【執筆者 渡邉雅之】
平成28年11月30日に、渡邉雅之弁護士が執筆した『_これ一冊で即対応平成29年施行改正個人情報保護法Q&Aと誰でもつくれる規程集』(第一法規)が刊行されました。
改正個人情報保護法とマイナンバー法の規程集は下記をご覧ください。
改正個人情報保護法・マイナンバー法:規程集
渡邉雅之弁護士が金融財務研究会で改正個人情報保護法のセミナーをします。
_
本年5月30日に施行される個人情報の保護に関する法律(以下「個人情報保護法」または「法」といいます。)の改正に関して、平成29年2月29日に「金融分野における個人情報保護に関するガイドライン」(平成29年個人情報保護委員会・金融庁告示第1号、以下「金融分野ガイドライン」といいます。)が公布されました。金融分野ガイドラインの平成29年5月30日の施行に伴い、現在金融庁所管の同題名のガイドライン(以下「旧・金融庁ガイドライン」といいます。)は廃止されます。
その中で、一番注目されたのは、旧・金融庁ガイドラインの「機微(センシティブ)情報」と改正個人情報保護法の「要配慮個人情報」がどのように、金融分野ガイドラインにおいて調整されるかでした。
1 「機微(センシティブ)情報」と「要配慮個人情報」の関係
旧・金融庁ガイドラインでは、「機微(センシティブ)情報」について、「政治的見解、信教(宗教、思想 及び信条をいう。)、労働組合への加盟、人種及び民族、門地及び本籍地、保 健医療及び性生活、並びに犯罪歴に関する情報」と定義されていました(同ガイドライン6条1項)。
改正個人情報保護法では、「要配慮個人情報」は、「人種」、「信条」、「社会的身分」、「病歴」、「犯罪の経歴」、「犯罪により害を被った事実」、「身体障害、知的障害、精神障害等」「医師等の健康診断等の結果」、「医師等による指導・診療・調剤」、「刑事事件に関する手続」、「少年の保護事件に関する手続」とされています(法第2条3項、令3条)。
新たな金融分野ガイドラインにおいては、「機微(センシティブ)情報」が、『要配慮個人情報並びに労働組合への加盟、門地、本籍地、保健医療及び性生活(これらのうち要配慮個人情報に該当するものを 除く。)に関する情報(本人、国の機関、地方公共団体、法第 76 条第1項各号若しくは施行規則第6条各号に掲げる者により公開されているもの、又 は、本人を目視し、若しくは撮影することにより取得するその外形上明らかなものを除く。』と定義されています(同ガイドライン5条1項)。
すなわち、金融分野ガイドラインの「機微(センシティブ)情報」は、旧・金融庁ガイドラインの「機微(センシティブ)情報」と改正個人情報保護法の「要配慮個人情報」を併せたものとなります。
これを図にすると以下のとおりとなります。
〇「機微(センシティブ)情報」と「要配慮個人情報の関係」
_
旧・機微(センシティブ)情報
(旧・金融分野ガイドライン
第6条第1項)
要配慮個人情報
(保護法2条3項)
機微(センシティブ)情報
(金融分野ガイドライン
第5条第1項)
�@旧・機微(センシティブ)情報
=要配慮個人情報
・人種
・民族
・犯罪歴
・信教(宗教、思想及び信条)
・政治的見解
・人種
※人種、世系又は民族的若しくは種族的出身を広く意味する。
・犯罪の経歴
・信条
※個人の基本的なものの見方、考え方を意味し、思想と信仰の双方を含むもの。
・人種
・犯罪の経歴
・信条
�A旧・機微(センシティブ)情報
>要配慮個人情報
・保険医療
※例えば、医師等の診療等によらず、自己判断により市販薬を服用しているといったケースを含み、要配慮個人情報より広い。
・病歴
・身体障害、知的障害、精神障害等
・健康診断の結果等
・医師等による保険指導・診療・調剤
・病歴
・身体障害、知的障害、精神障害等
・健康診断の結果等
・医師等による保険指導・診療・調剤
(旧・機微(センシティブ)情報に該当するが要配慮個人情報に該当しないもの)
・例えば、医師等の診療等によらず、自己判断により市販薬を服用しているといったケース
�B要配慮個人情報のみ
_
・社会的身分
・犯罪により害を被った事実
・刑事事件に関する手続
・少年の保護事件に関する手続
・社会的身分
・犯罪により害を被った事実
・刑事事件に関する手続
・少年の保護事件に関する手続
�C旧・機微(センシティブ情報のみ)
・労働組合への加盟
・門地
・本籍地
・性生活
_
・労働組合への加盟
・門地
・本籍地
・性生活
(出所)個人情報保護委員会作成資料
