「要配慮個人情報」と「金融分野における個人情報保護に関するガイドライン」における機微(センシティブ)情報の取扱いの比較

IT・情報セキュリティ 公開 更新

 平成29年2月29日に「金融分野における個人情報保護に関するガイドライン」が公布され、「機微(センシティブ)情報」と改正個人情報保護法の「要配慮個人情報」はどのように取り扱われているのでしょうか。

 対象となる情報、行為規制に違いが見られます。「金融分野における個人情報保護に関するガイドライン」における「機微(センシティブ)情報」は、原則として、取得、利用または第三者提供のいずれも禁止され、「要配慮個人情報」の取扱いの原則よりも格段に厳しくなっています。そのため、「機微(センシティブ)情報」の取得・利用・提供の例外は比較的広く認められています。

解説

目次

  1. 対象となる情報
    1. 金融分野ガイドラインの「機微(センシティブ)情報」に含まれ、「要配慮個人情報」に含まれないもの
    2. 旧・金融庁ガイドラインの「機微(センシティブ)情報」には含まれず、「要配慮個人情報」に含まれたもの
    3. 旧・金融分野ガイドラインにも要配慮個人情報にも含まれるもの
    4. 「社会的身分」と「門地」
    5. 「公開情報」と「外形情報」は「機微(センシティブ)情報」に該当しない
  2. 行為規制(原則)
  3. 行為規制(例外)
  4. 機微(センシティブ)情報の規定例
  5. 本人確認書類の取扱いの留意点

目次

  1. 対象となる情報
    1. 金融分野ガイドラインの「機微(センシティブ)情報」に含まれ、「要配慮個人情報」に含まれないもの
    2. 旧・金融庁ガイドラインの「機微(センシティブ)情報」には含まれず、「要配慮個人情報」に含まれたもの
    3. 旧・金融分野ガイドラインにも要配慮個人情報にも含まれるもの
    4. 「社会的身分」と「門地」
    5. 「公開情報」と「外形情報」は「機微(センシティブ)情報」に該当しない
  2. 行為規制(原則)
  3. 行為規制(例外)
  4. 機微(センシティブ)情報の規定例
  5. 本人確認書類の取扱いの留意点

※本QAの凡例は以下の通りです。

  • 改正個人情報保護法、個人情報保護法:個人情報の保護に関する法律及び行政手続における特定の個人を識別するための番号の利用等に関する法律の一部を改正する法律(平成27年9月9日法律第65号)に基づく改正後の個人情報保護法
  • 改正個人情報保護法施行令:個人情報の保護に関する法律及び行政手続における特定の個人を識別するための番号の利用等に関する法律の一部を改正する法律の施行に伴う関係政令の整備及び経過措置に関する政令(平成28年10月5日政令第324号)に基づく改正後の個人情報の保護に関する法律施行令

 本年5月30日に施行された個人情報の保護に関する法律(以下「個人情報保護法」または「法」といいます)の改正に関して、平成29年2月29日に「金融分野における個人情報保護に関するガイドライン」(平成29年個人情報保護委員会・金融庁告示第1号、以下「金融分野ガイドライン」といいます)が公布されました。金融分野ガイドラインの平成29年5月30日の施行に伴い、金融庁所管の同題名のガイドライン(以下「旧・金融庁ガイドライン」といいます)は廃止されます(参照:金融庁「金融分野における個人情報保護に関するガイドライン」(平成21年11月20日金融庁告示第63号))。
 その中で、一番注目されたのは、旧・金融庁ガイドラインの「機微(センシティブ)情報」と改正個人情報保護法の「要配慮個人情報」がどのように、金融分野ガイドラインにおいて調整されるかでした。

対象となる情報

 旧・金融庁ガイドラインでは、「機微(センシティブ)情報」について、「政治的見解、信教(宗教、思想及び信条をいう。)、労働組合への加盟、人種及び民族、門地及び本籍地、保健医療及び性生活、並びに犯罪歴に関する情報」と定義されていました(旧・金融庁ガイドライン6条1項)。

