要配慮個人情報の具体例と金融分野での取扱い規制

要配慮個人情報の具体例と金融分野での取扱い規制

金融情報

要配慮個人情報の具体例と取扱い規制を徹底解説

要配慮個人情報というと「病歴や犯罪歴を管理していれば大丈夫」と思っているなら、金融機関では同意なしに病歴情報を使うと法人に1億円以下の罰金が科される可能性があります。


📋 この記事の3ポイント要約
📌
要配慮個人情報の定義と具体例

個人情報保護法が定める要配慮個人情報は、人種・信条・病歴・犯罪歴など12種類。「国籍」や「学歴」は対象外という意外な盲点も多い。

⚠️
金融分野特有の「機微情報」との違い

金融機関では「機微(センシティブ)情報」という上位概念が存在し、要配慮個人情報よりも広い範囲の情報が規制対象になる。 本籍地や性生活情報も含まれる。

💰
違反時の法的リスクと罰則

命令違反で個人に最大100万円の罰金、法人には最大1億円の罰金。漏洩時の損害賠償は1件あたり数千円〜数万円で、件数が増えると数千万円規模に膨らむ。


要配慮個人情報の定義:個人情報保護法が保護する情報とは


「要配慮個人情報」とは、個人情報保護法第2条第3項に定められた概念で、本人に対して不当な差別・偏見その他の不利益が生じないよう、取扱いに特に配慮が必要とされる個人情報のことです。つまり、一般的な個人情報(氏名・住所など)よりも一段階上の保護が法律によって義務付けられている情報です。


通常の個人情報は、不正手段で取得しない限り、本人の同意なしでも取得できます。これに対して、要配慮個人情報は原則として本人の事前同意がなければ取得すること自体が禁止されている点が大きく異なります。


取得規制が存在するわけです。


金融に関心のある方にとって見逃せないのは、この概念が「金融分野における機微(センシティブ)情報」とは別の基準であるという点です。これについては後のセクションで詳しく説明します。


この規制は2017年施行の改正個人情報保護法で新設されました。背景には、EUのGDPR(一般データ保護規則)基準との整合性を取り、EU企業との取引において必要な「十分性認定」を確保するという国際的な事情も絡んでいます。


<参考:個人情報保護委員会による要配慮個人情報に関する公式ガイドライン>
個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン(通則編)」


要配慮個人情報の具体例:12種類の対象情報一覧

要配慮個人情報に該当する情報は、個人情報保護法施行令・施行規則によって具体的に定められています。


以下の12種類が主な対象です。


カテゴリ 具体例
①人種 アイヌ民族、在日韓国・朝鮮人であること(世系・民族的出身を含む)
②信条 キリスト教信徒、特定政党の党員であること(思想・信仰の双方)
③社会的身分 被差別部落出身、非嫡出子であること(固着した地位)
④病歴 がん・統合失調症・風邪などの一般的疾患も含む罹患経歴
⑤犯罪の経歴 有罪判決が確定した前科(罪名・量刑は問わない)
⑥犯罪被害を受けた事実 空き巣被害・詐欺被害・性的被害などの犯罪被害経験
⑦障害があること 身体・知的・精神障害の診断、障害者手帳の交付を受けた事実
⑧健康診断等の結果 人間ドック・ストレスチェック・遺伝子検査の結果
⑨保健指導・診療・調剤が行われたこと 通院歴・処方薬歴・診療記録
⑩刑事事件の手続が行われたこと 逮捕・勾留・起訴された事実(無罪・不起訴でも該当)
⑪少年保護事件の手続が行われたこと 家庭裁判所での審判・保護処分を受けた事実
⑫ゲノム情報 DTC遺伝子検査(消費者直販型)による疾患リスク情報


特に金融に関心のある人が見落としがちなのが⑩の刑事手続です。無罪判決や不起訴処分で終わった場合でも要配慮個人情報に該当します。「有罪になっていないから問題ない」は通用しません。


また④の病歴については「風邪のような一般的かつ軽微な疾患」も含まれるとされています。「大した病気じゃないから大丈夫」という考え方も危険です。


これは要注意です。


要配慮個人情報の具体例:意外と「該当しない」情報

要配慮個人情報のリストを見て「この情報も該当しそう」と思っても、実は該当しないケースが複数あります。これを把握しておくことは、実務上の過剰対応を防ぐためにも重要です。


まず「国籍」は要配慮個人情報に該当しません。


「外国人である」という情報も同様です。


これらは法的地位を示すに過ぎず、人種の定義には含まれないとされています。一方で「在日韓国人である」「アイヌ民族出身である」という民族的・種族的出身は人種として該当します。


