企業法務、個人情報保護、労務、IT・AI、内部監査の担当者が、取得前の分類から同意文面、第三者提供、越境移転、漏えい対応、社内ガバナンスまで一貫して確認できる実務整理です。
同意欄を置く前に、分類、必要性、説明、証跡、事故時対応をつなげて設計します。
同意欄を置く前に、分類、必要性、説明、証跡、事故時対応をつなげて設計します。
要配慮個人情報の同意取得実務で重要なのは、単に同意チェック欄を設けることではありません。何が要配慮個人情報に当たるのかを正しく分類し、取得の必要性を限定し、本人が判断できる情報を示し、取得・利用・第三者提供・保存・削除・漏えい等対応まで一貫した証跡を残すことが実務の中心です。
このページは、2026年6月7日時点の個人情報保護法、公的ガイドライン、Q&A等を前提にした一般的な情報です。業種別ガイドライン、医療・金融・労務・研究倫理・マイナンバー等の特別法令が関係する場合は、個別事情に応じた確認が必要です。
個人情報保護法上、要配慮個人情報は、人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実など、本人に対する不当な差別、偏見その他の不利益が生じないよう取扱いに特に配慮を要する情報です。政令・規則により、障害、健康診断等の結果、医師等による指導・診療・調剤、刑事事件手続、少年保護事件手続に関する一定の情報も含まれます。
実務で最初に確認すべき内容を、取得前に並べて確認できるように整理します。各項目は、同意文面の作成だけでなく、取得しない選択、例外根拠の記録、社内共有範囲の限定にも直結するため重要です。左から順に確認し、どこに証跡を残すかまで読み取ることが大切です。
その情報が要配慮個人情報、推知情報、個人データのどれに当たるかを確認します。分類が曖昧なまま取得すると、第三者提供や漏えい時の判断も揺らぎます。
取得目的に照らして必要最小限かを見直します。病名ではなく勤務上の配慮内容で足りる場合など、粒度を下げる検討が重要です。
取得根拠が本人同意、法令上の義務、例外事由、委託・共同利用などのどれかを整理します。「念のため同意」だけでは説明が弱くなります。
取得項目、利用目的、第三者提供、保存期間、撤回・削除窓口、同意しない場合の影響を、本人が判断できる粒度で示します。
同意日時、同意文面の版、情報項目、利用目的、撤回履歴、提供履歴を残し、監査、本人対応、漏えい等発生時に説明できる状態にします。
取得同意の要否を誤らないため、まず用語の適用範囲を分けます。
個人情報とは、生存する個人に関する情報で、氏名、生年月日その他の記述等により特定の個人を識別できるもの、または個人識別符号が含まれるものです。社員番号、会員ID、メールアドレス、端末ID、顧客ID、診察券番号、予約番号、ログ情報なども、他の情報と容易に照合できる場合は個人情報に該当する可能性があります。
個人データとは、個人情報データベース等を構成する個人情報です。Excel、CRM、HRシステム、採用管理システム、健康管理システム、チャットログ検索基盤、問い合わせ管理システム、クラウドストレージ上の整理されたファイル群は、個人情報データベース等に該当する可能性があります。この区別は、第三者提供、開示等請求、安全管理措置、漏えい等報告の範囲を考えるうえで重要です。
次の比較表は、要配慮個人情報に含まれる主要類型と実務上の例、注意点を示しています。類型ごとに取得場面や社内共有のリスクが異なるため重要です。どの項目が自社のフォーム、労務手続、顧客対応、研究・分析に入り込むかを読み取ってください。
| 類型 | 実務上の例 | 注意点 |
|---|---|---|
| 人種 | 人種・民族に関する明示的記載 | 国籍、外国人であること、肌の色だけで直ちに該当するとは限りませんが、文脈によって慎重な判断が必要です。 |
| 信条 | 宗教、思想、政治的信条に関する明示的情報 | 宗教書購入履歴や政治新聞購読履歴は推知情報にとどまる場合がありますが、プロファイリング利用では別途慎重な検討が必要です。 |
| 社会的身分 | 出自、非嫡出、一定の社会的地位に関する情報 | 採用・人事での利用は特に高リスクです。 |
