個人情報保護法の全体像|行政書士試験の一般知識対策
個人情報保護法の全体像を行政書士試験対策として解説。2022年改正のポイント、個人情報の定義、個人情報取扱事業者の義務、要配慮個人情報など頻出論点を整理します。
はじめに|行政書士試験における個人情報保護法の重要性
行政書士試験の一般知識等科目(情報通信・個人情報保護)では、個人情報保護法からの出題が毎年のように見られます。一般知識は14問中6問以上の正解が必要な足切り科目であり、個人情報保護法は比較的対策しやすい分野として、確実に得点しておきたいところです。
個人情報保護法は2003年の制定以降、デジタル社会の進展に合わせて何度も改正されてきました。特に2015年改正・2020年改正・2021年改正(デジタル社会形成整備法)は試験でも頻出です。
一般知識は法令科目と異なり「足切り」(基準点未満で総得点に関係なく不合格)が存在するため、合否に直結します。なかでも個人情報保護法は、(1)条文ベースで答えが一義的に決まりやすい、(2)範囲が比較的限定されている、(3)毎年安定して出題される、という三拍子が揃っており、政治・経済・社会分野のように予測困難なテーマと比べて「努力が報われやすい」領域です。本記事では、個人情報保護法の全体像を体系的に整理し、行政書士試験で問われるポイントを中心に解説します。条文番号は2022年4月全面施行後の現行法(章立て再編後)を基準としています。
なお、本記事で扱う論点は次の流れで理解すると整理しやすくなります。「①どんな情報が保護対象か(定義)→ ②誰がどんな義務を負うか(取扱事業者の義務)→ ③本人にどんな権利があるか → ④データ利活用の仕組み(匿名・仮名加工情報)→ ⑤誰が監督するか(個人情報保護委員会)→ ⑥官民の制度統合(一元化)」。この骨格を意識しながら読み進めてください。
個人情報保護法の目的と沿革
法律の目的
個人情報保護法(正式名称:個人情報の保護に関する法律)は、個人情報の適正な取扱いに関する基本理念や政府の基本方針を定めるとともに、個人情報を取り扱う事業者が遵守すべき義務を規定する法律です。
個人情報保護法第1条では、「個人情報の有用性に配慮しつつ、個人の権利利益を保護すること」を目的として掲げています。個人情報の「保護」と「利活用」のバランスを図ることがこの法律の基本思想です。
この「有用性への配慮」と「権利利益の保護」という二つの要請のバランスこそが、本法全体を貫く設計思想です。匿名加工情報・仮名加工情報といったデータ利活用の制度も、漏えい報告義務や罰則強化といった保護強化の制度も、いずれもこの第1条の理念の現れと理解すると、個別制度の位置づけが見えやすくなります。
なお、本法は「個人情報の有用性に配慮しつつ」という文言からも分かるとおり、個人情報の取扱いを一律に禁止するものではありません。プライバシー権そのものを直接定義・保障する法律ではなく、あくまで「取扱いのルール」を定める法律であるという点も、出題の前提として押さえておきたいところです。
個人情報保護法とプライバシー権
個人情報保護法を理解する前提として、その背景にある「プライバシー権」の発展を確認しておくと、定義論の理解が深まります。プライバシー権は当初「私生活をみだりに公開されない権利」(自由権的・消極的側面)として捉えられていましたが、情報化社会の進展とともに「自己に関する情報をコントロールする権利」(自己情報コントロール権)として再構成されていきました。個人情報保護法における開示・訂正・利用停止請求権などの本人の権利は、この自己情報コントロール権の発想を制度化したものと位置づけられます。
判例上は、いわゆる住基ネット訴訟において、最高裁が個人情報の取扱いとプライバシーの関係について判断を示しています。
行政機関が住基ネットにより住民の本人確認情報を管理、利用等する行為は、個人に関する情報をみだりに第三者に開示又は公表されない自由を侵害するものではなく、憲法13条により保障された上記の自由を侵害するものではない
― 最判平成20年3月6日(住基ネット訴訟)
この判決は、(1)個人の私生活上の自由として「個人に関する情報をみだりに第三者に開示又は公表されない自由」が憲法13条で保障されることを認めつつ、(2)住基ネットで管理される本人確認情報は秘匿性の高い情報とはいえず、目的外利用への制度的担保もあるとして、合憲と結論づけた点に意義があります。一般知識ではなく法令科目(憲法)でも問われ得る判例ですが、個人情報の保護がなぜ要請されるのかという背景理解として押さえておくと有益です。
