要配慮個人情報とは

2026.03.19.

「要配慮個人情報」という言葉を聞くことがあります。
2017年施行の個人情報保護法の改正によってできた概念で、2条3項にて「本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める記述等が含まれる個人情報」と定義されています。
個人情報※1の中で一定のものが、要配慮個人情報ということになります。
より具体的にはガイドライン（通則編）2-2-3にて11項目挙げられています。
https://www.ppc.go.jp/personalinfo/legal/guidelines_tsusoku/#a2-3

通常の個人情報と要配慮個人情報については大きく違いが3点あります。

①要配慮個人情報を取得するには、原則として本人の同意が必要
個人情報保護法は第1条にて「個人の権利利益を保護することを目的と」していることがわかりますが、それは同時に「個人情報の有用性に配慮しつつ」、として、その有用性に言及しています。有用性に配慮しているため適正な取得であれば個人情報の取得自体に本人の同意は必要ありません（法20条）。しかし、要配慮個人情報となると「あらかじめ本人の同意を得ないで、要配慮個人情報を取得してはならない」とされています。ただ法令に基づく場合等、一定の場合には、本人の同意を得ないで取得することが可能です。
事業者が法令に基づき、労働者の健康診断の結果を取得することには本人の同意は必要ないとされています。
（雇用管理分野における個人情報のうち健康情報を取り扱うに当たっての留意事項）
https://www.ppc.go.jp/personalinfo/legal/ryuuijikou_health_condition_info/

②オプトアウトによる第三者提供の禁止
オプトアウトとは本人の求めに応じて第三者への提供を停止する、として個人データ※2を第三者に提供すること（一定の条件を満たせば個別事前の本人の同意を得ないでも第三者提供ができる）ことを言います。要配慮個人情報はオプトアウトによる第三者提供が認められていません。（法27条）

③漏えい、滅失時の対応
不正な方法・財産的被害が生じる恐れがある場合以外では、通常の個人データは1000人以上の漏えい、滅失等で個人情報保護委員会への報告や本人通知の対象となりますが、要配慮個人情報が含まれている場合には件数によらず報告、本人通知の対象となります。（施行規則7条）

企業の人事活動の中では個人情報に触れる機会は多く、慎重に取り扱われているものと思いますが、意図せず要配慮個人情報を収集してしまうことも考えられます。
いま一度要配慮個人情報の定義や、通常の個人情報との違いについて確認しておき、場合によっては取得や消去の業務フローを見直すと安心かと思います。

※1個人情報
個人情報保護法で定義される個人情報とは①氏名、生年月日その他の記述等により、特定の個人を識別することができる、もしくは②個人識別符号（マイナンバーや基礎年金番号等）が含まれる、いずれかに当てはまる情報のこと
※2個人データ
個人情報データベース（特定の個人情報を検索することができるように体系的に構成したもの）等を構成する個人情報のこと

（遠藤）