ぼちぼち改正個人情報保護法を読む-2条(定義:要配慮個人情報)
「要配慮個人情報」とは、思想、信条等の個人情報や、人種、犯罪歴、病歴等の不当な差別や偏見の原因になりうる個人情報をいいます。改正法で新設された規定です。
諸外国の法制にも同様の規定があり、機微情報、センシティブ情報、特別範疇データなどと呼ばれています。
Contents
- 1 改正法の条文
- 2 個人情報の移転のグローバル化と要配慮個人情報
- 3 EU一般データ保護規則との関係
- 4 どのような情報が「要配慮個人情報」に該当するか
- 5 推知情報は含まれない?
- 6 要配慮個人情報に含まれなかった情報
- 7 個人情報取扱事業者の義務
- 8 取得の禁止
- 8.1 ①法令に基づく場合
- 8.2 ②人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき
- 8.3 ③公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき
- 8.4 ④国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき
- 8.5 ⑤当該要配慮個人情報が、本人、国の機関、地方公共団体、第76条第1項各号に掲げる者その他個人情報保護委員会規則で定める者により公開されている場合
- 8.6 ⑥その他前各号に掲げる場合に準ずるものとして政令で定める場合
- 9 オプトアウトによる第三者提供の禁止
- 10 【参考】改正前の個人情報保護法におけるセンシティブ情報に関する対応
改正法の条文
さあ、条文を見てみましょう。
第2条
3 この法律において「要配慮個人情報」とは、本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして 政令で定める記述等が含まれる個人情報をいう。
個人情報の移転のグローバル化と要配慮個人情報
日本の個人情報保護条例では、要配慮個人情報の収集を制限する規定を設けているものが数多く見られます(たとえば東京都個人情報の保護に関する条例4条2項、大阪府個人情報保護条例7条5項)。
地方自治体の全体の傾向については、総務省の資料によると、要配慮個人情報の収集または記録が禁止または制限している都道府県は44あり、全体の93.6%にのぼります。市町村レベルでは、1,676で、全体の96.2%となっています。この資料は、2016年11月21日と最近の資料ですが、改正前の個人情報保護法が制定された時点であっても、約6割の自治体が要配慮個人情報について取扱いを制限する規定を設けていました。
他方、改正前の個人情報保護法の立法の際には規定は置かれませんでした。この経緯については、最後に参考のために書くことにします。
改正法による新設の趣旨を要約するならば、個人情報の移転のグローバル化が関係しています。
EU一般データ保護規則との関係
諸外国では、要配慮個人情報をそうでない個人情報と区別して取扱いをしている国や地域があります。
たとえば、2018年5月25日に適用(施行)されるEU一般データ保護規則は、「人種若しくは民族的出自、政治的見解、宗教的若しくは哲学的信条又は労働組合加入を示す個人データの処理、及び遺伝子データ、自然人を同定する生体認証データ、健康に関するデータ又は自然人の性生活若しくは性的指向に関するデータの処理は禁止される」(9条1項)という原則規定を設けています。
例外的に個人データを処理することができるのは、データ主体の同意、雇用法、社会保障・社会保護法の分野でまたは重要な公共の利益上の理由でEU法もしくは加盟国の国内法または労働協約が認める場合など一定の場合に限られます(9条2項)。刑事訴追および犯罪に関する個人データも、公的機関の管理の下またはEU法もしくは加盟国の国内法により処理が承認されている場合にのみ取扱いが可能となっています(10条)。
このセンシティブ情報の規定の欠如は、EUが個人データの越境移転に関して日本の個人情報保護の十分性を認めない理由の一つとなっていました。EUの個人情報保護の十分性の認定を受けていないため、EU加盟国から日本へ個人データを移転する場合には、モデル約款や拘束的企業準則などの別途の方策を採らなければなりません。グローバルに活動を展開する企業にとっては商業上の障害として認識されています。
そこで、改正個人情報保護法は、諸外国の規定や憲法14条1項(「すべて国民は、法の下に平等であって、人種、信条、性別、社会的身分又は門地により、政治的、経済的又は社会的関係において、差別されない」)を参考にして、要配慮個人情報に関する諸規定を設けたのです。
どのような情報が「要配慮個人情報」に該当するか
以下に関する個人情報は、「要配慮個人情報」にあたります。
- 人種
- 信条
- 社会的身分
- 病歴
- 犯罪の経歴
- 犯罪により害を被った事実
- 本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める記述等が含まれる個人情報
最後の「本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める記述等が含まれる個人情報」については、改正個人情報保護法施行令2条で、以下の個人情報が要配慮個人情報にあたることが明示されました。
- 身体障害、知的障害、精神障害(発達障害を含む。)その他の個人情報保護委員会規則で定める心身の機能の障害があること
- 本人に対して医師その他医療に関連する職務に従事する者(医師等)により行われた疾病の予防及び早期発見のための健康診断その他の検査(健康診断等)の結果
- 健康診断等の結果に基づき、または疾病、負傷その他の心身の変化を理由として、本人に対して医師等により心身の状態の改善のための指導または診療もしくは調剤が行われたこと
- 本人を被疑者または被告人として、逮捕、捜索、差押え、勾留、公訴の提起その他の刑事事件に関する手続が行われたこと(犯罪の経歴を除く)
- 本人を少年法の非行少年またはその疑いのある者として、調査、観護の措置、審判、保護処分その他の少年の保護事件に関する手続が行われたこと
推知情報は含まれない?
