機微(センシティブ)情報とは?定義と具体例、留意点を解説
IT・情報セキュリティ 更新「機微(センシティブ)情報」とは具体的にどのようなものですか。また、個人情報保護法の「要配慮個人情報」との関係や、取り扱うにあたっての規制について教えてください。
機微(センシティブ)情報とは、「金融分野における個人情報保護に関するガイドライン」等における概念であり、本人の人種・信条・社会的身分・病歴などの要配慮個人情報に該当する項目ほか、門地・本籍・性生活など、個人情報のうち特に取扱いに注意すべき情報のことをいいます。
金融分野における個人情報取扱事業者は、原則として、機微(センシティブ)情報の取得・利用・第三者提供いずれも禁止される一方で、例外が広く認められています。
「金融分野における個人情報保護に関するガイドライン」等の対象となる個人情報取扱事業者においては、機微(センシティブ)情報と要配慮個人情報の両方の規律に従う必要があります。
解説
目次
(本記事における略記)
| 略記 | 正式名称・参照情報 |
|---|---|
| 機微情報 | 機微(センシティブ)情報 |
| 金融分野ガイドライン | 個人情報保護委員会・金融庁「金融分野における個人情報保護に関するガイドライン」(平成29年個人情報保護委員会・金融庁告示第1号) |
| 個人情報保護法または法 | 個人情報の保護に関する法律(平成15年法律第57号) |
| 施行規則 | 個人情報の保護に関する法律施行規則(平成28年個人情報保護委員会規則第3号) |
| 平成29年パブコメ回答 | 「金融分野における個人情報保護に関するガイドラインの安全管理措置等についての実務指針(案)」に関する意見募集結果(別紙1)(個人情報保護委員会:平成29年2月28日) |
| 平成16年パブコメ回答 | 「金融分野における個人情報保護に関するガイドライン」(案)への意見一覧(金融庁:平成16年12月28日) |
機微情報とは
機微情報の定義
機微(センシティブ)情報とは、金融分野ガイドライン等において規定されているもので、本人の信条や社会的身分、病歴など、漏えいした場合に犯罪に悪用されたり、本人に重大な不利益を及ぼしたりする可能性のある情報のことです。
金融分野ガイドライン5条1項において、以下のとおり定義されています。
法第2条第3項に定める要配慮個人情報並びに労働組合への加盟、門地、本籍地、保健医療及び性生活(これらのうち要配慮個人情報に該当するものを除く。)に関する情報(本人、国の機関、地方公共団体、学術研究機関等、法第57 条第1項各号に掲げる者若しくは施行規則第6条各号に掲げる者により公開されているもの、又は、本人を目視し、若しくは撮影することにより取得するその外形上明らかなものを除く。
この定義にあるとおり、機微情報とは、原則として、個人情報保護法上の要配慮個人情報に、①労働組合への加盟、②門地、③本籍地、④保健医療、および⑤性生活に関する情報を加えたものを指します。ただし、例外として、「公開情報」および「外形情報」については、機微情報には該当しません。
「公開情報」については、次の者により公開されたもののみが、機微情報の定義から除外されているにとどまり、インターネットやSNS上に公開された情報が無制限に機微情報の定義から除外されるわけではない点に留意を要します。
- 本人、国の機関、地方公共団体、学術研究機関等
- 報道機関、著述家、宗教団体、政治団体(法57条1項各号参照)
- 外国政府、外国の政府機関、外国の地方公共団体、国際機関、外国の学術研究機関等、外国の報道機関、外国の著述家、外国の宗教団体、外国の政治団体(施行規則6条各号参照)
「外形情報」に関しては、たとえば、身体の不自由な方が店舗に来店し、対応した店員がその旨をお客様対応録等に記録した場合(目視による取得)や、身体の不自由な方の様子が店舗に設置された防犯カメラに映りこんだ場合(撮影による取得)などについて、機微情報に関する規律の対象外となります。
機微情報と要配慮個人情報の違い
機微情報は、個人情報保護法上の「個人情報」の一種であり、その中には「要配慮個人情報」も含まれます。「個人情報」および「要配慮個人情報」との関係性は、以下のようなイメージです。
金融分野ガイドラインは、金融分野(銀行、保険会社、証券会社、貸金業者、電子マネー事業者など)における個人情報取扱事業者を対象としており、主に個人データの管理・利用に関する規定を設けています。一方で個人情報保護法は、金融分野に限らず、広く個人情報取扱事業者を対象とするものです。