金融分野ガイドラインの「機微(センシティブ)情報」は、改正個人情報保護法の「要配慮個人情報」にはない、「労働組合への加盟」、「門地」、「本籍地」、「性生活」が対象とされています。また、「機微(センシティブ)情報」の「保健医療」には、「要配慮個人情報」には含まれない、「医師等の診療等によらず、自己判断により市販薬を服用しているといったケース」も含まれます。
他方、改正個人情報保護法の「要配慮個人情報」には、旧・金融庁ガイドラインの「機微(センシティブ)情報」には含まれなかった「社会的身分」、「犯罪により害を被った事実」、「刑事事件に関する手続」、「少年の保護事件に関する手続」が対象となっています。これらは、金融分野ガイドラインの「機微(センシティブ)情報」には含まれることになります。
旧・金融分野ガイドラインの「政治的見解、信教(宗教、思想及び信条をいう)」は、要配慮個人情報の「信条」に含まれます。
「要配慮個人情報」の「社会的身分」は、ある個人にその境遇として固着していて、一生の間、自らの力によって容易にそれから脱し得ないような地位をいいます。これに対して、「機微(センシティブ)情報」の「門地」は、特殊の家系に基づく身分をいいます。すたがって、両者が重なりあうことはありません。
なお、要配慮個人情報においては、本人の事前の同意取得の例外として定められている「公開情報」(本人、国の機関、地方公共団体、法第76 条第1項各号若しくは施行規則第6条各号に掲げる者により公開されているもの)及び「外形情報」(本人を目視し、若しくは撮影することにより取得するその外形上明らかなもの)については、「機微(センシティブ)情報」に該当しないものとされています。
2 「要配慮個人情報」と「機微(センシティブ)情報」の行為規制
(1)原則
要配慮個人情報
(改正個人情報保護法)
機微(センシティブ)情報
(金融分野ガイドライン)
�@原則として、あらかじめ本人の同意を得ないで取得禁止。
�A利用制限はなし。
�B第三者提供の制限はオプトアウトが禁止される点のみ他の個人データと異なる。
原則として、取得、利用又は第三者提供禁止。
改正個人情報保護法の「要配慮個人情報」については、原則としてあらかじめ本人の同意を得ない取得を禁止していますが、利用制限は特になく、個人データである要配慮個人情報については第三者提供の制限がある点のみ要配慮個人情報以外の個人データと異なります。
他方、旧・金融庁ガイドライン、金融分野ガイドラインのいずれにおいても、「機微(センシティブ)情報」については、原則として、取得、利用又は第三者提供のいずれも禁止されます。
以上のとおり、「機微(センシティブ)情報」の取扱いの原則は、「要配慮個人情報」の取扱いの原則よりも格段に厳しいものです。
(2)例外
要配慮個人情報
(改正個人情報保護法)
機微(センシティブ)情報
(金融分野ガイドライン)
�@ 法令に基づく場合
�A 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
�B 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
�C 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
�D 当該要配慮個人情報が、本人、国の機関、地方公共団体、保護法76条1項各号に掲げる者、外国政府、外国の政府機関、外国の地方公共団体又は国際機関、外国における保護法76条1項各号に掲げる者に相当する者により公開されている場合
�E 本人を目視し、又は撮影することにより、その外形上明らかな要配慮個人情報を取得する場合
�F 委託、事業承継、共同利用(保護法23条5項各号)において、個人データである要配慮個人情報の提供を受けるとき。
ア 法令等に基づく場合
イ 人の生命、身体又は財産の保護のために必要がある場合
ウ 公衆衛生の向上又は児童の健全な育成の推進のため特に必要がある場合
エ 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合
オ 源泉徴収事務等の遂行上必要な範囲において、政治・宗教等の団体若しくは労働組合への所属若しくは加盟に関する従業員等の機微(センシティブ)情報を取得し、利用し、又は第三者提供する場合
カ 相続手続による権利義務の移転等の遂行に必要な限りにおいて、機微(センシティブ)情報を取得、利用又は第三者提供する場合キ 保険業その他金融分野の事業の適切な業務運営を確保する必要性から、本人の同意に基づき業務遂行上必要な範囲で機微(センシティブ)情報を取得し、利用し、又は第三者提供する場合
ク 機微(センシティブ)情報に該当する生体認証情報を本人の同意に基づき、本人確認に用いる場合
ケ 本人、国の機関、地方公共団体、法第76条第1項各号若しくは施行規則第6条各号に掲げる者により公開されているもの
