「一般知識(基礎知識)」科目の中で、最も出題可能性が高く、かつ対策が報われやすい分野をご存知でしょうか?
それが今回解説する「個人情報保護法」です。
令和4年、令和5年と大きな法改正が続き、ニュースでも話題になることが多いこの法律。「定義が細かくて覚えられない」「個人データと保有個人データの違いが曖昧」といった悩みを抱える受験生が非常に多いのが特徴です。
しかし、個人情報保護法は「定義を制する者が試験を制する」と言っても過言ではありません。条文上の言葉の定義を正確に理解していれば、正誤判定に迷うことが劇的に減るからです。
この記事では、最新の試験傾向を踏まえ、難解な法律用語や概念を具体例を交えながら徹底的に解説します。記事の後半には本試験レベルのオリジナル問題も用意しましたので、ぜひ最後まで読み進めて、得点源にしてください!
1. 個人情報保護法制の全体像と目的
(1) 「3本統合」と官民一元化の流れ
まず、全体像を把握しましょう。日本の個人情報保護法制は、かつてバラバラでした。
- 民間事業者を対象とする「個人情報保護法」
- 国の行政機関を対象とする「行政機関個人情報保護法」
- 独立行政法人等を対象とする「独立行政法人等個人情報保護法」
さらに、地方公共団体はそれぞれの「個人情報保護条例」でルールを定めていたため、「2000個問題(約2000の自治体でルールが微妙に異なる)」と呼ばれる非効率な状況が発生していました。
これが、令和4年・令和5年の改正により大きく変わりました。
現在は、上記の3つの法律が「個人情報保護法」1本に統合され、地方公共団体のルールも全国的な共通ルール(法の直接適用)へと移行しました。
つまり、民間も行政も、基本的には同じ法律の土俵に乗ったということです(ただし、民間事業者は第4章、行政機関等は第5章といった形で、適用される章が分かれています)。
(2) 法の目的:守りと攻めのバランス
この法律は何のためにあるのでしょうか?「プライバシーを守るため」というのは半分正解ですが、試験対策としては不十分です。
法第1条(目的)には、以下の2つの要素のバランス(調和)が掲げられています。
- 個人情報の有用性:デジタル社会においてデータを活用し、新産業創出や国民生活を豊かにすること(攻め)
- 個人の権利利益の保護:プライバシー等が侵害されないように守ること(守り)
つまり、「使わせない」ための法律ではなく、「正しく安全に使う」ためのルールブックなのです。
2. 最重要!「個人情報」の定義を深掘りする
ここからが本番です。試験で問われる定義を一つずつクリアしていきましょう。
(1) 「個人情報」とは?
個人情報とは、「生存する個人に関する情報」であって、以下のいずれかに該当するものを指します。
| 分類 | 内容 | 具体例 |
|---|---|---|
| 1号個人情報 | 氏名等により特定の個人を識別できるもの(他の情報と容易に照合して識別できるものを含む) | 氏名、生年月日、住所、防犯カメラの映像など |
| 2号個人情報 | 個人識別符号が含まれるもの | マイナンバー、免許証番号、DNAデータなど |
具体例で考える「容易照合性」
例えば、A社が持っている「顧客ID:001、購入履歴:リンゴ」というデータ単体では、誰のことか分かりません。
しかし、A社が別に持っている「顧客ID:001、氏名:行政太郎」という名簿と容易に照合でき、それによって「行政太郎さんがリンゴを買った」と分かるなら、最初の購入履歴データも「個人情報」になります。
①死者の情報:原則として個人情報に該当しません。ただし、遺族(生存する個人)の情報でもある場合(例:〇〇の遺児△△さん)は、遺族の個人情報となります。
②法人の情報:法人自体の情報(売上高、所在地など)は個人情報ではありません。ただし、法人の役員の氏名などは、その役員個人の個人情報となります。
③外国人:国籍は関係ありません。日本国内にいる外国人の情報も個人情報です。
(2) 「個人識別符号」とは?(番号だけで個人情報になる)
「個人識別符号」が含まれていれば、氏名がなくてもそれ単体で個人情報となります。大きく分けて2種類あります。
- 身体的特徴データ:DNA、顔認証データ、虹彩、声紋、指紋など(コンピュータ用に変換されたもの)。
- 公的な番号:パスポート番号、基礎年金番号、運転免許証番号、マイナンバー、住民票コード、健康保険証の記号番号など。
携帯電話番号は?
