要配慮個人情報に関する規制の内容は?

IT・情報セキュリティ 公開 更新

 要配慮個人情報に関する規制にはどのようなものがありますか。

 個人情報取扱事業者は、法令に基づく場合などを除いて、あらかじめ本人の同意を得ないで、要配慮個人情報を取得することが禁止されます。

解説

目次

  1. 適正な取得
    1. 本人の同意(GL(通則編)2-12)
    2. 本人の同意が不要な場合(改正個人情報保護法17条2項各号、GL(通則編)3-2-2)
    3. 個人情報保護法17条2項に違反している事例(GL(通則編)3-2-2)
  2. 第三者提供の制限
  3. その他の取扱い
  4. 経過措置
  5. 要配慮個人情報の学術目的・報道目的での利用

※本QAの凡例は注のとおりです1

適正な取得

 個人情報取扱事業者は、次に掲げる場合を除いて、あらかじめ本人の同意を得ないで、要配慮個人情報を取得してはなりません(改正個人情報保護法17条2項、改正個人情報保護法施行令7条、個人情報保護法施行規則6条、GL(通則編)3-2-2)。

 参照:「要配慮個人情報とは

【本人の同意を得なくても要配慮個人情報を取得できる場合】

  1. 法令に基づく場合(改正個人情報保護法17条2項1号)
  2. 人の生命、身体または財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき(改正個人情報保護法17条2項2号)
  3. 公衆衛生の向上または児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき(改正個人情報保護法17条2項3号)
  4. 国の機関もしくは地方公共団体またはその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。(改正個人情報保護法17条2項4号)
  5. 当該要配慮個人情報が、本人、国の機関、地方公共団体、個人情報保護法76条1項各号に掲げる者(例:報道機関が特定の個人の信仰や前科に触れる報道をする場合)、外国政府、外国の政府機関、外国の地方公共団体または国際機関、外国における個人情報保護法76条1項各号に掲げる者に相当する者により公開されている場合(改正個人情報保護法17条2項5号、個人情報保護法施行規則6条)
  6. 本人を目視し、または撮影することにより、その外形上明らかな要配慮個人情報を取得する場合(改正個人情報保護法17条2項6号、改正個人情報保護法施行令7条1号)
  7. 委託、事業承継、共同利用(改正個人情報保護法23条5項各号)において、個人データである要配慮個人情報の提供を受けるとき。(改正個人情報保護法17条2項6号、改正個人情報保護法施行令7条2号)

本人の同意(GL(通則編)2-12)

 「本人の同意」とは、本人の個人情報が、個人情報取扱事業者によって示された取扱方法で取り扱われることを承諾する旨の当該本人の意思表示をいいます(当該本人であることを確認できていることが前提となります)。
 また、「本人の同意を得(る)」とは、本人の承諾する旨の意思表示を当該個人情報取扱事業者が認識することをいい、事業の性質および個人情報の取扱状況に応じ、本人が同意に係る判断を行うために必要と考えられる合理的かつ適切な方法によらなければなりません。
 なお、個人情報の取扱いに関して同意したことによって生ずる結果について、未成年者、成年被後見人、被保佐人および被補助人が判断できる能力を有していないなどの場合は、親権者や法定代理人等から同意を得る必要があります。

【本人の同意を得ている事例】

事例1
本人からの同意する旨の口頭による意思表示

事例2
本人からの同意する旨の書面(電磁的記録を含む)の受領

事例3
本人からの同意する旨のメールの受信

事例4
本人による同意する旨の確認欄へのチェック

事例5
本人による同意する旨のホームページ上のボタンのクリック

事例6
本人による同意する旨の音声入力、タッチパネルへのタッチ、ボタンやスイッチ等による入力

 個人情報取扱事業者が要配慮個人情報を書面または口頭等により本人から適正に直接取得する場合は、本人が当該情報を提供したことをもって、当該個人情報取扱事業者が当該情報を取得することについて本人の同意があったものと解されます。

