「一般知識(基礎知識)」科目において、個人情報保護法はまさに「得点の宝庫」です。前回は定義について解説しましたが、本試験で最も問われやすいのは、今回解説する「事業者の義務」と「第三者提供のルール」です。
特に「第三者提供」は、原則と例外、オプトアウト、外国への提供など、覚えるべきルールが複雑に入り組んでいます。さらに、令和4年の改正で強化された「漏えい時の報告義務」や「デジタルデータでの開示請求」も、出題可能性が高いホットな論点です。
「条文を読んでも、誰が誰に何をしなければならないのかイメージできない…」
そんな悩みを持つ受験生のために、今回は具体的なストーリーと図表をふんだんに使い徹底的に解説します。定義編と合わせてマスターすれば、この分野は盤石です!
1. 義務の全体像:「個人情報」と「個人データ」の区別
まず最初に、試験対策上の最重要ポイントをお伝えします。
それは、「その義務は『個人情報』に対するものか、『個人データ』に対するものか」を区別することです。
前回の講義で解説した通り、「個人データ」とは、検索できるようにデータベース化された情報のことを指します。
データベース化されている情報は、漏えい時の被害が甚大になるため、単なる「個人情報(散在情報)」よりも厳しい管理義務(安全管理措置など)が課されています。
| 対象 | 主な義務 | イメージ |
|---|---|---|
| 個人情報 (入り口段階) |
|
名刺交換やアンケート用紙など、まだ整理されていない状態でも適用される。 |
| 個人データ (保管・出口段階) |
|
エクセルや顧客管理システムに入力され、厳重に管理すべき状態。 |
問題文で「個人情報取扱事業者は、その取り扱う個人情報について、安全管理のために必要かつ適切な措置を講じなければならない」とあったら、即座に×と判断できます。
安全管理措置義務の対象は「個人データ」だからです。このような「対象語句のすり替え」は頻出パターンです。
2. 取得・利用時のルール(個人情報に対する義務)
では、時系列に沿って義務を見ていきましょう。まずは情報を集める(取得する)段階です。
(1) 利用目的の特定と制限(17条・18条)
事業者は、個人情報を取り扱うに当たって、その利用目的を「できる限り特定」しなければなりません。
- 悪い例:「事業活動のために利用します」(抽象的すぎる)
- 良い例:「新商品のご案内送付およびアフターサービスのために利用します」
そして、あらかじめ本人の同意を得ないで、特定された利用目的の達成に必要な範囲を超えて取り扱ってはなりません(目的外利用の禁止)。
【趣旨:予見可能性の確保】
本人が「自分の情報が何に使われるのか」を予測できるようにすることで、不測の不利益を防ぐためです。
(2) 適正な取得と通知・公表(20条・21条)
偽りその他不正の手段(例:オレオレ詐欺のような手法や、目的を偽って名簿を集めるなど)での取得は禁止されています。
また、個人情報を取得した場合、速やかにその利用目的を、本人に通知するか、または公表(Webサイトへの掲載など)しなければなりません。
ただし、あらかじめ公表している場合は、個別の通知は不要です。
本人から直接、書面(Web画面含む)に記載された個人情報を取得する場合(例:申込書への記入)は、あらかじめ利用目的を明示しなければなりません。
事後の通知・公表では遅いのです。「書面直接取得=事前明示」と覚えましょう。
3. 管理・保管時のルール(個人データに対する義務)
情報がデータベース化され「個人データ」になると、より厳しい管理義務が発生します。
(1) 安全管理措置と従業者の監督(23条・24条)
事業者は、個人データの漏えい、滅失(データが消える)、毀損(内容が壊れる)を防ぐため、必要かつ適切な措置を講じなければなりません。
- 組織的措置:責任者の設置、ルールの整備。
- 人的措置:従業者への教育・研修。
- 物理的措置:入退室管理、盗難防止。
- 技術的措置:アクセス制御、ウイルス対策。
また、従業者がデータを扱う場合は、事業者が責任を持って必要かつ適切な監督を行わなければなりません。
(2) 委託先の監督(25条)
【具体例:A社とB社の関係】
通販会社A社が、商品の配送業務を運送会社B社に委託し、顧客リスト(個人データ)を渡したとします。
この場合、もしB社で情報漏えいが起きたら、委託元であるA社の責任も問われます。
