2σ Guide

要配慮個人情報の
同意取得実務

企業法務、個人情報保護、労務、IT・AI、内部監査の担当者が、取得前の分類から同意文面、第三者提供、越境移転、漏えい対応、社内ガバナンスまで一貫して確認できる実務整理です。

11類型 法令上の主要分類
6層 企業法務リスク
10問 実務FAQ
本ページは株式会社Dプロフェッションズ(医師/医療機関/弁護士/弁護士法人ではありません)が運営しています。
一般的な情報提供を目的としており医療上の助言や法律相談等を行うものではありません。
広告(PR)を掲載しています。広告は編集内容や推奨を意味しません。
Video

要配慮個人情報の 同意取得実務

同意欄を置く前に、分類、必要性、説明、証跡、事故時対応をつなげて設計します。

動画を読み込み中…
2σ GUIDE ・ VIDEO
要配慮個人情報の 同意取得実務
同意欄を置く前に、分類、必要性、説明、証跡、事故時対応をつなげて設計します。
動画の文字起こし(全文テキスト)

2σ GUIDE ・ VIDEO

  • 要配慮個人情報の 同意取得実務
  • 同意欄を置く前に、分類、必要性、説明、証跡、事故時対応をつなげて設計します。

POINT 1

  • 要配慮個人情報の同意取得実務で最初に押さえる結論
  • 同意欄を置く前に、分類、必要性、説明、証跡、事故時対応をつなげて設計します。
  • 分類する
  • 根拠を分ける
  • 説明する

POINT 2

  • 要配慮個人情報の定義と個人情報・個人データの違い
  • 取得同意の要否を誤らないため、まず用語の適用範囲を分けます。
  • 個人情報と個人データを分けて考えます
  • 推知情報は自由に使える情報ではありません
  • 個人データとは、個人情報データベース等を構成する個人情報です。

POINT 3

  • 要配慮個人情報の取得同意と本人が判断できる説明設計
  • 取得同意、利用目的の明示、同意ログを別々の論点として設計します。
  • 取得時は原則としてあらかじめ本人同意を得ます
  • 本人が直接提供した場合の読み過ぎに注意します
  • 同意ログは監査と事故対応の基盤です

POINT 4

  • 要配慮個人情報を本人同意なく取得できる例外事由
  • 1. 取得したい情報を特定:情報項目、本人属性、取得場面を整理します。
  • 2. 本人同意を取得できるか確認:取得前に説明できる場合は、明示的な同意取得を基本にします。
  • 3. 例外根拠を審査:法令、緊急保護、公衆衛生、国等への協力などの要件を記録します。
  • 4. 説明と同意ログを設計:取得項目、目的、共有範囲、保存期間を本人に示します。
  • 5. 利用範囲と削除方針を限定:例外でも自由利用はできないため、目的外利用や過剰共有を避けます。

POINT 5

  • 要配慮個人情報の第三者提供・委託・越境移転の同意設計
  • 適法取得の表明保証
  • 提供元が本人同意または例外根拠を備えていることを確認します。
  • 情報項目と利用目的の限定
  • 提供対象と利用範囲を特定し、二次利用やAI学習を別管理にします。

POINT 6

  • 要配慮個人情報の同意取得実務と雇用・健康情報の管理
  • 従業員の健康情報は、法令上の取得と任意取得、本人同意、共有範囲が重なります。
  • ストレスチェック結果は同意の強要を避けます
  • 管理職へ共有する内容は措置情報に寄せます
  • 要配慮個人情報に該当しない健康情報についても、それに準じて慎重に取り扱うことが重要です。

POINT 7

  • 要配慮個人情報の同意取得前から削除までの実務手順
  • 1. 情報項目と利用目的を特定:要配慮個人情報または推知情報が含まれるか確認します。
  • 2. 取得しない選択を検討:粒度を下げる、選択式にする、要約情報に変換する方法を探します。
  • 3. 根拠を分類:同意、法令、例外、委託・共同利用などに分けます。
  • 4. 説明・ログ・権限を設計:同意文面、保存場所、アクセス権限、撤回窓口をセットで確認します。

POINT 8

  • 要配慮個人情報の同意文例・社内規程・漏えい時対応
  • 1. 事業部門が申請:取得目的、情報項目、利用場面、委託先を申告します。
  • 2. 個人情報保護担当が一次判定:要配慮個人情報の該当性と推知情報のリスクを確認します。
  • 3. 法務が根拠と同意文面を確認:取得根拠、第三者提供、越境移転、契約条項を審査します。
  • 4. セキュリティ・労務が運用を確認:保存場所、アクセス制御、ログ、健康情報の閲覧範囲を確認します。
  • 5. 承認後に定期監査:文面、画面、規程、同意ログ、権限を保存し、運用開始後に監査します。