 また、個人情報取扱事業者が要配慮個人情報を第三者提供の方法により取得した場合、提供元が改正個人情報保護法17条2項および改正個人情報保護法23条1項に基づいて本人から必要な同意(要配慮個人情報の取得および第三者提供に関する同意)を取得していることが前提となるため、提供を受けた当該個人情報取扱事業者が、改めて本人から改正個人情報保護法17条2項に基づく同意を得る必要はないものと解されます。  

本人の同意が不要な場合(改正個人情報保護法17条2項各号、GL(通則編)3-2-2)

(1)法令に基づく場合(改正個人情報保護法17条2項1号)

 法令に基づく場合は、あらかじめ本人の同意を得ることなく、要配慮個人情報を取得することができます。「法令に基づく場合」の「法令」には、日本の法令のみがこれに該当し、外国の法令はこれに該当しないものと考えられます。外国の法令に基づく場合(たとえば、外国の行政当局の要請)は、「人の生命、身体または財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき」といった他の例外に該当しない限り認められません。

事例1
警察の捜査関係事項照会に対応する場合(刑事訴訟法197条2項)

事例2
裁判官の発する令状に基づく捜査に対応する場合(刑事訴訟法218条)

事例3
税務署の所得税等に関する調査に対応する場合(国税通則法74条の2他)

事例4
製造・輸入事業者が消費生活用製品安全法39条1項の規定による命令(危害防止命令)を受けて製品の回収等の措置をとる際に、販売事業者が、同法38条3項の規定に基づき製品の購入者等の情報を当該製造・輸入事業者に提供する場合

事例5
弁護士会からの照会に対応する場合(弁護士法23条の2)

事例6
個人情報取扱事業者が、労働安全衛生法に基づき健康診断を実施し、これにより従業員の身体状況、病状、治療等の情報を健康診断実施機関から取得する場合

(2)人の生命、身体または財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき(改正個人情報保護法17条2項2号)

 人(法人を含む)の生命、身体または財産といった具体的な権利利益の保護が必要であり、かつ、本人の同意を得ることが困難である場合は、あらかじめ本人の同意を得ることなく、要配慮個人情報を取得することができます。

事例1
急病その他の事態が生じたときに、本人の病歴等を医師や看護師が家族から聴取する場合

事例2
事業者間において、不正対策等のために、暴力団等の反社会的勢力情報、意図的に業務妨害を行う者の情報のうち犯罪歴等の情報について共有する場合

事例3
不正送金等の金融犯罪被害の事実に関する情報を、関連する犯罪被害の防止のために、他の事業者から取得する場合

(3)公衆衛生の向上または児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき(改正個人情報保護法17条2項3号)

 公衆衛生の向上または心身の発達途上にある児童の健全な育成のために特に必要があり、かつ、本人の同意を得ることが困難である場合は、あらかじめ本人の同意を得ることなく、要配慮個人情報を取得することができます。

事例1
健康保険組合等の保険者等が実施する健康診断等の結果判明した病名等について、健康増進施策の立案や保健事業の効果の向上を目的として疫学調査等のために提供を受けて取得する場合(なお、個人情報保護法76条1項3号に該当する場合は、第4章の各規定は適用されない)

事例2
児童生徒の不登校や不良行為等について、児童相談所、学校、医療機関等の関係機関が連携して対応するために、ある関係機関において、他の関係機関から当該児童生徒の保護事件に関する手続が行われた情報を取得する場合

事例3
児童虐待のおそれのある家庭情報のうち被害を被った事実に係る情報を、児童相談所、警察、学校、病院等の関係機関が、他の関係機関から取得する場合

(4)国の機関もしくは地方公共団体またはその委託を受けた者が法令の定める事務を遂行することに対して、事業者が協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき(改正個人情報保護法17条2項4号)

 国の機関等(地方公共団体またはその委託を受けた者を含む)が法令の定める事務を実施するうえで、民間企業等の協力を得る必要があり、かつ、本人の同意を得ることが当該事務の遂行に支障を及ぼすおそれがあると認められる場合は、当該民間企業等は、あらかじめ本人の同意を得ることなく、要配慮個人情報を取得することができます。