| 病歴 | がん、精神疾患、感染症、既往症など | 受診した事実、診療内容、診断書、休職理由との関係に注意します。 |
| 犯罪の経歴 | 前科、刑の執行、過去の有罪判決など | 採用、取引審査、反社会的勢力チェックで問題になりやすい情報です。 |
| 犯罪により害を被った事実 | 犯罪被害者であること | 性犯罪、DV、詐欺被害などの情報は二次被害防止が重要です。 |
| 障害 | 身体障害、知的障害、精神障害、発達障害、難病など | 合理的配慮、雇用管理、サービス提供で必要性と共有範囲を限定します。 |
| 健康診断等の結果 | 健康診断、人間ドック、ストレスチェック、一定の遺伝子検査等の結果 | 法令に基づく取得か、本人同意が必要な取得かを整理します。 |
| 医師等による指導・診療・調剤 | 診療録、検査、投薬、薬歴、病院・薬局利用の事実など | 医療機関、薬局、保険者、雇用者の間の提供に注意します。 |
| 刑事事件手続 | 逮捕、捜索、起訴、公判、判決等に関する手続情報 | 有罪・無罪の別にかかわらず問題となる可能性があります。 |
| 少年保護事件手続 | 少年事件に関する調査、審判、保護処分など | 本人の将来への影響が大きいため、厳格な管理が必要です。 |
宗教書を購入した、特定の政治新聞を購読している、特定の地域の病院に通っている、車いす対応席を予約したといった情報は、信条、病歴、障害を推知させることがあります。個人情報保護委員会のQ&Aでは、宗教書籍の購買や政治関係新聞の購読に関する情報について、それ自体は信条を推知させる情報にとどまり、直ちに要配慮個人情報には該当しないとの整理が示されています。
ただし、推知情報であっても、差別、排除、不利益な評価、広告配信、AIスコアリングに使われれば、プライバシー侵害、消費者保護、労務、広告倫理、AIガバナンス上の問題が生じます。法的分類とリスク管理は分けて検討する必要があります。
取得同意、利用目的の明示、同意ログを別々の論点として設計します。
個人情報取扱事業者は、原則として、あらかじめ本人の同意を得ないで要配慮個人情報を取得できません。ここでいう「あらかじめ」とは取得前を意味します。取得後に事後的に同意を取ればよいという構造ではありません。
顧客からアレルギー、障害、病歴、服薬情報を入力してもらう場合、従業員から診断書、休職理由、障害者手帳情報、健康診断結果、ストレスチェック結果を取得する場合、採用候補者から既往症、障害、犯罪歴、被害歴等を取得する場合は、取得前に同意取得の要否を検討します。ヘルスケアアプリ、旅行・宿泊・イベント、保険・金融・与信、研究・アンケートでも同じです。
ウェブフォームやアプリ画面で要配慮個人情報を入力してもらう場合に、本人へ示す事項を整理します。この一覧は、本人が納得して判断できる情報をそろえるために重要です。各項目が欠けると、同意の範囲、第三者提供、撤回対応で争点になりやすいことを読み取ってください。
病歴、服薬情報、障害に関する配慮希望など、取得する項目を具体的に示します。
項目安全確保、サービス提供、労務管理、研究利用など、目的を本人が理解できる粒度で示します。
目的同意しない場合に提供できないサービスや手続があるかを具体的に説明します。
任意性第三者提供、外国にある第三者への提供、委託、共同利用の有無と範囲を示します。
共有範囲保存期間、削除方針、同意撤回・訂正・削除の窓口を説明します。
証跡本人が自らの意思で要配慮個人情報を事業者に提供した場合、当該事業者が取得することについて同意があったものと解される場面があります。しかし、入力フォームが複雑な場合、取得後に社内外で広く共有する場合、第三者提供、越境移転、AI学習、プロファイリング、広告配信、採用・評価判断に利用する場合は、明示的な同意取得が望まれます。
同意方式ごとの特徴を比較します。この比較は、情報の機微性、本人との力関係、証跡の残しやすさによって選ぶ方法が変わるため重要です。左の方式名だけで選ばず、右列の評価から要配慮個人情報に向く運用かを読み取ってください。
| 同意方式 | 実務上の位置づけ | 要配慮個人情報での評価 |
|---|---|---|