まとめ

  • 要配慮個人情報の 同意取得実務
  • 要配慮個人情報の同意取得実務で最初に押さえる結論:同意欄を置く前に、分類、必要性、説明、証跡、事故時対応をつなげて設計します。
  • 要配慮個人情報の定義と個人情報・個人データの違い:取得同意の要否を誤らないため、まず用語の適用範囲を分けます。
  • 要配慮個人情報の取得同意と本人が判断できる説明設計:取得同意、利用目的の明示、同意ログを別々の論点として設計します。
  • 本動画は一般的な情報提供であり、法律上の助言ではありません。記載の数値・金額・期間は目安です。個別事情で結論は変わります。
Overview

要配慮個人情報の同意取得実務で最初に押さえる結論

同意欄を置く前に、分類、必要性、説明、証跡、事故時対応をつなげて設計します。

要配慮個人情報の同意取得実務で重要なのは、単に同意チェック欄を設けることではありません。何が要配慮個人情報に当たるのかを正しく分類し、取得の必要性を限定し、本人が判断できる情報を示し、取得・利用・第三者提供・保存・削除・漏えい等対応まで一貫した証跡を残すことが実務の中心です。

このページは、2026年6月7日時点の個人情報保護法、公的ガイドライン、Q&A等を前提にした一般的な情報です。業種別ガイドライン、医療・金融・労務・研究倫理・マイナンバー等の特別法令が関係する場合は、個別事情に応じた確認が必要です。

個人情報保護法上、要配慮個人情報は、人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実など、本人に対する不当な差別、偏見その他の不利益が生じないよう取扱いに特に配慮を要する情報です。政令・規則により、障害、健康診断等の結果、医師等による指導・診療・調剤、刑事事件手続、少年保護事件手続に関する一定の情報も含まれます。

実務で最初に確認すべき内容を、取得前に並べて確認できるように整理します。各項目は、同意文面の作成だけでなく、取得しない選択、例外根拠の記録、社内共有範囲の限定にも直結するため重要です。左から順に確認し、どこに証跡を残すかまで読み取ることが大切です。

Check 01

分類する

その情報が要配慮個人情報、推知情報、個人データのどれに当たるかを確認します。分類が曖昧なまま取得すると、第三者提供や漏えい時の判断も揺らぎます。

Check 02

減らす

取得目的に照らして必要最小限かを見直します。病名ではなく勤務上の配慮内容で足りる場合など、粒度を下げる検討が重要です。

Check 03

根拠を分ける

取得根拠が本人同意、法令上の義務、例外事由、委託・共同利用などのどれかを整理します。「念のため同意」だけでは説明が弱くなります。

Check 04

説明する

取得項目、利用目的、第三者提供、保存期間、撤回・削除窓口、同意しない場合の影響を、本人が判断できる粒度で示します。

Check 05

記録する

同意日時、同意文面の版、情報項目、利用目的、撤回履歴、提供履歴を残し、監査、本人対応、漏えい等発生時に説明できる状態にします。

結論要配慮個人情報の同意取得実務は、同意書の作成ではなく、本人の尊厳と企業のデータ利活用を両立させる情報ガバナンスの設計です。
Section 01

要配慮個人情報の定義と個人情報・個人データの違い

取得同意の要否を誤らないため、まず用語の適用範囲を分けます。

個人情報と個人データを分けて考えます

個人情報とは、生存する個人に関する情報で、氏名、生年月日その他の記述等により特定の個人を識別できるもの、または個人識別符号が含まれるものです。社員番号、会員ID、メールアドレス、端末ID、顧客ID、診察券番号、予約番号、ログ情報なども、他の情報と容易に照合できる場合は個人情報に該当する可能性があります。

個人データとは、個人情報データベース等を構成する個人情報です。Excel、CRM、HRシステム、採用管理システム、健康管理システム、チャットログ検索基盤、問い合わせ管理システム、クラウドストレージ上の整理されたファイル群は、個人情報データベース等に該当する可能性があります。この区別は、第三者提供、開示等請求、安全管理措置、漏えい等報告の範囲を考えるうえで重要です。

次の比較表は、要配慮個人情報に含まれる主要類型と実務上の例、注意点を示しています。類型ごとに取得場面や社内共有のリスクが異なるため重要です。どの項目が自社のフォーム、労務手続、顧客対応、研究・分析に入り込むかを読み取ってください。

類型実務上の例注意点
人種人種・民族に関する明示的記載国籍、外国人であること、肌の色だけで直ちに該当するとは限りませんが、文脈によって慎重な判断が必要です。
信条宗教、思想、政治的信条に関する明示的情報宗教書購入履歴や政治新聞購読履歴は推知情報にとどまる場合がありますが、プロファイリング利用では別途慎重な検討が必要です。
社会的身分出自、非嫡出、一定の社会的地位に関する情報採用・人事での利用は特に高リスクです。
病歴がん、精神疾患、感染症、既往症など受診した事実、診療内容、診断書、休職理由との関係に注意します。
犯罪の経歴前科、刑の執行、過去の有罪判決など採用、取引審査、反社会的勢力チェックで問題になりやすい情報です。
犯罪により害を被った事実犯罪被害者であること性犯罪、DV、詐欺被害などの情報は二次被害防止が重要です。
障害身体障害、知的障害、精神障害、発達障害、難病など合理的配慮、雇用管理、サービス提供で必要性と共有範囲を限定します。
健康診断等の結果健康診断、人間ドック、ストレスチェック、一定の遺伝子検査等の結果法令に基づく取得か、本人同意が必要な取得かを整理します。
医師等による指導・診療・調剤診療録、検査、投薬、薬歴、病院・薬局利用の事実など医療機関、薬局、保険者、雇用者の間の提供に注意します。
刑事事件手続逮捕、捜索、起訴、公判、判決等に関する手続情報有罪・無罪の別にかかわらず問題となる可能性があります。
少年保護事件手続少年事件に関する調査、審判、保護処分など本人の将来への影響が大きいため、厳格な管理が必要です。