制定と主要な改正の歴史
個人情報保護法は、社会の変化に対応して段階的に整備されてきました。
改正の全体像をつかむコツは、「2015年=利活用と監督の枠組みを整備した回」「2020年(2022年施行)=本人保護を強化した回」「2021年=官民バラバラだった制度を一本化した回」という三つの軸で記憶することです。改正年と施行年がずれている点(2020年改正は2022年4月施行、2021年改正の地方公共団体への適用は2023年4月施行)も出題ポイントになり得るため、「改正された年」と「施行された年」を区別して整理しておきましょう。
いわゆる「3年ごと見直し」規定
2015年改正では、附則において「施行後3年ごとに検討を加える」旨の見直し規定が設けられました。2020年改正はこの3年ごと見直しの最初の成果であり、本法が継続的にアップデートされる仕組みを内包している点も、制度の特徴として押さえておくとよいでしょう。デジタル技術の進展に法が追随し続けるための装置と理解できます。
2015年改正の重要ポイント
2015年改正は、個人情報保護法にとって最初の大規模改正であり、試験でも頻出です。
- 個人情報保護委員会の設置:従来は各省庁が所管していた個人情報保護行政を、独立した第三者機関である個人情報保護委員会に一元化
- 個人識別符号の明文化:指紋データ、顔認識データ、マイナンバーなど、それ単体で個人を識別できる符号を法律上定義
- 匿名加工情報の導入:ビッグデータ利活用のため、特定の個人を識別できないよう加工した情報に関する制度を新設
- 5,000件要件の撤廃:従来は取り扱う個人情報が5,000件以下の事業者は適用除外だったが、すべての事業者を対象に変更
- オプトアウト規制の強化:第三者提供のオプトアウトに個人情報保護委員会への届出を義務化
2015年改正の背景には、いわゆる「リクナビ問題」以前から指摘されていた、データブローカーによる名簿販売やビッグデータ利活用の法的グレーゾーンへの対応という課題がありました。5,000件要件の撤廃は特に重要で、これにより小規模な町内会や自治会、個人事業主であっても、個人情報をデータベース化して事業に用いていれば原則として「個人情報取扱事業者」に該当することになりました。「少量しか扱わない事業者は法の対象外」という旧制度の感覚は誤りである点に注意しましょう。
個人情報の定義|何が「個人情報」にあたるのか
個人情報の基本定義
個人情報保護法第2条第1項によれば、「個人情報」とは以下のいずれかに該当するものをいいます。
- 生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合でき、それにより特定の個人を識別できるものを含む)
- 個人識別符号が含まれるもの
ここで重要なポイントは以下の通りです。
- 「生存する個人」に限定:死者の情報は原則として個人情報に該当しない(ただし、遺族など生存する個人を識別できる場合は別)
- 「容易照合性」:単独では個人を特定できなくても、他の情報と容易に照合して個人を特定できれば個人情報に該当する
- 法人情報は含まれない:法人その他の団体に関する情報は個人情報ではない(ただし、法人の役員の氏名等は個人情報に該当する)
「個人に関する情報」の広さ
定義で見落とされやすいのが、「個人に関する情報」が氏名・住所のような基本情報に限られない点です。個人情報保護委員会のガイドラインによれば、ある個人の身体・財産・職種・肩書等の属性に関する事実・判断・評価を表すすべての情報が「個人に関する情報」に含まれ得るとされます。たとえば防犯カメラの映像(特定の個人を識別できるもの)、音声情報、本人の評価・人事考課の記録なども、特定の個人を識別できれば個人情報に該当します。「文字情報だけが個人情報」という思い込みは誤りです。
「容易照合性」の理解
容易照合性は試験で繰り返し問われる論点です。判定の基準は「当該事業者にとって」他の情報と容易に照合できるかどうかであり、社会一般にとってではない点に注意します。たとえば顧客IDのみが記載されたデータでも、その事業者が顧客IDと氏名の対応表を保有していて容易に紐づけられるなら、そのデータは当該事業者にとって個人情報に該当します。逆に、照合に特別な技術や著しい困難・費用を要する場合は「容易」とはいえず、容易照合性は否定される方向に傾きます。
個人識別符号とは
2015年改正で導入された「個人識別符号」は、大きく2つのカテゴリに分かれます。個人識別符号が含まれる情報は、それ単体で(他の情報と照合しなくても)個人情報に該当する点が最大のポイントです。
