IT用語集
多要素認証(MFA)とは? その重要性や3つの認証要素について解説
要配慮個人情報とは? 10分でわかりやすく解説
目次
UnsplashのThisisEngineeringが撮影した写真
個人情報の中でも、特に慎重な取り扱いが求められる「要配慮個人情報」の存在をご存知でしょうか。病歴や犯罪経歴など、不当な差別や偏見につながるおそれのある情報が該当します。この記事では、要配慮個人情報の定義や具体例、取り扱う際の注意点、そして企業として求められる管理・コンプライアンス対応について詳しく解説します。正しい理解と適切な対応を心がけることで、個人情報保護の徹底とトラブルの未然防止につなげることができるでしょう。
要配慮個人情報とは? 定義と例
個人情報保護法における要配慮個人情報の定義
要配慮個人情報とは、個人情報保護法第2条第3項で定義されている、人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実、その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める記述等が含まれる個人情報のことを指します。
一般的な属性情報(氏名、住所、電話番号など)と比べて、漏洩や不適切な利用があった際の影響が大きい点が特徴です。そのため、取得・利用・保管・廃棄の各場面で、より厳格な管理が求められます。
要配慮個人情報に該当する具体的な情報の種類
要配慮個人情報には、以下のような情報が含まれます。
- 人種
- 信条
- 社会的身分
- 病歴
- 犯罪の経歴
- 犯罪により害を被った事実
- 身体障害、知的障害、精神障害(発達障害を含む)その他の個人情報保護委員会規則で定める心身の機能の障害があること
- 本人に対して医師その他医療に関連する職務に従事する者により行われた疾病の予防及び早期発見のための健康診断その他の検査の結果
- 健康診断等の結果に基づき、または疾病、負傷その他の心身の変化を理由として、本人に対して医師等により心身の状態の改善のための指導または診療もしくは調剤が行われたこと
- 本人を被疑者または被告人として、逮捕、捜索、差押え、勾留、公訴の提起その他の刑事事件に関する手続が行われたこと
- 本人を少年法に規定する少年または同法に規定する保護事件に関する手続の対象となる者として、調査、観護の措置、審判、保護処分その他の少年の保護事件に関する手続が行われたこと
これらは、単に「センシティブな情報」という感覚的なものではなく、法令上明確に列挙されている点がポイントです。自社が取り扱う情報が該当するかどうか、定期的に棚卸し・確認することが重要です。
要配慮個人情報を取り扱う際の注意点
要配慮個人情報を取り扱う際は、次のような点に注意が必要です。
- 利用目的を特定し、必要最小限の範囲内で取り扱うこと
- 取得時に本人の同意を得ること(原則)
- 漏洩・紛失・不正アクセスを防ぐ安全管理措置を講じること
- 第三者提供の制限を遵守すること
- 保有個人データの開示・訂正等の請求に適切に対応すること
要配慮個人情報は、取り扱いを誤れば重大な人権侵害や社会的な批判につながりかねません。技術的な対策だけでなく、社内ルールや運用プロセスの整備も含めて総合的に管理することが求められます。
要配慮個人情報の収集・利用における同意取得の重要性
要配慮個人情報を収集・利用する際は、原則として本人の同意を得る必要があります。同意を得る方法としては、以下のような方法が考えられます。
| 方法 | 概要 |
|---|---|
| 書面による同意 | 同意書や申込書等の書面に、収集・利用目的や第三者提供の有無等を明示し、本人の署名や記名押印を得る方法 |
| 電子的な同意 | ウェブサイト上で同意ボタンをクリックしてもらう方法や、メールで同意の意思表示を得る方法など |
| 口頭による同意 | 対面や電話で説明し、口頭で同意を得る方法(日時・内容など記録を残すことが望ましい) |
