「要配慮個人情報」と「機微(センシティブ)情報」の取り扱いはどう異なるか

IT・情報セキュリティ

 改正個人情報保護法では、機微情報(センシティブ情報)について、「要配慮個人情報」として定められましたが、「金融分野における個人情報保護に関するガイドライン 」における機微情報の取扱いとはどのように異なるのでしょうか。

 「要配慮個人情報」に該当するが、「機微(センシティブ)情報」に該当しないものとして、以下があげられます。
・犯罪により害を被った事実
・本人を被疑者又は被告人として、逮捕、捜索、差押え、勾留、公訴の提起その他の刑事事件に関する手続が行われたこと
・本人を少年法に規定する少年又はその疑いのある者として、調査、観護の措置、審判、保護処分その他の少年の保護事件に関する手続が行われたこと

 「機微(センシティブ)情報」に該当するが、「要配慮個人情報」に該当しないものは以下のとおりです。
・労働組合への加盟
・本籍地
・性生活

 「機微(センシティブ)情報」は、原則として、取得、利用又は第三者提供が禁止されており、「要配慮個人情報」の取扱いの原則よりも格段に厳しくなっています。

解説

※本QAの凡例は以下のとおりです。

  • 個人情報保護法:個人情報の保護に関する法律及び行政手続における特定の個人を識別するための番号の利用等に関する法律の一部を改正する法律(平成27年9月9日法律第65号)に基づく改正後の個人情報保護法
  • 施行令案:個人情報の保護に関する法律施行令の一部を改正する政令(案)に基づく改正後の同法施行令
  • 規則案:施行後の個人情報の保護に関する法律施行規則(案)
  • 金融庁ガイドライン:金融分野における個人情報保護に関するガイドライン(平成21年11月20日金融庁告示第63号、最終改正:平成27年7月2日金融庁告示第66号(平成27年7月9日施行)

金融庁ガイドラインに定める機微情報

 銀行、保険会社、金融商品取引業者等の金融機関に関しては、「金融庁ガイドライン」において、以下のとおり、機微(センシティブ)情報として規制が置かれています。

第6条 機微(センシティブ)情報について
1 金融分野における個人情報取扱事業者は、政治的見解、信教(宗教、思想及び信条をいう。)、労働組合への加盟、人種及び民族、門地及び本籍地、保健医療及び性生活、並びに犯罪歴に関する情報(以下「機微(センシティブ)情報」という。)については、次に掲げる場合を除くほか、取得、利用又は第三者提供を行わないこととする。
① 法令等に基づく場合
② 人の生命、身体又は財産の保護のために必要がある場合
③ 公衆衛生の向上又は児童の健全な育成の推進のため特に必要がある場合
④ 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合
⑤ 源泉徴収事務等の遂行上必要な範囲において、政治・宗教等の団体若しくは労働 組合への所属若しくは加盟に関する従業員等の機微(センシティブ)情報を取得し、利用し、又は第三者提供する場合
⑥ 相続手続による権利義務の移転等の遂行に必要な限りにおいて、機微(センシテ ィブ)情報を取得、利用又は第三者提供する場合
⑦ 保険業その他金融分野の事業の適切な業務運営を確保する必要性から、本人の同意に基づき業務遂行上必要な範囲で機微(センシティブ)情報を取得し、利用し、 又は第三者提供する場合
⑧ 機微(センシティブ)情報に該当する生体認証情報を本人の同意に基づき、本人確認に用いる場合
2 金融分野における個人情報取扱事業者は、機微(センシティブ)情報を、前項に掲げる場合に取得し、利用し、又は第三者提供する場合には、同項に掲げる事由を逸脱 した取得、利用又は第三者提供を行うことのないよう、特に慎重に取り扱うこととする。