 改正個人情報保護法では、「要配慮個人情報」は、「人種」、「信条」、「社会的身分」、「病歴」、「犯罪の経歴」、「犯罪により害を被った事実」、「身体障害、知的障害、精神障害等」「医師等の健康診断等の結果」、「医師等による指導・診療・調剤」、「刑事事件に関する手続」、「少年の保護事件に関する手続」とされています(改正個人情報保護法2条3項、改正個人情報保護法施行令2条)。

 新たな金融分野ガイドラインにおいては、「機微(センシティブ)情報」が、『要配慮個人情報並びに労働組合への加盟、門地、本籍地、保健医療及び性生活(これらのうち要配慮個人情報に該当するものを除く。)に関する情報(本人、国の機関、地方公共団体、法第76条第1項各号若しくは施行規則第6条各号に掲げる者により公開されているもの、又は、本人を目視し、若しくは撮影することにより取得するその外形上明らかなものを除く。)』と定義されています(金融分野ガイドライン5条1項)。
 すなわち、金融分野ガイドラインの「機微(センシティブ)情報」は、旧・金融庁ガイドラインの「機微(センシティブ)情報」と改正個人情報保護法の「要配慮個人情報」を併せたものとなります。

 これを図にすると以下のとおりとなります。

【「要配慮個人情報」と「機微(センシティブ)情報」の比較】

「要配慮個人情報」と「機微(センシティブ)情報」の比較

出典:個人情報保護委員会事務局・金融庁「金融機関における個人情報保護に関するQ&A」(2016年3月)

金融分野ガイドラインの「機微(センシティブ)情報」に含まれ、「要配慮個人情報」に含まれないもの

 金融分野ガイドラインの「機微(センシティブ)情報」は、改正個人情報保護法の「要配慮個人情報」にはない、「労働組合への加盟」、「門地」、「本籍地」、「性生活」が対象とされています。また、「機微(センシティブ)情報」の「保健医療」には、「要配慮個人情報」には含まれない、「医師等の診療等によらず、自己判断により市販薬を服用しているといったケース」も含まれます。

旧・金融庁ガイドラインの「機微(センシティブ)情報」には含まれず、「要配慮個人情報」に含まれたもの

 他方、改正個人情報保護法の「要配慮個人情報」には、旧・金融庁ガイドラインの「機微(センシティブ)情報」には含まれなかった「社会的身分」、「犯罪により害を被った事実」、「刑事事件に関する手続」、「少年の保護事件に関する手続」が対象となっています。これらは、金融分野ガイドラインの「機微(センシティブ)情報」には含まれることになります。 

旧・金融分野ガイドラインにも要配慮個人情報にも含まれるもの

 旧・金融分野ガイドラインの「政治的見解、信教(宗教、思想及び信条をいう)」は、要配慮個人情報の「信条」に含まれます。

「社会的身分」と「門地」

 「要配慮個人情報」の「社会的身分」は、ある個人にその境遇として固着していて、一生の間、自らの力によって容易にそれから脱し得ないような地位をいいます。これに対して、「機微(センシティブ)情報」の「門地」は、特殊の家系に基づく身分をいいます。したがって、両者が重なりあうことはありません。

「公開情報」と「外形情報」は「機微(センシティブ)情報」に該当しない

 なお、要配慮個人情報においては、本人の事前の同意取得の例外として定められている「公開情報」(本人、国の機関、地方公共団体、改正個人情報保護法76条1項各号もしくは個人情報保護法施行規則6条各号に掲げる者により公開されているもの)および「外形情報」(本人を目視し、もしくは撮影することにより取得するその外形上明らかなもの)については、「機微(センシティブ)情報」に該当しないものとされています。

行為規制(原則)

要配慮個人情報
(改正個人情報保護法)
機微(センシティブ)情報
(金融分野ガイドライン)
  • 原則として、あらかじめ本人の同意を得ないで取得禁止。
  • 利用制限はなし。
  • 第三者提供の制限はオプトアウトが禁止される点のみ他の個人データと異なる。
  • 原則として、取得、利用または第三者提供禁止。

 改正個人情報保護法の「要配慮個人情報」については、原則としてあらかじめ本人の同意を得ない取得を禁止していますが、利用制限は特になく、個人データである要配慮個人情報については第三者提供の制限がある点のみ要配慮個人情報以外の個人データと異なります。