なお、要配慮個人情報などの詳細は、下記の関連記事をご参照ください。
機微情報が規定された背景
機微情報は、平成16年金融庁告示第67号「金融分野における個人情報保護に関するガイドライン」において初めて規定されました。これは、金融機関等が取り扱う情報のうち、特に配慮を要する個人情報について、個人情報保護法よりも厳格な取扱いを規定するために設けられたものです。
その後、金融分野ガイドラインはこれまでに何度か内容が見直されており、以下本稿では、令和6年4月1日適用のガイドラインをもとに解説していきます。
機微情報の具体例
個人情報保護法2条3項に定める要配慮個人情報
機微情報には、要配慮個人情報のすべての項目が含まれます。
詳細は別稿「要配慮個人情報とは?該当する/しない具体例、取扱い規制など」に譲りますが、次のような情報が含まれます。
| 項目 | 内容・具体例 |
|---|---|
| 人種 | 「アイヌ人」、「在日韓国・朝鮮人」など |
| 信条 | 「キリスト教徒」、「自民党員」など |
| 社会的身分 | 「同和地区出身」、「非嫡出子」など |
| 病歴 | 病気に罹患した経歴 |
| 犯罪の経歴 | 有罪の判決を受けこれが確定した事実 |
| 犯罪により害を被った事実 | 身体的被害、精神的被害および金銭的被害の別を問わず、犯罪の被害を受けた事実 |
| 身体障害 | 身体障害者福祉法別表に掲げる身体上の障害 |
| 知的障害 | 知的障害者福祉法にいう知的障害 |
| 精神障害 | 精神保健及び精神障害者福祉に関する法律にいう精神障害 |
| 特殊の疾病による障害 | 治療方法が確立していない疾病その他の特殊の疾病であって障害者の日常生活及び社会生活を総合的に支援するための法律4条1項の政令で定めるものによる障害の程度が同項の厚生労働大臣が定める程度であるもの |
| 医師等によって行われた健康診断等の結果 | 疾病の予防や早期発見を目的として行われた健康診査、健康診断、特定健康診査、健康測定、ストレスチェック、遺伝子検査など、受診者本人の健康状態が判明する検査の結果 |
| 医師等による保健指導・診療・調剤 | 保健指導・診療・調剤に関して本人の健康状態が明らかとなる情報 |
| 刑事事件に関する手続が行われたこと | 本人を被疑者または被告人として、刑事訴訟法に基づき、逮捕、捜索、差押え、勾留、公訴の提起等の刑事手続が行われたという事実 |
| 少年の保護事件に関する手続が行われたこと | 本人を非行少年またはその疑いのある者として、保護処分等の少年の保護事件に関する手続が行われたという事実 |
労働組合への加盟
「労働組合への加盟」に関する情報について詳細な定義はありませんが、たとえば、組合員か否か、組合員である場合にどの組合に属しているかなどの情報がこれに該当するものと考えられます。
門地
機微情報の「門地」は、特殊の家系に基づく身分をいいます。
これに対して、要配慮個人情報の「社会的身分」は、ある個人にその境遇として固着していて、一生の間、自らの力によって容易にそれから脱し得ないような地位をいい、一応、両者は異なる概念であると整理されています。
本籍地
「本籍地」に関する情報の意味合いは、字義のとおりです。
もっとも、たとえば、本籍地として都道府県名のみが記載されているような場合は、これを機微情報として取り扱う必要はありません(平成29年パブコメ回答No.50)。また、「本籍地」欄に国籍情報が記載されることもままあるものと思われますが、こうした国籍情報も、機微情報には該当しません。
保健医療
「保健医療」に関する情報には医師等の診断等によらず、自己判断により市販薬を服用しているといった情報を含みます(平成29年パブコメ回答No.52)。医師等の診断等の有無を問わない点において、要配慮個人情報よりも対象が広いといえます。
性生活
「性生活」に関する情報について詳細な定義はありませんが、たとえば、性生活の存在・不存在等のほか、同性との性生活に関する情報などが含まれるものと考えられます。
機微情報に関する行為規制
機微情報の取扱いの原則
金融分野の個人情報取扱事業者は、要配慮個人情報と機微情報の両方の規律を遵守する必要があります。