| 署名付き書面 | 医療、労務、研究、高リスク取引で使いやすい方式です。 | 証拠化しやすい一方、文面の更新管理が必要です。 |
| 電子署名・電子同意 | ウェブサービス、SaaS、アプリに適合します。 | 同意文面の版管理と同意ログが必須です。 |
| チェックボックス | 最も一般的な方法です。 | デフォルトオンは避け、個別・能動的な選択にします。 |
| 口頭同意 | 緊急時、電話、対面接客であり得ます。 | 記録化しないと後日立証が弱くなります。 |
| 行為による同意 | 本人がフォームに入力して提出する場合などです。 | 取得同意として説明可能な場合はありますが、第三者提供・二次利用には不十分になりやすいです。 |
| 包括同意 | 複数目的をまとめる方式です。 | 本人が具体的に判断できる粒度を失うと危険です。 |
| 利用規約への埋込み | 消費者向けサービスで多い方式です。 | 規約本文だけでなく、目立つ説明と個別の同意導線を設けます。 |
同意を取ったつもりでは足りません。本人ID、同意取得日時、チャネル、同意文面の全文または版番号、対象情報項目、利用目的、第三者提供・越境移転の有無、同意撤回・変更履歴、説明画面の版、取得主体を特定する情報を残します。口頭同意では記録メモまたは録音管理方針も検討します。
同意ログは、情報システム部門がアクセス制御を設計し、マーケティング部門が利用可否を判定し、委託先が処理範囲を制限し、内部監査が検証するための共通基盤です。
例外は便利な抜け道ではなく、必要性と同意取得困難性の記録が求められる場面です。
要配慮個人情報の取得には本人同意が原則として必要ですが、個人情報保護法は例外を設けています。例外を使う場合でも、取得した情報を自由に利用できるわけではありません。取得目的、利用範囲、保存期間、共有先、事後説明、削除予定を記録することが重要です。
次の比較表は、取得同意の例外事由、典型例、実務上の注意点を並べています。例外ごとに求められる要件や記録すべき内容が異なるため重要です。自社の場面がどの類型に近いか、また法令上必要な範囲を超えていないかを読み取ってください。
| 例外類型 | 典型例 | 実務上の注意 |
|---|---|---|
| 法令に基づく場合 | 労働安全衛生法に基づく健康診断結果の取得など | 法令上必要な範囲を超える取得には、本人同意が必要になる可能性があります。 |
| 生命・身体・財産の保護 | 急病人の病歴を家族から聞く、犯罪被害防止のため必要な情報を得る場合 | 必要性と本人同意取得困難性の記録が重要です。 |
| 公衆衛生・児童健全育成 | 感染症対策、児童虐待防止等で特に必要な場合 | 目的外利用や過剰共有を避けます。 |
| 国等への協力 | 行政機関の法令事務への協力 | 本人同意取得が事務遂行に支障を及ぼすことが必要です。 |
| 学術研究 | 学術研究機関等による研究目的取扱いなど | 権利利益を不当に侵害するおそれがある場合は除外されます。 |
| 本人等による公開 | 本人がSNS等で明らかに公開した情報など | 第三者が勝手に公開した情報の収集は別問題です。 |
| 視認・撮影により明らか | 店舗防犯カメラに車いす利用者が映る場合など | 取得目的、保存期間、閲覧権限を限定します。 |
| 委託・事業承継・共同利用 | 委託先が処理する、合併で引き継ぐ、共同利用する場合 | 形式だけでなく実態が該当するか確認します。 |
法令に基づく場合とは、法律、政令、省令、条例等に基づく場合です。社内規程、就業規則、利用規約、契約書、同意書は、ここでいう法令ではありません。会社独自のメンタルヘルスアンケート、詳細な既往症申告、家族の病歴、遺伝情報、服薬情報を求める場合は、本人同意や必要性の説明が問題になります。
生命・身体・財産保護の例外は、急病人の救護、災害時の安否確認、犯罪被害の拡大防止、詐欺被害の連鎖防止などで重要です。しかし、業務上便利、本人に聞くのが面倒、同意取得に時間がかかるという理由では足りません。どの権利利益を保護する必要があったか、情報項目、本人同意取得が困難だった理由、取得先、利用範囲、共有先、事後説明、保存期間を記録します。