推知情報は自由に使える情報ではありません

宗教書を購入した、特定の政治新聞を購読している、特定の地域の病院に通っている、車いす対応席を予約したといった情報は、信条、病歴、障害を推知させることがあります。個人情報保護委員会のQ&Aでは、宗教書籍の購買や政治関係新聞の購読に関する情報について、それ自体は信条を推知させる情報にとどまり、直ちに要配慮個人情報には該当しないとの整理が示されています。

ただし、推知情報であっても、差別、排除、不利益な評価、広告配信、AIスコアリングに使われれば、プライバシー侵害、消費者保護、労務、広告倫理、AIガバナンス上の問題が生じます。法的分類とリスク管理は分けて検討する必要があります。

Section 03

要配慮個人情報を本人同意なく取得できる例外事由

例外は便利な抜け道ではなく、必要性と同意取得困難性の記録が求められる場面です。

要配慮個人情報の取得には本人同意が原則として必要ですが、個人情報保護法は例外を設けています。例外を使う場合でも、取得した情報を自由に利用できるわけではありません。取得目的、利用範囲、保存期間、共有先、事後説明、削除予定を記録することが重要です。

次の比較表は、取得同意の例外事由、典型例、実務上の注意点を並べています。例外ごとに求められる要件や記録すべき内容が異なるため重要です。自社の場面がどの類型に近いか、また法令上必要な範囲を超えていないかを読み取ってください。

例外類型典型例実務上の注意
法令に基づく場合労働安全衛生法に基づく健康診断結果の取得など法令上必要な範囲を超える取得には、本人同意が必要になる可能性があります。
生命・身体・財産の保護急病人の病歴を家族から聞く、犯罪被害防止のため必要な情報を得る場合必要性と本人同意取得困難性の記録が重要です。
公衆衛生・児童健全育成感染症対策、児童虐待防止等で特に必要な場合目的外利用や過剰共有を避けます。
国等への協力行政機関の法令事務への協力本人同意取得が事務遂行に支障を及ぼすことが必要です。
学術研究学術研究機関等による研究目的取扱いなど権利利益を不当に侵害するおそれがある場合は除外されます。
本人等による公開本人がSNS等で明らかに公開した情報など第三者が勝手に公開した情報の収集は別問題です。
視認・撮影により明らか店舗防犯カメラに車いす利用者が映る場合など取得目的、保存期間、閲覧権限を限定します。
委託・事業承継・共同利用委託先が処理する、合併で引き継ぐ、共同利用する場合形式だけでなく実態が該当するか確認します。

社内規程や契約書は法令ではありません

法令に基づく場合とは、法律、政令、省令、条例等に基づく場合です。社内規程、就業規則、利用規約、契約書、同意書は、ここでいう法令ではありません。会社独自のメンタルヘルスアンケート、詳細な既往症申告、家族の病歴、遺伝情報、服薬情報を求める場合は、本人同意や必要性の説明が問題になります。

緊急時や公開情報でも記録を残します

生命・身体・財産保護の例外は、急病人の救護、災害時の安否確認、犯罪被害の拡大防止、詐欺被害の連鎖防止などで重要です。しかし、業務上便利、本人に聞くのが面倒、同意取得に時間がかかるという理由では足りません。どの権利利益を保護する必要があったか、情報項目、本人同意取得が困難だった理由、取得先、利用範囲、共有先、事後説明、保存期間を記録します。

本人が自ら公開した要配慮個人情報は、一定の例外に該当する可能性があります。他方で、第三者が暴露した情報、まとめサイトの情報、SNSで拡散された情報、報道記事の切り抜き、掲示板投稿を企業がデータベース化して利用する場合は、本人による公開と同視できるとは限りません。

例外適用時の判断順序を整理します。この判断の流れは、現場が「例外に見える」場面を法務・個人情報保護担当へ上げるために重要です。上から順に確認し、例外を使う場合でも目的・範囲・記録を残すという結論を読み取ってください。

例外事由の確認順序

取得したい情報を特定

情報項目、本人属性、取得場面を整理します。

本人同意を取得できるか確認

取得前に説明できる場合は、明示的な同意取得を基本にします。

困難
例外根拠を審査

法令、緊急保護、公衆衛生、国等への協力などの要件を記録します。

可能
説明と同意ログを設計

取得項目、目的、共有範囲、保存期間を本人に示します。

利用範囲と削除方針を限定

例外でも自由利用はできないため、目的外利用や過剰共有を避けます。

Section 04

要配慮個人情報の第三者提供・委託・越境移転の同意設計

取得同意だけで、第三者提供や外国にある第三者への提供まで許されるわけではありません。

取得同意と第三者提供同意は分けます

要配慮個人情報の取得について本人同意を得ていても、それだけで第三者提供が許されるわけではありません。個人データを第三者に提供する場合には、原則として第三者提供について本人同意が必要です。さらに、要配慮個人情報を含む個人データでは、オプトアウト方式による第三者提供は認められません。