事例
事業者が警察の任意の求めに応じて要配慮個人情報に該当する個人情報を提出するために、当該個人情報を取得する場合

(5)当該要配慮個人情報が、本人、国の機関、地方公共団体、個人情報保護法76条1項各号に掲げる者その他個人情報保護委員会規則で定める者により公開されている場合(改正個人情報保護法17条2項5号、個人情報保護法施行規則6条)

 要配慮個人情報が、次に掲げる者により公開されている場合は、あらかじめ本人の同意を得ることなく、当該公開されている要配慮個人情報を取得することができます。

  1. 本人
  2. 国の機関
  3. 地方公共団体
  4. 放送機関・新聞社・通信社その他の報道機関(報道を業として行う個人を含む)
  5. 著述を業として行う者
  6. 大学その他の学術研究を目的とする機関もしくは団体またはそれらに属する者
  7. 宗教団体
  8. 政治団体
  9. 外国政府、外国の政府機関、外国の地方公共団体または国際機関
  10. 外国において個人情報保護法76条1項各号に掲げる者に相当する者

(6)本人を目視し、または撮影することにより、その外形上明らかな要配慮個人情報を取得する場合(改正個人情報保護法17条2項6号、個人情護法施行令7条1号)

 本人の意思にかかわらず、本人の外形上の特徴により、要配慮個人情報に含まれる事項(例:身体障害等)が明らかであるときは、あらかじめ本人の同意を得ることなく、当該要配慮個人情報を取得することができます。
 これは、ある特定の個人が身体に障害を抱えている事実が映像等に写りこんだ場合等の事業者の負担を勘案するものです。外形から明らかであるため、本人にとっても社会生活を送るにあたって自己の要配慮個人情報に含まれる事項が公に認識されることは想定していると考えられます。もっとも、取得した要配慮個人情報を本人の知らないうちに第三者に提供されることがないよう、第三者に提供するにあたっては、本人の同意を要することとしています。

事例
身体の不自由な方が店舗に来店し、対応した店員がその旨をお客様対応録等に記録した場合(目視による取得)や、身体の不自由な方の様子が店舗に設置された防犯カメラに映りこんだ場合(撮影による取得)

(7)個人情報保護法23条5項各号に掲げる場合において、個人データである要配慮個人情報の提供を受けるとき(改正個人情報保護法17条2項6号、個人情報保護法施行令7条2号)

 要配慮個人情報を、改正個人情報保護法23条5項各号に定める委託、事業承継または共同利用により取得する場合は、あらかじめ本人の同意を得る必要はありません。
 これは、 提供する者は、改正個人情報保護法23条5項により本人の同意なく要配慮個人情報を提供することができる一方(下記2参照)で、受領する側は取得することについて本人の同意を得なければならないこととなり、取扱いが非対称となることを勘案するものです。

個人情報保護法17条2項に違反している事例(GL(通則編)3-2-2)

 本人の同意を得ることなく、改正個人情報保護法17条2項5号および個人情報保護法施行規則6条で定める者以外がインターネット上で公開している情報から本人の信条や犯罪歴等に関する情報を取得し、すでに保有している当該本人に関する情報の一部として自己のデータベース等に登録することです。

第三者提供の制限

 個人情報取扱事業者は、個人データである要配慮個人情報を第三者に提供する場合、原則として、本人の事前の同意が必要となります(改正個人情報保護法23条1項本文)。
 要配慮個人情報以外の個人データ同様に、要配慮個人情報であっても、法令に基づく場合等の第三者提供の例外(改正個人情報保護法23条1項各号)や委託、事業承継、共同利用による個人データの提供(改正個人情報保護法23条5項各号)の場合には、本人の同意は必要となりません。