身体的特徴を変換した符号(第1号)
- 指紋認識データ
- 顔認識データ
- 虹彩(こうさい)認識データ
- 声紋データ
- 歩行の態様データ
- 手指の静脈データ
サービス利用や書類で割り当てられる符号(第2号)
- マイナンバー(個人番号)
- 旅券(パスポート)番号
- 基礎年金番号
- 運転免許証番号
- 住民票コード
- 保険者番号・被保険者番号
携帯電話番号やメールアドレスは、それ単体では個人識別符号に該当しません。ただし、氏名と組み合わされれば「個人情報」に該当し得ます。この点は試験でも問われやすいポイントです。
個人識別符号を整理する際は、「身体の特徴をデジタルデータ化したもの(第1号)」と「公的機関等が個人に割り当てた番号(第2号)」という二分法で覚えると効率的です。第1号は生体情報(バイオメトリクス)、第2号は公的番号、とイメージするとよいでしょう。なお、メールアドレスや携帯電話番号、クレジットカード番号、SNSのアカウント名などは、政令・規則で個人識別符号として指定されていないため、これら単体では個人識別符号には当たりません。「身近な番号だから個人識別符号だろう」という直感は誤りを招くので注意が必要です。
個人情報に関連する用語の整理
この「個人情報 → 個人データ → 保有個人データ」という階層構造は、本人の権利行使の範囲に直接関わるため、正確に理解しておく必要があります。
階層構造が「どの義務が及ぶか」を決める
なぜこの階層を正確に押さえる必要があるのか。それは、かかってくる義務の重さが階層によって異なるからです。整理すると次のようになります。
※散在情報(データベース化されていない個人情報)の段階では、安全管理措置や第三者提供制限といった「個人データ」を前提とする義務は直接には及びません。
ポイントは、(1)安全管理措置や第三者提供の制限は「個人データ」を対象とすること、(2)本人による開示・訂正・利用停止等の請求は「保有個人データ」を対象とすること、です。たとえば、街頭で受け取った名刺を整理せずに机に積んでいる段階では「個人情報」にとどまりますが、名刺管理ソフトに登録して検索可能にすれば「個人データ」となり、安全管理措置等の義務が及ぶ、という違いが生まれます。「個人情報なら何でも開示請求できる」というのは誤りで、開示請求等の対象は保有個人データに限られる点が頻出の引っかけです。
なお、2020年改正前は「6か月以内に消去する短期保存データ」は保有個人データから除外されていましたが、2022年施行の改正によりこの除外が撤廃され、短期保存データも保有個人データに含まれることになりました(後述)。
本人は、事業者が保有するすべての「個人情報」について、自己に関する内容の開示を請求することができる。
要配慮個人情報|取得に本人同意が必要な情報
要配慮個人情報の定義
2015年改正で新たに設けられた概念が「要配慮個人情報」です。不当な差別や偏見が生じないよう、特に慎重な取扱いが求められる個人情報として、以下のものが列挙されています。
- 人種
- 信条(宗教的信仰、政治的信条など)
- 社会的身分
- 病歴
- 犯罪の経歴
- 犯罪により害を被った事実
- 身体障害・知的障害・精神障害等の障害があること
- 健康診断等の結果
- 医師等による指導・診療・調剤が行われたこと
- 刑事事件に関する手続が行われたこと
- 少年の保護事件に関する手続が行われたこと
これらは法第2条第3項および政令で限定列挙されているものです。注意したいのは、「本籍地・国籍」「門地(家柄)」「労働組合への加入」「性的指向・性自認」などは、現行法上は要配慮個人情報として列挙されていないという点です(社会的な配慮の必要性とは別に、法律上の「要配慮個人情報」の定義には含まれていません)。EUのGDPRにおける「特別カテゴリーの個人データ」とは範囲が異なるため、「差別につながりそうな情報はすべて要配慮個人情報」という発想で解くと誤答しやすくなります。あくまで条文・政令の列挙に忠実に判断するのが鉄則です。
要配慮個人情報の取扱いルール
要配慮個人情報には、通常の個人情報よりも厳格なルールが適用されます。
- 取得の制限:あらかじめ本人の同意を得ないで取得してはならない(通常の個人情報にはこの制限はない)
- オプトアウトによる第三者提供の禁止:要配慮個人情報は、オプトアウト手続きによる第三者提供が認められない
