個人情報保護法
個人情報の定義・取扱事業者の義務・第三者提供・2022年改正の完全ガイド
このページの学習目標
個人情報保護法は、企業が顧客や従業員の情報をどのように扱うべきかを規定しています。実は、この法律は企業の利便性と個人のプライバシー保護のバランスを取るための仕組みです。このページでは、定義から始まり、なぜ取扱事業者に義務が課されるのか、2022年改正で何が変わったのかを、試験に必要な観点から学びます。
何を学ぶか
- 4段階の定義:個人情報、個人データ、保有個人データ、要配慮個人情報の区別
- 5大義務:利用目的特定、目的外利用禁止、安全管理(4方向)、第三者提供制限、本人対応
- 第三者提供のルール:本人同意が原則だが、法令・生命身体・公衆衛生・オプトアウト等で例外
- 2022年改正:漏えい報告義務化、仮名加工情報、個人関連情報(Cookie等)、罰則強化
- 匿名加工 vs 仮名加工:加工用情報の保有が与える実務的差異
個人情報保護法の全体像:なぜ必要か
現代社会における個人情報の重要性
デジタル化が進む現代では、企業や公的機関が膨大な個人情報を保有しています。顧客の名前、住所、購買履歴、クレジットカード情報、健康診断結果、勤務履歴など、本人の生活全般に関わる極めてセンシティブな情報が、データベースに格納されています。
これらの情報が適切に管理されなければ、深刻な被害が発生します。顧客情報が漏えいすれば、なりすまし詐欺や不正融資が起こります。医療情報が流出すれば、本人が就職や結婚で差別される可能性があります。犯罪歴が知られれば、社会復帰が困難になります。つまり、個人情報は単なる「データ」ではなく、本人の人生を左右する価値を持つものです。
法律の役割と構造
個人情報保護法は、この課題に対応するために制定されました。法律の基本的な構造は、以下のような「バランス」を取るものです。
- 企業側の責務:個人情報を預けてくれた本人の信頼に応えるため、適切に管理し、不当な利用をしない
- 本人側の権利:自分の情報がどのように扱われているかを知り、誤った情報を訂正し、不当な利用を止められる
- 社会全体の利益:プライバシー保護と、データを活用した社会的イノベーション(医学研究、統計分析など)のバランス
この法律がなければ、企業は個人情報を野放図に利用できてしまい、本人は自分の情報を守る手段がありません。
個人情報保護法の4段階の定義
定義が階段状になっている理由
個人情報保護法は、一言で「個人情報」と言っても、段階的に異なる保護レベルを適用します。これは、すべての情報が同じ危険度・管理負荷を持つわけではないからです。たとえば、ネット上に公開されている「著名人の名前」と、銀行に預けた「預金額」では、漏えいした場合の被害が全く異なります。そこで、法律は定義を段階化し、より危険な情報により強い保護を適用しているのです。
第1段階:個人情報(「個人を識別できるか」が基準)
定義:生存する個人に関する情報で、その個人を識別できるもの(直接識別・間接識別含む)
個人情報の最も基本的な定義は「その情報から個人を特定できるか」という基準です。
直接識別の例:名前や顔写真があれば、その人が誰であるか一目瞭然です。「山田太郎」という名前が出てくれば、多くの場合はその人を特定できます。
間接識別の例:一つの情報では特定できなくても、複数の情報を組み合わせて特定できる場合があります。たとえば、「東京都渋谷区に住む30代男性で、営業職、未婚」という情報の組み合わせは、その範囲内では特定の個人を識別できるかもしれません。つまり、個人情報は「単一の情報」ではなく「複合情報」も含むのです。
反対に個人情報でない例:「男性」「営業職」「30代」といった属性だけでは、数百万人が該当するため、個人を識別できません。これらは「統計情報」であり、個人情報ではありません。
第2段階:個人データ(「体系的に管理されているか」が追加条件)
定義:個人情報データベース等を構成する個人情報(事業者が体系的に整理・管理するもの)
事業者が個人情報を適切に保護するには、その情報がどこにあり、誰が管理しているかが重要です。そこで「体系的に管理されている」かどうかが、法的保護が強化されるターニングポイントになります。
個人データの例:
- 顧客管理システムに登録された5,000人の顧客名簿
- 従業員管理システムに格納された給与・勤務情報