ただし、人の生命、身体または財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるときなど、一定の例外事由に該当する場合は、同意を得ずに要配慮個人情報を取り扱うことが認められています。自社の業務がどのケースに該当するか、法令やガイドラインを確認した上で運用ルールを定めることが大切です。
以上、要配慮個人情報の定義や取扱いの注意点について概要を説明しました。まずは「どの情報が要配慮個人情報に当たるのか」を正しく理解し、そのうえで取得・利用・保管・廃棄の各段階で適切な対策を講じることが重要です。
企業が要配慮個人情報を適切に管理するために必要な対策
企業が保有する個人情報の中でも、要配慮個人情報は特に慎重な取り扱いが求められます。適切な管理を怠ると、本人への不利益や企業の信用失墜につながるリスクがあるため、組織的な対策を講じることが重要です。
要配慮個人情報の適切な取得方法
要配慮個人情報を取得する際は、原則として本人の同意が必要です。同意を得る際は、収集目的や利用範囲、第三者提供の有無などを明確に説明し、書面や電子的な方法で記録に残すことが推奨されます。また、必要最小限の情報に限定して取得するよう心がけましょう。過剰な情報収集は、管理コストの増大やリスクの拡大につながります。
たとえば、採用選考や健康診断、福利厚生申請などの場面では、業務目的に照らして本当に必要な項目だけを収集するよう、申請書やフォームの設計段階から見直すことが有効です。
安全管理措置の実施と従業員教育の徹底
要配慮個人情報を適切に保護するためには、技術的・物理的・人的な安全管理措置を講じる必要があります。具体的には、アクセス制御やデータの暗号化、ログ管理、施錠管理などの対策が考えられます。加えて、従業員への教育を徹底し、取扱いルールの周知や意識向上を図ることが欠かせません。
定期的な研修や啓発活動を行い、要配慮個人情報を取り扱う際に「どこまでが許容されるのか」「どのような行為がNGなのか」を具体的な事例を交えながら共有することで、現場での判断ミスを減らすことができます。
要配慮個人情報の廃棄・削除プロセスの確立
不要となった要配慮個人情報は、適切に廃棄・削除する必要があります。廃棄・削除の手順を明文化し、確実に実行できる体制を整備しましょう。紙媒体の情報は、シュレッダーや溶解処理による破棄が推奨されます。電子データは、復元不可能な方法で削除することが求められます。
また、廃棄・削除の実施記録を残し、監査やトレースができるようにしておくことも重要です。委託先で廃棄する場合には、委託契約書で方法や責任範囲を明確にし、必要に応じて証明書の提出を求めるとよいでしょう。
要配慮個人情報の漏洩時の対応手順の策定
万が一、要配慮個人情報の漏洩事故が発生した場合に備え、事前に対応手順を策定しておくことが重要です。漏洩の原因究明や影響範囲の特定、本人への通知、関係機関への報告など、迅速かつ適切な対応ができるよう、役割分担や連絡体制を明確にしておきましょう。
日頃からインシデント対応の訓練を行い、有事の際に円滑に行動できる備えを整えることが推奨されます。特に要配慮個人情報に関するインシデントは、通常の個人情報以上に社会的な注目を集めやすいため、広報対応や顧客対応も含めた総合的な対応計画が求められます。
以上のような対策を通じて、要配慮個人情報の適切な管理を実現することが、企業には求められます。
要配慮個人情報の取り扱いにおけるコンプライアンス
個人情報保護法に基づく要配慮個人情報の取り扱い
企業が保有する個人情報の中でも、要配慮個人情報は特に慎重な取り扱いが求められます。個人情報保護法では、人種、信条、社会的身分、病歴、犯罪の経歴、犯罪被害情報などを要配慮個人情報として定義し、その取得・利用には原則として本人の同意が必要であると規定しています。適切な管理を怠ると、本人への不利益や企業の信用失墜につながるリスクがあるため、法令に基づいた対応が不可欠です。
