要配慮個人情報とは？具体例と実務で必要な取扱いルールを紹介

「病歴」「犯罪歴」「障害の有無」――こうした情報は、万が一漏れてしまった場合に、本人が不当な差別や偏見にさらされるおそれがあります。そのため個人情報保護法（以下「法」）は、これらを「要配慮個人情報」として通常の個人情報よりも厳格な取扱いルールを設けています（法2条3項）。

「自社が扱っている情報は要配慮個人情報に該当するのか？」
「該当する場合、何をしなければならないのか？」
といった実務上よくある疑問に関して、要配慮個人情報の定義と具体例を整理したうえで、実務上押さえるべき3つの特別ルールを解説します。

さらに、2026年12月に施行される日本版DBS（こども性暴力防止法）による要配慮個人情報の取扱い上の注意点についても取り上げます。

要配慮個人情報の定義

法による定義は、次のようになっています。

この法律において「要配慮個人情報」とは、本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める記述等が含まれる個人情報をいう。

法2条3項

まず本人の「人種」です。
この人種とはいわゆる人種や世系（※先祖代々続いている血統）、民族的または種族的出身を意味し、例えば「日系2世」「在日韓国人」などが該当します。
なお、単純な国籍や「外国人」という情報は法的地位であるとして、それだけでは人種には該当しないとされています（ガイドライン通則編 2-3より）。

「信条」とは、個人の思想や信仰で、基本的なものの見方や考え方を意味します。

「社会的身分」とは、個人の境遇に固着していて、自らの力によってそれから脱却することができないような地位を意味します。例えば「非嫡出子である」「同和地区出身」といったものが該当しますが、「学歴」や「代表取締役である」といった情報は該当しません。

「病歴」とは病気に罹患した経歴を意味します。例えば「胃がんである」や「精神病院に通院している」といったものが該当しますし、症状の軽い風邪のようなものであっても、その検査・治療のために近所のクリニックを受診していれば、その診療情報も病歴に該当します。
なお、たとえば「血中酸素飽和度が高い」といった情報は、病気を推認させるだけの情報であるとして、要配慮個人情報に該当しないと考えられますが、これが健康診断結果であれば下記(2)に該当し、要配慮個人情報に該当しますので注意が必要です。

「犯罪の経歴」とは、前科、つまり有罪の判決を受けてこれが確定した事実を意味します。また受刑の経歴も含むとされています（Q&A 1-30より）。ただし、犯罪行為を記録した防犯カメラ映像などは該当しません（Q&A 1-31より）。

「犯罪により害を被った事実」とは、身体的・財産的などその被害の種類にかかわらず、犯罪の被害を受けた事実を意味します。

最後の「本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するもの」については、政令および個人情報保護委員会規則で次の5つが定められています。

(1)身体障害、知的障害、精神障害（発達障害を含む）などの心身の機能の障害があること

主に以下のような情報です。
・身体障害者福祉法別表に掲げる身体上の障害があることを診断されたこと
・身体障害者手帳、療育手帳、精神障害者保健福祉手帳の交付を受けて所持している（所持していた）こと
・外見上明らかに別表に掲げる身体上の障害があること
・知的障害があるとの診断
・精神障害や発達障害があるとの診断
・特殊の疾病により継続的に日常生活や社会生活に相当な制限を受けているとの診断

(2)医師等によって行われた健康診断その他の検査の結果

人間ドックなど任意で受けたものを含む健康診断結果が主なものですが、健康診断を受診したという事実はこれには含まれません。また、身長や体重などを医師等が計測したのであればその結果は該当しますが、自分で計測した場合は該当しません。

(3)健康診断等の結果に基づき、又は疾病、負傷その他の心身の変化を理由として、本人に対して医師等により心身の状態の改善のための指導又は診療若しくは調剤が行われたこと