- CRMツールに体系化された購買履歴
個人データでない例:
- 営業担当者がポケット手帳に手書きした顧客名簿(個人情報だが、体系的ではない)
- 一度だけ利用するゲストリスト(個人情報だが、継続的には管理されない)
重要なのは、個人データになると「安全管理措置」「本人からの開示請求への対応」など、より厳格な義務が発生するということです。
第3段階:保有個人データ(「本人対応の対象か」が追加条件)
定義:個人データのうち、本人からの開示・訂正・利用停止等の請求対象となるもの
すべての個人データが「本人対応の対象」とは限りません。企業が「これは一度だけ利用する情報」と判断すれば、保有個人データには該当しない可能性があります。
たとえば、あるイベントの参加者一覧が、イベント終了後に全て削除される場合、それは「個人データであったが保有個人データではない」と解釈される場合があります。反対に、顧客との継続的な取引で蓄積された顧客データは、明らかに保有個人データです。
保有個人データであれば、本人からの「開示してください」「この情報を訂正してください」といった請求に、企業は遅滞なく応じなければなりません。
第4段階:要配慮個人情報(「差別・偏見を招くか」が最高レベルの保護条件)
定義:本人に対して不当な差別や偏見を生じさせる恐れがある個人情報
人種、信条、社会的身分、病歴、犯罪歴、犯罪被害歴などは、一般的な個人情報とは異なる特殊性を持っています。これらの情報が流出すると、本人が著しい不利益を被る可能性があります。
たとえば:
- 病歴が流出:HIV感染者であることが知られると、職場での差別や人間関係の悪化につながる
- 犯罪歴が知られる:前科があると、就職や結婚の際に不利益を受ける
- 宗教情報が流出:特定の宗教信仰が知られると、社会的偏見につながる
そのため、要配慮個人情報には、その他の個人情報にはない特別ルールが適用されます。最も重要なのが「取得時に本人の明示的な同意が必須」という点です。通常の個人情報は「利用規約に同意した」という一般的な同意で足りますが、要配慮個人情報は「このセンシティブ情報を取得してもいいか」と個別に確認を取らなければなりません。
定義の4段階の関係図
すべての情報
↓
個人を識別できるか?
→ NO: 個人情報ではない
→ YES: 個人情報 ← (最基本的な保護が適用)
↓
体系的に管理されているか?
→ NO: 個人情報だが個人データではない
→ YES: 個人データ ← (安全管理措置が必須)
↓
本人対応の対象となるか?
→ NO: 個人データだが保有個人データではない
→ YES: 保有個人データ ← (開示・訂正請求に対応)
↓
差別・偏見を招く情報か?
→ NO: 通常の個人情報
→ YES: 要配慮個人情報 ← (取得時同意必須)取扱事業者の5大義務
義務が存在する理由
個人情報を保有する企業には、法律で5つの重要な義務が課されています。これらの義務は、本人の信頼を守るための「最低限の基準」です。もし企業がこれらの義務を果たさなければ、本人は自分の情報を企業に預けることができず、デジタル社会における経済活動が機能しません。
義務1:利用目的の特定と透明性
目的:本人が「自分の情報がどのために使われるか」を知ることができる状態を作る
なぜ必要か
顧客がオンラインストアで商品を購入する際に、名前、住所、クレジットカード番号を入力します。顧客は「商品代金の請求と配送に使われるのだろう」という信頼のもとで情報を提供しています。もし企業がこの情報を隠れて「マーケティング企業への販売」に流用したら、その信頼は完全に破壊されます。
そこで法律は、企業に対して「情報を取得する際に、利用目的を特定し、本人に通知または公表しろ」と強制しているのです。これにより、本人は「この企業はこの情報をこう使う」と明確に理解した上で、情報提供するか否かを判断できます。
実装方法
多くの企業は利用規約やプライバシーポリシーに「当社は顧客情報を以下の目的に限定して使用します:(1) 商品・サービスの提供、(2) 代金請求、(3) キャンペーン案内」と明記することで、利用目的を特定・公表しています。
目的外利用の限定的な例外
基本は「特定した目的以外に使ってはいけない」ですが、社会的に緊急な場合は例外があります。
- 本人の同意を得た場合:追加的に同意を得られれば、当初の目的外でも利用可能
