📖 このページでわかること
- 個人情報・個人データ・保有個人データ・要配慮個人情報・個人関連情報のちがい
- 事業者が守るべき義務(利用目的・安全管理・第三者提供の制限とオプトアウト)
- 本人が持つ権利(開示・訂正・利用停止などの請求)と漏えい報告
- 匿名加工/仮名加工情報、個人情報保護委員会、行政機関の保護・情報公開法・IT基本用語
1. なぜ得点源になりやすい?
個人情報保護法は、用語と基本ルールがはっきりしていて、覚えれば得点に直結しやすい分野です。範囲もしぼりやすいため、一般知識の足切り対策として、まず力を入れたいテーマです。
この分野は、似た言葉の区別が問われます。「個人情報」「個人データ」「保有個人データ」「要配慮個人情報」「個人関連情報」のちがいを最初に押さえると、ぐっと安定します。
2. 基本用語を区別する
まずは中心となる用語を整理しましょう。「個人情報」が一番広く、整理・保有が進むにつれて呼び名が変わっていくイメージです。
| 用語 | 意味(イメージ) |
|---|---|
| 個人情報 | 生きている個人を特定できる情報(氏名、または他の情報と組み合わせて本人が分かるもの。マイナンバー等の個人識別符号も含む) |
| 個人データ | 個人情報を、検索できるように整理・データベース化したもの(個人情報データベース等)を構成する個人情報 |
| 保有個人データ | 事業者が、開示・訂正・削除などを行う権限を持つ個人データ |
| 要配慮個人情報 | とくに慎重な取り扱いが必要な情報(人種・信条・社会的身分・病歴・犯罪の経歴・犯罪被害の事実など) |
| 個人関連情報 | それ単独では特定の個人を識別できない、個人に関する情報(Cookie等に結びつく閲覧履歴など) |
1枚の名刺が「個人情報」。それを五十音順にきちんと整理した名刺ホルダーの中身が「個人データ」のイメージです。さらに、その名刺ホルダーを自分で管理し、訂正や削除ができる立場で持っているものが「保有個人データ」。検索できる形で整理されているか、自分が処理権限を持つか、で呼び名が変わります。
病歴や犯罪の経歴などの要配慮個人情報は、差別や偏見につながりやすいため、取得の段階から原則として本人の同意が必要とされます。さらに、後述のオプトアウト(同意なしの第三者提供)も認められません。「ふつうの個人情報より一段きびしい」と覚えましょう。
3. 事業者が守るべき義務
個人情報を扱う事業者(個人情報取扱事業者)には、いくつものルールが課されています。代表的なものを段階で押さえましょう。
| 場面 | 義務の内容 |
|---|---|
| 使い方を決める | 利用目的の特定:何のために使うかをできるだけ具体的に決める |
| 使うとき | 目的外利用の制限:あらかじめ本人の同意がなければ、決めた目的の範囲をこえて使わない |
| 集めるとき | 適正な取得+利用目的の通知・公表:偽りなど不正な手段で取得しない/取得時に目的を知らせる |
| 持っている間 | 安全管理措置:漏えい・滅失などが起きないよう適切に管理(従業者・委託先の監督も含む) |
| 外に渡すとき | 第三者提供の制限:原則、本人の同意なしに他人へ渡さない |
「商品の発送のため」と目的を決めて集めた住所を、本人の同意なく別の会社の宣伝に流用するのは、目的外利用や第三者提供の制限に触れるおそれがあります。
第三者提供とオプトアウト
第三者提供は原則として本人の同意が必要です。ただし、一定の手続きをとれば、同意なしで提供できるオプトアウトという例外があります。
あらかじめ、提供する項目などを本人に通知・公表し、本人が「やめてほしい」と求めれば提供を止めることを条件に、同意なしで第三者提供できる方法です。ただし要配慮個人情報や、不正取得した個人データなどはオプトアウトの対象外。あくまで例外の枠だと押さえましょう。
個人データを第三者に提供したときや、第三者から受け取ったときは、原則として記録の作成・保存が必要です。あとから「いつ・誰に渡したか」をたどれるようにするための義務です。
4. 本人が持つ権利(開示等の請求)
自分の情報について、本人の側からも事業者に対して求めることができます。代表的なものを押さえましょう。これらは保有個人データについて認められる請求です。
| 請求 | できること |
|---|---|
| 開示 | 自分の情報を「見せてほしい」と求められる(電磁的記録での開示も求められる) |
| 訂正・追加・削除 | 内容がまちがっているとき「直してほしい」と求められる |
| 利用停止・消去 | 目的外利用や不正取得などの場合に「使うのをやめてほしい」と求められる |
| 第三者提供の停止 | 違反して提供されているとき「提供をやめてほしい」と求められる |
病院で自分のカルテの内容を確認したり、まちがいを直してもらったりできるイメージです。自分の情報は、自分でチェックし、コントロールできる——それが本人の権利です。
5. 匿名加工情報と仮名加工情報
データを活用しつつプライバシーを守るために、個人情報を加工した2つの類型があります。にているので、表で区別しましょう。
| 匿名加工情報 | 仮名加工情報 | |
|---|---|---|
| 加工の程度 | 特定の個人を識別できず、元に戻せないように加工 | 他の情報と照合しない限り個人を識別できないように加工 |
