ログイン 新規登録
/ 一般知識

個人情報保護法の全体像|行政書士試験の一般知識対策

個人情報保護法の全体像を行政書士試験対策として解説。2022年改正のポイント、個人情報の定義、個人情報取扱事業者の義務、要配慮個人情報など頻出論点を整理します。

はじめに|行政書士試験における個人情報保護法の重要性

行政書士試験の一般知識等科目(情報通信・個人情報保護)では、個人情報保護法からの出題が毎年のように見られます。一般知識は14問中6問以上の正解が必要な足切り科目であり、個人情報保護法は比較的対策しやすい分野として、確実に得点しておきたいところです。

個人情報保護法は2003年の制定以降、デジタル社会の進展に合わせて何度も改正されてきました。特に2015年改正・2020年改正・2021年改正(デジタル社会形成整備法)は試験でも頻出です。

本記事では、個人情報保護法の全体像を体系的に整理し、行政書士試験で問われるポイントを中心に解説します。

個人情報保護法の目的と沿革

法律の目的

個人情報保護法(正式名称:個人情報の保護に関する法律)は、個人情報の適正な取扱いに関する基本理念や政府の基本方針を定めるとともに、個人情報を取り扱う事業者が遵守すべき義務を規定する法律です。

個人情報保護法第1条では、「個人情報の有用性に配慮しつつ、個人の権利利益を保護すること」を目的として掲げています。個人情報の「保護」と「利活用」のバランスを図ることがこの法律の基本思想です。

制定と主要な改正の歴史

個人情報保護法は、社会の変化に対応して段階的に整備されてきました。

年内容主なポイント2003年制定・公布個人情報保護の基本法として成立2005年全面施行民間事業者への義務規定が適用開始2015年大改正個人情報保護委員会の設置、個人識別符号の導入、匿名加工情報の新設2017年2015年改正の全面施行5,000件要件の撤廃(全事業者が対象に)2020年改正仮名加工情報の新設、個人の権利拡大、漏えい等報告の義務化2021年デジタル社会形成整備法行政機関・独立行政法人・地方公共団体の個人情報保護を一元化2022年2020年改正の全面施行漏えい報告義務化、罰則強化などが施行

2015年改正の重要ポイント

2015年改正は、個人情報保護法にとって最初の大規模改正であり、試験でも頻出です。

  • 個人情報保護委員会の設置:従来は各省庁が所管していた個人情報保護行政を、独立した第三者機関である個人情報保護委員会に一元化
  • 個人識別符号の明文化:指紋データ、顔認識データ、マイナンバーなど、それ単体で個人を識別できる符号を法律上定義
  • 匿名加工情報の導入:ビッグデータ利活用のため、特定の個人を識別できないよう加工した情報に関する制度を新設
  • 5,000件要件の撤廃:従来は取り扱う個人情報が5,000件以下の事業者は適用除外だったが、すべての事業者を対象に変更
  • オプトアウト規制の強化:第三者提供のオプトアウトに個人情報保護委員会への届出を義務化

個人情報の定義|何が「個人情報」にあたるのか

個人情報の基本定義

個人情報保護法第2条第1項によれば、「個人情報」とは以下のいずれかに該当するものをいいます。

  1. 生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合でき、それにより特定の個人を識別できるものを含む)
  2. 個人識別符号が含まれるもの

ここで重要なポイントは以下の通りです。

  • 「生存する個人」に限定:死者の情報は原則として個人情報に該当しない(ただし、遺族など生存する個人を識別できる場合は別)
  • 「容易照合性」:単独では個人を特定できなくても、他の情報と容易に照合して個人を特定できれば個人情報に該当する
  • 法人情報は含まれない:法人その他の団体に関する情報は個人情報ではない(ただし、法人の役員の氏名等は個人情報に該当する)

個人識別符号とは

2015年改正で導入された「個人識別符号」は、大きく2つのカテゴリに分かれます。

身体的特徴を変換した符号(第1号)

  • 指紋認識データ
  • 顔認識データ
  • 虹彩(こうさい)認識データ
  • 声紋データ
  • 歩行の態様データ
  • 手指の静脈データ

サービス利用や書類で割り当てられる符号(第2号)

  • マイナンバー(個人番号)
  • 旅券(パスポート)番号
  • 基礎年金番号
  • 運転免許証番号
  • 住民票コード
  • 保険者番号・被保険者番号
携帯電話番号やメールアドレスは、それ単体では個人識別符号に該当しません。ただし、氏名と組み合わされれば「個人情報」に該当し得ます。この点は試験でも問われやすいポイントです。