個人情報保護法の要配慮個人情報については、原則としてあらかじめ本人の同意を得ない取得を禁止していますが、利用制限は特にありません。また、第三者提供の制限はオプトアウト提供が禁止される点のみ、要配慮個人情報以外の個人データと異なります。
他方、機微情報については、本人の同意の有無を問わず、原則として、取得、利用または第三者提供のいずれも禁止されます。
以上のとおり、機微情報の取扱いの原則は、要配慮個人情報の取扱いの原則よりも格段に厳しいものです。
| 機微(センシティブ)情報 (金融分野ガイドライン) |
要配慮個人情報 (個人情報保護法) |
|
|
機微情報の取扱いの例外
上述のとおり、機微情報の取扱いの原則は厳しいものですが、例外は比較的広く認められています。
機微情報と要配慮個人情報それぞれについて、取得・利用・第三者提供に関する例外をまとめたのが下表です。
取得・利用・第三者提供に関する例外
| 機微(センシティブ)情報 (金融分野ガイドライン) | 要配慮個人情報 (個人情報保護法) |
| ①法令等に基づく場合 | ㋐法令に基づく場合 |
②人の生命、身体または財産の保護のために必要がある場合 |
㋑人の生命、身体または財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき ※機微情報に関する行為規制には本人同意の有無は無関係であるため、いわゆる同意取得困難性要件が定められていないものと思われる。以下本人同意に関する差異についても同様。 |
③公衆衛生の向上または児童の健全な育成の推進のため特に必要がある場合 |
㋒公衆衛生の向上または児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき |
④国の機関もしくは地方公共団体またはその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合 |
㋓国の機関もしくは地方公共団体またはその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき |
⑤法20 条2項6号に掲げる場合に機微情報を取得する場合、法18 条3項6号に掲げる場合に機微情報を利用する場合、または法27 条1項7号に掲げる場合に機微情報を第三者提供する場合 ※法20 条2項6号:右記㋕同旨。 ※法18条3項6号:「学術研究機関等に個人データを提供する場合であって、当該学術研究機関等が当該個人データを学術研究目的で取り扱う必要があるとき(当該個人データを取り扱う目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)。」 ※法27 条1項7号:「当該第三者が学術研究機関等である場合であって、当該第三者が当該個人データを学術研究目的で取り扱う必要があるとき(当該個人データを取り扱う目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)。」 |
㋔当該個人情報取扱事業者が学術研究機関等である場合であって、当該要配慮個人情報を学術研究目的で取り扱う必要があるとき(当該要配慮個人情報を取り扱う目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く) ※金融分野ガイドラインの適用が想定される主体は「学術研究機関等」ではないため、同種の規制がおかれていないのだと思われる。 |
㋕学術研究機関等から当該要配慮個人情報を取得する場合であって、当該要配慮個人情報を学術研究目的で取得する必要があるとき(当該要配慮個人情報を取得する目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く)(当該個人情報取扱事業者と当該学術研究機関等が共同して学術研究を行う場合に限る) |
|
⑥源泉徴収事務等の遂行上必要な範囲において、政治・宗教等の団体若しくは労働組合への所属もしくは加盟に関する従業員等の機微情報を取得、利用または第三者提供する場合 |
(規定なし) |
⑦相続手続による権利義務の移転等の遂行に必要な限りにおいて、機微情報を取得、利用または第三者提供する場合 |
(規定なし) |
⑧保険業その他金融分野の事業の適切な業務運営を確保する必要性から、本人の同意に基づき業務遂行上必要な範囲で機微情報を取得、利用または第三者提供する場合 |
