要配慮個人情報の具体例と、従業員の情報を集めるときの注意点とは？

1. （1）個人情報とは？

   通常、私たちは特に意識することなく「個人情報」と言いがちですが、個人情報保護法では同法第2条第1項で、「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものと定められています。

   • 氏名、生年月日その他の記述等…により特定の個人を識別することができるもの（同条項第1号）
   • 個人識別符号が含まれる情報（同条項第2号）

2. （2）要配慮個人情報とは？

   個人情報のなかには、人種、思想、犯罪歴、病歴等の他人に公開されることで本人が不当な差別や偏見などの不利益を被ってしまうような情報もあります。このような種類の個人情報について、改正前の個人情報保護法には規定がなく、個別の法令やガイドラインで措置をとることとされていました。また、プライバシーマークの規格である「JISQ150001」にも、思想、信条、人種、宗教等を機微情報と位置づけ、一定の場合を除き、その取得、利用または提供を行ってはならないとされていました。
   
   そこで、平成29年5月30日に施行された改正法により、機微な個人情報の定義と規定を明確化したうえで新たに「要配慮個人情報」という区分が設けられ、「本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める記述等が含まれる個人情報」（個人情報保護法第2条第3項）と定められています。

3. （3）要配慮個人情報の規定が新設された背景

   平成29年に個人情報保護法が改正された背景は、改正前の個人情報保護法が施行されたあとに何が個人情報に該当するのか、第三者提供はどこまで許容されるのかなど、個人情報の定義や取り扱いに関するグレーゾーンが顕在化したことにあります。
   特に改正法の要配慮個人情報に該当する機微な個人情報については、個人情報を不正入手するなどの事件が相次いだことを受け、その取り扱いに関して厳格化する必要性もあがっていました。
   
   また、個人情報の取り扱いに関する法制度について国際的調和の必要性が生じたことも、要配慮個人情報の規定が新設された背景のひとつです。具体例としては、ヨーロッパの「EU個人データ保護指令」があげられます。この指令では、個人データをEU域内から移転できる国であると認められる条件のひとつとして、個人情報保護の施策がEU諸国同等の水準であるという「十分性認定」を得ていることを規定しています（同指令第25条）。この指令に対応する一環として、要配慮個人情報の規定を新設する必要があったのです。

4. （4）適用対象となる事業者

   個人情報保護法では、個人情報データベース等（個人情報を含む情報の集合物で、パソコン等で検索することができるように体系化されたもの等）を事業の用に供していると、法人・個人に関係なく「個人情報取扱業者」になると規定されています（個人情報保護法第2条第5項、同条第4項）。これは従業員の個人情報であっても例外ではありません。個人情報取扱業者に該当した場合は、個人情報保護法の諸規定に従った個人情報の適切な管理が求められることになります。

個人情報保護法第2条第3項では、要配慮個人情報について「本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める記述等が含まれる個人情報」と規定しています。以下で、個人情報保護法、同施行令、個人情報の保護に関する法律についてのガイドライン（以下「ガイドライン」といいます）に基づく具体例および注意点をみてみましょう。

1. （1）人種（同3項）

   人種には、民族的・種族的出身やアイデンティティなどが広く該当します。具体例としては、「在日○○人」、「○○地区・○○部落出身」、「日系○世」が挙げられます。ただし、国籍は単なる法的地位に過ぎないため、要配慮個人情報には該当しません。また、肌の色についてもそれだけでは人種を推知させるだけのものに過ぎないため、やはり要配慮個人情報に該当しません。

2. （2）信条（同3項）

   信条とは、個人の基本的な考え方を意味し、思想と信仰の両者を包含します。具体例としては、信仰する宗教、政治的・倫理的な思想などがあげられます。

3. （3）社会的身分（同3項）

   社会的身分とは、「人が社会において占める継続的な地位」（最大判昭和39年5月27日民集18巻4号676頁）、主としてある個人にその境遇として固着していて、一生の間、自らの力によって容易にそれらから脱し得ないような地位を意味します（ガイドライン（通則編））。
   具体例としては、「非嫡出子」や「被差別部落の出身」であることが社会的身分に該当すると言われています。
   なお、単なる職業的地位や学歴は社会的身分に含まれません。