本人が自ら公開した要配慮個人情報は、一定の例外に該当する可能性があります。他方で、第三者が暴露した情報、まとめサイトの情報、SNSで拡散された情報、報道記事の切り抜き、掲示板投稿を企業がデータベース化して利用する場合は、本人による公開と同視できるとは限りません。
例外適用時の判断順序を整理します。この判断の流れは、現場が「例外に見える」場面を法務・個人情報保護担当へ上げるために重要です。上から順に確認し、例外を使う場合でも目的・範囲・記録を残すという結論を読み取ってください。
情報項目、本人属性、取得場面を整理します。
取得前に説明できる場合は、明示的な同意取得を基本にします。
法令、緊急保護、公衆衛生、国等への協力などの要件を記録します。
取得項目、目的、共有範囲、保存期間を本人に示します。
例外でも自由利用はできないため、目的外利用や過剰共有を避けます。
取得同意だけで、第三者提供や外国にある第三者への提供まで許されるわけではありません。
要配慮個人情報の取得について本人同意を得ていても、それだけで第三者提供が許されるわけではありません。個人データを第三者に提供する場合には、原則として第三者提供について本人同意が必要です。さらに、要配慮個人情報を含む個人データでは、オプトアウト方式による第三者提供は認められません。
第三者提供を伴う同意画面では、取得・利用への同意と第三者提供への同意を別項目にし、提供先の範囲、提供する情報項目、提供目的、提供方法、安全管理措置の概要、同意撤回後の取扱いを説明します。
第三者提供、委託、事業承継、共同利用、外国にある第三者への提供は、似ていても法的な整理が異なります。次の比較表は、各場面で確認すべき要点を示すものです。どの類型なら第三者提供に当たらない可能性があるか、また別途情報提供や契約管理が必要になるかを読み取ってください。
| 場面 | 実務上の整理 | 確認ポイント |
|---|---|---|
| 国内第三者提供 | 原則として第三者提供同意を検討します。 | 要配慮個人情報を含む個人データではオプトアウト方式を使えません。 |
| 委託 | 処理を委託する範囲では第三者提供に当たらない場合があります。 | 委託先が自社分析、広告、AI学習などに使うと委託範囲を超える可能性があります。 |
| 事業承継 | 合併、会社分割、事業譲渡等に伴う承継として整理できる場合があります。 | 承継前の利用目的の範囲、データルーム開示、段階的開示を確認します。 |
| 共同利用 | 一定事項を本人が知り得る状態にしたうえで共同利用できる場合があります。 | 共同利用者の範囲、利用目的、項目、管理責任者を実態に合わせます。 |
| 外国にある第三者への提供 | 国内第三者提供とは別に越境移転の規律を検討します。 | 移転先国、保護制度、提供先の保護措置などの情報提供が問題になります。 |
| 第三者からの受領 | 提供元の適法な取得と提供同意・例外根拠を確認します。 | 表明保証、利用制限、再提供制限、漏えい時通知、削除義務を契約で定めます。 |
企業が第三者から要配慮個人情報の提供を受ける場合、提供元が適法に取得し、第三者提供について必要な同意または例外根拠を有しているかを確認します。契約書では、適法取得の表明保証、要配慮個人情報を含む場合の明示、取得同意・第三者提供同意・越境移転同意の取得状況、利用制限、再提供・再委託の制限、安全管理措置、漏えい等発生時の通知・協力、本人請求への協力、監査権または報告義務、契約終了時の返還・削除を定めます。
委託先や提供先との契約で確認すべき条項を整理します。この一覧は、同意取得だけではコントロールできない処理範囲、再委託、事故時協力を契約で補うために重要です。各項目から、提供前に契約・運用・証跡をそろえる必要があることを読み取ってください。
提供元が本人同意または例外根拠を備えていることを確認します。
提供対象と利用範囲を特定し、二次利用やAI学習を別管理にします。
再委託先や再提供先に要配慮個人情報が広がるリスクを抑えます。
アクセス制御、ログ、暗号化、報告義務、監査権を契約と運用に反映します。
報告期限、本人通知、原因調査、再発防止への協力範囲を明確にします。