個人情報に関連する用語の整理

用語定義具体例個人情報生存する個人を識別できる情報氏名、住所、顔写真個人データ個人情報データベース等を構成する個人情報顧客データベースに入力された情報保有個人データ事業者に開示等の権限がある個人データ事業者が自ら管理する顧客データ個人情報データベース等個人情報を検索できるように体系的に構成したもの顧客リスト、会員名簿

この「個人情報 → 個人データ → 保有個人データ」という階層構造は、本人の権利行使の範囲に直接関わるため、正確に理解しておく必要があります。

要配慮個人情報|取得に本人同意が必要な情報

要配慮個人情報の定義

2015年改正で新たに設けられた概念が「要配慮個人情報」です。不当な差別や偏見が生じないよう、特に慎重な取扱いが求められる個人情報として、以下のものが列挙されています。

  • 人種
  • 信条(宗教的信仰、政治的信条など)
  • 社会的身分
  • 病歴
  • 犯罪の経歴
  • 犯罪により害を被った事実
  • 身体障害・知的障害・精神障害等の障害があること
  • 健康診断等の結果
  • 医師等による指導・診療・調剤が行われたこと
  • 刑事事件に関する手続が行われたこと
  • 少年の保護事件に関する手続が行われたこと

要配慮個人情報の取扱いルール

要配慮個人情報には、通常の個人情報よりも厳格なルールが適用されます。

  • 取得の制限:あらかじめ本人の同意を得ないで取得してはならない(通常の個人情報にはこの制限はない)
  • オプトアウトによる第三者提供の禁止:要配慮個人情報は、オプトアウト手続きによる第三者提供が認められない
確認問題

要配慮個人情報は、本人の同意を得ずにオプトアウト手続きにより第三者に提供することができる。

○ 正しい × 誤り
解説
要配慮個人情報は、オプトアウト手続き(本人の求めがあれば事後的に提供を停止する方式)による第三者提供が禁止されています。要配慮個人情報を第三者に提供するには、原則として本人の事前同意が必要です。これは不当な差別・偏見を防ぐための規定であり、試験頻出ポイントです。

個人情報取扱事業者の義務

利用目的に関する義務

個人情報取扱事業者は、個人情報の利用目的について以下の義務を負います。

  1. 利用目的の特定(第17条):個人情報の利用目的をできる限り特定しなければならない
  2. 利用目的による制限(第18条):特定した利用目的の達成に必要な範囲を超えて取り扱ってはならない
  3. 利用目的の通知・公表(第21条):個人情報を取得した場合は、あらかじめ利用目的を公表するか、取得後速やかに本人に通知・公表しなければならない

取得に関する義務

  • 適正な取得(第20条):偽りその他不正の手段により個人情報を取得してはならない
  • 要配慮個人情報の取得(第20条第2項):あらかじめ本人の同意を得ることが必要

管理に関する義務

  • データ内容の正確性の確保(第22条):利用目的の達成に必要な範囲内で、個人データを正確かつ最新の内容に保つよう努めなければならない
  • 安全管理措置(第23条):個人データの漏えい・滅失・毀損の防止その他安全管理のために必要かつ適切な措置を講じなければならない
  • 従業者の監督(第24条):従業者に個人データを取り扱わせるにあたっては、安全管理措置を遵守させるよう必要かつ適切な監督を行わなければならない
  • 委託先の監督(第25条):個人データの取扱いを委託する場合、委託先に対する必要かつ適切な監督を行わなければならない

第三者提供の制限

個人データを第三者に提供するには、原則としてあらかじめ本人の同意を得なければなりません(第27条第1項)。ただし、以下の場合は例外として同意なく提供できます。

  • 法令に基づく場合
  • 人の生命・身体・財産の保護に必要であり、本人の同意を得ることが困難な場合
  • 公衆衛生の向上・児童の健全育成に特に必要であり、本人の同意を得ることが困難な場合
  • 国の機関等に協力する必要がある場合

オプトアウト規定

第三者提供の例外的な仕組みとして「オプトアウト」があります。これは、以下の条件を満たせば、本人の事前同意なしに個人データを第三者に提供できる制度です。

  1. 第三者提供を行うことをあらかじめ本人に通知または本人が容易に知り得る状態に置く
  2. 本人の求めがあれば提供を停止する
  3. 個人情報保護委員会に届け出る