そのため、A社はB社に対して、ただデータを渡すだけでなく、「B社が安全管理措置を講じているか」を監督する義務を負います。
【趣旨:責任の所在】
業務委託によってデータの管理責任が曖昧になることを防ぎ、実質的な管理主体である委託元(A社)に責任を持たせるためです。
(3) 漏えい等の報告義務(26条)
令和4年の改正で、単なる努力義務から法的義務へと強化されました。
「個人の権利利益を害するおそれが大きい事態」が発生した場合、事業者は以下の対応を行わなければなりません。
- 個人情報保護委員会への報告
- 速報:事態を知ってから速やかに(概ね3〜5日以内)。
- 確報:事態を知ってから30日以内(不正アクセスの場合は60日以内)。
- 本人への通知:事態の内容等を本人に知らせる。
【報告対象となるケースの例】
- 要配慮個人情報(病歴など)が含まれる漏えい。
- 不正アクセスによる漏えい(おそれを含む)。
- 財産的被害のおそれがある漏えい(クレカ番号など)。
- 1,000人を超える漏えい。
4. 第三者提供の制限(最重要・最頻出)
ここが個人情報保護法の最大の山場です。事業者が保有する個人データを、グループ会社や提携先などの「第三者」に渡す場合のルールです。
(1) 大原則:本人の同意が必要
原則として、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはなりません。
(2) 例外:同意なしで提供できる4つのケース
緊急時や公共の利益のために必要な以下の場合は、本人の同意がなくても提供できます。
| 例外事由 | 具体例・ストーリー |
|---|---|
| ① 法令に基づく場合 | 警察が捜査令状を持って顧客情報の照会に来た場合、事業者は本人の同意なく情報を提供できます(刑訴法に基づく捜査)。 |
| ② 人の生命・身体・財産の保護(同意困難) | デパートで客が倒れ意識不明になった際、救急隊員に「この人の持病リスト」を提供する場合。本人の同意を得ることが困難だからです。 |
| ③ 公衆衛生・児童の健全育成(特に必要&同意困難) | 虐待の疑いがある児童の情報を、学校が児童相談所に提供する場合や、感染症対策で疫学調査に協力する場合など。 |
| ④ 国の機関等への協力 | 税務署の調査に協力する場合や、統計調査に回答する場合など。同意を得ることで事務遂行に支障が出るおそれがあるときに限られます。 |
(3) 第三者に該当しない場合(同意不要)
形式的にはデータが他者に移っていても、法的には「第三者提供」と見なされず、同意が不要なケースがあります(27条5項)。
- 委託:前述の配送業務委託のように、利用目的の達成に必要な範囲内で取り扱いを委託する場合。
- 事業承継:合併や分社化により、事業ごとデータが引き継がれる場合。
- 共同利用:グループ会社間でデータを共有する場合。ただし、あらかじめ「共同利用する旨」「項目」「利用者の範囲」「責任者」などを本人に通知・公表しておく必要があります。
(4) オプトアウト制度(名簿業者などの特例)
本人の同意を得るのが難しい場合、以下の条件を満たせば、同意なしで第三者提供が認められます。これをオプトアウトといいます。
- あらかじめ、第三者への提供を利用目的とすること等を、本人に通知または容易に知り得る状態に置く。
- 個人情報保護委員会に届け出る。
- 本人が「やめてくれ」と言ったら(求めがあったら)、直ちに提供を停止する。
※ただし、要配慮個人情報(病歴など)や、不正に取得された個人データについては、このオプトアウト制度を使うことはできません。
(5) 外国にある第三者への提供(28条)
海外の事業者にデータを提供する場合、国内よりもリスクが高いため規制が厳格化されています。
原則として、あらかじめ「外国にある第三者への提供を認める」旨の本人の同意が必要です。
例外として、その国が日本と同等の保護水準にあると認定されている場合(EUやイギリスなど)や、提供先が適切な体制整備(基準適合体制)をしている場合は、個別の同意は不要です。
5. 保有個人データに関する義務(開示請求等)
自分に関するデータについて、本人が関与できる権利(コントロール権)を保障するための義務です。
(1) 開示請求権(33条)
本人は、事業者に対し「自分がどんなデータを持たれているか」の開示を請求できます。
令和4年改正により、本人は「書面」か「電磁的記録(PDFファイルのメール送付など)」かを選択できるようになりました。事業者は原則として、本人が指定した方法で開示しなければなりません。