結果に基づいて医師や保健師が行う保健指導の内容や薬局等で処方された薬の内容だけでなく、指導や調剤が行われたという事実も含まれます。

(4)本人を被疑者または被告人として、逮捕、差押え、勾留、公訴などの刑事事件に関する手続きが行われたこと

本人に対する刑事手続きが行われたことが該当し、例えば他人の捜査のために取り調べを受けたというようなものは該当しません。

(5)本人に対して少年法に基づく調査、観護措置、審判、保護処分などの手続きが行われたこと

本人を非行少年またはその疑いのある者として、保護処分等の少年の保護事件に関する手続が行われたという事実が該当します。

以上のような情報が含まれる個人情報が「要配慮個人情報」に該当します。
そのため、たとえ第三者に知られた場合に本人に大きな不利益が生じるような情報であっても、上記のいずれかを含んでいない情報であれば、要配慮個人情報ではありません。

なお、「病歴」や上記（１）〜（３）からもわかるように、医療・介護・福祉分野の事業において取り扱う情報には要配慮個人情報が含まれる場合が多いといえますので、特に注意が必要です。

どのような情報が要配慮個人情報なのか、という点に関しては、法令上の規定は上記のとおりですが、『「医療・介護関係事業者における個人情報の適切な取扱いのためのガイダンス」に関するＱ＆Ａ』には下記のように具体的な例が記されているため、こちらのほうが参考になると思います。

診療録等の診療記録や介護関係記録に記載された病歴、診療や調剤の過程で、患者の身体状況、病状、治療等について、医療従事者が知り得た診療情報や調剤情報、健康診断の結果及び保健指導の内容、障害（身体障害、知的障害、精神障害等）の事実、犯罪により害を被った事実など

要配慮個人情報に対する特別のルール

要配慮個人情報には、通常の個人情報に適用されるルールに加え、以下の3つの特別なルールが適用されます。それぞれの内容と、実務上の注意点を見ていきましょう。

ルール1：取得するには、原則として本人の同意が必要

通常の個人情報は、あらかじめ利用目的を公表していれば、本人の同意がなくても取得すること自体は可能です。しかし、要配慮個人情報については、取得する時点で本人の同意を得ることが原則として必要です（法20条2項）。

同意の取り方

同意の方法について法律上の特定の形式は定められていませんが、後のトラブルを避けるためには、同意を得た事実を記録に残せる方法が望ましいといえます。具体的には次のような方法が考えられます。

• 書面（同意書）への署名・押印：紙の書類で同意を取得し、保管する方法です。対面でのやりとりが多い医療機関や福祉施設などで広く使われています。なお、書面等で直接取得する場合は、あらかじめ本人に対して利用目的を明示しなければなりません（法21条2項）。
• Webフォームでのチェックボックス：SaaSなどオンラインサービスの場合、要配慮個人情報に該当する情報を入力してもらう画面で、「以下の情報を取得・利用することに同意します」といったチェック欄を設ける方法です。
• メールでの明示的な承諾：「○○の情報を取得してもよろしいですか」という問いに対し、本人から承諾のメールをもらう方法です。

いずれの場合も、何の情報を、何の目的で取得するのかを本人が理解できるよう明示することが重要です。

同意が不要となる例外

法20条2項各号には、本人の同意を得なくても要配慮個人情報を取得できる例外が列挙されています。主なものは次のとおりです。

• 法令に基づく場合（例：労働安全衛生法に基づく健康診断結果の取得、感染症予防法に基づく届出など）
• 人の生命、身体または財産の保護のために必要で、本人の同意を得ることが困難な場合（例：意識不明の患者の病歴を救急搬送先の病院が取得する場合）
• 公衆衛生の向上または児童の健全な育成の推進のために特に必要で、本人の同意を得ることが困難な場合
• 本人が自ら公開している場合（例：自身のブログやSNSで病歴を公表している場合）
• 外見上明らかな場合（例：車いすを利用していることが外見上明らかであるなど）

なお、「法令に基づく場合」はあくまで法令上の義務や権限に基づく場合に限られます。自社の社内規程やガイドラインに基づく場合はこれには該当しませんので注意が必要です。

ルール2：オプトアウトによる第三者提供ができない

通常の個人データであれば、一定の事項をあらかじめ本人に通知（または本人が容易に知り得る状態に置く）し、個人情報保護委員会に届け出ることで、本人の同意なく第三者に提供できる仕組み（オプトアウト）があります（法27条2項）。
一般的に、名簿業者などがこの仕組みを利用しています。