ここでよくあるひっかけ問題が「携帯電話番号」や「クレジットカード番号」です。
これらは、原則として個人識別符号には当たりません。
なぜなら、携帯番号は解約されて別の人に割り当てられる可能性があり、番号単体で「絶対に行政太郎さんのものだ」と永続的に特定することが難しいからです(もちろん、氏名等と紐付いて管理されていれば、全体として1号個人情報になります)。
(3) 「要配慮個人情報」とは?
不当な差別や偏見を生む可能性があるため、取り扱いに特に注意が必要な情報です。
- 人種、信条、社会的身分
- 病歴、犯罪の経歴、犯罪被害の事実
- 身体障害、知的障害等の事実
- 健康診断の結果、医師の指導等の結果 など
【規制の特徴】
取得するには原則として本人の事前同意が必要です。また、オプトアウト方式(本人の同意なく第三者に提供し、事後的に停止を受け付ける方法)による第三者提供は禁止されています。
3. 混乱しやすい「4段階構造」を整理する
多くの受験生が混乱するのが、「個人情報」「個人情報データベース等」「個人データ」「保有個人データ」の違いです。
これらは包含関係にあります。図をイメージしながら読み進めてください。
Step1. 「個人情報データベース等」
「個人情報」を含む情報の集合物で、検索できるように整理されたものを指します。
- コンピュータ処理:エクセルで管理された顧客名簿など。
- マニュアル処理(紙):五十音順に並べてインデックスを付けた名刺ファイルなど。
※単に段ボールに放り込まれた名刺の山は、検索性がないため「個人情報」ではあっても「個人情報データベース等」ではありません。
市販の電話帳やカーナビのデータなど、大量に提供されており利用方法からみて権利利益を害するおそれが少ないものは、ここから除外されます。
Step2. 「個人データ」
「個人情報データベース等」を構成する個人情報のことです。
なぜこの区分が必要かというと、散在している個人情報(メモ書きなど)よりも、データベース化された情報(個人データ)の方が、漏洩した時の被害が大きく、拡散もしやすいからです。
そのため、事業者には「個人データ」に対して、安全管理措置や第三者提供の制限といった厳しい義務が課されます。
Step3. 「保有個人データ」
「個人データ」の中でも、事業者が「開示、訂正、追加、削除、利用停止等」を行う権限を持っているものを指します。
【重要な具体例:委託のケース】
通販会社A社が、配送業務のために運送会社B社に顧客データ(個人データ)を渡したとします。
- A社にとって:自ら開示や訂正をする権限があるので「保有個人データ」です。
- B社にとって:A社から預かって仕事に使っているだけで、勝手にデータを書き換えたり開示したりする権限はありません。したがって、B社にとっては単なる「個人データ」であり、「保有個人データ」ではありません。
かつては「6ヶ月以内に消去される短期保存データ」は保有個人データから除外されていましたが、令和4年改正でこの要件は撤廃されました。現在は、保存期間の長短にかかわらず、開示権限があれば保有個人データとなります。
4. 「個人情報取扱事業者」と適用除外
(1) 個人情報取扱事業者とは
この法律の義務の対象となる「個人情報取扱事業者」とは、個人情報データベース等を事業の用に供している者をいいます。
- 法人だけでなく個人も対象:フリーランスや個人商店も対象です。
- 営利・非営利を問わない:NPO法人や自治会、同窓会も対象になり得ます。
- 規模要件なし:かつては「5000人分以上」という要件がありましたが、現在は撤廃され、名簿が1人分でもあれば対象です。
※ただし、国の機関、地方公共団体、独立行政法人などは、第5章等の別規定が適用されるため、ここでの「個人情報取扱事業者」からは除外されます。
(2) 憲法上の配慮による適用除外
報道の自由や信教の自由など、憲法で保障された権利を守るため、特定の目的で活動する場合は、義務規定が適用除外(または一部適用除外)となります。
| 主体 | 目的 | 扱いの概要 |
|---|---|---|
| 報道機関 | 報道の用に供する目的 | 第4章の義務規定(安全管理措置や開示義務など)が適用されない |
| 著述業 | 著述の用に供する目的 | |