- 法令に基づく場合:警察からの捜査要請など、法律で明示的に要求されている場合
- 生命・身体・財産保護が必要な場合:感染症対策、災害対応、緊急時の連絡
- 公衆衛生や児童の健全育成が必要な場合:予防接種情報の管理、児童虐待防止
ただし、このような例外は限定的です。「似たような目的だから大丈夫」という解釈は許されません。
義務2:安全管理措置(4方向での多層防御)
目的:個人情報の漏えい、改ざん、盗難、不正アクセスを防ぐ
なぜ複数の方向が必要か
個人情報は形のないデジタルデータですから、放置しておくと簡単に盗まれます。1つの場所でセキュリティを強化しても、別の場所に穴があれば意味がありません。そこで、組織・人・物理施設・技術という4方向すべてから防御する必要があります。これは「城壁、兵士、門、監視塔」をすべて備えるような多層防御です。
方向1:組織的安全管理(仕組み作り)
企業全体として、個人情報をどう扱うかをルール化します。
- プライバシーポリシーの策定:事業者が個人情報をどのように扱うかを明文化し、公表する
- 個人情報保護責任者の配置:誰が責任を持つか明確にして、万が一の場合の指揮系統を確保
- 内部規程の整備:利用目的の制限、アクセス権限、委託管理、漏えい時の報告義務などをルール化
- 定期的な監査:年1回以上、実際に個人情報が適切に管理されているか確認
方向2:人的安全管理(従業員教育)
最終的には、人間が情報を扱うため、従業員教育が重要です。
- 従業員教育・訓練:情報漏えいの危険性、適切な扱い方を定期的に教える
- 秘密保持契約:従業員が退職後も、知り得た情報を漏らさないことを契約で約束
- need-to-know原則:「必要な人だけが必要な情報にアクセス」に限定
- 退職時の手続き:退職する従業員が情報を持ち出さないこと、破棄を確認
方向3:物理的安全管理(施設管理)
情報が格納されている場所(オフィス、データセンター)を物理的に守ります。
- 施錠管理:サーバー室や情報保管庫を鍵で管理し、無関係者が近づけない
- 入退室管理:IDカード、バイオメトリクス(指紋認証)などで、許可された者だけが出入りできる仕組み
- 監視カメラ:24時間監視して、不正アクセスを記録・抑止
- 防災・防犯設備:火災検知器、スプリンクラー、防犯アラームなど
方向4:技術的安全管理(IT技術)
デジタルデータそのものを技術的に保護します。
- 暗号化:保存時(ハードディスク上)と通信時(ネットワーク経由)の両方で、データを読み取り不可な形に変換
- アクセス管理:ユーザーID、パスワード、多要素認証(2段階認証)により、本人確認の厳格化
- ログ記録:誰がいつどの情報にアクセスしたかを記録し、不正アクセスを事後的に検出
- マルウェア対策、ファイアウォール:外部からの不正侵入を防止
- セキュリティパッチの定期適用:既知の脆弱性を修復
規模に応じた現実的対応
法律は「完全な安全を保証しろ」とは言いません。重要なのは「その事業者の規模・性質に応じた実行可能な措置を講じろ」という要求です。
- 大規模企業:高度なセキュリティ(例えば、24時間監視されたデータセンター、複数段階の暗号化)が期待される
- 中小企業:「実現可能な範囲で」の対応で足りる(例えば、施錠管理、基本的な暗号化、従業員教育)
つまり、「小さい企業だから何もしなくていい」のではなく、「小さい企業でも実現可能なレベルの対策を講じろ」という意味です。
義務3:第三者提供の制限
目的:本人の同意なしに、情報を他企業に渡さない
なぜ制限が必要か
本人は「この企業にだけ情報を預ける」という信頼のもとで情報を提供します。その情報が予期しない別の企業に渡されると、本人は新たなリスクにさらされます。たとえば、銀行に預金額を知られるのは許容できても、その情報が消費者金融に渡って営業電話がかかってくることは、本人が望まないことです。
そのため、原則として「本人の明示的な同意」なしに第三者提供はできません。
第三者提供とは何か
企業Aが保有する個人データを、別の独立した企業Bに渡し、Bが独立してそのデータを管理・利用することです。注意すべきは、以下の3つは「第三者提供には該当しない」という点です。
| 取扱い | 該当するか | 理由 |
|---|---|---|
| 委託 | いいえ | 受託者(委託先)は企業Aの指示下で処理し、企業Aが管理責任を保有し続ける |