コ 本人を目視し、若しくは撮影することにより取得するその外形上明らかなもの
金融分野の個人情報取扱事業者については、要配慮個人情報と機微(センシティブ)情報の規律を両方満たす必要があります。
金融分野ガイドラインの「機微(センシティブ)情報」は、原則として、取得、利用又は第三者提供がいずれも禁止されるため、例外は比較的広く認められています。
「要配慮個人情報」の例外の一つである「法令に基づく場合」(�@)は日本の法令のみが該当すると考えられますが、「機微(センシティブ)情報」の「法令等に基づく場合」(ア)は外国の法令に基づく場合も含まれると考えられ得ます。
「要配慮個人情報」の例外である�Aから�Cまでは、「機微(センシティブ)情報」の例外であるイからエまでに相当すると考えられますが、「要配慮個人情報」については「本人の同意を得るのが困難であるとき」(�A)や「本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき」(�B・�C)という、「機微(センシティブ)情報」にはない限定があります。
「要配慮個人情報」の例外である�D(公開情報)及び�E(外形情報)は、「機微(センシティブ)情報」の定義には該当しないこととされています(金融分野ガイドライン5条1項本文)。
「機微(センシティブ)情報」の例外であるア〜クのいずれかに該当し、かつ、「要配慮個人情報」(�@〜�F)のいずれかに該当する場合は、あらかじめ本人の同意を得ることなく取得することができます。
「要配慮個人情報」の例外である�@(法令等に基づく場合)は、「機微(センシティブ)情報」の例外であるア(法令等に基づく場合)にも該当します。
「要配慮個人情報」の例外である「�F 委託、事業承継、共同利用(法23条5項各号)において、個人データである要配慮個人情報の提供を受けるとき」は、金融分野ガイドラインには規定されていませんが、「第三者」に該当しないものとして(法23条5項参照)解釈上、「機微(センシティブ)情報」の取得・利用・提供が認められています。
「機微(センシティブ)情報」のキ及びクの例外は、本人の同意がある場合であり、「要配慮個人情報」においても当然に取得・利用・提供が認められる場合です。
3 本人確認書類の取扱いの留意点
金融分野の事業者は、「機微(センシティブ)情報」の取得自体が原則として禁止されるので、本人確認書類に「機微(センシティブ)情報」の記載がある場合は、マスキング(黒塗り)をする必要があります。
この点、従来の旧・金融庁ガイドラインでは「機微(センシティブ)情報」に該当すると考えられてきた運転免許証の「眼鏡等の条件欄の記載」や「臓器提供意思確認欄の記載」、パスポートの「国籍」や「本籍」の記載が、金融分野ガイドラインの「機微(センシティブ)情報」には該当しないということがパブリックコメント回答で明らかになった点が注目されます。
_
本人確認書類
取扱検討事項
備考
個人番号カード
「個人番号」(裏面)、「臓器提供意思確認欄」(表面)
〇「個人番号」の記載されている裏面のコピーは取得すべきでない。「個人番号」の記録も避けるべき(番号法で取得制限)
〇「臓器提供意思確認欄」の記載は要配慮個人情報に該当しない。機微(センシティブ)情報には該当しない。
通知カード
番号法上の取得制限の観点で、そもそも本人確認書類として用いるのは適当でない。
−
住民票の写し
「本籍地」、「国籍」、「出生地」、「住民票コード」、「個人番号」
〇「個人番号」「住民票コード」が記載されている場合はこれらの記載もマスキングすべき。(「個人番号」は番号法で取得制限、「住民票コード」は住民基本台帳法で取得制限)
〇「本籍地」、は要配慮個人情報には該当しないが、機微(センシティブ)情報に該当。「国籍」は機微(センシティブ)情報に該当しない。
運転免許証
「免許証の条件等欄」
「臓器提供意思確認書欄」
_「条件等欄」「臓器提供意思確認欄」の記載は要配慮個人情報に該当しない。機微(センシティブ)情報にも該当しない。
パスポート
「本籍」、「国籍」
_「本籍」、「国籍」は要配慮個人情報には該当しない。「本籍」は、都道府県の記載のみであるので機微(センシティブ)情報にも該当しない。都道府県の記載のみであるので機微(センシティブ)情報にも該当しない。
身体障害者手帳
「障害名」、「障害等級」、「旅客鉄道株式会社旅客運賃減額欄」
_「障害名」、「障害等級」は要配慮個人情報・機微(センシティブ)情報に該当(「旅客鉄道株式会社旅客運賃減額欄」の記載は機微(センシティブ)情報には該当するが要配慮個人情報には該当しないか?)