| 宗教団体 | 宗教活動の用に供する目的 | |
| 政治団体 | 政治活動の用に供する目的 |
かつて大学などの学術研究機関も一律に適用除外とされていましたが、改正により、現在は「義務ごとに適用除外かどうかを判断する」という規律に変更されました(一律除外ではなくなりました)。
5. データの利活用:仮名・匿名・関連情報
ビッグデータ時代に対応するため、データを加工して活用するための定義が整備されました。ここも近年出題が増えている分野です。
(1) 仮名加工情報(かめいかこうじょうほう)
「社内での分析・活用」を想定したものです。
- 定義:氏名等を削除し、他の情報と照合しない限り特定の個人を識別できないように加工した情報。
- メリット:利用目的の変更制限が緩やかになる、開示請求の対象外になるなど、事業者が使いやすい。
- 制限:原則として第三者提供は禁止されています。
(2) 匿名加工情報(とくめいかこうじょうほう)
「社外への提供・流通」を想定したものです。
- 定義:特定の個人を識別できないように加工し、かつ、元の個人情報を復元できないようにしたもの。
- 特徴:もはや個人情報ではないため、本人の同意なく第三者に提供したり、目的外利用したりすることが自由にできます。
(3) 個人関連情報(こじんかんれんじょうほう)
「Cookie(クッキー)、IPアドレス、閲覧履歴」など、それ単体では特定の個人を識別できない情報です(個人情報、仮名加工情報、匿名加工情報のいずれにも該当しないもの)。
【重要な規制:提供先での紐付け】
提供元(DMP事業者など)では誰だか分からないが、提供先(E社)に行けばE社が持っている氏名データと紐付いて個人データになることが想定される場合。
この場合、提供元は、提供先において本人の同意が得られていることを確認しなければなりません(確認義務)。
6. 【実戦演習】本試験レベル問題に挑戦
ここまでの学習内容を、本試験形式の多肢選択式問題で確認してみましょう。
1. 個人情報保護法における「個人」には、生存する個人のほか、死者も含まれるため、死者のプライバシーに関する情報も同法上の個人情報として保護される。
2. 法人その他の団体は「個人」に該当しないため、法人の役員の氏名や職名が記載された情報は、いかなる場合も個人情報には該当しない。
3. 指紋認識データや顔認証データなどの身体的特徴を変換した符号は、それ単体では特定の個人を識別できないため、氏名と結びつかない限り個人情報には該当しない。
4. 旅券(パスポート)の番号や運転免許証の番号は、それ単体で特定の個人を識別することができるものとして政令で定められており、氏名が含まれていなくても個人情報に該当する。
5. 携帯電話番号は、個々人に固有の番号が割り振られているため、個人識別符号に該当し、それ単体で直ちに個人情報となる。
正解・解説を見る
正解 4
解説:
1. 妥当でない。個人情報は「生存する個人」に関する情報に限られます。死者の情報は原則として対象外です。
2. 妥当でない。法人の情報そのものは個人情報ではありませんが、そこに含まれる「役員の氏名」などは、その役員個人の個人情報となります。
3. 妥当でない。身体的特徴をコンピュータ用に変換した符号(個人識別符号)は、それ単体で個人情報に該当します(2号個人情報)。
4. 妥当である。パスポート番号や免許証番号は「個人識別符号」に含まれるため、氏名がなくても個人情報です。
5. 妥当でない。携帯電話番号やクレジットカード番号は、原則として個人識別符号には該当しません。
1. 「個人情報データベース等」には、電子計算機を用いて検索することができるように体系的に構成したものに限られ、紙媒体で整理された情報は含まれない。
2. 個人情報取扱事業者が、他社からデータ入力業務の委託を受けて取り扱っている個人データについて、自ら開示や訂正を行う権限を有しない場合であっても、当該データは当該事業者の「保有個人データ」に該当する。
3. 「個人データ」とは、個人情報データベース等を構成する個人情報をいい、これには市販の電話帳に含まれる個人情報も原則として含まれる。
4. 個人情報取扱事業者は、取引記録などの個人データを1ヶ月後に消去する予定である場合、そのデータは保有個人データには該当しない。