要配慮個人情報には、要配慮個人情報を推知させるにすぎない情報(例:宗教に関する書籍の購買や貸出しに係る情報等)は含まないとされています(個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン(通則編)」12頁)。「推知」とは、ある事実をもとにおしはかって知ることをいいます。
もっとも、要配慮個人情報を推知させる情報であっても慎重な取扱いをすべき場合があることには留意が必要です。
要配慮個人情報に含まれなかった情報
諸外国の個人情報保護法、日本の個人情報保護条例、官庁の個人情報保護ガイドライン等で要配慮個人情報とされている情報のなかで、改正法が要配慮個人情報に含めなかった情報には次のようなものがあります。
- 本籍地
- 労働組合への加盟
- 性生活や性的指向
個人情報取扱事業者の義務
要配慮個人情報については、不当な差別や偏見の原因になる情報ですので、個人情報取扱事業者に特別の義務が課せられています。取得とオプトアウトによる第三者提供の禁止です(法17条2項、23条3項)。
取得の禁止
まず、要配慮個人情報の取得は、本人の同意がない場合には原則として禁止されています(法17条2項)。しかし、本人の意思よりも優先すべき利益がある場合や、取得を制限する理由がない場合には、例外的に、個人情報取扱事業者は、本人の同意がなくても要配慮個人情報を取得することができます。条文では、次の6つの場合が例外となります。
第17条
2 個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、要配慮個人情報を取得してはならない。一 法令に基づく場合二 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。三 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。四 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
五 当該要配慮個人情報が、本人、国の機関、地方公共団体、第76条第1項各号に掲げる者その他個人情報保護委員会規則で定める者により公開されている場合
六 その他前各号に掲げる場合に準ずるものとして政令で定める場合
図示すると、こんな感じになるでしょうか。
順番に内容を詳しく説明します。
①法令に基づく場合
要配慮個人情報を「法令に基づく場合」に取得できる具体的な事例として、個人情報保護委員会は、ガイドラインで「個人情報取扱事業者が、労働安全衛生法に基づき健康診断を実施し、これにより従業員の身体状況、病状、治療等の情報を健康診断実施機関から取得する場合」をあげています(個人情報の保護に関する法律についてのガイドライン〈通則編〉33頁)。
②人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき
要配慮個人情報を「人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき」に取得できる場合として、個人情報保護委員会は次のような具体例を示しています。
- 急病その他の事態が生じたときに、本人の病歴等を医師や看護師が家族から聴取する場合
- 事業者間において、不正対策等のために、暴力団等の反社会的勢力情報、意図的に業務妨害を行う者の情報のうち、過去に業務妨害罪で逮捕された事実等の情報について共有する場合
- 不正送金等の金融犯罪被害の事実に関する情報を、関連する犯罪被害の防止のために、他の事業者から取得する場合
③公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき
要配慮個人情報を「公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき」に取得できる場合として、個人情報保護委員会は次のような具体例を示しています。
- 健康保険組合等の保険者等が実施する健康診断等の結果判明した病名等について、健康増進施策の立案や保健事業の効果の向上を目的として疫学調査等のために提供を受けて取得する場合(なお、法第76条第1項第3号に該当する場合は、第4章の各規定は適用されない。)
- 児童生徒の不登校や不良行為等について、児童相談所、学校、医療機関等の関係機関が連携して対応するために、ある関係機関において、他の関係機関から当該児童生徒の保護事件に関する手続が行われた情報を取得する場合
- 児童虐待のおそれのある家庭情報のうち被害を被った事実に係る情報を、児童相談所、警察、学校、病院等の関係機関が、他の関係機関から取得する場合
④国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき
要配慮個人情報を「国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき」に取得できる場合として、個人情報保護委員会は次のような具体例を示しています。