(規定なし) |
⑨機微情報に該当する生体認証情報を本人の同意に基づき、本人確認に用いる場合 |
(規定なし) |
| (機微情報の定義において補足、1−1参照) | ㋖当該要配慮個人情報が、本人、国の機関、地方公共団体、学術研究機関等、法57条1項各号に掲げる者その他個人情報保護委員会規則で定める者により公開されている場合 ※法57条1項各号に掲げる者:報道機関、著述家、宗教団体、政治団体。 ※その他個人情報保護委員会規則で定める者:外国政府、外国の政府機関、外国の地方公共団体、国際機関、外国の学術研究機関等、外国の報道機関、外国の著述家、外国の宗教団体、外国の政治団体。 |
| (規定なし) 解釈上、上記①~⑨に該当する範囲内で、機微情報の取得・利用・提供が認められている |
㋗委託、事業承継、共同利用(法27条5項各号)において、個人データである要配慮個人情報の提供を受けるとき |
上表の要配慮個人情報の例外㋐「法令に基づく場合」は、日本の法令・条例のみが該当すると考えられます。一方で、機微情報の例外①「法令等に基づく場合」は、外国の法令に基づく場合も含まれます(平成16年パブコメ回答No.150)。
機微情報の例外②③④⑤は、要配慮個人情報の例外㋑㋒㋓㋕に相当すると考えられます。なお、要配慮個人情報の例外㋔は、個人情報取扱事業者が学術研究機関等に該当する場合における例外であるため、金融分野における個人情報取扱事業者を対象とする機微情報の例外には含まれていません。
また、要配慮個人情報については、「本人の同意を得るのが困難であるとき」(㋑下線部分)や「本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき」(㋒㋓下線部分)という限定が付されています。これは、要配慮個人情報の取得が本人の同意を原則とするものであるのに対し、機微情報の取得・利用・提供については本人の同意の有無を問わないという規制の性質の違いにあるものと考えられます。
要配慮個人情報の例外㋗「委託、事業承継、共同利用において、個人データである要配慮個人情報の提供を受けるとき」は、金融分野ガイドラインには規定されていませんが、「第三者」に該当しないものとして(法27条5項参照)、解釈上、機微情報の例外①~⑨の範囲内において、その提供が許容されています。
要配慮個人情報でもある機微情報について、機微情報の例外①〜⑦のいずれかに該当し、かつ、要配慮個人情報の例外のいずれかに該当する場合は、あらかじめ本人の同意を得ることなく、当該機微情報=要配慮個人情報を取得することができます。
機微情報の例外⑧⑨は、本人の同意がある場合であり、要配慮個人情報においても当然に取得・利用・提供が認められる場合です。
機微情報の例外⑧は、機微(センシティブ)情報の取得、利用または第三者提供について、以下を要件としています。
- 各種法令や社会通念等に照らして「適切な業務運営」と判断されること
- 「本人の同意」があること
- 「業務遂行上必要な範囲」内であること
たとえば、金融機関が保険金の支払いや借り手の与信判断をするために、被保険者や借り手の健康状態に関する情報を各種法令や社会通念等に照らし適切といえる方法で、かつ保険金の支払いや与信判断のために必要な範囲内で、被保険者や借り手から同意を得て取得することが考えられます。
反対に、保険金の支払いや借り手の与信判断のために本籍地等に関する情報を取得することは、「業務遂行上必要な範囲」内であるとは認められないことから、原則として、取得等を行うことはできないものと考えられます。ただし、業務遂行上、本籍地の取得等の必要性が認められる場合は、例外として本籍地の取得等が認められることもあり得ます 1。
違反した場合のペナルティ
金融分野ガイドラインにおける機微情報に関する上乗せルールは、いずれも「~こととする」規定であることから、金融分野における個人情報取扱事業者がその規定に従わなかったとしても、そのことをもって法の規定違反と判断されることはありません。
もっとも、機微情報に関する上乗せルールは、金融分野の個人情報の性質および利用方法に鑑み、個人情報の取扱いに関して、金融分野における個人情報取扱事業者に特に厳格な措置が求められる事項として規定されたものであり、金融分野における個人情報取扱事業者おいては、遵守に努めるものとされています(金融分野ガイドライン1条2項)。