(2) 訂正・追加・削除(34条)
内容が事実でない場合、本人は訂正等を請求できます。事業者は調査を行い、事実でなければ訂正しなければなりません。
(3) 利用停止・消去・第三者提供の停止(35条)
以下の違反がある場合、本人は利用停止等を請求できます。
- 不正取得された場合
- 目的外利用されている場合
- 違法に第三者提供されている場合
- 利用する必要がなくなった場合(改正点)
- 漏えい等が発生した場合(改正点)
6. 監督・罰則・GDPR
(1) 個人情報保護委員会の権限
内閣総理大臣の所轄の下に置かれる独立した行政委員会です。
事業者に対して、報告徴収、立入検査、指導、助言ができます。
違反があった場合、まずは「勧告」を行い、それでも従わない場合に「命令」を出します。
※ただし、個人の重大な権利利益を害する緊急の必要がある場合は、勧告を経ずにいきなり命令を出すことも可能です。
(2) 罰則(直罰規定の導入)
命令違反には罰則がありますが、さらに重いのが「個人情報データベース等不正提供罪」です。
従業員等が、不正な利益を図る目的でデータベースを提供・盗用した場合、1年以下の懲役または50万円以下の罰金が科されます。
これは委員会の命令を経ずに、警察・検察により直接処罰される規定です。
(3) 欧州データ保護規則(GDPR)
EU(欧州連合)の個人情報保護法です。試験対策として押さえるべきは以下の1点です。
「域外適用」:EU域内に拠点を持つ企業だけでなく、EU域内にいる個人のデータを扱う場合、日本の企業であってもGDPRが適用される可能性があります。
違反時の制裁金が極めて高額(全世界売上高の4%など)であることも特徴です。
7. 【実戦演習】本試験レベル問題に挑戦
知識の定着を確認するために、本試験形式の記述を含めた演習問題にチャレンジしましょう。
1. 個人情報取扱事業者は、個人情報を取り扱うに当たって、その利用目的を特定しなければならないが、業務の遂行上必要がある場合には、本人の同意を得ることなく、当初の利用目的と関連性を有しない目的に変更することができる。
2. 個人情報取扱事業者は、本人との契約締結に伴って契約書等の書面に記載された個人情報を取得する場合、あらかじめその利用目的を公表しておけば、本人に対して明示する必要はない。
3. 個人情報取扱事業者は、その取り扱う個人データについて、漏えい、滅失又は毀損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。
4. 個人情報取扱事業者は、個人データの取り扱いの全部又は一部を委託する場合、委託先において安全管理措置が講じられていることを確認した上で委託すれば足り、委託後の監督義務までは負わない。
5. 個人情報取扱事業者は、個人データの漏えい等が発生した場合、いかなる規模や内容であっても、直ちに個人情報保護委員会に報告し、かつ本人に通知しなければならない。
正解・解説を見る
正解 3
解説:
1. 妥当でない。利用目的の変更は、変更前の利用目的と「関連性を有すると合理的に認められる範囲」に限られます。それを超える場合は本人の同意が必要です。
2. 妥当でない。書面による直接取得の場合、利用目的の「公表」では足りず、本人への「明示」が義務付けられています。
3. 妥当である。これがいわゆる安全管理措置義務(23条)であり、対象が「個人データ」である点も正しい記述です。
4. 妥当でない。委託元は、委託先に対する必要かつ適切な「監督」を行う義務を負います(25条)。委託して終わりではありません。
5. 妥当でない。報告義務の対象は「個人の権利利益を害するおそれが大きいもの」として規則で定める事態に限られます。軽微な事案まですべて報告対象ではありません。
1. 個人情報取扱事業者は、法令に基づく場合を除き、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならないのが原則である。
2. 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるときは、本人の同意を得ることなく第三者に個人データを提供することができる。
3. 個人情報取扱事業者が、利用目的の達成に必要な範囲内において個人データの取り扱いの全部又は一部を委託することに伴って当該個人データが提供される場合は、第三者への提供に該当しないため、本人の同意は不要である。