この線引きは細かいですね。


「学歴」も該当しません。社会的身分とは「自らの力で容易に脱し得ない境遇」を意味するため、努力次第で変えられる学歴は含まれません。


職業的地位も同様です。


「肌の色」は人種を「推知させるにすぎない情報」として除外されます。防犯カメラ映像に犯罪行為が映っているだけでも「犯罪の経歴」にはなりません。こういった「推知情報」は一般に要配慮個人情報から除外されます。


さらに、「健康診断を受診した」という事実そのものは要配慮個人情報ではなく、あくまでもその「結果」が対象です。運転免許証の「眼鏡等」の条件記載も対象外とされています(パブコメ回答No.142)。要配慮個人情報に当たらないものとして意外なケースです。


なお、介護に関する情報も要配慮個人情報には定められていません。介護は関係者間での情報共有が重要な分野であるため、あえて対象外とされた経緯があります。こうした意外な「穴」をしっかり理解しておくことが実務対応の第一歩です。


要配慮個人情報の具体例:金融分野での「機微情報」との違い

金融機関に関わる方にとって特に重要なのが、「機微(センシティブ)情報」という概念との違いです。金融庁が所管する「金融分野における個人情報保護に関するガイドライン(金融分野ガイドライン)」第5条に定められており、要配慮個人情報よりも規制範囲が広い点が特徴です。


機微情報は、要配慮個人情報をすべて含んだうえで、さらに以下の4項目が追加されます。これらは要配慮個人情報には該当しないが、金融機関では同様に取扱い禁止扱いになります。


  • 💼 労働組合への加盟:組合活動歴など
  • 🏡 門地(家柄):家系・出自に関する情報
  • 📍 本籍地:住所とは異なる本籍に関する情報
  • ❤️ 性生活:性的指向や性的行動に関する情報


また「保健医療」という概念も機微情報には含まれ、これは要配慮個人情報の「病歴」よりも対象が広くなっています。医師等の診断・診療によらず、自己判断で市販薬を服用しているという情報までを含む点が大きな違いです。


意外ですね。


金融機関はこの機微情報の「取得・利用・第三者提供を原則として禁止」するというより強い制約のもとに置かれています。銀行・保険会社・証券会社・貸金業者など、金融分野に関わる事業者は個人情報保護法の要配慮個人情報規制と、金融分野ガイドラインの機微情報規制の両方を満たす必要がある点を理解しておくことが重要です。


<参考:金融機関における個人情報保護の詳細なQ&A(個人情報保護委員会・金融庁)>
個人情報保護委員会「金融機関における個人情報保護に関するQ&A」


要配慮個人情報の具体例:取得規制と本人同意の原則

要配慮個人情報に課される最も重要な規制のひとつが、取得時における本人の事前同意の要件です。通常の個人情報とは異なり、要配慮個人情報は同意なしで取得すること自体が原則として違法です。


これが基本です。


ただし以下の例外が認められており、本人同意なしでも取得可能な場面があります。


  • ⚖️ 法令に基づく場合(例:税務調査・捜査当局への情報提供)
  • 🏥 人の生命・身体・財産の保護のために必要で、同意取得が困難な場合
  • 📢 公衆衛生の向上・児童の健全育成のために特に必要な場合
  • 🏛️ 国・地方公共団体の法定事務遂行に協力する必要がある場合
  • 🔬 学術研究目的での取得・提供(特定条件を満たす場合)
  • 📰 本人・国・報道機関などによってすでに公開されている場合
  • 👀 目視・撮影により外形上明らかに確認できる場合


注目すべきは「反社会的勢力に属しているという情報のみ」については、犯罪の経歴や刑事手続には該当しないとされている点です。ただし、その人物に過去に業務妨害罪等で逮捕された事実があれば、それは要配慮個人情報の犯罪経歴として取扱いが必要になります。


また、SNSに本人が自ら公開している要配慮個人情報(たとえば持病に関するブログ投稿)は、原則として本人同意なしで取得可能です。もっとも、金融機関のような職業安定法等の規制がある業種では、公開情報であっても利用が制約されるケースがあることも合わせて知っておく必要があります。


要配慮個人情報の具体例:オプトアウトによる第三者提供が禁止される理由

要配慮個人情報には「オプトアウト禁止」という重要な規制があります。これが一般的な個人データとの大きな違いのひとつです。


オプトアウトが原則禁止です。


オプトアウトとは、本人が後から「提供を止めてほしい」と言える仕組みを整備した上で、事前の個別同意なしに第三者へ個人データを提供できる手続きのことです。一般の個人情報(名前・住所・購買履歴など)では、一定の要件を満たせばオプトアウト方式が認められています。