第三者提供を伴う同意画面では、取得・利用への同意と第三者提供への同意を別項目にし、提供先の範囲、提供する情報項目、提供目的、提供方法、安全管理措置の概要、同意撤回後の取扱いを説明します。

第三者提供、委託、事業承継、共同利用、外国にある第三者への提供は、似ていても法的な整理が異なります。次の比較表は、各場面で確認すべき要点を示すものです。どの類型なら第三者提供に当たらない可能性があるか、また別途情報提供や契約管理が必要になるかを読み取ってください。

場面実務上の整理確認ポイント
国内第三者提供原則として第三者提供同意を検討します。要配慮個人情報を含む個人データではオプトアウト方式を使えません。
委託処理を委託する範囲では第三者提供に当たらない場合があります。委託先が自社分析、広告、AI学習などに使うと委託範囲を超える可能性があります。
事業承継合併、会社分割事業譲渡等に伴う承継として整理できる場合があります。承継前の利用目的の範囲、データルーム開示、段階的開示を確認します。
共同利用一定事項を本人が知り得る状態にしたうえで共同利用できる場合があります。共同利用者の範囲、利用目的、項目、管理責任者を実態に合わせます。
外国にある第三者への提供国内第三者提供とは別に越境移転の規律を検討します。移転先国、保護制度、提供先の保護措置などの情報提供が問題になります。
第三者からの受領提供元の適法な取得と提供同意・例外根拠を確認します。表明保証、利用制限、再提供制限、漏えい時通知、削除義務を契約で定めます。

提供を受ける側も確認義務を設計します

企業が第三者から要配慮個人情報の提供を受ける場合、提供元が適法に取得し、第三者提供について必要な同意または例外根拠を有しているかを確認します。契約書では、適法取得の表明保証、要配慮個人情報を含む場合の明示、取得同意・第三者提供同意・越境移転同意の取得状況、利用制限、再提供・再委託の制限、安全管理措置、漏えい等発生時の通知・協力、本人請求への協力、監査権または報告義務、契約終了時の返還・削除を定めます。

委託先や提供先との契約で確認すべき条項を整理します。この一覧は、同意取得だけではコントロールできない処理範囲、再委託、事故時協力を契約で補うために重要です。各項目から、提供前に契約・運用・証跡をそろえる必要があることを読み取ってください。

適法取得の表明保証

提供元が本人同意または例外根拠を備えていることを確認します。

情報項目と利用目的の限定

提供対象と利用範囲を特定し、二次利用やAI学習を別管理にします。

再提供・再委託の制限

再委託先や再提供先に要配慮個人情報が広がるリスクを抑えます。

安全管理と監査

アクセス制御、ログ、暗号化、報告義務、監査権を契約と運用に反映します。

漏えい時の通知・協力

報告期限、本人通知、原因調査、再発防止への協力範囲を明確にします。

返還・削除

契約終了時や同意撤回時に、返還・削除・証跡保存の扱いを定めます。

Section 05

要配慮個人情報の同意取得実務と雇用・健康情報の管理

従業員の健康情報は、法令上の取得と任意取得、本人同意、共有範囲が重なります。

雇用管理分野では、健康診断結果、ストレスチェック結果、診断書、休職理由、復職可否、産業医意見、障害者手帳情報、合理的配慮の希望、労災・傷病手当金・休職申請に伴う情報など、多くの要配慮個人情報が発生します。要配慮個人情報に該当しない健康情報についても、それに準じて慎重に取り扱うことが重要です。

次の比較表は、雇用・労務で扱う健康情報について、取得根拠の検討と共有範囲を示しています。従業員との力関係があるため、同意の任意性と閲覧範囲の限定が特に重要です。右列から、上司へ詳細を渡すのではなく、業務上必要な措置に変換する考え方を読み取ってください。

情報取得根拠の検討共有範囲
法定健康診断結果法令上の義務・必要範囲として整理します。人事労務、産業保健スタッフ等に限定します。
就業上の措置に必要な医師意見法令上の枠組みで扱います。配置判断に必要な最小限にします。
診断書休職・復職等の申請に必要な場合が多い一方、取得範囲の限定が必要です。上長には業務配慮に必要な要約のみが望まれます。
ストレスチェック結果本人同意なく事業者へ提供してはいけない特別な運用があります。本人同意がある場合でも閲覧者を厳格に限定します。
障害者手帳情報雇用率、合理的配慮、助成金等との関係で必要性を整理します。人事・労務・必要な管理者に限定します。
治療内容・薬歴通常は詳細取得の必要性が低い情報です。原則として産業保健職等に限定します。

