平成29年5月30日からは、個人情報取扱事業者から除かれていた「取扱う個人情報が5,000人以下の小規模取扱事業者」においても同法に対応する必要が生じます。前回に続き、基本的事項を紹介します。
◆◆ 個人情報保護法の基本的事項(要配慮個人情報について) ◆◆
・要配慮個人情報とは、本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実、その他本人に対する不当な差別・偏見等の不利益が生じないようにその取扱いに特に配慮を要するものが含まれる個人情報のことです。
・要配慮個人情報の取得は、事前に本人の同意を得ない限り認められません。ただし、「法令に基づく場合」、「人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき」などは、同意を得ないで取得することができます。
・その他、要配慮個人情報については、一般的な個人情報とは異なる規定が置かれています。参考までに特定個人情報も交えて、以下の表で簡単に比較しておきます。
個人情報 要配慮個人情報 特定個人情報
規定される法律 個人情報保護法 マイナンバー法
取得時の同意 不要 必要(次の例外の場合以外は、本人の同意が必要)
例外:法令に基づく場合
生命・財産等の保護のため必要な場合 など ―
(本人確認措置などを規定)
利用目的の
特定・通知等 必要 必要
目的外利用 原則禁止
例外:本人の同意
法令に基づく場合
生命・財産等の保護のため必要な場合 など 禁止
(同意があっても禁止)
安全管理措置 必要 必要(より厳格) 必要(別途規定)
第三者提供 原則禁止
例外:本人の同意
法令に基づく場合
生命・財産等の保護のため必要な場合 など 禁止
(同意があっても禁止)
オプトアウトに
よる第三者提供 可能 不可 ―
☆ 要配慮個人情報については、取得の段階から制限があります。そのため、安全配慮義務に必要な場合以外は取得しないなど、取得するケースを業務遂行上必要な範囲に限定しておくほうがよさそうです。
なお、「個人情報取扱事業者が、労働安全衛生法に基づき健康診断を実施し、これにより従業員の身体状況、病状、治療等の情報を健康診断実施機関から取得する場合」は、「法律に基づく場合」として、本人の同意を得ることなく要配慮個人情報を取得することができます。このような例外もありますが、法律に規定がない場面で、病歴などの情報を取得する場合には、本人の同意が必要となることは覚えておきたいところです。