4. （4）病歴（同3項）

   病歴とは、病気に罹患した経歴をいいます。病歴が例示されているのは、ハンセン病に代表られるように、病気がその種類によっては差別・偏見を生じさせて生きたからです。
   「肺癌を患っている。」、「統合失調症で通院していた」などが病歴の具体例としてあげられます。

5. （5）犯罪の経歴（同3項）

   前科、すなわち、裁判で刑の言い渡しを受けてこれが確定した事実を意味します。
   刑務所に収容された事実、刑務所を出所した事実も、有罪判決が確定した事実を示すので、「犯罪の経歴」に関する情報になります。
   なお、前歴（逮捕、勾留を受ける等、犯罪捜査の対象となった事実）は、犯罪の経歴には該当しませんが、後述のとおり、要配慮個人情報として政令で定められています。

6. （6）犯罪により害を被った事実（同3項）

   一定の犯罪の被害を受けた事実を意味します。たとえば、「詐欺被害に遭った」、「インターネットで事実無根の中傷を受けた」、「殴られてケガをした」などが具体例として考えられるように、刑事事件の被害者になった事実が該当します。

7. （7）身体障害、知的障害、精神障害（発達障害を含む）その他の個人情報保護委員会規則で定める心身の機能の障害があること（同3項、同施行令第2条第1号）

   ガイドライン（通則）では、具体例として以下の例を挙げています。

   • 医師などから、身体的、精神的な障害があると診断されていること
   • 障害者手帳や精神障害者保健福祉手帳などの交付を受けていること
   • 本人の外見から、明らかに身体上の障害が認められること

8. （8）本人に対して医師その他医療に関連する職務に従事する者（次号において「医師等」という）により行われた疾病の予防及び早期発見のための健康診断その他の検査（同号において「健康診断等」という）の結果（同第3項、同施行令第2条第2号）

   ガイドライン（通則）では、具体例として以下の例を挙げています。

   • 労働安全衛生法に基づいて行われた健康診断
   • 同法に基づいて行われたストレスチェック
   
   
   

   なお、健康診断等を受けたこと自体は要配慮個人情報には該当しません。また、要配慮個人情報とされる健康診断結果に関する情報には、法定の健康診断等に限定されず、人間ドック等、保険者や事業主が任意に実施または助成する健康診断等の結果に関するものも含まれます。

9. （9）健康診断の結果に基づき、又は疾病、負傷その他の心身の変化を理由として、本人に対して医師等により心身の状態の改善のための指導又は診療若しくは調剤が行われたこと（同第3項、同施行令第2条第3号）

   ガイドライン（通則）では、具体例とし以下の例を挙げています。

   • 健康診断等の結果に基づいて、医師等が行った保健指導の内容及び保健指導をした事実
   • 病院等における診察の過程の中で医師等が知り得た患者に関する全ての情報（具体的には診療記録が該当します）
   • 薬剤師が調剤の過程の中で知り得た患者に関するすべての情報（具体的には、調剤録、お薬手帳に記載された情報が該当します）

10. （10）本人を被疑者又は被告人として、逮捕、捜索、差押え、勾留、公訴の提起その他の刑事事件に関する手続が行われたこと（同第3項、同施行令第2条第4号）

    前述の「（5）犯罪の経歴」と混同しやすいのですが、逮捕、勾留、起訴されたものの無罪になった場合や不起訴処分などで釈放された経歴、つまり前歴についても要配慮個人情報に該当するということです。
    なお、他人の事件について、単に証人や参考人として取調べを受けただけでは本人を被疑者、被告人としていないことから、要配慮個人情報には該当しません。