ただし、前述のとおり要配慮個人情報および不正取得された個人データは、オプトアウトによる第三者提供が認められません。

本人からの請求への対応

本人は、保有個人データについて以下の請求を行うことができます。

請求の種類内容事業者の対応義務利用目的の通知請求保有個人データの利用目的を知りたい遅滞なく通知開示請求自分の保有個人データの内容を確認したい本人に対し遅滞なく開示(電磁的記録での提供も可)訂正等請求内容が事実でないときの訂正・追加・削除必要な調査を行い、結果に基づき対応利用停止等請求目的外利用や不正取得の場合の利用停止・消去違反が認められた場合に対応第三者提供停止請求同意なき第三者提供等の場合の提供停止違反が認められた場合に対応

2020年改正により、利用停止等・第三者提供停止の請求権が拡大され、本人の権利保護が強化されました。

匿名加工情報と仮名加工情報

匿名加工情報(2015年改正で導入)

匿名加工情報とは、個人情報を加工して特定の個人を識別することができないようにし、かつ当該個人情報を復元できないようにした情報です。

匿名加工情報は、本人の同意なく第三者提供が可能であり、ビッグデータの利活用を促進するために設けられた制度です。ただし、以下のルールがあります。

  • 適正な加工を行うこと
  • 加工方法等の安全管理措置を講じること
  • 匿名加工情報に含まれる情報の項目を公表すること
  • 他の情報と照合して個人を再識別してはならないこと

仮名加工情報(2020年改正で新設)

仮名加工情報とは、個人情報を加工して他の情報と照合しない限り特定の個人を識別することができないようにした情報です。匿名加工情報と比べて加工の程度が軽く、元データとの照合が技術的には可能な点が異なります。

仮名加工情報の特徴は以下の通りです。

  • 事業者内部での利用に限定:原則として第三者提供が禁止される
  • 本人からの開示・利用停止請求の対象外:事業者の負担を軽減
  • 利用目的の変更が柔軟:当初の利用目的と関連性がなくても変更可能
項目匿名加工情報仮名加工情報導入時期2015年改正2020年改正加工の程度復元不可能にする照合しなければ識別不可能にする第三者提供可能(公表義務あり)原則禁止本人の権利行使対象外対象外主な用途データの外部提供・共有社内での分析・研究
確認問題

仮名加工情報は、匿名加工情報と同様に、本人の同意なく第三者に提供することができる。

○ 正しい × 誤り
解説
仮名加工情報は原則として第三者提供が禁止されており、事業者内部での利用に限定されています。第三者提供が可能なのは匿名加工情報のほうです。仮名加工情報は、匿名加工情報よりも加工の程度が軽いため、外部への提供ではなく社内利活用を想定した制度です。

2022年施行の改正ポイント

2020年に改正され2022年4月に施行された改正は、行政書士試験でも出題が予想される重要テーマです。

漏えい等報告の義務化

従来は努力義務であった漏えい等の報告が、以下の類型に該当する場合に法的義務となりました。

  • 要配慮個人情報が含まれる漏えい等
  • 不正アクセス等による漏えい等
  • 財産的被害が生じるおそれがある漏えい等
  • 1,000件を超える漏えい等

報告先は個人情報保護委員会であり、速報(事態を知った日から概ね3〜5日以内)と確報(30日以内、不正アクセスの場合は60日以内)の2段階で報告する必要があります。あわせて、本人への通知も義務化されました。

個人の権利の拡大

  • 利用停止・消去請求権の要件緩和:従来は目的外利用・不正取得の場合に限定されていたが、利用する必要がなくなった場合や漏えい等が生じた場合にも請求可能に
  • 開示のデジタル化:本人が電磁的記録での開示を請求できるようになった
  • 第三者提供記録の開示請求:本人が第三者提供記録について開示を請求できるようになった
  • 短期保存データも対象に:6か月以内に消去するデータも保有個人データに含まれることになった

罰則の強化

違反行為改正前改正後命令違反(法人)30万円以下の罰金1億円以下の罰金虚偽報告等(法人)30万円以下の罰金50万円以下の罰金個人情報データベース等の不正提供50万円以下の罰金1億円以下の罰金