通常の個人情報は「取得それ自体」には本人同意を要さず、利用目的の通知・公表で足りるのに対し、要配慮個人情報は取得の段階で本人同意が必要という点が決定的な違いです。「通常の個人情報も取得に同意が必要」と書かれていれば誤り、と判断できるようにしておきましょう。なお、法令に基づく場合や、人の生命・身体・財産の保護に必要で本人同意取得が困難な場合など、一定の例外的場面では同意なしの取得も認められます。
要配慮個人情報は、本人の同意を得ずにオプトアウト手続きにより第三者に提供することができる。
個人情報取扱事業者の義務
「個人情報取扱事業者」とは、個人情報データベース等を事業の用に供している者をいい、国の機関・地方公共団体・独立行政法人等・地方独立行政法人を除いた主体を指します。前述のとおり5,000件要件は撤廃されているため、扱う件数の多寡を問わず、個人情報データベース等を事業に利用していれば該当します。ここからは事業者が負う各義務を、個人情報のライフサイクル(取得→利用→保管→提供)に沿って整理します。
利用目的に関する義務
個人情報取扱事業者は、個人情報の利用目的について以下の義務を負います。
- 利用目的の特定(第17条):個人情報の利用目的をできる限り特定しなければならない
- 利用目的による制限(第18条):特定した利用目的の達成に必要な範囲を超えて取り扱ってはならない
- 利用目的の通知・公表(第21条):個人情報を取得した場合は、あらかじめ利用目的を公表するか、取得後速やかに本人に通知・公表しなければならない
利用目的は「できる限り特定」する必要があり、「事業活動に用いるため」「マーケティング活動に用いるため」といった抽象的・包括的な記載では特定として不十分とされます。どのような目的で利用されるか本人が合理的に予測・想定できる程度に具体化することが求められます。また、利用目的を事後的に変更する場合は、変更前の利用目的と関連性を有すると合理的に認められる範囲を超えてはならない、という制約があります(仮名加工情報ではこの制約が緩和される点が後述のとおり対比されます)。
取得に関する義務
- 適正な取得(第20条):偽りその他不正の手段により個人情報を取得してはならない
- 要配慮個人情報の取得(第20条第2項):あらかじめ本人の同意を得ることが必要
管理に関する義務
- データ内容の正確性の確保(第22条):利用目的の達成に必要な範囲内で、個人データを正確かつ最新の内容に保つよう努めなければならない
- 安全管理措置(第23条):個人データの漏えい・滅失・毀損の防止その他安全管理のために必要かつ適切な措置を講じなければならない
- 従業者の監督(第24条):従業者に個人データを取り扱わせるにあたっては、安全管理措置を遵守させるよう必要かつ適切な監督を行わなければならない
- 委託先の監督(第25条):個人データの取扱いを委託する場合、委託先に対する必要かつ適切な監督を行わなければならない
ここで義務の性質の違いに注意しましょう。データ内容の正確性確保(第22条)が「努力義務」(〜努めなければならない)であるのに対し、安全管理措置(第23条)・従業者の監督(第24条)・委託先の監督(第25条)は「法的義務」(〜しなければならない)である点が出題されます。「努めなければならない」か「しなければならない」かは条文の文言レベルで区別され、入れ替えた選択肢が誤り肢として登場します。
また、安全管理措置として講じるべき措置は、ガイドライン上「組織的・人的・物理的・技術的」の4類型に整理されています。さらに2022年施行の改正で、保有個人データに関して講じた安全管理措置の内容を本人の知り得る状態に置くことが求められるようになった点も押さえておきましょう。
委託・事業承継・共同利用は「第三者」に当たらない
第三者提供の制限を理解する前提として、形式上は他者にデータが渡るが「第三者提供」には当たらない(=本人同意が不要となる)3類型を押さえておく必要があります。
これらは「第三者に提供している」ように見えても、法律上は第三者提供に該当しないため本人同意が不要です。ただし、委託の場合は委託先の監督義務が、共同利用の場合は利用目的・共同利用する者の範囲・管理責任者等の通知等が、それぞれ別途要求される点に注意します。「委託先への提供にも本人同意が必要」という記述は誤りです。
第三者提供の制限
個人データを第三者に提供するには、原則としてあらかじめ本人の同意を得なければなりません(第27条第1項)。ただし、以下の場合は例外として同意なく提供できます。
- 法令に基づく場合
- 人の生命・身体・財産の保護に必要であり、本人の同意を得ることが困難な場合