また、法改正やガイドラインの改定により、求められる水準が変化する場合もあります。個人情報保護委員会など公的機関が公表する最新情報を定期的に確認し、自社のルールに反映させることが大切です。
要配慮個人情報の不適切な取り扱いによるリスク
要配慮個人情報を適切に取り扱わない場合、さまざまなリスクが生じる可能性があります。例えば、本人の同意なく要配慮個人情報を取得・利用した場合、個人情報保護法違反となり、行政処分や損害賠償請求のリスクが発生します。また、要配慮個人情報の漏洩事故が起これば、本人への重大な権利侵害になるだけでなく、企業の社会的信用を大きく損なうことにもつながりかねません。
さらに、SNS等を通じて情報が拡散した場合、法的責任だけでなくレピュテーションリスクも長期的に残る可能性があります。リスクを最小限に抑えるためにも、要配慮個人情報の適切な管理体制の構築が欠かせません。
要配慮個人情報の取り扱いに関する社内規程の整備
要配慮個人情報を適切に管理するためには、社内規程の整備が重要です。要配慮個人情報の定義や取得・利用の手順、安全管理措置、従業員の教育・監督、漏洩時の対応など、取り扱いに関する一連のルールを明文化し、全社的に徹底することが求められます。
規程の内容は、個人情報保護法をはじめとする関連法令に基づいて策定し、組織や業務内容の変化に応じて定期的な見直しを行うことが望ましいでしょう。社内規程の整備を通じて、要配慮個人情報の適切な管理を実現していくことが重要です。
要配慮個人情報の取り扱いに関する従業員の意識向上
要配慮個人情報の適切な取り扱いを徹底するためには、従業員一人ひとりの意識向上が欠かせません。定期的な研修や啓発活動を行い、要配慮個人情報の重要性や取り扱いルールについて、従業員の理解を深めることが重要です。
特に、要配慮個人情報を直接取り扱う部署の従業員に対しては、より実務に即した教育を実施し、具体的なケーススタディを通じて判断のポイントを身につけてもらうことが推奨されます。全従業員が高い意識を持って要配慮個人情報に接することで、不適切な取り扱いのリスクを最小限に抑えることができるでしょう。
以上のように、要配慮個人情報の取り扱いにおいては、個人情報保護法の理解と、それに基づく社内体制の整備が求められます。自社のシステムや業務フローを見直し、要配慮個人情報の適切な管理を実現することで、法令遵守と信頼の確保を両立させましょう。
まとめ
要配慮個人情報は、個人の人種、信条、病歴など差別や偏見につながる可能性のある情報です。企業がこれらの情報を適切に管理するためには、利用目的の特定や必要最小限の取得、安全管理措置の実施、従業員教育の徹底が重要です。また、漏洩時の対応手順や社内規程の整備など、組織的なコンプライアンス対応も欠かせません。
要配慮個人情報の保護に真摯に取り組むことで、法令遵守だけでなく、顧客や社会からの信頼獲得、ブランドイメージの向上など、ビジネス上のメリットにもつながります。自社がどのような要配慮個人情報を取り扱っているのかを把握し、現状の管理体制を点検・改善することから着実に進めていきましょう。
Q.要配慮個人情報とは何ですか?
要配慮個人情報とは、人種や信条、病歴、犯罪歴など、不当な差別や偏見につながるおそれがあるため、特に慎重な取り扱いが求められる個人情報のことです。個人情報保護法で定義されています。
Q.要配慮個人情報と通常の個人情報の違いは何ですか?
氏名や住所などの通常の個人情報に比べ、要配慮個人情報は本人への不利益が大きい情報であり、取得時に原則として本人の同意が必要になるなど、より厳格な取り扱いが求められる点が異なります。
Q.どのような情報が要配慮個人情報に該当しますか?
人種、信条、社会的身分、病歴、障害に関する情報、犯罪の経歴、犯罪被害の事実、健康診断結果や診療情報、刑事手続・少年保護事件の対象となった事実などが要配慮個人情報に該当します。
Q.要配慮個人情報を取得する際に本人の同意は必ず必要ですか?