契約終了時や同意撤回時に、返還・削除・証跡保存の扱いを定めます。
従業員の健康情報は、法令上の取得と任意取得、本人同意、共有範囲が重なります。
雇用管理分野では、健康診断結果、ストレスチェック結果、診断書、休職理由、復職可否、産業医意見、障害者手帳情報、合理的配慮の希望、労災・傷病手当金・休職申請に伴う情報など、多くの要配慮個人情報が発生します。要配慮個人情報に該当しない健康情報についても、それに準じて慎重に取り扱うことが重要です。
次の比較表は、雇用・労務で扱う健康情報について、取得根拠の検討と共有範囲を示しています。従業員との力関係があるため、同意の任意性と閲覧範囲の限定が特に重要です。右列から、上司へ詳細を渡すのではなく、業務上必要な措置に変換する考え方を読み取ってください。
| 情報 | 取得根拠の検討 | 共有範囲 |
|---|---|---|
| 法定健康診断結果 | 法令上の義務・必要範囲として整理します。 | 人事労務、産業保健スタッフ等に限定します。 |
| 就業上の措置に必要な医師意見 | 法令上の枠組みで扱います。 | 配置判断に必要な最小限にします。 |
| 診断書 | 休職・復職等の申請に必要な場合が多い一方、取得範囲の限定が必要です。 | 上長には業務配慮に必要な要約のみが望まれます。 |
| ストレスチェック結果 | 本人同意なく事業者へ提供してはいけない特別な運用があります。 | 本人同意がある場合でも閲覧者を厳格に限定します。 |
| 障害者手帳情報 | 雇用率、合理的配慮、助成金等との関係で必要性を整理します。 | 人事・労務・必要な管理者に限定します。 |
| 治療内容・薬歴 | 通常は詳細取得の必要性が低い情報です。 | 原則として産業保健職等に限定します。 |
ストレスチェック制度では、検査結果を実施者等から事業者へ提供するには労働者本人の同意が必要です。事業者は結果提供の同意を強要してはいけません。「同意しない者は人事評価で不利になる」と受け取られる説明、結果の詳細を上司が閲覧できる設計、本人同意前に人事部が結果一覧を受領する設計、集団分析結果から小規模部署の個人が推知される設計、同意ログを残さない口頭同意運用は避けます。
管理職は部下の健康状態を知らなければ配慮できない場合があります。しかし、上司に病名、服薬、診療内容、心理状態、家庭事情を詳細に共有する必要があるとは限りません。産業医・保健師・人事労務担当が詳細情報を管理し、管理職には時間外労働制限、深夜勤務回避、重量物運搬回避、通院日の勤務配慮、一定期間の出張回避、業務量の段階的増加、本人の希望する連絡方法などに変換して伝えます。
業種・場面ごとの論点を整理します。この一覧は、同じ要配慮個人情報でも、医療、採用、金融、旅行、研究、AI分析で利用目的と本人の期待が変わるため重要です。自社のサービスがどの領域に近いかを読み取り、同意・例外・委託・越境移転を個別に検討してください。
病歴、診療情報、薬歴、健康診断結果、睡眠、心拍、血糖、メンタルヘルスを、医療提供、保険請求、研究利用、マーケティング、AI学習に分けて検討します。
健康情報応募者に病歴、障害、妊娠、治療、服薬、犯罪歴、犯罪被害歴、信条等を安易に質問せず、合理的配慮希望欄を別管理にします。
採用差別法令上必要な確認、契約審査、任意取得、外部データベース取得を分け、スクレイピング利用の差別的影響に注意します。
審査食物アレルギー、宗教上の食事制限、車いす利用、補助犬同伴、医療的配慮を、安全確保と必要最小限の共有に限定します。
安全確保研究倫理審査、インフォームド・コンセント、撤回、匿名化、二次利用、共同研究先、海外移転を一体で設計します。
研究学習データ、推知属性、利用目的、差別的効果、海外AIベンダー、同意撤回時の説明可能性を確認します。
分析利用データマッピング、最小化、法的根拠、同意文面、保存、撤回・削除を連続した運用にします。
要配慮個人情報は、取得しないことが最も強いリスク低減策です。取得前に、自社がどこで要配慮個人情報を扱っているかを棚卸しし、法務部だけでなく、人事、総務、営業、カスタマーサポート、開発、マーケティング、情報システム、内部監査、委託先管理部門が関与します。