対象となる情報の比較

 改正個人情報保護法の「要配慮個人情報」と金融庁ガイドラインの「機微(センシティブ情報)」を比較すると以下のとおりです。

要配慮個人情報
(改正個人情報保護法)
機微(センシティブ)情報
(金融庁ガイドライン)
① 人種
② 信条
③ 社会的身分
④ 病歴
⑤ 犯罪の経歴
犯罪により害を被った事実
⑦ 身体障害、知的障害、精神障害(発達障害を含む。)等の心身の機能の障害があること。
⑧ 本人に対して医師等により行われた疾病の予防及び早期発見のための健康診断等の結果
⑨ 健康診断等の結果に基づき、又は疾病、負傷その他の心身の変化を理由として、本人に対して医師等により心身の状態の改善のための指導又は診療若しくは調剤が行われたこと。
本人を被疑者又は被告人として、逮捕、捜索、差押え、勾留、公訴の提起その他の刑事事件に関する手続が行われたこと
本人を少年法に規定する少年又はその疑いのある者として、調査、観護の措置、審判、保護処分その他の少年の保護事件に関する手続が行われたこと
ア 政治的見解
イ 信教(宗教、思想及び信条をいう。)
労働組合への加盟
エ 人種
オ 民族
カ 門地
本籍地
ク 保健医療
性生活
コ 犯罪歴に関する情報
要配慮個人情報に該当するが機微(センシティブ)情報に該当しないもの 機微(センシティブ)情報に該当するが要配慮個人情報に該当しないもの
⑥ 犯罪により害を被った事実
⑩ 本人を被疑者又は被告人として、逮捕、捜索、差押え、勾留、公訴の提起その他の刑事事件に関する手続が行われたこと。
⑪ 本人を少年法に規定する少年又はその疑いのある者として、調査、観護の措置、審判、保護処分その他の少年の保護事件に関する手続が行われたこと。
ウ 労働組合への加盟
キ 本籍地
ケ 性生活

「要配慮個人情報」に該当するが、「機微(センシティブ)情報」に該当しないもの

 「要配慮個人情報」に該当するが、「機微(センシティブ)情報」に該当しないものは、上記⑥・⑩・⑪の情報であると考えられます。他方、「機微(センシティブ)情報」に該当するが、「要配慮個人情報」に該当しないものは、上記ウ・キ・ケの情報であると考えられます。

それぞれの対比

「要配慮個人情報」の「人種」

 「要配慮個人情報」の「人種」(①)は、人種、民族的又は種族的な出身を広く意味するので、「機微(センシティブ)情報」の「人種」(エ)のほか「民族」(オ)も含むものと考えられます。

「要配慮個人情報」の「信条」

 「要配慮個人情報」の「信条」(②)は、「個人の基本的なものの見方、考え方を意味し、思想と信仰の双方を含むので、「機微(センシティブ)情報」の一つである「信教(宗教、思想及び信条をいう。)」(イ)を含むものと考えられます。また、「政治的見解」(ア)も「信条」に含まれるものと考えられます。
 これに対して、「機微(センシティブ)情報」である「労働組合への加盟」(ウ)及び「性生活」(ク)は、いずれも信条を推知させる情報に過ぎず、「信条」(②)には該当しないと考えられます。

「要配慮個人情報」の「社会的身分」

 「要配慮個人情報」の「社会的身分」(③)は、主として、ある個人にその境遇として固着して、一生の間、自らの力によって容易にそれから脱し得ないような地位を意味します。
 「機微(センシティブ)情報」の一つである「門地」(カ)は、人の出生によって当然に生じる社会的地位のことで,いわゆる「家柄」とか「生れ」がこれにあたります。したがって、「門地」(カ)は、「社会的身分」(③)に含まれると考えられます。これに対して、「本籍」(キ)は、場合によっては社会的身分を推知させる情報に過ぎず、「社会的身分」(③)には該当しないと考えられます。

「機微(センシティブ)情報」の「保健医療」(ク)

「機微(センシティブ)情報」の「保健医療」(ク)は、「要配慮個人情報」である「病歴」(④)及び病歴に準ずる「身体障害、知的障害、精神障害(発達障害を含む。)等の心身の機能の障害があること」(⑦)、「本人に対して医師等により行われた疾病の予防及び早期発見のための健康診断等の結果」(⑧)、「健康診断等の結果に基づき、又は疾病、負傷その他の心身の変化を理由として、本人に対して医師等により心身の状態の改善のための指導又は診療若しくは調剤が行われたこと」(⑨)を含むものと考えられます。

「要配慮個人情報」の「犯罪の経歴」(⑤)

 「要配慮個人情報」の「犯罪の経歴」(⑤)は、「機微(センシティブ)情報」の一つである「犯罪歴に関する情報」(コ)と同義であると考えられます。

取扱いの原則

要配慮個人情報
(改正個人情報保護法)
機微(センシティブ)情報
(金融庁ガイドライン)
・原則として、あらかじめ本人の同意を得ないで取得禁止
・利用制限はなし
・第三者提供の制限はオプトアウトが禁止される点のみ他の個人データと異なる
・原則として、取得、利用又は第三者提供禁止

 改正個人情報保護法の「要配慮個人情報」については、原則としてあらかじめ本人の同意を得ない取得を禁止していますが、利用制限は特になく、個人データである要配慮個人情報については第三者提供の制限がある点のみ要配慮個人情報以外の個人データと異なります。
 他方、金融庁ガイドラインの「機微(センシティブ)情報」については、原則として、取得、利用又は第三者提供のいずれも禁止されます。
 以上のとおり、「機微(センシティブ)情報」の取扱いの原則は、「要配慮個人情報」の取扱いの原則よりも格段に厳しくなっています。