 しかしながら、要配慮個人情報以外の個人データでは認められるオプトアウトの手続(改正個人情報保護法23条2項~4項)の適用は認められません。
 オプトアウトとは、あらかじめ本人に対して個人データを第三者提供することについて通知または認識し得る状態にしておき、本人がこれに反対をしない限り第三者提供を認めることです。
 オプトアウト手続については、法に定める一定の手続をとったとしても、実際には本人が明確に認識できないうちに個人データが第三者に提供されるおそれがあるため、情報の性質上慎重な取扱いが求められる要配慮個人情報にはかかる取扱いを認めませんでした。

要配慮個人情報 要配慮個人情報以外の個人データ
第三者提供(原則) 本人の事前の同意が必要 本人の事前の同意が必要
第三者提供の例外(法令に基づく場合等、委託、事業承継、共同利用) 本人の同意不要 本人の同意不要
オプトアウト 認めない 認める

その他の取扱い

 上記の1および2の取扱いを除いて、要配慮個人情報以外の個人データの取扱いと異なるところはありません。
 たとえば、要配慮個人データであっても、関連性を有する範囲内で利用目的を変更することは認められます(改正個人情報保護法15条2項)。
 また、匿名加工情報に加工して第三者提供をすることも認められます。

経過措置

 要配慮個人情報の取扱いについては、特に経過措置は設けられていません。
 したがって、改正個人情報保護法の施行日以降に取得をする要配慮個人情報について、上記1の適正な取得の取扱いをすれば足り、従前取得済みの要配慮個人情報については、上記2の第三者提供の制限についてのみ留意すれば足りると考えられます。

要配慮個人情報の学術目的・報道目的での利用

 ゲノム情報や医療データベース等の要配慮個人情報を改正個人情報保護法76条に規定する学術研究機関等による学術研究目的に該当する場合には、従来と同様、改正個人情報保護同法第4章の規定の適用除外となります。また、改正個人情報保護法43条において、大学その他の学術研究を目的とする機関もしくは団体またはそれらに属する者に対して個人情報等を提供する行為については、個人情報保護委員会がその権限を行使しないものとする旨規定があり、学問の自由が保障されるよう配慮がなされています(PC別紙2:170、181、182)。

 同様に、報道機関については、改正個人情報保護法76条に規定する報道する目的に該当し、従来と同様、改正個人情報保護法第4章の適用除外となります。また、改正個人情報保護法43条において報道機関に対して個人情報等を提供する行為について個人情報保護委員会がその権限を行使しないものとする旨の規定があり、表現の自由が保証されるよう配慮がなされています。(PC別紙2:156)。

<追記>
2017年12月22日(金)15:10:改正個人情報保護法の施行により、内容面を一部修正・追加いたしました。

    • 改正個人情報保護法、個人情報保護法:個人情報の保護に関する法律及び行政手続における特定の個人を識別するための番号の利用等に関する法律の一部を改正する法律(平成27年9月9日法律第65号)に基づく改正後の個人情報保護法
    • 改正個人情報保護法施行令:個人情報の保護に関する法律及び行政手続における特定の個人を識別するための番号の利用等に関する法律の一部を改正する法律の施行に伴う関係政令の整備及び経過措置に関する政令(平成28年10月5日政令第324号)に基づく改正後の個人情報の保護に関する法律施行令
    • 個人情報保護法施行規則:個人情報の保護に関する法律施行規則(平成28年10月5日個人情報保護委員会規則第3号)
    • GL(通則編):個人情報の保護に関する法律についてのガイドライン(通則編)(平成28年11月30日個人情報保護委員会告示第6号)
    • PC:「個人情報の保護に関する法律施行令の一部を改正する政令(案)」及び「個人情報の保護に関する法律施行規則(案)」に関する意見募集結果(個人情報保護委員会:平成28年10月5日)

    ↩︎

無料会員にご登録いただくことで、続きをお読みいただけます。

1分で登録完了

この実務Q&Aを見ている人はこちらも見ています

無料会員登録で
リサーチ業務を効率化

1分で登録完了

無料で会員登録する