- 公衆衛生の向上・児童の健全育成に特に必要であり、本人の同意を得ることが困難な場合
- 国の機関等に協力する必要がある場合
第三者提供に係る記録義務(トレーサビリティ)
2015年改正では、名簿業者を通じた個人データの流通実態を踏まえ、第三者提供の「記録作成・確認義務」(トレーサビリティ確保義務)が導入されました。個人データを第三者に提供した側は提供年月日・相手方等の記録を作成・保存し、受領した側は提供元の取得経緯等を確認したうえで記録を作成・保存する義務を負います。これにより、不正に流通した個人データの追跡が可能となりました。後述するとおり、2022年施行の改正で本人はこの第三者提供記録の開示を請求できるようになっています。
外国にある第三者への提供
個人データを外国にある第三者に提供する場合(越境移転)は、原則として通常の第三者提供の要件に加えて、外国への提供であることについて本人の同意を得る必要があります(第28条)。この場合、提供先の国名や個人情報保護制度に関する情報を本人に提供することが求められます。ただし、(1)わが国と同等の水準にあると認められる体制を整備している国(個人情報保護委員会規則で指定)、(2)提供先が基準に適合する体制を整備している場合、には例外が認められます。グローバルなデータ流通を念頭に置いた規律であり、近年出題が増えやすい論点です。
オプトアウト規定
第三者提供の例外的な仕組みとして「オプトアウト」があります。これは、以下の条件を満たせば、本人の事前同意なしに個人データを第三者に提供できる制度です。
- 第三者提供を行うことをあらかじめ本人に通知または本人が容易に知り得る状態に置く
- 本人の求めがあれば提供を停止する
- 個人情報保護委員会に届け出る
ただし、前述のとおり要配慮個人情報および不正取得された個人データは、オプトアウトによる第三者提供が認められません。
ここで2020年改正(2022年施行)による拡張が重要です。改正により、オプトアウトによる第三者提供が禁止される対象に、従来の要配慮個人情報に加えて、オプトアウトにより提供を受けた個人データ(オプトアウトで入手したデータをさらにオプトアウトで再提供すること)が追加されました。これにより、名簿が業者間を転々と流通する事態への歯止めが強化されています。「オプトアウトで取得したデータをオプトアウトで再提供できる」という記述は誤りとなります。
本人からの請求への対応
本人は、保有個人データについて以下の請求を行うことができます。
2020年改正により、利用停止等・第三者提供停止の請求権が拡大され、本人の権利保護が強化されました。
開示・訂正等の請求権について補足しておくべき重要な判例があります。最高裁は、これらの請求権が法律上明確に規定される以前の事案について、本人が事業者に対してその種の請求をなし得る具体的権利があるかが争われた局面で判断を示しています。現行法では開示請求権等が裁判上行使可能な具体的請求権として整備されている点(2017年施行の改正で明文化)は、制度の到達点として理解しておきましょう。請求に対し事業者が手数料を徴収できる場合がある(利用目的の通知・開示の請求)一方、訂正・利用停止等の請求では手数料を徴収できないといった細部も、余力があれば確認しておくと安心です。
匿名加工情報と仮名加工情報
匿名加工情報(2015年改正で導入)
匿名加工情報とは、個人情報を加工して特定の個人を識別することができないようにし、かつ当該個人情報を復元できないようにした情報です。
匿名加工情報は、本人の同意なく第三者提供が可能であり、ビッグデータの利活用を促進するために設けられた制度です。ただし、以下のルールがあります。
- 適正な加工を行うこと
- 加工方法等の安全管理措置を講じること
- 匿名加工情報に含まれる情報の項目を公表すること
- 他の情報と照合して個人を再識別してはならないこと
匿名加工情報のポイントは、「加工によって特定の個人を識別できず、かつ復元もできない状態にする」ことで、もはや個人情報には該当しなくなる(個人情報としての各種義務が外れる)点にあります。その代わり、第三者提供時には作成元・提供元の事業者に情報項目の公表や匿名加工情報である旨の明示が求められ、誰であれ再識別(元の個人に戻す行為)が禁止されます。利活用の自由度を高めつつ、再識別禁止で本人保護を担保する設計です。
仮名加工情報(2020年改正で新設)