ストレスチェック結果は同意の強要を避けます

ストレスチェック制度では、検査結果を実施者等から事業者へ提供するには労働者本人の同意が必要です。事業者は結果提供の同意を強要してはいけません。「同意しない者は人事評価で不利になる」と受け取られる説明、結果の詳細を上司が閲覧できる設計、本人同意前に人事部が結果一覧を受領する設計、集団分析結果から小規模部署の個人が推知される設計、同意ログを残さない口頭同意運用は避けます。

管理職へ共有する内容は措置情報に寄せます

管理職は部下の健康状態を知らなければ配慮できない場合があります。しかし、上司に病名、服薬、診療内容、心理状態、家庭事情を詳細に共有する必要があるとは限りません。産業医・保健師・人事労務担当が詳細情報を管理し、管理職には時間外労働制限、深夜勤務回避、重量物運搬回避、通院日の勤務配慮、一定期間の出張回避、業務量の段階的増加、本人の希望する連絡方法などに変換して伝えます。

業種・場面ごとの論点を整理します。この一覧は、同じ要配慮個人情報でも、医療、採用、金融、旅行、研究、AI分析で利用目的と本人の期待が変わるため重要です。自社のサービスがどの領域に近いかを読み取り、同意・例外・委託・越境移転を個別に検討してください。

医療・ヘルスケア

病歴、診療情報、薬歴、健康診断結果、睡眠、心拍、血糖、メンタルヘルスを、医療提供、保険請求、研究利用、マーケティング、AI学習に分けて検討します。

健康情報

人材・採用

応募者に病歴、障害、妊娠、治療、服薬、犯罪歴、犯罪被害歴、信条等を安易に質問せず、合理的配慮希望欄を別管理にします。

採用差別

金融・保険・与信

法令上必要な確認、契約審査、任意取得、外部データベース取得を分け、スクレイピング利用の差別的影響に注意します。

審査

旅行・宿泊・飲食・イベント

食物アレルギー、宗教上の食事制限、車いす利用、補助犬同伴、医療的配慮を、安全確保と必要最小限の共有に限定します。

安全確保

教育・研究・アンケート

研究倫理審査、インフォームド・コンセント、撤回、匿名化、二次利用、共同研究先、海外移転を一体で設計します。

研究
AI

AI・データ分析

学習データ、推知属性、利用目的、差別的効果、海外AIベンダー、同意撤回時の説明可能性を確認します。

分析利用
Section 06

要配慮個人情報の同意取得前から削除までの実務手順

データマッピング、最小化、法的根拠、同意文面、保存、撤回・削除を連続した運用にします。

要配慮個人情報は、取得しないことが最も強いリスク低減策です。取得前に、自社がどこで要配慮個人情報を扱っているかを棚卸しし、法務部だけでなく、人事、総務、営業、カスタマーサポート、開発、マーケティング、情報システム、内部監査、委託先管理部門が関与します。

取得前から削除までの順番を時系列で整理します。この時系列は、同意取得を単発の文面作成で終わらせず、保存・アクセス制御・撤回・削除まで運用に落とすために重要です。上から順に、どの段階で何を記録し、誰が確認するかを読み取ってください。

Phase 01

データマッピング

取得場面、情報項目、本人属性、取得方法、根拠、利用目的、保存場所、アクセス権限、共有先、委託先、越境移転、保存期間、削除方法、同意ログ、漏えい時の影響度を棚卸しします。

Phase 02

必要性・最小化の審査

病名ではなく勤務制限情報で足りないか、診断書原本ではなく就業可否の意見書で足りないか、自由記述ではなく選択式で足りないかを確認します。

Phase 03

法的根拠の整理

本人同意、法令、生命・身体・財産保護、公衆衛生、国等への協力、学術研究、公開情報、視認・撮影、委託・事業承継・共同利用に分類します。

Phase 04

同意文面と画面設計

概要説明と詳細説明を分け、取得情報、必要性、利用者、提供先、同意しない場合の影響、問い合わせ先を示します。

Phase 05

保存・アクセス制御

一般の顧客情報・従業員情報とは別の権限グループに分離し、閲覧、編集、出力、ダウンロード、API連携を制限します。

Phase 06

同意撤回・利用停止・削除

将来利用の停止、法令上保存が必要な情報、委託先・共同利用先・第三者提供先への削除依頼、バックアップ、AI学習済みモデルとの関係を整理します。

保存・アクセス制御で検討する管理策

取得後は、同意の範囲を超えて閲覧・出力・複製されないように管理します。役割ベースのアクセス権限、最小権限、定期的な権限レビュー、閲覧ログ、出力ログ、ダウンロードログ、CSVエクスポート制限、暗号化、認証強化、管理者権限の分離、委託先アクセス制御、本番データの開発・検証環境利用制限、退職者・異動者の権限削除、紙書類の施錠保管・廃棄証跡を検討します。

取得根拠の分類を実務で迷わないよう、確認順序をまとめます。この判断の流れは、現場申請を法務・セキュリティ・労務へつなぐために重要です。上から下へ進め、曖昧な場合は取得目的、必要性、本人への影響、代替手段をレビューに回すことを読み取ってください。