取得前から削除までの順番を時系列で整理します。この時系列は、同意取得を単発の文面作成で終わらせず、保存・アクセス制御・撤回・削除まで運用に落とすために重要です。上から順に、どの段階で何を記録し、誰が確認するかを読み取ってください。
取得場面、情報項目、本人属性、取得方法、根拠、利用目的、保存場所、アクセス権限、共有先、委託先、越境移転、保存期間、削除方法、同意ログ、漏えい時の影響度を棚卸しします。
病名ではなく勤務制限情報で足りないか、診断書原本ではなく就業可否の意見書で足りないか、自由記述ではなく選択式で足りないかを確認します。
本人同意、法令、生命・身体・財産保護、公衆衛生、国等への協力、学術研究、公開情報、視認・撮影、委託・事業承継・共同利用に分類します。
概要説明と詳細説明を分け、取得情報、必要性、利用者、提供先、同意しない場合の影響、問い合わせ先を示します。
一般の顧客情報・従業員情報とは別の権限グループに分離し、閲覧、編集、出力、ダウンロード、API連携を制限します。
将来利用の停止、法令上保存が必要な情報、委託先・共同利用先・第三者提供先への削除依頼、バックアップ、AI学習済みモデルとの関係を整理します。
取得後は、同意の範囲を超えて閲覧・出力・複製されないように管理します。役割ベースのアクセス権限、最小権限、定期的な権限レビュー、閲覧ログ、出力ログ、ダウンロードログ、CSVエクスポート制限、暗号化、認証強化、管理者権限の分離、委託先アクセス制御、本番データの開発・検証環境利用制限、退職者・異動者の権限削除、紙書類の施錠保管・廃棄証跡を検討します。
取得根拠の分類を実務で迷わないよう、確認順序をまとめます。この判断の流れは、現場申請を法務・セキュリティ・労務へつなぐために重要です。上から下へ進め、曖昧な場合は取得目的、必要性、本人への影響、代替手段をレビューに回すことを読み取ってください。
要配慮個人情報または推知情報が含まれるか確認します。
粒度を下げる、選択式にする、要約情報に変換する方法を探します。
同意、法令、例外、委託・共同利用などに分けます。
同意文面、保存場所、アクセス権限、撤回窓口をセットで確認します。
文例は出発点にとどめ、規程、承認、監査、事故対応まで整えます。
同意文例は、業種、取得項目、提供先、保存期間、本人属性、利用目的に応じて調整します。たとえば顧客向けの健康・アレルギー情報では、サービス提供と安全確保のために取得する情報、委託先への必要最小限の連絡、法令や生命・身体・財産保護の場合を除く第三者提供制限を説明します。
従業員向けの診断書・復職判断では、休職、復職、就業上の配慮、安全配慮義務の履行、労務管理のために取得すること、人事労務担当、産業医、保健師等が取り扱うこと、所属長には就業上必要な配慮事項または勤務上の制限に関する情報に限定して共有することを示します。病名、治療内容、服薬内容等の詳細は、業務上必要な場合を除き所属長に共有しない設計が望まれます。
第三者提供同意では、提供先、提供する情報項目、提供目的、提供方法、保存期間、同意撤回の方法を示します。外国にある第三者への提供では、移転先の国または地域、提供先、情報項目、目的、当該国または地域の個人情報保護制度、提供先が講ずる保護措置を説明します。自由記述欄には、病歴、障害、犯罪被害、信条、その他要配慮個人情報に該当する情報を記載しないよう案内し、必要な場合は専用フォームへ誘導します。
文例に入れるべき項目を整理します。この一覧は、文面を長くするためではなく、本人が判断でき、企業が後日説明できる同意にするために重要です。各項目を、自社の取得場面に合わせて具体化する必要があることを読み取ってください。
要配慮個人情報を含む可能性がある情報項目を具体的に示します。
サービス提供、安全確保、労務管理、研究、問い合わせ対応などを分けて説明します。
社内閲覧者、委託先、第三者提供先、外国にある第三者への提供を区別します。
保存期間、削除方針、同意撤回、問い合わせ窓口を示します。
要配慮個人情報の取扱規程には、定義、取得禁止の原則、取得できる場合、取得前審査、本人同意の方法、例外事由を用いる場合の承認・記録、利用目的の特定・明示、第三者提供・越境移転の審査、委託先管理、共同利用管理、アクセス権限、保存期間、削除・廃棄、本人問い合わせ、漏えい等対応、教育・監査、違反時の報告・是正を定めます。