4. オプトアウト(事後停止)制度を利用して第三者提供を行う場合、提供しようとする個人データに要配慮個人情報が含まれていても、所定の手続きを経れば提供が可能である。
5. 第三者提供におけるオプトアウトの手続きとして、事業者は、第三者への提供を利用目的とすること等を本人に通知し、又は容易に知り得る状態に置くとともに、個人情報保護委員会に届け出なければならない。
正解・解説を見る
正解 4
解説:
1. 妥当である。これが第三者提供の原則(27条1項)です。
2. 妥当である。緊急時の例外規定です(27条1項2号)。救急搬送の事例などを想起しましょう。
3. 妥当である。委託、事業承継、共同利用の3パターンは、形式的な提供があっても「第三者」に該当しないため、同意は不要です。
4. 妥当でない。オプトアウト制度は、病歴や犯罪歴などの「要配慮個人情報」については利用できません。差別や偏見につながるリスクが高いためです。
5. 妥当である。オプトアウトの要件として、委員会への届出が必須です。
1. 本人が保有個人データの開示請求を行う場合、書面による交付の方法しか認められておらず、電磁的記録(電子データ)の提供による開示を求めることはできない。
2. 個人情報取扱事業者は、本人から保有個人データの開示請求を受けた場合、開示することにより当該事業者の業務の適正な実施に著しい支障を及ぼすおそれがあるときであっても、これを開示しなければならない。
3. 個人情報取扱事業者は、本人から保有個人データの内容が事実でないという理由によって訂正等を請求された場合、利用目的の達成に必要な範囲内において調査を行い、その結果に基づき訂正等を行わなければならない。
4. 本人は、自分の個人データが第三者に提供されているかどうかの確認記録(トレーサビリティ記録)については、開示請求の対象とすることはできない。
5. 保有個人データの利用停止請求は、当該データが不正に取得された場合や目的外利用されている場合に限り認められ、適法に取得された後に不要となった場合や漏えいが生じた場合には認められない。
正解・解説を見る
正解 3
解説:
1. 妥当でない。令和4年改正により、本人は電磁的記録の提供による開示を請求できるようになりました。
2. 妥当でない。業務の適正な実施に著しい支障を及ぼすおそれがある場合や、他の法令に違反することとなる場合などは、開示しないことができます(不開示事由)。
3. 妥当である。内容が事実でない場合の訂正義務についての正しい記述です。
4. 妥当でない。第三者提供時の確認・記録(トレーサビリティ記録)も、開示請求の対象に含まれます(33条5項)。
5. 妥当でない。改正により、利用する必要がなくなった場合や、漏えい等が発生した場合も、利用停止請求の対象に追加されました。
8. まとめ:2つの記事で法改正を攻略
前回の「定義編」と今回の「義務編」で、個人情報保護法の重要論点は網羅しました。
特に今回の範囲では、以下のフローを頭に描けるようにしてください。
- 個人情報を取得する(利用目的を特定・通知)
- データベース化して保管する(安全管理措置・漏えい報告)
- 外部に出す(第三者提供の原則禁止と例外)
- 本人がチェックする(開示請求・利用停止)
この流れの中で、どこで「本人の同意」が必要で、どこで不要なのか。その境界線を意識して過去問演習に取り組めば、確実に得点源になります。
よくある質問(FAQ)
- Q1. 「個人情報」と「個人データ」の義務の違いを覚えるコツは?
- 「紙切れ1枚(個人情報)」と「整理された名簿(個人データ)」の違いをイメージしてください。紙切れ1枚に高度なセキュリティ(安全管理措置)を求めるのは現実的ではありません。厳しい義務は「整理された名簿(個人データ)」に対して課される、と覚えましょう。
- Q2. 友達の連絡先を勝手に他の友達に教えるのも「第三者提供」になりますか?
- 個人情報保護法は「事業として」個人情報データベース等を利用している者を対象とします。私的な目的で友人間で連絡先を教え合う行為には、この法律の義務規定は適用されません。
- Q3. オプトアウト手続きをすれば、どんな情報でも第三者に提供できますか?
- いいえ。病歴や犯罪歴などの「要配慮個人情報」については、オプトアウト手続きによる第三者提供は禁止されています。必ず本人の事前同意が必要です。
↓基礎知識の全体像を確認する↓
基礎知識Webテキスト一覧ページへ戻る