取得前審査の判断順序

情報項目と利用目的を特定

要配慮個人情報または推知情報が含まれるか確認します。

取得しない選択を検討

粒度を下げる、選択式にする、要約情報に変換する方法を探します。

根拠を分類

同意、法令、例外、委託・共同利用などに分けます。

説明・ログ・権限を設計

同意文面、保存場所、アクセス権限、撤回窓口をセットで確認します。

Section 07

要配慮個人情報の同意文例・社内規程・漏えい時対応

文例は出発点にとどめ、規程、承認、監査、事故対応まで整えます。

同意文例は事案に合わせて調整します

同意文例は、業種、取得項目、提供先、保存期間、本人属性、利用目的に応じて調整します。たとえば顧客向けの健康・アレルギー情報では、サービス提供と安全確保のために取得する情報、委託先への必要最小限の連絡、法令や生命・身体・財産保護の場合を除く第三者提供制限を説明します。

従業員向けの診断書・復職判断では、休職、復職、就業上の配慮、安全配慮義務の履行、労務管理のために取得すること、人事労務担当、産業医、保健師等が取り扱うこと、所属長には就業上必要な配慮事項または勤務上の制限に関する情報に限定して共有することを示します。病名、治療内容、服薬内容等の詳細は、業務上必要な場合を除き所属長に共有しない設計が望まれます。

第三者提供同意では、提供先、提供する情報項目、提供目的、提供方法、保存期間、同意撤回の方法を示します。外国にある第三者への提供では、移転先の国または地域、提供先、情報項目、目的、当該国または地域の個人情報保護制度、提供先が講ずる保護措置を説明します。自由記述欄には、病歴、障害、犯罪被害、信条、その他要配慮個人情報に該当する情報を記載しないよう案内し、必要な場合は専用フォームへ誘導します。

文例に入れるべき項目を整理します。この一覧は、文面を長くするためではなく、本人が判断でき、企業が後日説明できる同意にするために重要です。各項目を、自社の取得場面に合わせて具体化する必要があることを読み取ってください。

Text

取得情報

要配慮個人情報を含む可能性がある情報項目を具体的に示します。

Purpose

利用目的

サービス提供、安全確保、労務管理、研究、問い合わせ対応などを分けて説明します。

Share

共有範囲

社内閲覧者、委託先、第三者提供先、外国にある第三者への提供を区別します。

Control

保存・撤回

保存期間、削除方針、同意撤回、問い合わせ窓口を示します。

社内規程と取得前審査を整えます

要配慮個人情報の取扱規程には、定義、取得禁止の原則、取得できる場合、取得前審査、本人同意の方法、例外事由を用いる場合の承認・記録、利用目的の特定・明示、第三者提供・越境移転の審査、委託先管理、共同利用管理、アクセス権限、保存期間、削除・廃棄、本人問い合わせ、漏えい等対応、教育・監査、違反時の報告・是正を定めます。

取得前審査の承認順序を整理します。この順序は、現場の入力フォーム、アンケート、キャンペーン、採用施策、健康施策、AI分析、委託先変更を見落とさないために重要です。各部門がどの観点を確認するかを読み取り、承認後に文面・画面・規程・ログ設計を保存してください。

取得前審査の承認順序

事業部門が申請

取得目的、情報項目、利用場面、委託先を申告します。

個人情報保護担当が一次判定

要配慮個人情報の該当性と推知情報のリスクを確認します。

法務が根拠と同意文面を確認

取得根拠、第三者提供、越境移転、契約条項を審査します。

セキュリティ・労務が運用を確認

保存場所、アクセス制御、ログ、健康情報の閲覧範囲を確認します。

承認後に定期監査

文面、画面、規程、同意ログ、権限を保存し、運用開始後に監査します。

漏えい等発生時の初動を決めておきます

要配慮個人情報が含まれる個人データの漏えい等またはそのおそれは、報告対象事態になりやすいものです。病歴、障害、ストレスチェック結果、診断書、犯罪被害、信条等が漏えいした場合、本人の被害は迷惑メール受信にとどまらず、雇用、家族関係、学校、地域社会、保険、金融、取引関係に波及する可能性があります。

漏えい等が疑われる場面の対応順序を整理します。この順序は、要配慮個人情報の有無、報告要否、本人通知、二次被害防止を短時間で判断するために重要です。上から順に、拡大防止と事実調査を並行しつつ、通知文の内容が二次漏えいにならないよう注意することを読み取ってください。

Step 01

検知・通報

現場、委託先、セキュリティ監視、本人問い合わせ、メディア報道などから事案を把握します。

Step 02

拡大防止

アクセス遮断、アカウント停止、誤送信先への削除依頼、公開URL停止、委託先への停止指示を行います。

Step 03

事実調査

情報項目、本人範囲、件数、要配慮個人情報の有無、原因、発生時期、外部流出の有無を確認します。

Step 04

報告要否判定

要配慮個人情報、財産的被害、不正目的、件数などを踏まえ、委員会報告と本人通知の要否を判断します。

Step 05

本人通知

概要、対象情報、原因、二次被害のおそれ、問い合わせ窓口、本人が取れる措置を過不足なく伝えます。

Step 06

再発防止

技術的対策、運用改善、教育、委託先契約見直し、権限削減、ログ監視強化を行います。

重要本人通知に要配慮個人情報の詳細を再掲しすぎると、通知そのものが二次漏えいリスクになります。本人確認、郵送・メール宛先、封筒表記、件名、社内共有範囲にも配慮します。
Section 08