| 事業承継(M&A) | いいえ | 事業ごと引き継ぐため、管理責任の連続性がある |
| 共同利用 | いいえ | 複数企業が同じ目的で共同管理し、利用者・目的・管理者を本人に通知 |
本人同意が不要な4つの例外
法律は、社会的に緊急な場合に限定的に、本人同意なしでの第三者提供を認めています。
- 法令に基づく場合:警察からの捜査関連照会、税務署からの調査照会など、法律で明示的に情報開示が義務付けられている場合。政府の要請に従う必要があります。
- 生命・身体・財産の保護が必要な場合:感染症防止のため保健所へ提供、行方不明者捜索のため警察へ提供、など緊急時の対応。本人に同意を得ている余裕がない状況です。
- 公衆衛生や児童の健全育成が必要な場合:予防接種情報の保健所への提供、児童虐待防止の情報提供など。公益性が高い場合です。
- オプトアウト手続による提供:企業があらかじめ「顧客データをマーケティング企業へ提供する可能性がある」とウェブサイトで公表し、顧客が明示的に「提供しないでほしい」と拒否しない限り、第三者提供が可能です。ただし、要配慮個人情報(病歴、犯罪歴など)はこの手続でも第三者提供できません。なぜなら、病歴の流出は本人の人生を左右するほどの危険があり、「拒否されなかった」という消極的同意では不十分だからです。
義務4:本人対応(本人の権利保障)
目的:本人が自分の情報をコントロールする権利を保障する
個人情報保護法は、本人に4つの強力な権利を与えています。企業はこれらの請求に応じる法的義務を負います。
- 開示請求:本人は企業に「私の個人情報について、(1) 利用目的は何か、(2) 内容は何か、(3) どこに提供されているか」を教えるよう請求できます。これにより、本人は自分の情報がどのように扱われているかを把握できます。
- 訂正請求:本人が「私の情報が誤っている」と気付いたときに、企業に訂正を求めることができます。たとえば、顧客住所が古いままになっていれば、新しい住所に訂正してもらえます。
- 利用停止請求:本人が「この企業は、約束した目的以外で私の情報を使っている」と判明した場合、その不当な利用を止めるよう請求できます。
- 削除請求:本人が「もうこの企業と取引していない、情報を持つ必要がない」と判断したとき、情報を削除するよう請求できます。
事業者の対応期限
企業がこれらの請求を受けたら、遅滞なく対応しなければなりません(個人情報保護法第33〜36条)。対応に応じない、または不当に拒否する場合は、個人情報保護委員会(国の行政機関)から指導や行政処分を受けます。
義務5:要配慮個人情報への特別対応
定義と例
要配慮個人情報は、流出した場合に本人が著しい害を被る可能性がある情報です。具体例:人種、信条、社会的身分、病歴、犯罪歴、犯罪被害歴など。
最重要ルール:取得時の同意が必須
通常の個人情報は「利用規約に同意した」という一般的な同意で足りますが、要配慮個人情報は、その取得段階で本人の個別的で明示的な同意が必須です。
たとえば、健康診断結果から病歴を得る場合、企業は事前に「この情報を取得してもいいか、また今後の健康管理研究に使ってもいいか」と本人に個別に確認を取らなければなりません。「利用規約に同意した」というだけでは不十分です。
その他の特別ルール
- 要配慮個人情報は、オプトアウト手続では第三者提供できません。第三者提供する場合は、必ず本人の個別同意が必須です。
- 安全管理措置、本人対応についても、より厳密な対応が求められます。
2022年改正の5本柱
改正が必要だった背景
2022年の改正は、デジタル化・グローバル化への対応と、プライバシー保護強化の両立を目指したものです。具体的には、以下の3つの社会変化に対応する必要がありました。
- Cookie等の個人関連情報の増加:WebサイトがユーザーのCookie(閲覧履歴)を収集・分析し、マーケティングに活用する慣行が一般的になりました。しかし、このデータをどう扱うかは従来の「個人情報」の定義では捉えきれない課題がありました。
- 仮名加工情報の実務的ニーズ:企業が個人情報から氏名等を削除して分析・研究に使いたい、というニーズが増加しました。一方、企業がその加工用情報を保管していれば、いつでも復元可能な「準個人情報」状態です。この状態をどう扱うかをルール化する必要がありました。
