮個人情報の漏洩が起きた場合、どのようなリスクがありますか?
本人への精神的・社会的な不利益が生じるおそれがあるほか、個人情報保護法違反として行政処分や損害賠償請求の対象になる可能性があります。企業の社会的信用やブランド価値が大きく損なわれるリスクもあります。
Q.要配慮個人情報を取り扱う社内ルールはどのように整備すべきですか?
要配慮個人情報の定義、取得・利用・保管・廃棄の手順、安全管理措置、従業員の責任と禁止事項、漏洩時の対応フローなどを社内規程として文書化し、定期的に見直しながら全従業員に周知・徹底することが重要です。
Q.要配慮個人情報は外部の委託先に預けてもよいですか?
適切な委託先管理を行うことを前提に預けることは可能です。委託契約書で目的外利用の禁止や安全管理措置、漏洩時の報告義務などを明確に定め、必要に応じて実施状況の確認を行うことが求められます。
Q.要配慮個人情報とマイナンバー(個人番号)は同じものですか?
要配慮個人情報とマイナンバーは別の概念です。マイナンバーは番号法に基づき特別な管理が求められる情報であり、要配慮個人情報は個人情報保護法に基づき差別や偏見のリスクが高い情報として定義されています。
Q.海外拠点で要配慮個人情報を取り扱う場合の注意点は何ですか?
日本の個人情報保護法に加え、現地国・地域の個人情報保護法制も確認する必要があります。越境移転の要件や同意取得の方法、現地での安全管理措置などを整理し、グローバルで統一感のあるルールを整備することが重要です。
ピックアップ Pick up
-
インタビュー顧客ごとに最適なSASEを見極め、提供するリコージャパンの取り組み ― Soliton OneGateの認証を組み合わせ、更に安心して使える環境に ―
-
インタビュー情報資産の確実な保全に向けて ― バッファロー、ソリトン、パトライトの3メーカーで取り組む、危機を「見える」「聞こえる」形で捉えるソリューション ―
-
インタビューBUFFALO「AirStation Pro」のセキュリティはなぜ強固?JC-STARとデジタル証明書認証
-
インタビューFNETSが描く次世代セキュリティ像「セキュアアクセス+」とは?その認証で果たすソリトンの役割
-
インタビュー消防DXで命を守るNEC、 その信頼を支えるソリトンセキュリティ
-
インタビュー手軽で高機能な無線ネットワーク「Cisco Meraki」と認証で果たすSoliton OneGateの役割
タグ Tag
金融
流通・小売
医療
エネルギー
運輸
サービス
情報通信
中央省庁・独法
自治体・地方公共団体
教育・文教
認証
エンドポイント
ネットワーク
ゼロトラスト
販売店インタビュー
メーカーインタビュー
セミナーレポート
展示会・フェアレポート
サイバーセキュリティ
リモートアクセス
テレワーク
社内LAN
無線LAN
プロダクト検証
サプリカント設定
技術解説記事
調査報告
Windows
iOS
macOS
Android
ChromeOS
DHCP/DNS
Soliton OneGate
NetAttest EPS
NetAttest D3
SmartOn ID
InfoTrace 360
Soliton SecureBrowser
Soliton SecureDesktop
WrappingBox
FileZen S
VVAULT
コラム
調査レポート目次
Soliton SecureWorkspace
HiQZen
外部リンク
VVAULT AUDIT
サイバー攻撃
SASE