要配慮個人情報の同意取得実務でよくある質問

個別事案の判断ではなく、制度と実務上の考え方を一般情報として整理します。

Q1. 要配慮個人情報は、本人が自分で入力したなら同意取得不要ですか。

一般的には、本人が自ら提供した場合に取得について同意があったと解される場面はあります。ただし、第三者提供、越境移転、二次利用、AI学習、採用・評価利用など、本人の合理的期待を超える利用では、別途明示的な説明・同意が必要または望ましい場合があります。具体的な対応は、フォーム設計、利用目的、提供先、本人との関係を整理したうえで専門家へ相談する必要があります。

Q2. 宗教書の購入履歴や政治新聞の購読履歴は要配慮個人情報ですか。

一般的には、それ自体は信条を推知させる情報にとどまり、直ちに要配慮個人情報には該当しないと整理される場面があります。ただし、推知情報を用いた差別的取扱い、広告配信、プロファイリングは別途リスクがあります。具体的な分類や利用可否は、利用目的、分析方法、本人への影響によって変わるため、専門家へ相談する必要があります。

Q3. 防犯カメラに車いす利用者が映った場合、事前同意が必要ですか。

一般的には、外形上明らかな要配慮個人情報を視認または撮影により取得する場合には、取得同意の例外に当たり得ます。ただし、防犯目的で取得した映像を別目的で分析・公開・共有する場合は、利用目的、保存期間、アクセス権限、本人への説明を別途検討する必要があります。

Q4. 従業員の診断書を上司に共有してよいですか。

一般的には、共有の必要性と範囲を厳格に限定する考え方が重要です。上司に必要なのは、病名や治療内容ではなく、勤務上の配慮事項や就業制限で足りることが多いとされています。ただし、職務内容、職場環境、安全配慮、本人同意の有無によって判断が変わるため、具体的には専門家へ相談する必要があります。

Q5. ストレスチェック結果は会社が取得できますか。

一般的には、ストレスチェック結果を実施者等から事業者へ提供するには本人同意が必要であり、同意の強要は避ける必要があります。取得する場合でも、閲覧者、利用目的、保存期間、本人への説明を厳格に管理します。具体的な運用は労働安全衛生法令や社内体制によって変わるため、専門家へ相談する必要があります。

Q6. 要配慮個人情報を含む個人データをオプトアウトで第三者提供できますか。

一般的には、要配慮個人情報を含む個人データは、オプトアウト方式による第三者提供の対象外とされています。第三者提供を行う場合は、本人同意、法令上の例外、委託、事業承継、共同利用などの該当性を検討する必要があります。具体的な整理は提供先、目的、契約関係によって変わります。

Q7. 海外クラウドに保存するだけで外国第三者提供になりますか。

一般的には、外国にある第三者への提供に該当するかは、クラウド事業者の取扱実態、委託該当性、契約内容、アクセス可能性、外国にある第三者の該当性などによって判断されます。越境移転では、同意、相当措置、委託先管理、情報提供を確認する必要があります。

Q8. 同意を取得していれば、どの部署でも閲覧できますか。

一般的には、同意は無制限な閲覧権限を与えるものではありません。利用目的の達成に必要な範囲で、最小限の者にアクセスを限定する必要があります。具体的には、部門、職務、システム権限、ログ管理、保存期間を整理して運用を決めます。

Q9. 本人が同意を撤回した場合、必ず全データを削除しなければなりませんか。

一般的には、法令上保存が必要な情報、契約履行・紛争対応に必要な情報、監査証跡として保存すべき情報がある場合、直ちに全削除できないことがあります。ただし、将来利用の停止、共有先への通知、保存目的の限定、本人への説明は重要です。具体的な対応は保存根拠と利用状況によって変わります。

Q10. M&Aで対象会社が保有する要配慮個人情報を確認できますか。

一般的には、デューデリジェンスでは取得根拠、同意文面、第三者提供、委託先、漏えい履歴、アクセス権限を確認する必要があります。ただし、買主候補へのデータルーム開示自体が第三者提供に該当する可能性があります。匿名化、マスキング、閲覧制限、段階的開示、秘密保持契約、法的根拠を確認する必要があります。

Section 09

要配慮個人情報の同意取得実務チェックリスト

取得前、同意画面、運用、労務・健康情報の4段階で確認します。

チェックリストは、現場申請、法務レビュー、セキュリティ確認、内部監査で同じ観点を使うために重要です。次の一覧では、段階ごとに確認すべき事項をまとめています。各項目を済ませるだけでなく、誰が確認し、どこに証跡を保存するかまで読み取ってください。