しかし、要配慮個人情報については、このオプトアウトによる第三者提供が一切認められません(個人情報保護法第27条第2項)。病歴・犯罪歴・障害情報などを、本人が気づかないうちに別の企業や機関に渡すことは許されないからです。


これは厳しい制限です。


金融機関での実務においてとくに問題になるのが「データ連携」の場面です。たとえばグループ会社間で顧客の健康診断結果や保険加入状況を共有しようとする場合、あるいはフィンテック企業と顧客データを連携する場合、要配慮個人情報が含まれていれば必ず本人から明示的な同意を得る必要があります。オプトアウトで済ませようとすると法令違反になります。


なお金融分野ガイドラインの機微情報についても同様で、オプトアウト方式による提供は禁止されています。要配慮個人情報として法定されていない「本籍地」や「性生活情報」であっても、金融機関の場合はより厳しい機微情報規制のもとで同様の制約が課される点は覚えておきたいポイントです。


<参考:金融分野における個人情報保護ガイドライン全文(金融庁)>
金融庁・個人情報保護委員会「金融機関における個人情報保護に関するQ&A(令和5年3月)」


要配慮個人情報の具体例:漏洩時の報告義務と実務対応

要配慮個人情報が漏洩した場合、一般の個人情報よりも厳格な対応が求められます。個人情報保護法第26条では、「高いリスクのある漏洩」が発生した際に個人情報保護委員会への報告義務と、本人への通知義務が定められています。


要配慮個人情報が含まれる場合、たとえ1件であっても個人情報保護委員会への報告が必要です。


これが原則です。


一般の個人情報では「1,000件超」という件数要件がありますが、要配慮個人情報はその閾値が適用されません。


1件から報告義務が発生します。


具体的な報告の流れは以下のとおりです。


  • 🔍 速報:漏洩等が発生したと知ったときから「おおむね3〜5日以内」に個人情報保護委員会へ速報
  • 📝 確報:事実関係を調査したうえで「30日以内(不正アクセスの場合は60日以内)」に詳細報告
  • 📧 本人通知:合理的な方法で速やかに本人への通知を行う


金融機関の場合、個人情報保護委員会への報告に加えて、金融庁等の監督官庁への報告も必要となるケースがあります。


二重の報告義務が生じることもあります。


対応に後れを取ると、調査拒否・虚偽報告だけで50万円以下の罰金という別の制裁も課される可能性があります。


実務では、要配慮個人情報を含むデータには専用のラベリングをしておき、万が一の際にすぐ特定・報告できる体制を整えておくことが重要です。個人情報保護マネジメントシステム(PMS)の構築が、中規模以上の金融機関では事実上の標準となっています。


要配慮個人情報の具体例:違反した際の罰則と損害賠償リスク

要配慮個人情報の取扱いに違反した場合、事業者・個人の双方に深刻なリスクが生じます。これは金融リテラシーの観点からも必ず把握しておきたい内容です。


個人情報保護委員会の命令に違反した個人には、1年以下の拘禁刑または100万円以下の罰金が科されます(個人情報保護法第178条)。さらに、その違反行為をした法人(会社)に対しては、両罰規定によって1億円以下の罰金が科される可能性があります(同法第184条)。


罰金リスクは大きいです。


損害賠償の観点では、漏洩した個人情報がセンシティブな内容を含む場合(病歴・犯罪歴など)、1人あたりの慰謝料は3,000円〜5万円程度と見込まれます。これは一見少額に見えますが、10万件の顧客データが流出したとすると最大50億円規模の損害賠償になりかねません。


件数が多いほど致命的になります。


過去の実例としては、某クレジットカード会社の情報漏洩事件で数億円の賠償が認められたケースや、企業への行政処分・業務改善命令が発出されたケースが複数あります。金融機関は顧客情報の種類と件数が多いため、リスクが特に大きい業種といえます。


また2022年の法改正以降、個人情報保護委員会の監督・執行機能が強化されており、違反企業名の公表も積極的に行われるようになりました。社会的信用の失墜というリスクも無視できません。顧客基盤を維持してこそ成り立つ金融ビジネスにおいて、このような信頼毀損は長期的な収益にも直結する問題です。


<参考:個人情報保護委員会による企業への勧告・命令等の事例>
個人情報保護委員会「勧告・命令・指導等の実施状況」


要配慮個人情報の具体例:金融業務での取得・利用の適法ケースと注意点

金融機関が業務上、要配慮個人情報を取得・利用・第三者提供することが認められるケースもあります。


ただし条件は厳格です。これが条件です。


典型的な適法ケースとして、金融分野ガイドラインが例示するのは、保険金の支払いや借り手の与信判断のために「被保険者・借り手の健康状態に関する情報」を本人から同意を得て取得するケースです。生命保険の告知書記入、住宅ローン審査時の健康状態確認などがこれに相当します。