- 事業者が警察の任意の求めに応じて要配慮個人情報に該当する個人情報を提出するために、当該個人情報を取得する場合
⑤当該要配慮個人情報が、本人、国の機関、地方公共団体、第76条第1項各号に掲げる者その他個人情報保護委員会規則で定める者により公開されている場合
要配慮個人情報であっても、次の者によってすでに公開されていることから、その取得は禁止されません。
ⅰ)本人
ⅱ)国の機関
ⅲ)地方公共団体
ⅳ)放送機関・新聞社・通信社その他の報道機関(報道を業として行う個人を含む)
ⅴ)著述を業として行う者
ⅵ)大学その他の学術研究を目的とする機関若しくは団体又はそれらに属する者
ⅶ)宗教団体
ⅷ)政治団体
ⅸ)外国政府、外国の政府機関、外国の地方公共団体又は国際機関(規則6条1号)
ⅹ)外国において法第76条第1項各号に掲げる者に相当する者(規則6条2号)
法76条1項各号に掲げる者とは、上記のⅳからⅷまでの者のことです。
⑥その他前各号に掲げる場合に準ずるものとして政令で定める場合
「その他前各号に掲げる場合に準ずるものとして政令で定める場合」とは、改正個人情報保護法施行令7条1号で、次の場合が定められました。
一 本人を目視し、又は撮影することにより、その外形上明らかな要配慮個人情報を取得する場合
二 法第23条第5項各号に掲げる場合において、個人データである要配慮個人情報の提供を受けるとき
法23条5項各号とは、個人データの取扱いの委託、合併等の事業の承継、共同利用のことです。
以上の事例は、要配慮個人情報に沿って、個人情報保護委員会が具体的な事例を示したものですが、他にも様々な事例が考えられます。個人情報保護委員会のガイドライン、特定分野のガイドライン、認定個人情報保護団体が業界に即して作成するガイドライン等を参照して、適切な取扱いを行う必要があります。
オプトアウトによる第三者提供の禁止
条文は次のように定めています。
第三者提供の制限
(23条)
2 個人情報取扱事業者は、第三者に提供される個人データ(要配慮個人情報を除く。以下この項において同じ。)について、本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止することとしている場合であって、次に掲げる事項について、個人情報保護委員会規則で定めるところにより、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届け出たときは、前項の規定にかかわらず、当該個人データを第三者に提供することができる。
一 第三者への提供を利用目的とすること。
二 第三者に提供される個人データの項目
三 第三者への提供の方法
四 本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止すること
五 本人の求めを受け付ける方法
個人情報保護法は、改正前後を通じて個人データの第三者提供については、あらかじめ本人の同意を得ることを義務付けています(23条1項)。これは、加入や参加、許諾、承認などの意思を相手方に明示することを意味する英語表現である「オプトイン」と呼ばれています。
一方、「オプトアウト」とは、この反対で身を引く、脱退するという意味を持つ英語表現です。このオプトアウト手続を取るときには、第三者提供について本人の同意を得る必要はありません(法23条2項・3項)。
なぜこのような手続が認められているのかといえば、個人情報の提供自体を目的としている業種があるからです。たとえば住宅地図やカーナビで、本人同意を得ることを義務づけるならば、これらを提供している会社の業務はストップしてしまうでしょう。
そこで、一定の事項をあらかじめ本人に通知するかまたは本人が容易に知りうる状態に置いておけば(例:インターネットでの掲示など)、事業者は個人データを第三者に提供することができます。個人データを提供してほしくない人は、個人データの提供を停止することを求めることができます。
しかし、要配慮個人情報は不当な差別や偏見の原因になる情報ですので、本人の知らないうちに個人データが第三者提供されれば、その権利利益が侵害される可能性はきわめて高くなります。そこで、改正法は、要配慮個人情報については、オプトアウト手続による第三者提供を禁止したのです。これには例外は定められていません。絶対的な禁止となります。
【参考】改正前の個人情報保護法におけるセンシティブ情報に関する対応
センシティブ情報は多くの外国の法律や地方公共団体の条例で規定
要配慮個人情報(センシティブ情報)について、諸外国では、要配慮個人情報をそうでない個人情報と区別して取扱いをしている国や地域がありました。
たとえば、EU指令やEU加盟国の国内法などです。
地方公共団体でも多くの自治体がセンシティブ情報について規定を置いていました。
要配慮個人情報については、一定の場合(①本人の同意がある場合、②法令に特別な規定がある場合、③司法手続上必要不可欠な場合)を除いて、そもそもそれらの情報の収集・保有自体を制限又は禁止する立法の形式が取られることがあります。