原則として本人の同意が必要です。ただし、人の生命・身体・財産の保護など、個人情報保護法で定める例外事由に該当する場合は、同意を得ずに取り扱うことが認められることもあります。
Q.企業は要配慮個人情報をどのように管理すべきですか?
利用目的の明確化と必要最小限の取得、安全管理措置(アクセス制御・暗号化など)の実施、社内規程の整備、従業員教育、廃棄・削除ルールの徹底など、組織的・技術的な管理体制を構築する必要があります。
Q.要配慮個人情報の漏洩が起きた場合、どのようなリスクがありますか?
本人への精神的・社会的な不利益が生じるおそれがあるほか、個人情報保護法違反として行政処分や損害賠償請求の対象になる可能性があります。企業の社会的信用やブランド価値が大きく損なわれるリスクもあります。
Q.要配慮個人情報を取り扱う社内ルールはどのように整備すべきですか?
要配慮個人情報の定義、取得・利用・保管・廃棄の手順、安全管理措置、従業員の責任と禁止事項、漏洩時の対応フローなどを社内規程として文書化し、定期的に見直しながら全従業員に周知・徹底することが重要です。
Q.要配慮個人情報は外部の委託先に預けてもよいですか?
適切な委託先管理を行うことを前提に預けることは可能です。委託契約書で目的外利用の禁止や安全管理措置、漏洩時の報告義務などを明確に定め、必要に応じて実施状況の確認を行うことが求められます。
Q.要配慮個人情報とマイナンバー(個人番号)は同じものですか?
要配慮個人情報とマイナンバーは別の概念です。マイナンバーは番号法に基づき特別な管理が求められる情報であり、要配慮個人情報は個人情報保護法に基づき差別や偏見のリスクが高い情報として定義されています。
Q.海外拠点で要配慮個人情報を取り扱う場合の注意点は何ですか?
日本の個人情報保護法に加え、現地国・地域の個人情報保護法制も確認する必要があります。越境移転の要件や同意取得の方法、現地での安全管理措置などを整理し、グローバルで統一感のあるルールを整備することが重要です。
ピックアップ Pick up
-
インタビュー顧客ごとに最適なSASEを見極め、提供するリコージャパンの取り組み ― Soliton OneGateの認証を組み合わせ、更に安心して使える環境に ―
-
インタビュー情報資産の確実な保全に向けて ― バッファロー、ソリトン、パトライトの3メーカーで取り組む、危機を「見える」「聞こえる」形で捉えるソリューション ―
-
インタビューBUFFALO「AirStation Pro」のセキュリティはなぜ強固?JC-STARとデジタル証明書認証
-
インタビューFNETSが描く次世代セキュリティ像「セキュアアクセス+」とは?その認証で果たすソリトンの役割
-
インタビュー消防DXで命を守るNEC、 その信頼を支えるソリトンセキュリティ
-
インタビュー手軽で高機能な無線ネットワーク「Cisco Meraki」と認証で果たすSoliton OneGateの役割
タグ Tag
金融
流通・小売
医療
エネルギー
運輸
サービス
情報通信
中央省庁・独法
自治体・地方公共団体
教育・文教
認証
エンドポイント
ネットワーク
ゼロトラスト
販売店インタビュー
メーカーインタビュー
セミナーレポート
展示会・フェアレポート
サイバーセキュリティ
リモートアクセス
テレワーク
社内LAN
無線LAN
プロダクト検証
サプリカント設定
技術解説記事
調査報告
Windows
iOS
macOS
Android
ChromeOS
DHCP/DNS
Soliton OneGate
NetAttest EPS
NetAttest D3
SmartOn ID
InfoTrace 360
Soliton SecureBrowser
Soliton SecureDesktop
WrappingBox
FileZen S
VVAULT
コラム
調査レポート目次
Soliton SecureWorkspace
HiQZen
外部リンク
VVAULT AUDIT
サイバー攻撃
SASE
