1.「要配慮個人情報」という新類型
諸外国の法令やわが国の条例のなかには、機微情報(センシティブデータ)という一定の類型を設けて、特に厳しく取り扱いを規律する例が多い。
個人情報保護法は、どのような性質・内容の個人情報であっても同じ規律が適用されるとしていたが、国際整合性や本人に対する不当な差別・偏見を生じ得る情報については一定の規律が必要であるとの観点から、改正法では新たに「要配慮個人情報」という類型が設けられた。個人情報の内容に図表1の①~⑥までにある事項を含むものが、「要配慮個人情報」に該当する。
特に、④病歴・これに準ずるものについては、その対象に注意を要する。例えば、④‐ⅲの検査とは、医療機関を受診した際に行われる採血や内視鏡検査(人間ドックの結果等)、遺伝子検査(医療機関を介さないで行われたものを含む)から、労働安全衛生法66条に基づき事業者に実施が義務づけられている健康診断まで、対象がかなり広範である。そして、それらによって得られる限り、身長、体重といったものまで、すべて要配慮個人情報として保護される。また、④‐ⅳは、診療・投薬の過程で得られるすべての情報であるとされ、こちらも対象となる範囲は広い。このため、特に要配慮個人情報を取得せざるを得ない場面では、その取り扱いが法律上本人同意の例外とされるものであるかどうかに注目することとなる(これについては次号で詳説する)。
なお、各省庁が定めるガイドラインにおいては、図表1とは異なる事項が機微情報とされる例もある。特定分野のガイドラインとともに、今後の求められる取り扱いの趨勢を注視すべきであろう。
2.新規律への対応
要配慮個人情報は、取得時・提供時の義務が加重されている。取得に先立って本人からその取得を認める旨の同意を得ることが原則とされ、また、第三者提供の特例であるオプトアウト手続(法23条2項)(注)の対象から除外することによって、提供に先立って本人から第三者提供を認める旨の同意を得ることとする原則が強化されている(いずれも例外が設けられている)。
このように、改正法の全面施行後は、要配慮個人情報については原則取得の同意が求められ、オプトアウト手続による第三者提供はできないこととなる。
ここで注意が必要なのは、すでに取得している個人情報についても、法が要配慮とする事項(法2条3項、施行令2条、施行規則5条)が含まれる場合には、要配慮個人情報に該当することである。本人から取得を認める旨の同意をさかのぼって得る必要はないが、第三者提供時の規制は適用され、また、その提供を受ける者に対しては、取得の同意が求められることとなる。このため、これから取得する個人情報のみならず、すでに取り扱いを行っているものについても、それが要配慮個人情報に該当するものか否かを確認することが必要であろう(図表2参照)。
個人情報取扱事業者が要配慮個人情報を取得する場面は、業種にかかわらず生じることが予想される。そこで次号では、要配慮個人情報の取り扱いについて、事例を交えて説明する。
(注)オプトアウト手続=本人の求めに応じて個人データの第三者提供を停止することとしている場合で、あらかじめ第三者提供の利用目的や提供方法等の一定の事項を通知等している場合、本人の同意に代えることができるとする手続