皆さん、「要配慮個人情報」という言葉はご存知ですか?
現行のPマーク(JIS Q 15001:2017)で新たに出てきた内容で、よく「以前の規格にあった『機微な個人情報』という言葉を個人情報保護法に合わせて変えただけのもの」と解釈されているようです。
しかし、はたして本当にそうなのでしょうか。
今回はPマーク上での要配慮個人情報について触れてみたいと思います。
「要配慮個人情報」と「機微な個人情報」の違いは?
まず、要配慮個人情報とはどんなものを指すのでしょうか。
個人情報保護法上の定義は下記のようになっています。
「要配慮個人情報」とは、 本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにいその取扱いに特に配慮を要するものとして政令で定める記述等が含まれる個人情報
(個人情報保護に関する法律 第2条3項から一部抜粋)
具体的には
- 人種、信条、社会的身分
- 障害に関する情報
- 病歴
- 健康診断の結果
- 医師による心身の状態の改善のための指導・診療や調剤が行われたことを示す情報
- 犯罪歴
- 犯罪被害を受けた事実
上記のようなものを指します。
では、機微な個人情報の定義はどうなっていたかというと下記のような形です。
(JIS Q 15001:2006 3.4.2.3から一部抜粋)
- 思想、信条又は宗教に関する事項
- 人種、民族、門地、本籍地(所在都道府県に関する情報を除く。)、身体・精神障害、犯罪歴その他社会的差別の原因となる事項
- 勤労者の団結権、団体交渉その他団体行動の行為に関する事項
- 集団示威行為への参加、請願権の行使その他の政治的権利の行使に関する事項
- 保健医療又は性生活に関する事項
比べてみるとどうでしょうか。
「犯罪被害を受けた事実」といった機微な個人情報の定義には含まれていないようなものが、要配慮個人情報の定義には含まれていたりします。
つまり、要配慮個人情報の方が機微な個人情報よりも定義が少し広くなっていると言えるわけです。
実際にどのように取り扱えば良いのか?
では、その要配慮個人情報ですが、どのような管理が求められるのでしょうか。
JIS Q 15001:2017の3.4.2.3では「原則本人の同意を得ないで取得してはならない」となっています。
また、要配慮個人情報に対しての具体的なセキュリティ対策ですが、これは特に定められていません。
ただ、「一般的な個人情報より厳しく管理する」ということが求められるので、例えば対応例としては下記のようなものを挙げることが出来ます。
- 保管するキャビネットの鍵は他のキャビネットの鍵とは別で管理する。
- 電子データで保管する場合のアクセス権を通常以上に限定する。
- 社内でUSBメモリやメディアなどにコピーすることを禁止する。
- 廃棄する際には記録を残す。
- 利用等をする可能性がある人の座席は回りから見られにくい場所にする。
やはり、漏えい等してしまうと氏名や住所などの情報が漏えいする以上に本人へ与える影響が大きいので、取扱いには細心の注意が必要となってきます。
ごっちゃにならないように注意しましょう
今回、規格が改訂され、「要配慮個人情報」は用語が法律に準拠しただけではなく、機微な個人情報以上に定義が広くなっています。
あまり、一般的に使われない個人情報かもしれませんが、定義をしっかり認識し、ごっちゃにならないように注意する必要があります。
