『要配慮個人情報』の概要と取扱い
『要配慮個人情報』とは、2017年5月の改正法施行によって追加された区分で、「本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める記述等が含まれる個人情報(「個人情報保護法」第2条第3項)」です。氏名や生年月日のように特定の個人を識別するものではなく、「差別や偏見等の不利益を生じさせうるもの」と考えていただけると良いでしょう。日本だけでなくEUなどでも「センシティブ情報」と呼ばれ、強固な保護が行われています。
現在の日本の『要配慮個人情報』は、具体的には以下の11のいずれかが含まれる個人情報を指します。
(2)信条
(3)社会的身分
(4)病歴
(5)犯罪の経歴
(6)犯罪により害を被った事実
(7)身体障害、知的障害、精神障害(発達障害を含む。)等、心身の機能の障害があること
(8)医師等により行われた健康診断等の検査結果
(9)健康診断等の結果に基づき、本人に対して医師等により心身の状態の改善のための指導が行われたこと
(10)本人を被疑者又は被告人として刑事事件に関する手続が行われたこと
(11)本人を非行少年又はその疑いのある者として、保護処分等の少年の保護事件に関する手続が行われたこと
これらの情報は、特に病歴や犯罪歴等、企業としては「知っておきたい情報」であることが多いと想像します。ただしこれらの『要配慮個人情報』は、例外はあるものの、原則、本人の事前の同意がなければ取得することはできません。主治医や前職・卒業校等に問い合わせることも、当然本人の同意がなければ行えません。
また、これらの『要配慮個人情報』は、第三者に提供することにも、本人の事前の同意が必要です。「個人情報保護法」では、“一定の条件を満たし、個人情報保護委員会へ届け出ている場合、本人が反対をしない限り個人情報を第三者へ提供することに同意することとみなす”、いわゆる「オプトアウト」による第三者提供が認められています。ですが、『要配慮個人情報』に関しては、このオプトアウト方式は認められておらず、本人の事前同意が必須な点も注意したいポイントです。
『要配慮個人情報』の保管方法と漏えい時の対応
本人同意を得て『要配慮個人情報』を取得した場合、管理は厳重に行う必要があります。とはいえ、通常の個人情報の管理方法とは別の特別な方法をとることまでは不要です。書面で取得したものは常時施錠できる場所へ保管、データで取得したものはパスワード等を設定し、いずれも閲覧できる人を最小限に抑えましょう。2023年5月からは、「個人情報保護法」がさらに改正され、個人情報の漏えいが発生し個人の権利利益を害するおそれが大きい場合に、個人情報保護委員会への報告と本人への通知が義務化されました(これまでは「義務」ではなく「努力」)。この対応の対象には、『要配慮個人情報』も含まれています。そのため、万が一要配慮個人情報が漏えいした場合には、(1)個人情報保護委員会への報告、(2)本人への通知を行います。
要配慮個人情報の保護は、人事部門や法務部門等だけが行えばよいものではありません。「氏名や生年月日等の個人情報は保護が必要」との考え方は既に一般的ですが、『要配慮個人情報』も同様の保護が必要ということに、どこまで理解が進んでいるでしょうか。個人情報保護等のセキュリティ研修を定期的に行っている企業も多いと思いますが、その研修内容に『要配慮個人情報』も含める等、全従業員への周知を定期的に行うことも、漏えい防止に寄与すると考えられます。
近年は、「採用面接時に愛読書を聞くこと等も、思想・信条を取得することにも繋がることから禁止すべき」とのガイドラインが厚生労働省からも出されています。このように、『要配慮個人情報』は、様々な場面で保護が強化されてきている印象を受けます。
また、『要配慮個人情報』は、取得や第三者提供の方法次第では、法律違反かどうかを差し置いても、企業への不信感・不満にも繋がりやすく、企業間や労使の関係にも影響を及ぼす可能性が高いものです。
不要なトラブルを生まないためにも、改めて、自社の対応を見直していただければ幸いです。
- 1