著者
1 要配慮個人情報とは
前回の記事で、「要配慮個人情報」はオプトアウト方式による第三者提供が認められないことに触れました。そこで、今回は、「要配慮個人情報」とは何かについてご説明します。
「要配慮個人情報」とは、「本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める記述等が含まれる個人情報」(改正法2条3項)と定義され、今回の改正で新設されたものです。
2 どのような情報が要配慮個人情報となるか
「病歴」や「犯罪の経歴」は分かりやすいですね。このような情報は、勝手に取得されたくないし、特に何も言わなくても第三者提供されたくないと考える方が一般の感覚かなと思います。
なお、「政令で定める記述等」については、施行令2条にて定義がされており、その内容は以下のとおりです。
「(1)要配慮個人情報に加えるものは、次に掲げる事項のいずれかを内容とする記述等を含む個人情報とする。
(ア)身体障害、知的障害、精神障害(発達障害を含む。)その他の個人情 報保護委員会規則で定める心身の機能の障害があること。
(イ)本人に対して医師その他医療に関連する職務に従事する者により行われた健康診断その他の検査の結果。
(ウ)健康診断その他の検査の結果に基づき、又は疾病、負傷その他の心身の変化を理由として、本人に対して医師その他医療に関連する職務に従事する者により心身の状態の改善のための指導又は診療若しくは調剤が行われたこと。
(エ)本人を被疑者又は被告人として、逮捕、捜索、差押え、勾留、公訴の提起その他の刑事事件に関する手続が行われたこと。
(オ)本人を非行少年又はその疑いのある者として、調査、観護の措置、審判、保護処分その他の少年の保護事件に関する手続が行われたこと。」
3 取得に本人の同意が必要
要配慮個人情報については、一定の例外を除き、その取得にあたり「あらかじめ」本人の同意が必要です(改正法17条2項柱書)。通常の個人情報については、本人に対して利用目的を特定した上で通知すれば、本人の同意を得ることなく取得できるのに比して、厳格な手続となっています。
4 オプトアウト方式は認められない
前回の記事でも触れましたが、要配慮個人情報については、オプトアウト方式による第三者提供は許容されていません(改正法23条2項かっこ書)。これには例外はありません。
オプトアウト方式により個人情報を第三者に提供する事業者の方は、その中に要配慮個人情報が含まれていないか、十分確認することが必要です。
5 違反した場合
上記の法令に違反した場合には、個人情報保護委員会からの勧告・命令の対象となります(改正法42条)。つまり、違法な取得やオプトアウトについてはまずは勧告、それでもやめないと命令がなされ、命令に違反した場合には、6月以下の懲役又は30万円以下の罰金が科されます(改正法84条)。なお、法人については、違反した者(人)はもちろん、法人に対しても罰金刑が科されます(改正法87条)。
また、本人は、事業者に対し、利用停止等を請求できます(改正法30条1項、3項)。
6 次回は「個人情報」の定義
次回は、「個人情報」の定義がより明確化されたことに触れたいと思います。
(河部、神田)