なお、個人情報保護委員会および金融庁は、これらの努力義務に関しても、個人情報保護法第4章第1節から第3節までの規定の施行に必要な場合には、その限度において、同法に規定された立入検査を行うことも排除されていないものとしています(平成29年パブコメ回答No.5)。
機微情報に関する取扱規程の規定例
金融分野における個人情報取扱事業者が、個人情報取扱規程などを定める際には、機微情報について以下のような規定を設けることが考えられます。
第〇条 この規程において、次に掲げる用語の意義は、それぞれ当該各号に定めるところによる。
〇「要配慮個人情報」とは、本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして法第2条第3項に定める要配慮個人情報をいう。
〇「機微(センシティブ)情報」とは、要配慮個人情報並びに労働組合への加盟、門地、本籍地、保健医療及び性生活(これらのうち要配慮個人情報に該当するものを除く。)に関する情報(本人、国の機関、地方公共団体、法第57条第1項各号若しくは施行規則第6条各号に掲げる者により公開されているもの、又は、本人を目視し、若しくは撮影することにより取得するその外形上明らかなものを除く。)
(機微(センシティブ)情報の取得等の禁止)
第〇条 機微(センシティブ)情報については、次の各号に掲げる場合を除くほか、取得、利用、又は第三者への提供を行ってはならない。
- 法令等に基づく場合
- 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
- 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
- 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
- 源泉徴収事務等の遂行上必要な範囲において、政治・宗教等の団体若しくは労働組合への所属若しくは加盟に関する従業員等の機微(センシティブ)情報を取得、利用又は第三者へ提供する場合
- 相続手続による権利義務の移転等の遂行に必要な限りにおいて、機微(センシティブ)情報を取得、利用又は第三者へ提供する場合
- 当社が営む業務の適切な業務運営を確保する必要性から、情報主体の同意に基づき業務遂行上必要な範囲で機微(センシティブ)情報を取得、利用又は第三者へ提供する場合
- 機微(センシティブ)情報に該当する生体認証情報を情報主体の同意に基づき、情報主体確認に用いる場合
- 本人、国の機関、地方公共団体、法第57条第1項各号若しくは施行規則第6条各号に掲げる者により公開されているもの
- 本人を目視し、若しくは撮影することにより取得するその外形上明らかなもの
2 前項各号に定める事由により取得、利用又は第三者への提供を行う場合には、当該各号の事由を逸脱した取得、利用又は第三者への提供を行うことのないよう、特に慎重に取り扱うこととする。
ここまで述べてきたとおり、機微情報は、要配慮個人情報の定義を包含し、またその行為規制は要配慮個人情報のものよりも厳しいことから、上記の規定例では機微情報の取扱いの規定のみ設けています。なお、例外については、機微情報よりも要配慮個人情報のほうが厳しいところもありますので、部分的に要配慮個人情報の例外としています。
本人確認書類の取扱いの留意点
金融分野の個人情報取扱事業者は、機微情報の取得自体が原則として禁止されるので、本人確認書類に機微情報の記載がある場合は、マスキング(黒塗り)をする必要があります。
なお、以下の情報は、旧金融庁ガイドラインでは機微情報に該当すると考えられていましたが、現行の金融分野ガイドラインでは機微情報に該当しないと明記されたので、マスキングは不要です。
- 運転免許証の「眼鏡等の条件欄の記載」や「臓器提供意思確認欄の記載」
- パスポートの「国籍」や「本籍」の記載
-
個人情報保護委員会・金融庁「金融機関における個人情報保護に関するQ&A」(令和5年3月)Ⅲ-1参照。 ↩︎
弁護士法人三宅法律事務所
- コーポレート・M&A
- IT・情報セキュリティ
- 人事労務
- 危機管理・内部統制
- ファイナンス
- 国際取引・海外進出
- 訴訟・争訟
- 不動産
- 資源・エネルギー
- ベンチャー
弁護士法人三宅法律事務所
弁護士法人三宅法律事務所
弁護士法人三宅法律事務所