仮名加工情報とは、個人情報を加工して他の情報と照合しない限り特定の個人を識別することができないようにした情報です。匿名加工情報と比べて加工の程度が軽く、元データとの照合が技術的には可能な点が異なります。
仮名加工情報の特徴は以下の通りです。
- 事業者内部での利用に限定:原則として第三者提供が禁止される
- 本人からの開示・利用停止請求の対象外:事業者の負担を軽減
- 利用目的の変更が柔軟:当初の利用目的と関連性がなくても変更可能
両者の違いを一言でまとめると、匿名加工情報は「外に出すための情報」、仮名加工情報は「中で使い倒すための情報」です。匿名加工情報は復元不可能なレベルまで加工することで第三者提供を可能にする一方、仮名加工情報は加工を軽めにして社内での分析自由度(利用目的変更の柔軟性)を確保する代わりに外部提供を原則封じています。なお、仮名加工情報も委託・事業承継・共同利用に伴う提供は可能であり、「一切外部に出せない」わけではない点に注意します。また仮名加工情報については、漏えい等報告・本人通知の義務や利用目的の制限の一部が緩和されている一方、本人への連絡(電話・郵便等)に用いることは禁止されている、という細かな規律もあります。
仮名加工情報は、匿名加工情報と同様に、本人の同意なく第三者に提供することができる。
2022年施行の改正ポイント
2020年に改正され2022年4月に施行された改正は、行政書士試験でも出題が予想される重要テーマです。
漏えい等報告の義務化
従来は努力義務であった漏えい等の報告が、以下の類型に該当する場合に法的義務となりました。
- 要配慮個人情報が含まれる漏えい等
- 不正アクセス等による漏えい等
- 財産的被害が生じるおそれがある漏えい等
- 1,000件を超える漏えい等
報告先は個人情報保護委員会であり、速報(事態を知った日から概ね3〜5日以内)と確報(30日以内、不正アクセスの場合は60日以内)の2段階で報告する必要があります。あわせて、本人への通知も義務化されました。
漏えい等報告の要件は、上記の4類型の「いずれか」に当たれば義務が発生する点に注意します。とくに「1,000件を超える」という件数基準は、件数が1件であっても要配慮個人情報の漏えいや不正アクセスによる漏えいであれば報告義務が生じる、という点とセットで理解しておきましょう(件数だけが基準ではない)。報告は速報・確報の二段階で、報告先は個人情報保護委員会、加えて本人通知も必要、という枠組みは数字を含めて問われやすい箇所です。
個人の権利の拡大
- 利用停止・消去請求権の要件緩和:従来は目的外利用・不正取得の場合に限定されていたが、利用する必要がなくなった場合や漏えい等が生じた場合にも請求可能に
- 開示のデジタル化:本人が電磁的記録での開示を請求できるようになった
- 第三者提供記録の開示請求:本人が第三者提供記録について開示を請求できるようになった
- 短期保存データも対象に:6か月以内に消去するデータも保有個人データに含まれることになった
これらはいずれも「本人保護の強化」という2020年改正の方向性を示すものです。とりわけ「短期保存データの保有個人データ化」は、改正前は「6か月以内に消去するものは保有個人データに含まれない」とされていた除外規定が撤廃された結果である点を、改正前後の対比として押さえておきましょう。利用停止・消去請求の要件が「違反があった場合」だけでなく「不要になった場合」「漏えい等が生じた場合」「本人の権利利益を害するおそれがある場合」にも拡大された点も、本人の主体的なコントロールを強める重要な変化です。
罰則の強化
法人に対する罰金額が大幅に引き上げられた点が注目されます(法人重科の導入)。
罰則を理解する際の鍵は「両罰規定における法人重科」です。両罰規定とは、違反行為をした行為者本人を罰するとともに、その者を使用する法人等にも罰金刑を科す仕組みですが、本法では命令違反・不正提供について法人に科される罰金額(最高1億円)が、行為者個人に科される罰金額よりはるかに重く設定されています。「法人と個人が同額の罰金」という記述は誤りです。なお、個人情報保護委員会の命令に違反した者には、行為者個人に対しても懲役を含む刑罰が定められています。
行政機関等の個人情報保護の一元化
2021年改正(デジタル社会形成整備法)の概要
従来、個人情報の保護に関する法律は以下のように分かれていました。
- 個人情報保護法(民間事業者向け)
- 行政機関個人情報保護法(国の行政機関向け)
- 独立行政法人等個人情報保護法(独立行政法人向け)
- 各地方公共団体の個人情報保護条例