取得前審査の承認順序を整理します。この順序は、現場の入力フォーム、アンケート、キャンペーン、採用施策、健康施策、AI分析、委託先変更を見落とさないために重要です。各部門がどの観点を確認するかを読み取り、承認後に文面・画面・規程・ログ設計を保存してください。
取得目的、情報項目、利用場面、委託先を申告します。
要配慮個人情報の該当性と推知情報のリスクを確認します。
取得根拠、第三者提供、越境移転、契約条項を審査します。
保存場所、アクセス制御、ログ、健康情報の閲覧範囲を確認します。
文面、画面、規程、同意ログ、権限を保存し、運用開始後に監査します。
要配慮個人情報が含まれる個人データの漏えい等またはそのおそれは、報告対象事態になりやすいものです。病歴、障害、ストレスチェック結果、診断書、犯罪被害、信条等が漏えいした場合、本人の被害は迷惑メール受信にとどまらず、雇用、家族関係、学校、地域社会、保険、金融、取引関係に波及する可能性があります。
漏えい等が疑われる場面の対応順序を整理します。この順序は、要配慮個人情報の有無、報告要否、本人通知、二次被害防止を短時間で判断するために重要です。上から順に、拡大防止と事実調査を並行しつつ、通知文の内容が二次漏えいにならないよう注意することを読み取ってください。
現場、委託先、セキュリティ監視、本人問い合わせ、メディア報道などから事案を把握します。
アクセス遮断、アカウント停止、誤送信先への削除依頼、公開URL停止、委託先への停止指示を行います。
情報項目、本人範囲、件数、要配慮個人情報の有無、原因、発生時期、外部流出の有無を確認します。
要配慮個人情報、財産的被害、不正目的、件数などを踏まえ、委員会報告と本人通知の要否を判断します。
概要、対象情報、原因、二次被害のおそれ、問い合わせ窓口、本人が取れる措置を過不足なく伝えます。
技術的対策、運用改善、教育、委託先契約見直し、権限削減、ログ監視強化を行います。
個別事案の判断ではなく、制度と実務上の考え方を一般情報として整理します。
一般的には、本人が自ら提供した場合に取得について同意があったと解される場面はあります。ただし、第三者提供、越境移転、二次利用、AI学習、採用・評価利用など、本人の合理的期待を超える利用では、別途明示的な説明・同意が必要または望ましい場合があります。具体的な対応は、フォーム設計、利用目的、提供先、本人との関係を整理したうえで専門家へ相談する必要があります。
一般的には、それ自体は信条を推知させる情報にとどまり、直ちに要配慮個人情報には該当しないと整理される場面があります。ただし、推知情報を用いた差別的取扱い、広告配信、プロファイリングは別途リスクがあります。具体的な分類や利用可否は、利用目的、分析方法、本人への影響によって変わるため、専門家へ相談する必要があります。
一般的には、外形上明らかな要配慮個人情報を視認または撮影により取得する場合には、取得同意の例外に当たり得ます。ただし、防犯目的で取得した映像を別目的で分析・公開・共有する場合は、利用目的、保存期間、アクセス権限、本人への説明を別途検討する必要があります。
一般的には、共有の必要性と範囲を厳格に限定する考え方が重要です。上司に必要なのは、病名や治療内容ではなく、勤務上の配慮事項や就業制限で足りることが多いとされています。ただし、職務内容、職場環境、安全配慮、本人同意の有無によって判断が変わるため、具体的には専門家へ相談する必要があります。
一般的には、ストレスチェック結果を実施者等から事業者へ提供するには本人同意が必要であり、同意の強要は避ける必要があります。取得する場合でも、閲覧者、利用目的、保存期間、本人への説明を厳格に管理します。具体的な運用は労働安全衛生法令や社内体制によって変わるため、専門家へ相談する必要があります。
一般的には、要配慮個人情報を含む個人データは、オプトアウト方式による第三者提供の対象外とされています。第三者提供を行う場合は、本人同意、法令上の例外、委託、事業承継、共同利用などの該当性を検討する必要があります。具体的な整理は提供先、目的、契約関係によって変わります。