 他方、旧・金融庁ガイドライン、金融分野ガイドラインのいずれにおいても「機微(センシティブ)情報」については、原則として、取得、利用または第三者提供のいずれも禁止されます。

 以上のとおり、「機微(センシティブ)情報」の取扱いの原則は、「要配慮個人情報」の取扱いの原則よりも格段に厳しいものです。

行為規制(例外)

 金融分野の個人情報取扱事業者については、要配慮個人情報と機微(センシティブ)情報の規律を両方満たす必要があります。 金融分野ガイドラインの「機微(センシティブ)情報」は、原則として、取得、利用または第三者提供がいずれも禁止されるため、例外は比較的広く認められています。

 「要配慮個人情報」の例外の一つである「法令に基づく場合」(下表①)は日本の法令のみが該当すると考えられますが、「機微(センシティブ)情報」の「法令等に基づく場合」(下表ア)は外国の法令に基づく場合も含まれると考えられています。また、「要配慮個人情報」の例外である下表①(法令等に基づく場合)は、「機微(センシティブ)情報」の例外である下表ア(法令等に基づく場合)にも該当します。

 「要配慮個人情報」の例外である下表②から④までは、「機微(センシティブ)情報」の例外である下表イからエまでに相当すると考えられますが、「要配慮個人情報」については「本人の同意を得るのが困難であるとき」(下表②)や「本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき」(下表③・④)という、「機微(センシティブ)情報」にはない限定があります。

 「要配慮個人情報」の例外である下表⑤(公開情報)および下表⑥(外形情報)は、「機微(センシティブ)情報」の定義には該当しないこととされています(金融分野ガイドライン5条1項本文)。

 「要配慮個人情報」の例外である下表⑦「委託、事業承継、共同利用(改正個人情報保護法23条5項各号)において、個人データである要配慮個人情報の提供を受けるとき」は、金融分野ガイドラインには規定されていませんが、「第三者」に該当しないものとして(改正個人情報保護法23条5項参照)解釈上、「機微(センシティブ)情報」の取得・利用・提供が認められています。

 「機微(センシティブ)情報」の例外である下表ア~クのいずれかに該当し、かつ、「要配慮個人情報」(下表①~⑦)のいずれかに該当する場合は、あらかじめ本人の同意を得ることなく取得することができます。

 「機微(センシティブ)情報」の下表キおよびクの例外は、本人の同意がある場合であり、「要配慮個人情報」においても当然に取得・利用・提供が認められる場合です。

要配慮個人情報
(改正個人情報保護法)
機微(センシティブ)情報
(金融分野ガイドライン)
① 法令に基づく場合

② 人の生命、身体または財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき

③ 公衆衛生の向上または児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき

④ 国の機関もしくは地方公共団体またはその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき

⑤ 当該要配慮個人情報が、本人、国の機関、地方公共団体、個人情報保護法76条1項各号に掲げる者(例:報道機関が特定の個人の信仰や前科に触れる報道をする場合)、外国政府、外国の政府機関、外国の地方公共団体または国際機関、外国における個人情報保護法76条1項各号に掲げる者に相当する者により公開されている場合

⑥ 本人を目視し、または撮影することにより、その外形上明らかな要配慮個人情報を取得する場合

⑦ 委託、事業承継、共同利用(個人情報保護法23条5項各号)において、個人データである要配慮個人情報の提供を受けるとき。

ア 法令等に基づく場合

イ 人の生命、身体または財産の保護のために必要がある場合

ウ 公衆衛生の向上または児童の健全な育成の推進のため特に必要がある場合

エ 国の機関もしくは地方公共団体またはその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合

オ 源泉徴収事務等の遂行上必要な範囲において、政治・宗教等の団体もしくは労働組合への所属もしくは加盟に関する従業員等の機微(センシティブ)情報を取得し、利用し、または第三者提供する場合

カ 相続手続による権利義務の移転等の遂行に必要な限りにおいて、機微(センシティブ)情報を取得、利用または第三者提供する場合

キ 保険業その他金融分野の事業の適切な業務運営を確保する必要性から、本人の同意に基づき業務遂行上必要な範囲で機微(センシティブ)情報を取得し、利用し、または第三者提供する場合

