Pマーク改訂による新たな規格 JISQ15001:2017から「要配慮個人情報」というキーワードが出てくるようになりました。従来までJISQ15001で定義されていた「機微な個人情報」とはどのように違うのでしょうか。

今回は。「要配慮個人情報」とは何か、機密な個人情報と何が異なり、改訂Pマークでは何をする必要があるのかということについて解説していきたいと思います。

要配慮個人情報とは

要配慮個人情報とは

要配慮個人情報は、

  • 本人の人種
  • 信条
  • 社会的身分
  • 病歴
  • 犯罪の経歴
  • 犯罪により害を受けた事実

など本人に対する不当な差別や偏見で不利益が生じないように注意すべき個人情報のことです。それぞれについてどのようなものなのか一つずつチェックしていきましょう。

本人の人種

人種というのは、「アイヌ人」や「在日韓国人」のような情報を含む種族的出身のことです。なお、本人の人種を推知できるような情報(肌の色、目の色)といった情報についてはここで定義される「人種」には含まれません。

信条

信条とは、個人の基本的なモノゴトに対する考え方や、思想、信仰といったもののことです。

社会的身分

社会的身分とは、例えば「○○出身」といったような、本人が自らの力で変えることができないような地位のことです。学歴や会社での役職などのことではありません。

病歴

過去に何かしらの病気を発症していた、あるいは現在も病気を患っているなどといった情報のことです。

犯罪の経歴

本人の前科のことです。

犯罪により害を被った事実

理由や項目を問わず、犯罪の被害を受けたという事実のことです。

なぜ今回このような定義がされたかというと、機密情報に関する取扱について改正個人情報保護法によって新たに定義がされたからです。そして、改正個人情報保護法はEUのデータ保護指令に基づいて改正がされました。インターネットの普及によって急速に進むグローバル化に対応するべく、「要配慮個人情報」というものが新たに定義されたという背景があるわけですね。

JISQ15001は日本の個人情報保護法に基づいた規格であるため、法律の改正と共にPマークも改訂されたというわけです。

累計ダウンロード5,000件突破!ISO27001丸わかり説明資料

個人情報と要配慮個人情報

要配慮個人情報を取得する場合には、原則として本人の同意が必要です。JISQ15001:2017の3.4.2.3では

新たに要配慮個人情報を取得する場合、あらかじめ書面による本人の同意を得ないで、要配慮個人情報を取得してはならない。
【出典】JIS Q15001:2017(附属書A3.4.2.3 要配慮個人情報)

としています。EUでは、「要配慮個人情報」は取得してはならないというのが一般的です。このあたりはEUのルールに倣う形になっています。

いずれにせよ先程紹介したような個人情報に該当する情報は、一般的な個人情報よりも厳しく管理することが求められており、漏洩してしまうと通常の個人情報以上に本人へ与える影響が大きいので細心の注意が必要です。また、本人に許可なく第三者に情報を提供することも禁止しています。

「機微な個人情報」と「要配慮個人情報」の違い

――では、従来のルールである「機微な個人情報」と新しく設けられた「要配慮個人情報」にはどのような違いがあるのでしょうか。

機微な個人情報は、以下のように定義されていました。

  • 思想、信条又は宗教に関する事項
  • 人種、民族、門地、本籍地(所在都道府県に関する情報を除く。)、身体・精神障害、犯罪歴その他社会的差別の原因となる事項
  • 勤労者の団結権、団体交渉その他団体行動の行為に関する事項
  • 集団示威行為への参加、請願権の行使その他の政治的権利の行使に関する事項

【出典】JIS Q15001:2006(3.4.2.3 特定の機微な個人情報の取得,利用及び提供の制限)

例えばここには、「犯罪により害を被った事実」に該当するものはありませんね。また、その他の「信条」や「人種・民族・本籍地」などの情報についても、少し広げて定義されているような印象を受けます。このように、Pマーク改訂によって事業者はより広い範囲で個人情報を保護しなければならなくなりました。

累計ダウンロード5,000件突破!ISO27001丸わかり説明資料

差別や偏見に繋がる個人情報だからこそ注意

要配慮個人情報は、流出してしまうと本人に予想以上の影響を与えてしまう情報です。最近は日本社会もより合理的、且つ実力主義化してきたため、社会的身分などの情報が流出することによって受けるダメージも少なくなっているかもしれませんが、一定数差別や偏見を持ってしまう方もいらっしゃいますし、周りがなんとも思わなかったとしても本人が「知られたくない」と考えているかもしれません。

「要配慮個人情報」は「機微な個人情報」以上に定義が広くなっているので、Pマーク更新時により扱いを強化し、以前の「機微な個人情報」と同様の扱いをしないようにしましょう。

累計ダウンロード5,000件突破!ISO27001丸わかり説明資料
  • 無料資料 | ISO27001・Pマーク導入 徹底解説
  • 『ISO27001・Pマークを網羅的に分かりやすく』をコンセプトに、ISOコンサルタント監修のもとISO27001・Pマークについて図解などを交え詳細に解説しています。分かりやすいというお声も多くいただいていますので、ぜひ御社でご活用ください。
  • 必須ご担当者様名
  • 必須電話番号
  • 任意会社名
  • 任意メールアドレス
  • 必須個人情報の取り扱い
    (個人情報保護方針を読む)

ISOプロでは月額4万円から御社に合わせたISO運用を実施中

ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。

また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。

サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。

Pマーク、50,000円/月から作業工数ほぼ0実現!ISO新規取得・運用完全サポートならISOプロ