11. （11）本人を少年法（昭和23年法律第168号）第3条第1項に規定する少年又はその疑いのある者として、調査、監護の措置、審判、保護処分その他の少年の保護事件に関する手続が行われたこと（同第3項、同施行令第5号）

    少年法に基づく非行少年として、調査や保護処分の手続が行われた事実のことをさします。

個人情報取扱業者は、原則として要配慮個人情報の取得を禁止されています（個人情報保護法第17条第2項柱書）。そして、要配慮個人情報を取得するには、例外を除き、本人の事前の同意を得る必要があり、事後的な同意により追完することは認められません。

また、要配慮個人情報については、事前に本人に対して個人データを第三者提供することについて何らかの形で通知しておき、本人が明確な反対をしないかぎりこれに同意したものとして本人の個人データを第三者に提供をする行為、いわゆるオプトアウト方式は禁止されています（同法第23条第2項柱書）。そのため、要配慮個人情報を第三者に提供する場合は、同法第23条第1項各号、同条第5項各号に該当する以外には、基本的に事前に本人の同意を得ていたうえで行うオプトイン方式でなければならないのです。

なお、オプトアウトの禁止はグループ会社間での情報提供についても適用されますが、例外的に他の企業との合併を理由とする個人情報の移動は第三者提供に該当しないとされています（同法第5項第2号）。

前述のとおり、個人情報取扱業者は、原則として要配慮個人情報の取得を禁止されています。
要配慮個人情報の取得が例外的に認められる場合の具体例は、以下のケースが考えられます。

このとき、不要な要配慮個人情報は取得しないように努めることはもちろんのこと、要配慮個人情報の不正な流出を防ぐため、取得したあとの管理を厳重に行うことが重要です。紙ベースで取得した場合は常時施錠できる場所に保管し、データベースであればアクセスできる人を最小限にしたうえでIDやパスワードを設定し、絶対に社内外に漏れることがないようにしてください。また、全従業員に対して要配慮個人情報に関する研修を行うことも有効でしょう。

個人情報保護法における個人情報取扱業者の監督機関は、個人情報保護委員会です。個人情報保護委員会は、個人情報取扱事業者に対する指導・助言と併せて、それに個人情報取扱業者従わない場合のペナルティとして措置勧告・措置命令を行う権限が与えられています。

もし、個人情報取扱業者が個人情報保護委員会の勧告や命令に違反した場合は6か月以下の懲役または30万円以下の罰金（個人情報保護法第84条、同法第42条第2項、同第3項）、個人情報保護委員会に対して報告を怠った場合や虚偽の報告を行った場合あるいは検査を忌避した場合は30万円以下の罰金（同第85条、同第40条第1項、同第56条）がそれぞれ科されます。また、不正な利用目的で個人情報を盗み出したり第三者へ提供した場合は、1年以下の懲役または50万円以下の罰金（同第83条）が科されます。
このほか、不正な個人情報の流出により被害を受けた人から、民事上の損害賠償を請求されることも考えられます。

要配慮個人情報の新設に伺えるとおり、個人情報保護に関する各種規制は今後ますます厳格化・複雑化することが予想されます。特に個人情報の第三者提供や取得経緯などについては、悪質な違反事例が後を絶たないため、個人情報保護委員会および個人情報を提供している人々の個人情報取扱業者に対する監視の目は、より一層厳しくなるものと考えられます。

そのような環境のもと、会社を無用なリスクに晒さないためには弁護士などの専門家などに相談しながら個人情報に関する体制整備を行うことをおすすめします。
ベリーベスト法律事務所では、ワンストップで対応可能な顧問弁護士サービスを提供しています。もちろん、要配慮個人情報の取り扱いにかぎらず、幅広い範囲でご対応が可能です。
企業法務に関するご相談は、ぜひベリーベスト法律事務所までお気軽にご依頼ください。あなたの会社のために、ベストを尽くします。