法人に対する罰金額が大幅に引き上げられた点が注目されます(法人重科の導入)。

行政機関等の個人情報保護の一元化

2021年改正(デジタル社会形成整備法)の概要

従来、個人情報の保護に関する法律は以下のように分かれていました。

  • 個人情報保護法(民間事業者向け)
  • 行政機関個人情報保護法(国の行政機関向け)
  • 独立行政法人等個人情報保護法(独立行政法人向け)
  • 各地方公共団体の個人情報保護条例

2021年改正により、これらが個人情報保護法に一元化されました。これにより、官民を通じた個人情報保護の統一的なルールが整備され、地方公共団体についても個人情報保護法が直接適用されることになりました(2023年4月施行)。

この一元化のポイントは以下の通りです。

  • 個人情報保護委員会が官民を通じた一元的な監督機関に
  • いわゆる「2,000個問題」(地方公共団体ごとにルールが異なる問題)の解消
  • 行政機関等における匿名加工情報の利活用促進

個人情報保護委員会の役割

個人情報保護委員会は、2016年1月に設置された独立性の高い第三者機関(いわゆる三条委員会)です。内閣府の外局として設置され、委員長と委員8名で構成されます。

主な権限

  • 監視・監督権限:報告徴収、立入検査、指導・助言、勧告、命令
  • 法令の解釈・運用のガイドライン策定
  • 国際協力:個人データの越境移転に関する国際的な枠組みへの対応
  • 苦情処理のあっせん
  • 認定個人情報保護団体の認定・監督
2021年改正以降、個人情報保護委員会は行政機関・地方公共団体も含めた全体的な監督権限を有するようになりました。ただし、行政機関に対しては「命令」権限はなく、「勧告」にとどまる点に注意が必要です。

行政書士試験での出題傾向

出題のパターン

個人情報保護法に関する出題は、主に以下のパターンで出題されます。

  1. 定義に関する問題:個人情報・個人識別符号・要配慮個人情報の定義の正誤
  2. 事業者の義務に関する問題:利用目的の通知、第三者提供の制限、安全管理措置
  3. 本人の権利に関する問題:開示請求、訂正請求、利用停止請求の要件
  4. 改正ポイントに関する問題:匿名加工情報・仮名加工情報の違い、漏えい報告の義務化
  5. 個人情報保護委員会に関する問題:設置根拠、権限、独立性

効率的な対策法

  • 定義の正確な暗記が最優先:「生存する個人」「容易照合性」「個人識別符号」など、条文の文言を正確に押さえる
  • 改正の「何が変わったか」を意識する:改正前後の違いが出題されやすい
  • 匿名加工情報と仮名加工情報の違いを表で整理する:両者の比較問題は頻出
  • 個人情報保護委員会の権限の範囲を理解する:特に行政機関に対する権限の限界
確認問題

個人情報保護法における「個人情報」には、死者に関する情報も含まれる。

○ 正しい × 誤り
解説
個人情報保護法第2条第1項は「生存する個人に関する情報」と規定しており、死者の情報は原則として「個人情報」に該当しません。ただし、死者の情報が同時に生存する遺族等の個人情報にも該当する場合は、その遺族等の個人情報として保護の対象となります。

まとめ

個人情報保護法は、行政書士試験の一般知識対策として最も費用対効果の高いテーマの一つです。以下のポイントを確実に押さえましょう。

基本的な定義

  • 個人情報は「生存する個人に関する情報」で特定の個人を識別できるもの
  • 個人識別符号(2015年改正)により、指紋データやマイナンバー等も明確に個人情報に含まれる
  • 要配慮個人情報は取得に本人の事前同意が必要

事業者の義務

  • 利用目的の特定・通知・公表
  • 安全管理措置の実施
  • 第三者提供は原則として本人同意が必要(オプトアウト規定あり)
  • 本人からの開示・訂正・利用停止請求に対応する義務

近年の改正ポイント

  • 匿名加工情報(2015年)は第三者提供可能、仮名加工情報(2020年)は原則提供不可
  • 漏えい等報告が2022年施行で義務化(一定の類型に限る)
  • 個人の権利が拡大(利用停止請求の要件緩和、開示のデジタル化)
  • 官民一元化により個人情報保護委員会が統一的な監督機関に

法改正の動向にも注意を払いながら、条文ベースの正確な知識を身につけていきましょう。

#一般知識 #個人情報保護法 #情報通信

無料機能あり!

行政書士の試験対策は行政書士試験ブートラボ!

条文ドリル・肢別演習・過去問演習を無料で体験できます。

無料でアカウント作成 料金プランを見る
記事一覧を見る