取扱いの例外

 上記2-3のとおり、金融庁ガイドラインの「機微(センシティブ)情報」は、原則として、取得、利用又は第三者提供がいずれも禁止されるため、例外は比較的広く認められています。

要配慮個人情報
(改正個人情報保護法)
機微(センシティブ)情報
(金融庁ガイドライン)
① 法令に基づく場合
② 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
③ 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
④ 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
⑤ 当該要配慮個人情報が、本人、国の機関、地方公共団体、個人情報保護法76条1項各号に掲げる者(例:報道機関が特定の個人の信仰や全かに触れる報道をする場合)、外国政府、外国の政府機関、外国の地方公共団体又は国際機関、外国における個人情報保護法76条1項各号に掲げる者に相当する者により公開されている場合
⑥ 本人を目視し、又は撮影することにより、その外形上明らかな要配慮個人情報を取得する場合
⑦ 委託、事業承継、共同利用(保護法23条5項各号)において、個人データである要配慮個人情報の提供を受けるとき。
ア 法令等に基づく場合
イ 人の生命、身体又は財産の保護のために必要がある場合
ウ 公衆衛生の向上又は児童の健全な育成の推進のため特に必要がある場合
エ 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合
オ 源泉徴収事務等の遂行上必要な範囲において、政治・宗教等の団体若しくは労働組合への所属若しくは加盟に関する従業員等の機微(センシティブ)情報を取得し、利用し、又は第三者提供する場合
カ 相続手続による権利義務の移転等の遂行に必要な限りにおいて、機微(センシティブ)情報を取得、利用又は第三者提供する場合
キ 保険業その他金融分野の事業の適切な業務運営を確保する必要性から、本人の同意に基づき業務遂行上必要な範囲で機微(センシティブ)情報を取得し、利用し、又は第三者提供する場合
ク 機微(センシティブ)情報に該当する生体認証情報を本人の同意に基づき、本人確認に用いる場合

 「要配慮個人情報」の例外の一つである「法令に基づく場合」(①)は日本の法令のみが該当すると考えられますが、「機微(センシティブ)情報」の「法令等に基づく場合」(ア)は外国の法令に基づく場合も含まれると考えられます。

 「要配慮個人情報」の例外である②から④までは、「機微(センシティブ)情報」の例外であるイからエまでに相当すると考えられますが、「要配慮個人情報」については「本人の同意を得るのが困難であるとき」(②)や「本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき」(③・④)という、「機微(センシティブ)情報」にはない限定があります。

 なお、「相続手続による権利義務の移転等の遂行に必要な限りにおいて、機微(センシティブ)情報を取得、利用又は第三者提供する場合」(カ)は、「人の生命、身体又は財産の保護のために必要がある場合」(イ)の具体例であると考えられます。また、「源泉徴収事務等の遂行上必要な範囲において、政治・宗教等の団体若しくは労働組合への所属若しくは加盟に関する従業員等の機微(センシティブ)情報を取得し、利用し、又は第三者提供する場合」(オ)は、「国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合」(エ)の具体例であると考えられます。

 「要配慮個人情報」の⑤から⑦までの例外は「機微(センシティブ)情報」にはない例外です。

 「機微(センシティブ)情報」のキ及びクの例外は、本人の同意がある場合であり、「要配慮個人情報」においても当然に取得・利用・提供が認められる場合です。

改正個人情報保護法の施行後の実務上の取扱い

 金融機関としては、改正個人情報保護法の「要配慮個人情報」と金融庁ガイドラインの「機微(センシティブ)情報」の両方について取扱い上の措置が必要となります。

 上記2-1の「要配慮個人情報」のうち「機微(センシティブ)情報」に該当しないものについても今後は、「機微(センシティブ)情報」として考えていくべきでしょう。

 上記2-3の「取扱いの原則」については、従前どおり、厳格な金融庁ガイドラインにしたがって、原則として、取得、利用又は第三者提供禁止されると考える必要があります。

 上記2-4の「取扱いの例外」については、「要配慮個人情報」と「機微(センシティブ)情報」の双方の取扱いの例外を満たす場合しか認められないと考えるべきです。

 したがって、上記2-4のイからカまでの例外については、今後は、「本人の同意を得るのが困難であるとき」、「本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき」といった限定の下でなされる必要があります。

 また、「要配慮個人情報」の取扱いの例外であるものの「機微(センシティブ)情報」の取扱いの例外ではない上記2-4の⑤から⑦までの例外は認められないものと考えられます。

コンテンツの更新情報、法改正、重要判例をもう見逃さない!メールマガジン配信中!無料会員登録はこちらから
  • facebook
  • Twitter

関連する特集