| 使い方のイメージ | 一定のルールのもと、第三者提供を含め外部活用もしやすい | 原則として事業者の内部での分析などに使う |
★「匿名=戻せない・外にも出しやすい」「仮名=照合すれば分かる・社内利用が中心」とざっくり対比しておけば十分です。
6. 個人情報保護委員会と漏えい報告
個人情報保護法を所管し、事業者の監督などを行う独立した機関が個人情報保護委員会です。指導・助言や、必要に応じた報告徴収・立入検査・勧告・命令などを行います。
一定の漏えい・滅失・毀損が起きたときは、事業者は原則として個人情報保護委員会への報告と、本人への通知を行うことが義務づけられています。とくに要配慮個人情報の漏えいなど、被害が大きくなりやすい事態が対象です。
7. 行政機関の個人情報保護と情報公開
個人情報保護法は、民間の事業者だけでなく、国の行政機関や地方公共団体による個人情報の取り扱いについても定めています。役所も、保有する個人情報を適切に管理し、本人の開示請求などに応じる必要があります。
情報公開制度
個人情報保護とよく対比されるのが情報公開制度です。これは、国や地方公共団体が持っている行政文書を、求めに応じて開示するしくみで、行政の透明性を高めるためのものです(国の制度は情報公開法)。
情報公開では、原則は開示ですが、個人のプライバシーにかかわる情報や、国の安全・公共の安全を害するおそれのある情報などは不開示とされます。「原則開示・例外として不開示情報がある」という構造を押さえましょう。なお、開示請求は誰でもできるのが特徴です。
個人情報保護は「自分の情報を守る・コントロールする」方向、情報公開は「行政が持つ情報を国民が知る」方向。守る側と知る側、と向きで区別すると整理しやすいです。
8. おさえておきたいIT基本用語
情報通信の分野では、基本的なIT用語も問われます。日常で見聞きする言葉から、意味をつかんでおきましょう。
| 用語 | 意味(イメージ) |
|---|---|
| 暗号化 | 第三者に読まれないよう、情報を読めない形に変換する技術 |
| 不正アクセス | 他人のIDなどを使って、許可なくシステムに入り込む行為 |
| マルウェア | 害をなすことを目的に作られた悪意あるソフトウェアの総称(ウイルスなど) |
| 電子署名 | 電子文書が本人によるもので、改ざんされていないことを示すしくみ |
| Cookie(クッキー) | 閲覧したサイトの情報をブラウザに保存するしくみ。個人関連情報とも関わる |
大事な手紙を、鍵を持つ人にしか開けられない箱に入れて送るのが暗号化のイメージ。通信がもれても、鍵がなければ中身は読めません。
Q1.個人情報取扱事業者は、原則として、あらかじめ本人の同意を得ないで個人データを第三者に提供してはならない。
正解は 〇。第三者提供の制限です。原則として、本人の同意なく他人へ提供することはできません(オプトアウト等の例外あり)。
Q2.病歴や犯罪の経歴などの要配慮個人情報は、通常の個人情報よりゆるやかに扱ってよいとされている。
正解は ×。逆です。要配慮個人情報は取得に原則本人の同意が必要で、オプトアウトもできないなど、より厳重に扱われます。
Q3.本人は、自分の保有個人データの内容が事実でないときは、事業者に対してその訂正を求めることができる。
正解は 〇。本人には訂正を求める権利があります。ほかに開示・利用停止などを求める権利もあります。
Q4.要配慮個人情報も、オプトアウトの手続きをとれば、本人の同意なく第三者に提供できる。
正解は ×。要配慮個人情報はオプトアウトの対象外です。オプトアウトで提供できるのは、通常の個人データの場合です。
Q5.個人情報保護法を所管し、事業者の監督などを行う機関として、個人情報保護委員会が置かれている。
正解は 〇。個人情報保護委員会が監督機関です。報告徴収・立入検査・勧告・命令などを行います。
Q6.情報公開制度では、行政文書は原則として開示されるが、個人のプライバシーにかかわる情報などは不開示とされることがある。
正解は 〇。原則は開示ですが、個人情報や国の安全などにかかわる不開示情報は例外として開示されません。
Q7.匿名加工情報は、他の情報と照合すれば容易に特定の個人を復元できるように加工した情報をいう。
正解は ×。匿名加工情報は、特定の個人を識別できず元に戻せないように加工したものです。照合すれば分かりうるのは仮名加工情報のイメージです。
個人情報とは?
個人データと保有個人データの違いは?
要配慮個人情報の例は?
個人関連情報とは?
第三者提供の原則ルールは?
オプトアウトで提供できないものは?
本人が持つ代表的な権利は?
匿名加工情報と仮名加工情報の違いは?
監督機関は?
個人情報保護と情報公開の向きのちがいは?
📌 このページのまとめ
- 用語の区別が要:個人情報/個人データ/保有個人データ/要配慮個人情報/個人関連情報
- 要配慮個人情報(病歴・犯罪歴など)は取得に同意が必要でオプトアウト不可
- 事業者の義務:利用目的の特定・目的外利用や第三者提供の制限・安全管理・提供の記録
- 本人の権利:開示・訂正・利用停止・第三者提供の停止を請求できる
- 匿名加工=戻せない/仮名加工=照合で分かりうる。監督は個人情報保護委員会、漏えいは報告・通知
- 個人情報保護は「守る」、情報公開は「知る」(原則開示・不開示情報は例外)と向きで区別