2021年改正により、これらが個人情報保護法に一元化されました。これにより、官民を通じた個人情報保護の統一的なルールが整備され、地方公共団体についても個人情報保護法が直接適用されることになりました(2023年4月施行)。
この一元化のポイントは以下の通りです。
- 個人情報保護委員会が官民を通じた一元的な監督機関に
- いわゆる「2,000個問題」(地方公共団体ごとにルールが異なる問題)の解消
- 行政機関等における匿名加工情報の利活用促進
「2,000個問題」とは、地方公共団体ごとに約2,000の個人情報保護条例が存在し、定義や手続が団体間でバラバラであったために、官民・地域間でのデータ流通や災害時の情報連携が阻害されていた問題を指します。一元化により、地方公共団体の個人情報保護も原則として個人情報保護法(行政機関等に関する規律)に統合されました。ただし、法律が定める全国共通ルールの範囲内で、地方公共団体が条例によって独自の規律を上乗せ・追加できる余地は残されています(条例で定める個人情報保護審議会への諮問など)。「条例は全廃され一切認められなくなった」という理解は不正確です。
行政機関等に適用される独自の規律
一元化後も、民間事業者と行政機関等とで規律が完全に同一になったわけではありません。行政機関等については、保有の制限・利用目的の明示・利用及び提供の制限など、行政固有の規律が別途定められています。たとえば行政機関等は、原則として利用目的の達成に必要な範囲を超えて保有個人情報を保有してはならず、また法令に基づく場合等を除き目的外の利用・提供をしてはならない、といった規律が適用されます。民間向けの「個人情報取扱事業者の義務」と行政機関等向けの規律は章を分けて規定されている点を押さえておきましょう。
個人情報保護委員会の役割
個人情報保護委員会は、2016年1月に設置された独立性の高い第三者機関(いわゆる三条委員会)です。内閣府の外局として設置され、委員長と委員8名で構成されます。
「三条委員会」とは、国家行政組織法第3条(および内閣府設置法)に基づき設置される、職権行使の独立性が保障された合議制の行政委員会を指す通称です。個人情報保護委員会は、所掌事務について独立してその職権を行うものとされ、委員長・委員は独立して職権を行使します。政治的中立性・専門性が求められる分野で、政府からの一定の独立性を確保するための仕組みであり、公正取引委員会などと同種の位置づけと理解するとよいでしょう。
主な権限
- 監視・監督権限:報告徴収、立入検査、指導・助言、勧告、命令
- 法令の解釈・運用のガイドライン策定
- 国際協力:個人データの越境移転に関する国際的な枠組みへの対応
- 苦情処理のあっせん
- 認定個人情報保護団体の認定・監督
2021年改正以降、個人情報保護委員会は行政機関・地方公共団体も含めた全体的な監督権限を有するようになりました。ただし、行政機関に対しては「命令」権限はなく、「勧告」にとどまる点に注意が必要です。
委員会の監督権限は、民間の個人情報取扱事業者に対しては「指導・助言→勧告→命令」と段階的に強まり、最終的には命令違反に対する罰則も背景にした強い権限が及びます。一方、行政機関等に対しては、行政組織内部の自律的な是正を尊重する観点から、命令ではなく勧告にとどまる点が官民の権限の差として重要です。この「民間には命令、行政機関には勧告まで」という非対称性は、一元化後の論点として出題が想定されます。
認定個人情報保護団体
委員会の権限に登場する「認定個人情報保護団体」は、特定の業界・分野における個人情報の適正な取扱いを確保するため、個人情報保護委員会の認定を受けた民間団体です。対象事業者からの苦情処理や、業界の実情に応じた指針(個人情報保護指針)の策定などを担い、自主的なルール形成を促す役割を果たします。委員会による公的規制と、認定団体による民間の自主規制とが組み合わさって個人情報保護が図られている、という重層構造を理解しておくと、制度全体の見通しがよくなります。
行政書士試験での出題傾向
出題のパターン
個人情報保護法に関する出題は、主に以下のパターンで出題されます。
- 定義に関する問題:個人情報・個人識別符号・要配慮個人情報の定義の正誤
- 事業者の義務に関する問題:利用目的の通知、第三者提供の制限、安全管理措置
- 本人の権利に関する問題:開示請求、訂正請求、利用停止請求の要件
- 改正ポイントに関する問題:匿名加工情報・仮名加工情報の違い、漏えい報告の義務化
- 個人情報保護委員会に関する問題:設置根拠、権限、独立性
過去問で問われやすい「角度」
