現行法のもとでは、プライバシーマークの規格である「JISQ15001:2006」に慎重に扱われるべき情報を指す「機微情報」の定義があるものの、個人情報の種類や性質、機微度などによる法的な定義の差はなかった(情報漏えいが起きて損害賠償の裁判になった場合には、情報の性質によって慰謝料などに差がある)。
そのため、何らかのトラブルが起きる場合、どちらかと言うと機微度に関する問題が取り上げられるよりも、特定の情報(例えば電車の乗降履歴)について「この情報は個人情報として扱うべきか否か」という点が問題になることの方が多かった。
しかし改正案が可決・成立して施行された後、個人情報の収集を伴う業務を行う際には人種、信条、社会的身分、病歴、犯罪の経歴などを指す「要配慮個人情報」に相当しないかという点について確認する必要があり、もし要配慮個人情報に相当する場合は収集する前にあらかじめ、その旨の同意を得なければならない。
また、第三者提供を行う場合、現行法ではいわゆるオプトアウト方式が認められているが、要配慮個人情報についてはこれが認められていないことにも注意が必要である。実務的には企業や当該サービスのウェブページなどに必要事項を掲載し、「本人が容易に知り得る状態に置いている」として要配慮個人情報を含む個人データを第三者に提供する、といったことはできない。この点は以下の条文で示されている。
改正案条文:
(第三者提供の制限)
第二十三条 (略)
2 個人情報取扱事業者は、第三者に提供される個人データ(要配慮個人情報を除く。以下この項において同じ)について、本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止することとしている場合であって、次に掲げる事項について、個人情報保護委員会規則で定めるところにより、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届け出たときは、前項の規定にかかわらず、当該個人データを第三者に提供することができる。
実際は要配慮個人情報を収集・利用するケースはあまり多くないと考えられるが、病歴などは注意する必要があるだろう。例えば、この12月には「労働安全衛生法の一部を改正する法律」が施行され、50人以上の労働者を有する職場でのストレスチェックが義務化される。
それに伴い、多くの企業でメンタルヘルス関連の相談窓口や初期対応を外部の専門企業に委託することが想定されている。このような場合には委託元、委託先、連携する医療機関を含めた枠組みの中で、相談内容や病歴などの情報について、受付(情報取得)時の同意の取得や、組織間での共有方法などについて確実に検討しておく必要がある。