しかし、要配慮個人情報はオプトアウトの対象外（法27条2項ただし書き）であるため、ルール１に従って原則として本人の同意が必要になります。

実務上のポイント

この制限が特に問題になりやすいのは、業務提携先やグループ会社との情報共有の場面です。たとえば、従業員の健康診断結果をグループの健康管理部門に共有するような場合、相手が別法人であれば「第三者提供」に該当するため、本人同意が必要です。

ただし、以下のような場合は第三者提供に該当せず、本人同意なしでの情報共有が認められます。

• 委託：業務の委託に伴って委託先に個人データを提供する場合（法27条5項1号）。例えば、健康診断の実施を外部機関に委託し、結果を受け取るようなケースです。
• 共同利用：あらかじめ共同利用する旨などを本人に通知等している場合（法27条5項3号）。

「委託」や「共同利用」として整理できないかを検討することが、実務上の現実的な対応策のひとつです。

なお、「委託」と「共同利用」については、別の記事もご参照ください。

個人情報の取扱いの委託とは？委託先の監督義務と“混ぜるな危険”問題

共同利用とは？実務目線で見る「委託」「第三者提供」との違い

ルール3：1件でも漏えい等が発生したら報告・通知が必要

通常の個人データの漏えいでは、一定の件数要件（1,000件超など）を満たした場合に個人情報保護委員会への報告と本人への通知が義務付けられます。しかし、要配慮個人情報については、たとえたった1件の漏えいであっても報告・通知義務が発生します（規則7条1号）。

報告のスケジュール

漏えい等の事態を知った場合、次の2段階の報告が必要です。

• 速報：事態を知った日から概ね3〜5日以内に、個人情報保護委員会に報告する（規則8条1項）。この時点では、把握している範囲での報告で構いません。
• 確報：事態を知った日から30日以内（不正アクセスなど故意による漏えい等の場合は60日以内）に、必要事項を網羅した報告を行う（規則8条2項）。

実務上のポイント

1件でも報告義務が生じるということは、たとえば従業員の健康診断結果が記載されたメールを誤送信してしまった場合や、障害者手帳のコピーを紛失してしまった場合でも、個人情報保護委員会への報告と本人への通知が必要になるということです。

このため、要配慮個人情報を取り扱う事業者は、漏えい発生時の初動対応フローをあらかじめ整備しておくことが重要です。
「誰が」「いつまでに」「何を」報告するのかを事前に決めておくことで、万が一の際にも迅速に対応できます。

なお、報告・通知の詳細については、下記の記事もご参照ください。

個人データが漏えいした場合に必要な対応

日本版DBSと要配慮個人情報の関係

2024年6月に成立した「こども性暴力防止法」（正式名称：学校設置者等及び民間教育保育等事業者による児童対象性暴力等の防止等のための措置に関する法律）により、いわゆる日本版DBSの制度が創設されました。施行日は2026年12月25日が予定されています。

日本版DBSとは、子どもと接する仕事に就く人について、事業者が特定の性犯罪に関する前科の有無をこども家庭庁に照会できる仕組みです。イギリスのDBS（Disclosure and Barring Service）を参考に設計されており、性犯罪歴のある人物が教育・保育の現場で子どもと接することを防ぎ、子どもの安全を守ることを目的としています。

対象となる事業者は、大きく2つに分かれます。

• 学校設置者等（学校・認可保育所・認定こども園・児童福祉施設など）：犯罪歴確認が義務
• 民間教育保育等事業者（学習塾・スポーツクラブ・認可外保育施設など）：国の認定を受けた場合に義務（認定を受けるかどうかは任意）

施行後、新規採用者については配置の直前に犯罪歴の確認が行われます。既に勤務している現職者についても、義務事業者は施行から3年以内に、認定事業者は認定から1年以内に全従事者の確認を完了する必要があり、その後は5年ごとに再確認が求められます。

なぜ要配慮個人情報と関係があるのか

本記事で解説したとおり、「犯罪の経歴」は要配慮個人情報に該当します。日本版DBSで照会・取得される特定性犯罪の前科情報は、まさにこの「犯罪の経歴」にあたるため、個人情報保護法上の要配慮個人情報としての取扱いルールが適用されます。