一方で、与信判断や保険支払い判断に「本籍地」情報を取得することは業務遂行上の必要性が認められないため、原則として認められません。入手できても利用してはならない情報があるわけです。


実務的な注意点を以下に整理します。


  • 📋 同意書の文言確認:健康状態等の記入を求める申込書に、要配慮個人情報の取得・利用に関する同意文言が明記されているか確認する
  • 🔒 利用目的の厳格化:取得した要配慮個人情報は、同意を得た利用目的の範囲内でのみ使用し、目的外利用は禁止
  • 🗂️ 保管・アクセス管理:要配慮個人情報が含まれるデータベースへのアクセスは、業務上必要な担当者に限定する
  • 🔄 委託先への指導:システム開発・コールセンターなど外部委託先が要配慮個人情報を扱う場合、委託先の安全管理体制を確認・監督する義務がある


金融機関に限らず、フィンテックやインシュアテックのスタートアップが健康・医療データを活用したサービスを設計する際にも、こうした規制が直接的な制約として機能します。データビジネスを金融領域で展開するなら要配慮個人情報の規制は避けて通れません。


要配慮個人情報の具体例:推知情報とグレーゾーンの考え方

実務上で特に判断が難しいのが「推知情報」の扱いです。要配慮個人情報そのものではなく、それを「推し量らせるにすぎない情報」は、法律上は要配慮個人情報に該当しません。


これが推知情報の原則です。


典型例として、「〇〇教に関する本を購入した」という購買履歴や「〇〇政党の機関誌を購読している」という情報は、信条(宗教・思想)を「推知させる」にすぎないため、要配慮個人情報ではないとされています(個人情報保護委員会ガイドラインQ&A1-27)。


しかし、この「推知情報」の扱いには大きなグレーゾーンがあります。特にAI・機械学習の時代において、複数の非センシティブな情報を組み合わせて要配慮個人情報に相当する特性を推定できてしまう問題が指摘されています。


たとえばある薬局チェーンが購買データから糖尿病治療薬の購買履歴を保有している場合、個々の情報は推知情報として要配慮個人情報に直接は当たらないとしても、そのデータを分析して特定個人の病歴を事実上確定できる状態にすることは、実質的に病歴情報を生成・利用していることと変わりません。この問題は「生成」が「取得」に該当するかという論点にもつながります。


個人情報保護委員会は現時点では「生成は取得に当たらない」という立場をとっていますが、法の趣旨に照らせば「本人の権利利益への影響を十分考慮し、できる限り本人の同意を得るよう努めることが望ましい」としています。金融データを扱うフィンテック企業は特にこの点に注意が必要です。


要配慮個人情報の具体例:個人情報保護体制の整備と実践的対策

ここまで解説してきた規制を踏まえると、金融に関わる事業者・投資家・会社員が実際にとるべき対策は具体的です。


要配慮個人情報のリスクは「知らなかった」では済まない法的責任につながります。実務の第一歩は、社内で扱う個人情報のうち、どの情報が要配慮個人情報・機微情報に該当するかを棚卸しすることです。自社のデータを正確に把握することが出発点です。


次に重要なのが「プライバシーポリシーの見直し」です。要配慮個人情報を取得している場合は、その種類・利用目的・管理体制を明示した上で、本人同意を得る手続きが設計されているかを確認します。特に顧客の健康状態や犯罪歴に関する情報を業務上扱う金融機関は、申込書・同意書の文言を弁護士等とともに点検することをお勧めします。


また、従業員教育も欠かせません。要配慮個人情報は「社内では自由に共有してよい」と誤解されやすいのですが、社内共有であっても利用目的外の閲覧・加工は禁じられています。役職員全員が基本ルールを理解していることが、漏洩リスクと法的リスクの両方を下げます。


個人情報保護マネジメントシステム(PMS)の第三者認証であるJIS Q 15001(プライバシーマーク)の取得は、体制整備の指標として機能します。


顧客へのアピールにもなります。


信頼性の担保として活用できる認証制度です。自社の情報管理水準を客観的に評価・改善するための指針として、これらの制度を活用することも選択肢のひとつです。


<参考:個人情報保護法の全文と最新改正内容(e-Gov法令検索)>
e-Gov法令検索「個人情報の保護に関する法律」




築地の王様 マグロ 訳あり まぐろぶつ 切り落とし 1kg前後 訳あり 国産 刺身 寿司 海鮮丼