個人情報保護法制化専門委員会での議論
しかし、改正前の個人情報保護法は、改正法の要配慮個人情報に相当する規定を設けませんでした。もっとも設けることについての検討はなされています。
個人情報保護法の立法に向けて、高度情報通信社会推進本部(のちの高度情報通信技術(IT)戦略本部)に設置された「個人情報保護法制化専門委員会」では、センシティブにならなければならないという意味で宣言的な意味の規定を設けることができないか、基本法という性格上一般的条項を設けるのが妥当ではないか(たとえば「その他差別につながる情報」という書き方)などが議論されました(同委員会第13回議事録)。
しかし、センシティブ情報の収集・保有制限などの規定を置くことは見送られました。理由は、何をセンシティブ情報と定義するかが困難であること、センシティブ情報が直罰などの制裁規定に繋がる可能性が強いため、どの程度罰則規定を置くかについての問題があったことなどによります(「〔座談会〕個人情報保護基本法制大綱をめぐって)ジュリスト1190号16-17頁、第156回国会衆議院個人情報の保護に関する特別委員会議録第6号12頁・平成15年4月18日細田博之国務大臣答弁)。
個別分野での検討
ただし、個人情報保護法が全く個人情報の性質を考慮していなかったわけではありません。たとえば、個人情報保護法制化専門委員会の「個人情報保護基本法制に関する大綱」では、個人情報の性質を考慮した記載もありました。たとえば、安全保護措置の実施における「安全保護措置のレベルは、個人情報の性質、利用方法等に加え、情報通信技術の発達にも対応した適切なものとすることが求められる」(大綱2.基本原則)という記載です。
また、「政府は、個人情報であって、その性質、利用方法等に照らし、特に厳重な保護を要する等、別途の措置が必要なものについては、法制上の措置その他の必要な措置を講ずるものとすること」(大綱4.政府の措置及び施策(3)法制上の措置等)という記載は、のちに法制化された個人情報保護法の第6条に結び付きます。
第6条は、「政府は、……個人情報の性質及び利用方法にかんがみ、個人の権利利益の一層の保護を図るため特にその適正な取扱いの厳格な実施を確保する必要がある個人情報について、保護のための格別の措置が講じられるよう必要な法制上の措置その他の措置を講ずるものとする」と定めていました(改正法により若干の修正がなされましたが、文言はほぼ同じです。)。
そして、立法過程で衆参両院の附帯決議により、医療、金融・信用、情報通信等、特に適正な取扱いの厳格な実施を確保する必要がある個別法の早急の検討を求めることが指摘されました。
個人情報の保護に関する基本方針
その後の閣議決定「個人情報の保護に関する基本方針」(平成16年4月2日)では、医療、金融・信用、情報通信の3つの分野があげられています(2(3)②特に適正な取扱いを確保すべき個別分野において講ずべき施策)。
2 国が講ずべき個人情報の保護のための措置に関する事項
(3)分野ごとの個人情報の保護の推進に関する方針
② 特に適正な取扱いを確保すべき個別分野において講ずべき施策
個人情報の性質や利用方法等から特に適正な取扱いの厳格な実施を確保する必要がある分野については、各省庁において、個人情報を保護するための格別の措置を分野(医療、金融・信用、情報通信等)ごとに早急に検討し、法の全面施行までに、一定の結論を得るものとする。
個別法は見送りガイドラインでの対応
これに対応して、金融分野における個人情報保護に関するガイドラインには、取得、利用または第三者提供を行わない旨の規定が、情報通信事業における個人情報保護に関するガイドラインには、一定の場合を除き、要配慮個人情報の取得制限がそれぞれ置かれています。
ただし、医療、金融・信用、情報通信分野で個別法を制定する方向にはならず、ガイドラインでの対応に止まりました。
なお、改正前の個人情報保護法の施行後のJISQ15001:2006は、機微情報について、明示的な本人の同意がある場合等、一定の場合を除き、その取得、利用または提供を行ってはならないとしていました。
[JISコンプライアンス・プログラム要求事項によるセンシティブ情報]
①思想、信条、宗教に関する事項
②人種、民族、門地、本籍地、身体・精神障害、犯罪歴、その他の社会的差別の原因となる事項
③勤労者の団結権、団体交渉及びその他の団体行動の行為に関する事項
④集団示威行為への参加、請願権の行使、及びその他の政治的権利の行使に関する事項
⑤保健医療及び性生活
*本投稿の改正前の対応の部分は、拙著『個人情報保護法 逐条分析と展望』青林書院2003年)を加筆修正したものです。
2017年5月3日更新:個人情報保護条例における要配慮個人情報の規定の設置状況と2006年時のJISコンプライアンス・プログラムの内容を追加しました。
この 作品 は クリエイティブ・コモンズ 表示 – 非営利 – 改変禁止 4.0 国際 ライセンスの下に提供されています。