過去の出題傾向を踏まえると、次のような切り口で正誤を問われることが多くなっています。
- 「個人情報」と「個人データ」「保有個人データ」の混同:開示請求の対象を「個人情報」と書き換えるなど、階層をずらした選択肢
- 要配慮個人情報の列挙の正確性:本籍地・労働組合加入・性的指向など、列挙されていない事項を要配慮個人情報とする選択肢
- 取得時の同意の要否:通常の個人情報の取得にも常に本人同意が必要、とする誤り
- オプトアウトの限界:要配慮個人情報やオプトアウト取得データもオプトアウトで提供可能、とする誤り
- 匿名加工情報と仮名加工情報の第三者提供可否の入れ替え
- 委員会の権限:行政機関に対しても命令ができる、とする誤り
- 努力義務と法的義務の取り違え:「努めなければならない」と「しなければならない」の入れ替え
- 死者の情報:死者の情報も当然に個人情報に含まれる、とする誤り
よくある誤解の整理
効率的な対策法
- 定義の正確な暗記が最優先:「生存する個人」「容易照合性」「個人識別符号」など、条文の文言を正確に押さえる
- 改正の「何が変わったか」を意識する:改正前後の違いが出題されやすい
- 匿名加工情報と仮名加工情報の違いを表で整理する:両者の比較問題は頻出
- 個人情報保護委員会の権限の範囲を理解する:特に行政機関に対する権限の限界
- 数字を正確に押さえる:漏えい報告の「1,000件超」、確報の「30日(不正アクセス60日)」、罰則の「1億円」など、数値を絡めた出題に備える
個人情報保護法における「個人情報」には、死者に関する情報も含まれる。
個人情報取扱事業者は、個人データの取扱いを委託する場合であっても、委託先に個人データを提供するには、あらかじめ本人の同意を得なければならない。
関連論点と隣接分野
個人情報保護法は単体で完結するわけではなく、隣接する制度・分野と関連づけて理解すると得点力が高まります。
- 情報公開法・行政機関の情報公開:行政機関の保有する情報の「公開」と「個人情報保護」は、いずれも行政の保有する情報をめぐる制度であり、行政機関等の規律が個人情報保護法に統合された結果、両制度の関係を整理しておく意義が増しています。情報公開請求と本人開示請求は趣旨・要件が異なる点に注意します。
- マイナンバー法(番号法):マイナンバー(個人番号)は個人識別符号に当たりますが、その取扱いには個人情報保護法の特別法であるマイナンバー法が上乗せの規律を設けています。利用範囲が法定され、目的外利用が厳しく制限される点が個人情報保護法一般との違いです。
- 情報通信分野の一般知識:一般知識では、個人情報保護法とあわせて、不正アクセス禁止法、特定電子メール法、デジタル関連の用語などが情報通信分野として出題されます。個人情報保護法を軸に、周辺の情報法制をまとめて押さえると効率的です。
まとめ
個人情報保護法は、行政書士試験の一般知識対策として最も費用対効果の高いテーマの一つです。以下のポイントを確実に押さえましょう。
基本的な定義
- 個人情報は「生存する個人に関する情報」で特定の個人を識別できるもの
- 個人識別符号(2015年改正)により、指紋データやマイナンバー等も明確に個人情報に含まれる
- 「個人情報 → 個人データ → 保有個人データ」の階層で、及ぶ義務・権利が変わる
- 要配慮個人情報は取得に本人の事前同意が必要(列挙事項を正確に)
事業者の義務
- 利用目的の特定・通知・公表
- 安全管理措置の実施(法的義務)と正確性確保(努力義務)の区別
- 第三者提供は原則として本人同意が必要(委託・事業承継・共同利用は除く/オプトアウト規定あり)
- 本人からの開示・訂正・利用停止請求に対応する義務
近年の改正ポイント
- 匿名加工情報(2015年)は第三者提供可能、仮名加工情報(2020年)は原則提供不可
- 漏えい等報告が2022年施行で義務化(要配慮・不正アクセス・財産的被害・1,000件超の類型)
- 個人の権利が拡大(利用停止請求の要件緩和、開示のデジタル化、第三者提供記録の開示、短期保存データの保有個人データ化)
- 罰則強化(法人重科で最高1億円)
- 官民一元化により個人情報保護委員会が統一的な監督機関に(行政機関には勧告まで)
定義・義務・権利・改正・委員会という5つの柱を、本記事の表で繰り返し確認すれば、頻出論点はほぼカバーできます。法改正の動向にも注意を払いながら、条文ベースの正確な知識を身につけていきましょう。
一般知識の他テーマや、関連する情報法制とあわせて学習を進めると効果的です。