Before

取得前チェック

  • 要配慮個人情報と推知情報の有無を確認します。
  • 差別・不利益リスクを評価します。
  • 取得目的を具体的に特定します。
  • 必要最小限の項目に削減します。
  • 自由記述欄のリスクを検討します。
  • 取得根拠を本人同意、法令、例外事由等に分類します。
  • 例外事由を使う場合は理由と証跡を残します。
  • 同意しない場合の影響を説明できるようにします。
  • 利用目的を事前に明示または公表します。
  • 未成年者、成年後見等、障害者への説明方法を検討します。
Consent

同意画面・同意書チェック

  • 取得する情報項目を具体的に記載します。
  • 利用目的を具体的に記載します。
  • 取得主体を明示します。
  • 第三者提供の有無を明示します。
  • 越境移転の有無を明示します。
  • 委託先・共同利用の有無を整理します。
  • 保存期間または削除方針を記載します。
  • 問い合わせ窓口を記載します。
  • チェック欄をデフォルトオフにします。
  • 同意文面の版を管理します。
Operation

運用チェック

  • 同意ログを保存します。
  • アクセス権限を限定します。
  • 閲覧・出力・ダウンロードログを取得します。
  • 委託先契約に安全管理、再委託、削除、漏えい時通知を定めます。
  • 第三者提供記録を管理します。
  • 同意撤回・訂正・削除の窓口を設けます。
  • 保存期間満了後の削除を実施します。
  • 社内研修を実施します。
  • 内部監査の対象にします。
  • 漏えい時の報告・本人通知手順を整備します。
Labor

労務・健康情報チェック

  • 法令に基づく健康情報と任意取得情報を区別します。
  • ストレスチェック結果の本人同意を適切に管理します。
  • 産業医・保健師・人事・上司の閲覧範囲を分けます。
  • 上司への共有は勤務配慮情報に限定します。
  • 診断書・主治医意見の取得範囲を限定します。
  • 本人に不利益取扱いを示唆して同意を迫らない設計にします。
  • 派遣、出向、グループ会社間の提供を整理します。
  • 健康保険組合等から会社への提供について同意または共同利用等を確認します。
Section 10

要配慮個人情報の同意取得実務を担う部門とまとめ

法務だけで抱えず、各部門の役割を決めてガバナンスとして運用します。

要配慮個人情報の同意取得実務は、法務部だけでは完結しません。次の比較表は、各専門職・部門の主な役割を示しています。役割分担が曖昧だと、同意文面だけ整っても、アクセス制御、委託先管理、漏えい対応が抜けやすくなるため重要です。自社で誰がどの責任を持つかを読み取ってください。

専門職・部門主な役割
法務担当・企業内弁護士法的根拠、同意文面、第三者提供、契約、紛争対応を設計します。
外部弁護士高リスク案件、行政対応、M&A、訴訟、越境移転、業法論点をレビューします。
個人情報保護・プライバシー担当データマッピング、規程整備、本人対応、同意ログ、委託先管理を担います。
コンプライアンス担当社内ルール、研修、違反時報告、内部通報対応を整えます。
労務法務担当・社労士従業員健康情報、休職・復職、ストレスチェック、合理的配慮を設計します。
IT・セキュリティ担当アクセス制御、ログ、暗号化、システム設計、クラウド管理を担います。
内部監査担当規程と運用の一致、権限、証跡、委託先管理を検証します。
事業部門取得目的の説明、最小化、現場運用、本人説明を実施します。
経営層・取締役リスク許容度、ガバナンス、重大漏えい時の説明責任を担います。

最後に、要配慮個人情報の同意取得実務の到達点を強調します。この重要ポイントは、同意取得を形式的な書面から企業ガバナンスへ広げるために重要です。分類、最小化、説明、分離、記録、制限、備えを一体で運用することを読み取ってください。

同意取得を「書面」から「ガバナンス」へ広げます

要配慮個人情報は、企業にとって価値あるデータである前に、本人の人生に深く関わる情報です。本人が納得し、企業が説明でき、監査に耐え、事故時にも被害を最小化できる仕組みを構築することが、実務上の到達点です。

実務で失敗を避けるには、どの情報が要配慮個人情報かを分類し、取得しなくてよい情報を減らし、本人が判断できる情報を取得前に示し、取得・利用・第三者提供・越境移転・二次利用・AI学習の同意を必要に応じて分けます。さらに、同意ログ、同意文面、例外事由、第三者提供、撤回履歴を保存し、閲覧者、共有先、保存期間、委託先、再利用を限定し、漏えい等発生時に本人通知と委員会報告を迅速に行える体制を整えます。

Reference

参考資料

個人情報保護法、ガイドライン、Q&A、雇用管理・越境移転に関する公的資料を基に整理しています。

公的資料

  • 個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン(通則編)」
  • 個人情報保護委員会「個人情報の保護に関する法律についてのガイドラインに関するQ&A」
  • 個人情報保護委員会「雇用管理分野における個人情報のうち健康情報を取り扱うに当たっての留意事項」
  • 個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン(外国にある第三者への提供編)」
  • 個人情報保護委員会「個人情報保護法等」