ク 機微(センシティブ)情報に該当する生体認証情報を本人の同意に基づき、本人確認に用いる場合

ケ 本人、国の機関、地方公共団体、個人情報保護法76条1項各号もしくは個人情報保護法施行規則6条各号に掲げる者により公開されているもの

コ 本人を目視し、もしくは撮影することにより取得するその外形上明らかなもの

機微(センシティブ)情報の規定例

 「機微(センシティブ)情報」については、以下のような規定例が考えられます。
 「機微(センシティブ)情報」は「要配慮個人情報」の定義を包含すること、「機微(センシティブ)情報」の行為規制は「要配慮個人情報」の行為規制よりも厳しいことから、「機微(センシティブ)情報」の取扱いの規定のみ設けています。
 なお、例外については、「要配慮個人情報」の方が「機微(センシティブ)情報」よりも厳しいところもありますので、部分的に「要配慮個人情報」の例外としています。

(定義)
第〇条 この規程において、次に掲げる用語の意義は、それぞれ当該各号に定めるところによる。
〇「要配慮個人情報」とは、本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして法第2条第3項に定める要配慮個人情報をいう。
〇「機微(センシティブ)情報」とは、要配慮個人情報並びに労働組合への加盟、門地、本籍地、保健医療及び性生活(これらのうち要配慮個人情報に該当するものを 除く。)に関する情報(本人、国の機関、地方公共団体、法第 76 条第1項各号若しくは施行規則第6条各号に掲げる者により公開されているもの、又 は、本人を目視し、若しくは撮影することにより取得するその外形上明らかなものを除く。)

(機微(センシティブ)情報の取得等の禁止)
第〇条 機微(センシティブ)情報については、次の各号に掲げる場合を除くほか、取得、利用、又は第三者への提供を行ってはならない。
  1. 法令等に基づく場合
  2. 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき
  3. 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき
  4. 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき
  5. 源泉徴収事務等の遂行上必要な範囲において、政治・宗教等の団体若しくは労働組合への所属若しくは加盟に関する従業員等の機微(センシティブ)情報を取得、利用又は第三者へ提供する場合
  6. 相続手続きによる権利義務の移転等の遂行に必要な限りにおいて、機微(センシティブ)情報を取得、利用又は第三者へ提供する場合
  7. 当社が営む業務の適切な業務運営を確保する必要性から、情報主体の同意に基づき業務遂行上必要な範囲で機微(センシティブ)情報を取得、利用又は第三者へ提供する場合
  8. 機微(センシティブ)情報に該当する生体認証情報を情報主体の同意に基づき、情報主体確認に用いる場合
  9. 本人、国の機関、地方公共団体、法第76条第1項各号若しくは施行規則第6条各号に掲げる者により公開されているもの
  10. 本人を目視し、若しくは撮影することにより取得するその外形上明らかなもの
2 前項各号に定める事由により取得、利用又は第三者への提供を行う場合には、当該各号の事由を逸脱した取得、利用又は第三者への提供を行うことのないよう、特に慎重に取扱うこととする。

本人確認書類の取扱いの留意点

 金融分野の事業者は、「機微(センシティブ)情報」の取得自体が原則として禁止されるので、本人確認書類に「機微(センシティブ)情報」の記載がある場合は、マスキング(黒塗り)をする必要があります。
 この点、従来の旧・金融庁ガイドラインでは「機微(センシティブ)情報」に該当すると考えられてきた運転免許証の「眼鏡等の条件欄の記載」や「臓器提供意思確認欄の記載」、パスポートの「国籍」や「本籍」の記載が、金融分野ガイドラインの「機微(センシティブ)情報」には該当しないということが「金融分野における個人情報保護に関するガイドライン(案)」に関する意見募集結果(平成29年2月29日)の別紙1:50、61で明らかになった点が注目されます。

<追記>
2017年12月25日(月)18:40:改正個人情報保護法の施行により、内容面を一部修正・追加いたしました。

無料会員にご登録いただくことで、続きをお読みいただけます。

1分で登録完了

この実務Q&Aを見ている人はこちらも見ています

無料会員登録で
リサーチ業務を効率化

1分で登録完了

無料で会員登録する