5. 散在している名刺の束であっても、特定の個人の氏名が含まれていれば「個人情報」には該当するが、「個人データ」には該当しない。
正解・解説を見る
正解 5
解説:
1. 妥当でない。紙ベース(マニュアル処理)であっても、五十音順に整理されるなど検索性があれば「個人情報データベース等」に含まれます。
2. 妥当でない。委託を受けただけで開示等の権限がない場合、その事業者の「保有個人データ」には該当しません。
3. 妥当でない。市販の電話帳などは、利用方法からみて権利利益を害するおそれが少ないものとして「個人情報データベース等」から除外されているため、それを構成する情報も「個人データ」になりません。
4. 妥当でない。改正により、6ヶ月以内に消去される短期保存データも「保有個人データ」に含まれるようになりました。
5. 妥当である。氏名等の識別情報があれば「個人情報」ですが、データベース化されていなければ「個人データ」ではありません。
1. 仮名加工情報は、他の情報と照合すれば個人を識別できる情報であるため、第三者への提供はいかなる場合も禁止されており、委託や共同利用に伴う提供も認められない。
2. 匿名加工情報は、特定の個人を識別することができないように個人情報を加工したものであり、当該個人情報を復元して特定の個人を再識別することができないようにしたものである。
3. 匿名加工情報を取り扱う事業者は、加工の方法に関する情報の漏えいを防止するための措置を講じる必要はないが、識別行為の禁止などの義務は負う。
4. 個人関連情報とは、生存する個人に関する情報であって、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないものをいい、これには氏名が含まれる情報も場合によっては該当する。
5. 個人関連情報取扱事業者が、個人関連情報を第三者に提供する場合、提供先が個人データとして取得することが想定されるとしても、提供元において本人の同意を得る必要はない。
正解・解説を見る
正解 2
解説:
1. 妥当でない。仮名加工情報の第三者提供は原則禁止ですが、法令に基づく場合や、委託・事業承継・共同利用に伴う提供は認められます(個人データの例外と同様)。
2. 妥当である。これが匿名加工情報の定義そのものです(復元不可)。
3. 妥当でない。匿名加工情報を作成した事業者は、加工方法等の情報の安全管理措置を講じる義務があります。
4. 妥当でない。氏名が含まれるなどして個人を識別できる場合は「個人情報」になるため、定義上、「個人関連情報」には該当しません。
5. 妥当でない。提供先で個人データとなることが想定される場合、提供元は、本人の同意が得られていること等の確認を行わなければなりません。
7. まとめ:学習の優先順位
個人情報保護法の学習では、以下の優先順位で復習を進めてください。
- 「個人情報」の定義:特に「個人識別符号」と「要配慮個人情報」の範囲。
- データの3段階構造:個人情報DB、個人データ、保有個人データの違い。
- 個人情報取扱事業者の義務:これは次回の記事で詳しく解説しますが、前提として「誰が事業者か」を把握すること。
定義を曖昧にしたまま義務規定(利用目的の特定や安全管理措置など)に進むと、必ず混乱します。まずはこの記事の内容を完璧に理解しましょう。
よくある質問(FAQ)
- Q1. 町内会や同窓会も個人情報取扱事業者になりますか?
- はい、なります。営利・非営利を問わず、また取り扱う個人情報の数にかかわらず、個人情報データベース等を事業(活動)の用に供していれば対象となります。
- Q2. 名刺交換しただけの相手の情報は「個人データ」ですか?
- いいえ。交換した名刺を単にファイルや箱に入れているだけで、検索できるように整理(データベース化)していなければ、それは「個人情報」ではありますが「個人データ」ではありません。
- Q3. 仮名加工情報と匿名加工情報の最大の違いは何ですか?
- 「復元できるかどうか」と「第三者提供ができるかどうか」です。仮名加工情報は他の情報と照合して復元可能ですが第三者提供は原則禁止です。匿名加工情報は復元不可であり、第三者提供が可能です。
↓基礎知識の全体像を確認する↓
基礎知識Webテキスト一覧ページへ戻る