一般的には、外国にある第三者への提供に該当するかは、クラウド事業者の取扱実態、委託該当性、契約内容、アクセス可能性、外国にある第三者の該当性などによって判断されます。越境移転では、同意、相当措置、委託先管理、情報提供を確認する必要があります。
一般的には、同意は無制限な閲覧権限を与えるものではありません。利用目的の達成に必要な範囲で、最小限の者にアクセスを限定する必要があります。具体的には、部門、職務、システム権限、ログ管理、保存期間を整理して運用を決めます。
一般的には、法令上保存が必要な情報、契約履行・紛争対応に必要な情報、監査証跡として保存すべき情報がある場合、直ちに全削除できないことがあります。ただし、将来利用の停止、共有先への通知、保存目的の限定、本人への説明は重要です。具体的な対応は保存根拠と利用状況によって変わります。
一般的には、デューデリジェンスでは取得根拠、同意文面、第三者提供、委託先、漏えい履歴、アクセス権限を確認する必要があります。ただし、買主候補へのデータルーム開示自体が第三者提供に該当する可能性があります。匿名化、マスキング、閲覧制限、段階的開示、秘密保持契約、法的根拠を確認する必要があります。
取得前、同意画面、運用、労務・健康情報の4段階で確認します。
チェックリストは、現場申請、法務レビュー、セキュリティ確認、内部監査で同じ観点を使うために重要です。次の一覧では、段階ごとに確認すべき事項をまとめています。各項目を済ませるだけでなく、誰が確認し、どこに証跡を保存するかまで読み取ってください。
法務だけで抱えず、各部門の役割を決めてガバナンスとして運用します。
要配慮個人情報の同意取得実務は、法務部だけでは完結しません。次の比較表は、各専門職・部門の主な役割を示しています。役割分担が曖昧だと、同意文面だけ整っても、アクセス制御、委託先管理、漏えい対応が抜けやすくなるため重要です。自社で誰がどの責任を持つかを読み取ってください。
| 専門職・部門 | 主な役割 |
|---|---|
| 法務担当・企業内弁護士 | 法的根拠、同意文面、第三者提供、契約、紛争対応を設計します。 |
| 外部弁護士 | 高リスク案件、行政対応、M&A、訴訟、越境移転、業法論点をレビューします。 |
| 個人情報保護・プライバシー担当 | データマッピング、規程整備、本人対応、同意ログ、委託先管理を担います。 |
| コンプライアンス担当 | 社内ルール、研修、違反時報告、内部通報対応を整えます。 |
| 労務法務担当・社労士 | 従業員健康情報、休職・復職、ストレスチェック、合理的配慮を設計します。 |
| IT・セキュリティ担当 | アクセス制御、ログ、暗号化、システム設計、クラウド管理を担います。 |
| 内部監査担当 | 規程と運用の一致、権限、証跡、委託先管理を検証します。 |
| 事業部門 | 取得目的の説明、最小化、現場運用、本人説明を実施します。 |
| 経営層・取締役 | リスク許容度、ガバナンス、重大漏えい時の説明責任を担います。 |
最後に、要配慮個人情報の同意取得実務の到達点を強調します。この重要ポイントは、同意取得を形式的な書面から企業ガバナンスへ広げるために重要です。分類、最小化、説明、分離、記録、制限、備えを一体で運用することを読み取ってください。
要配慮個人情報は、企業にとって価値あるデータである前に、本人の人生に深く関わる情報です。本人が納得し、企業が説明でき、監査に耐え、事故時にも被害を最小化できる仕組みを構築することが、実務上の到達点です。
実務で失敗を避けるには、どの情報が要配慮個人情報かを分類し、取得しなくてよい情報を減らし、本人が判断できる情報を取得前に示し、取得・利用・第三者提供・越境移転・二次利用・AI学習の同意を必要に応じて分けます。さらに、同意ログ、同意文面、例外事由、第三者提供、撤回履歴を保存し、閲覧者、共有先、保存期間、委託先、再利用を限定し、漏えい等発生時に本人通知と委員会報告を迅速に行える体制を整えます。
個人情報保護法、ガイドライン、Q&A、雇用管理・越境移転に関する公的資料を基に整理しています。