健康保険証
「通院歴」、「臓器提供意思確認書欄」
_「通院歴」の記載は要配慮個人情報・機微(センシティブ)情報に該当。
「臓器提供意思確認欄」の記載は要配慮個人情報に該当しない。機微(センシティブ)情報にも該当しない。
年金手帳
−
「基礎年金番号」の記載されているページのコピーを取った場合は「基礎年金番号」の記載をマスキングすべき。(「基礎年金番号」は国民年金法で取得制限)
4 機微(センシティブ)情報の規定例
以下のような規定例が考えられます。
「機微(センシティブ)情報」と「要配慮個人情報」の規律は完全に重ならないため、両方の規律について規定する方がよいでしょう。
_
(定義)
第2条 この規程において、次に掲げる用語の意義は、それぞれ当該各号に定めるところによる。
〇「要配慮個人情報」とは、本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして法第2条第3項に定める要配慮個人情報をいう。
〇「機微(センシティブ)情報」とは、要配慮個人情報並びに労働組合への加盟、門地、本籍地、保健医療及び性生活(これらのうち要配慮個人情報に該当するものを 除く。)に関する情報(本人、国の機関、地方公共団体、法第76 条第1項各号若しくは施行規則第6条各号に掲げる者により公開されているもの、又 は、本人を目視し、若しくは撮影することにより取得するその外形上明らかなものを除く。)
(適正な取得)
第〇条 当社は、偽りその他不正な手段により個人情報を取得してはならない。
2 当社は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、要配慮個人情報を取得してはならない。
�@ 法令に基づく場合
�A 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
�B 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
�C 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
�D 当該要配慮個人情報が、本人、国の機関、地方公共団体、法第76条1項各号に掲げる者、外国政府、外国の政府機関、外国の地方公共団体又は国際機関、外国における法第76条第1項各号に掲げる者に相当する者により公開されている場合
�E 本人を目視し、又は撮影することにより、その外形上明らかな要配慮個人情報を取得する場合
�F 法第23条第5項各号において、個人データである要配慮個人情報の提供を受けるとき。
(機微(センシティブ)情報の取得等の禁止)
第〇条 機微(センシティブ)情報については、次の各号に掲げる場合を除くほか、取得、利用、又は第三者への提供を行ってはならない。�@ 法令等に基づく場合�A 人の生命、身体又は財産の保護のために必要がある場合�B 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合�C 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合�D 源泉徴収事務等の遂行上必要な範囲において、政治・宗教等の団体若しくは労働組合への所属若しくは加盟に関する従業員等の機微(センシティブ)情報を取得、利用又は第三者へ提供する場合�E 相続手続きによる権利義務の移転等の遂行に必要な限りにおいて、機微(センシティブ)情報を取得、利用又は第三者へ提供する場合�F 当社が営む業務の適切な業務運営を確保する必要性から、情報主体の同意に基づき業務遂行上必要な範囲で機微(センシティブ)情報を取得、利用又は第三者へ提供する場合�G 機微(センシティブ)情報に該当する生体認証情報を情報主体の同意に基づき、情報主体確認に用いる場合�H 本人、国の機関、地方公共団体、法第76条第1項各号若しくは施行規則第6条各号に掲げる者により公開されているもの�I 本人を目視し、若しくは撮影することにより取得するその外形上明らかなもの
2 当社は、機微(センシティブ)情報のうち要配慮個人情報に該当するものを取得するに当たっては、第●条第2項に従い、あらかじめ本人の同意を得なければならない。
3_ 当社は、機微(センシティブ)情報を第三者へ提供するに当たっては、第●条第●項(オプトアウト)の規定を適用しないこととする。
*********************
改正個人情報保護法につきましてご相談・セミナー等につきましては、下記にご連絡ください(無料のご質問には一切応じませんのでご了承ください。)。
弁護士法人三宅法律事務所
弁護士 渡邉 雅之
(東京事務所)〒100-0006
東京都千代田区有楽町1丁目7番1号
有楽町電気ビルヂング北館9階
TEL : 03-5288-1021
FAX :03-5288-1025
Email:m-watanabe@miyake.gr.jp
_