つまり、日本版DBSを利用する事業者は、こども性暴力防止法の遵守に加えて、個人情報保護法に基づく要配慮個人情報の取扱いルールにも同時に対応しなければならないのです。

なお、犯罪の経歴がない場合は、要配慮個人情報には該当しませんが、通常はその者の氏名とともに管理する情報になりますので、個人情報・保有個人データとして適切な管理が求められます。

事業者が押さえるべき情報管理のポイント

日本版DBSで取得した犯罪歴情報の管理にあたっては、こども性暴力防止法と個人情報保護法の双方の観点から、以下の点に注意が必要です。

• 利用目的の厳格な限定
  取得した犯罪歴情報を利用できるのは、児童に対する性暴力防止のための適格性確認に限られます。この情報を人事評価など他の目的に流用することは許されません。
• 厳格な情報管理体制の構築
  犯罪歴情報は極めて機微性の高い要配慮個人情報です。こども性暴力防止法でも犯罪事実確認記録等の適切な管理が求められており、情報を漏えいした場合には2年以下の拘禁刑または100万円以下の罰金という厳しい罰則が設けられています。アクセス権限の限定、施錠管理、ログの記録など、物理的・技術的な安全管理措置を講じる必要があります。
• 1件の漏えいでも報告義務が発生
  本記事の「ルール3」で解説したとおり、要配慮個人情報は1件の漏えいでも個人情報保護委員会への報告と本人への通知が必要です。犯罪歴情報が漏えいした場合は当然にこの義務が発生するため、漏えい時の初動対応フローを事前に整備しておくことが不可欠です。
• 取得時の同意について
  要配慮個人情報の取得には原則として本人同意が必要ですが、日本版DBSによる犯罪歴の照会は「法令に基づく場合」（法20条2項1号）に該当するため、本人の同意がなくても照会を行うことが可能です。ただし、本人には戸籍書類の提出や事前通知といった手続きへの関与機会が設けられており、公正さに配慮した仕組みとなっています。

施行に向けて準備すべきこと

従来、十分な情報セキュリティ対策を講じてこなかった会社や事業所などにとっては、組織体制の整備には相応の時間がかかります。
対象となる事業者は、早い段階から以下の準備に着手することが望ましいといえます。

• 自社が義務対象・認定対象のいずれに該当するかの確認
• 採用プロセスへの犯罪歴確認ステップの組み込み
• 犯罪歴情報の管理に関する社内規程・情報管理体制の整備
• 犯罪歴が判明した場合の対応方針（配置転換等）の策定
• 従業員への制度の周知・研修

なお、犯罪情報自体は、新たに運用が開始される専用のシステムで管理される予定のため、基本的には各事業所で情報を保管しない場合が多いと考えられますが、そのシステムを操作し犯罪歴等を確認するのは各会社や事業所の従業員ですし、何らかの理由で情報を転記したり持ち出したりする場合に備え、上記の対策はどのような企業・事業者であっても軽視して良いものではありません。

まとめ

要配慮個人情報は、人種・信条・病歴・犯罪歴・障害の有無など、本人に対する不当な差別や偏見につながりかねない情報です。そのため、通常の個人情報に比べて、「取得時の本人同意」「オプトアウトの禁止」「1件からの漏えい報告義務」という3つの追加ルールが課されています。

特に医療・介護・福祉分野、人事・労務管理の場面では、日常的に要配慮個人情報を取り扱う機会が多いため、自社がどのような要配慮個人情報を保有しているかを把握し、取得から管理・提供・漏えい対応まで一貫した体制を整えておくことが大切です。

また、日本版DBS（こども性暴力防止法）により、教育・保育に関わる事業者は新たに従事者の犯罪歴という要配慮個人情報を取り扱うことになります。こども性暴力防止法と個人情報保護法の両方を踏まえた情報管理体制の構築が、今後ますます重要になることは確実です。

自社の体制構築について不安がある場合は、迷わず専門家に相談しながら、早めに対応することをお勧めします。