宗教やアレルギー情報は「機微な個人情報」ですか?取得する際の規程と運用ルールを教えてください。
当社海外の方の日本旅行の手配等をしております。
その中で食事の手配等が必要になるために、お客様の宗教やアレルギー情報等を取得することがございます。
こちら「特定の機微な個人情報」に該当するかとは思いますが、PMSの運用上どのように規程すればよいか悩んでおります。
御社の規定集でも「特定の機微な個人情報の取得、利用及び提供は行わない」とありますし、例外規程のどれにも該当せずどうすればいいかわかりません。
ご質問ありがとうございます。旅行手配におけるアレルギー(病歴・健康状態)や宗教(信条)に関する情報は、JIS規格および個人情報保護法において「要配慮個人情報」に該当します。
弊社のサンプル規定に「原則として行わない」とあるのは、安易な取得によるリスクを防ぐための基本姿勢を示したものです。旅行手配のような業務上の必要性がある場合、以下の手順を踏むことで適切かつ安全に運用いただけます。
1. 「要配慮個人情報」取得のルール(JIS Q 15001:2023 準拠)
最新の規格(A.5 要配慮個人情報などの取得)では、こうした情報を取得する際、原則として「あらかじめ書面による本人の同意」を得ることが義務付けられています。
- 信条(宗教): 旅行中の食事手配のために必要な「宗教上の制限」が含まれます。
- 病歴(アレルギー): 健康被害を防ぐための「食物アレルギー情報」が含まれます。
2. 規定上の「例外」をどう活用するか
ご相談のケースは、規定にある「特例」を適用することで解決できます。具体的には以下のフローで運用してください。
- 書面による同意(特例1):
業務担当者が、お客様から直接またはWebサイト上の入力フォームなどで情報を取得する際、「要配慮個人情報を取得・利用・提供する旨」を明記した同意書(チェックボックス等)で本人の合意を得ます。これにより、規定の禁止事項に触れることなく取得が可能になります。 - 人の生命・身体の保護(特例2-b):
万が一、緊急時に本人の同意を得る余裕がない状態で、アレルギー情報を医療機関に伝える必要がある場合などは、この例外規定に基づき、同意なしでの情報提供が認められます。
3. 具体的なPMS運用の手順
弊社のサンプル文書「個人情報取扱及び保護規程」に沿って、以下の通り整備してください。
- 取得目的の明確化:
「安全な食事提供および旅行手配のため」と利用目的を特定します。 - 同意書の整備:
申し込みフォーム等に「アレルギーや宗教上の配慮が必要な方は、以下の内容に同意の上でご記入ください」といった同意文を設けます。 - 管理者の承認:
貴社の「個人情報取扱申請書」等を用い、この運用フローについて個人情報保護管理者の承認を得ておきます。これにより、組織として正当な手続きを経た運用であることを証明できます。
4. 実務での配慮
旅行業界においては、取得した情報を「レストラン」や「航空会社」へ提供(第三者提供)することが前提となります。
同意を得る際には、「適切な手配のために、取得した情報を宿泊施設や飲食店等の提供先に伝達すること」もあわせて明記しておくことが、閲覧者(お客様)の満足度と信頼に繋がります。
弊社の最新版サンプル文書は、こうした2023年版規格の変更点や法改正に対応しております。ぜひ「個人情報取扱及び保護規程」の該当箇所をご確認いただき、貴社の実務に合わせてカスタマイズしてください。