- データ漏えい事案の多発と情報提供の必要性:大規模なデータ漏えい事案が相次ぎ、本人がそれを知らされないまま被害に遭うケースが問題になりました。企業が漏えいを隠蔽することを防ぐため、報告義務を明確にする必要がありました。
改正1:個人関連情報(Cookie等)の規制
新しい概念
「個人関連情報」とは、個人情報ではないが、個人に関連する情報です。具体例:Cookie(ウェブサイトが端末に保存する識別情報)、IP アドレス、デバイスID、行動ログなど。
なぜ問題か
単体では個人を識別できない情報も、複数を組み合わせると「あ、このユーザーはこのサイトで商品A検索した後、サイトBで商品Bを比較検討した」という個人の行動が追跡できます。このような追跡が大規模に行われると、プライバシー侵害のリスクが高まります。
改正内容
個人関連情報を第三者に提供する際、企業は本人に対して「どのような情報を、どの企業に提供するのか」を情報提供する義務が発生しました。これにより、本人が「自分の行動ログが他企業に提供されている」ことを知ることができます。
改正2:仮名加工情報の新設
定義と背景
仮名加工情報とは、個人情報から氏名・住所・電話番号などを削除して、「ID+購買日時+購買金額」のような形に加工した情報です。ただし、企業は「ID番号12345=山田太郎」という対応表を保有していれば、いつでも復元可能な状態です。
従来の法律では、この状態を「個人情報扱い」にしてしまうと、企業が利用目的外の使用(例:当初は「顧客管理」目的で取得した情報を「マーケティング分析」に流用)ができず、データを活用する利便性が低下します。一方で「完全に匿名化」されていないため、プライバシーのリスクが残ります。
そこで改正では、仮名加工情報という「中間的な状態」を新たに設定し、一定の条件下での利用目的変更を認めることにしました。ただし、第三者提供は原則として禁止されています。
仮名加工情報に認められる「特権」
- 利用目的の変更が可能:当初の「顧客管理」目的で取得した情報を、「市場調査」目的に変更して利用できます。通常の個人情報では目的外利用は禁止されていますが、仮名加工情報は関連性のある範囲内で利用目的の変更が許可されます。
仮名加工情報の重要な制限
- 第三者提供は原則禁止:法令に基づく場合を除き、独立した外部企業への提供はできません(個人情報保護法第41条6項)。委託・事業承継・共同利用は第三者提供に該当しないため可能ですが、外部のマーケティング企業などへの直接提供は禁止です。
企業が果たすべき責務
- 利用目的を公表する
- 加工方法(どの項目を削除したか)を公表
- 加工用情報(ID対応表)を安全管理措置を講じて保管する
改正3:漏えい報告の義務化(最重要改正)
なぜこの改正が必要だったか
2020年代に入ると、大規模なデータ漏えい事案が相次ぎました。ランサムウェア(身代金要求型マルウェア)に感染して顧客データを盗まれた、内部者が顧客情報を流出させた、など様々なケースが報告されました。問題は、企業が漏えいを知っていても、本人に知らせないケースがあったことです。本人が知らされなければ、詐欺や不正融資の被害を受けても、対策を講じることができません。
改正内容
漏えい(改ざん、盗難、不正アクセス、紛失など)が発生した場合、企業は以下の2つの対応が義務化されました。
- 個人情報保護委員会(PPC)への報告
- 漏えい発見から速やかに(一般的には3〜5日以内)報告
- 報告内容:漏えいの事実、影響を受けた個人数、対象情報の項目、発見日時、対応措置など
- 本人への直接通知
- 影響を受けた本人全員に通知(郵送、メール、電話など)
- 通知内容:漏えいの事実、対象情報の具体的項目、被害の可能性、企業の対応措置(セキュリティ強化、無料のクレジット監視サービス提供など)
この改正により、本人は「自分の情報が漏えいしている」ことを知ることができ、詐欺を警戒したり、金融機関に連絡したり、適切な対策を講じることができます。
罰則
報告義務に違反または虚偽報告をした場合、企業は行政処分(指導・勧告)の対象となり、さらに50万円以下の罰金が科される可能性があります。
改正4:外国第三者への提供における情報提供義務
背景
グローバル化に伴い、企業が顧客データをクラウドストレージ企業(米国)に預けたり、海外の子会社に共有したりするケースが増えました。しかし、外国の個人情報保護制度が日本より低いレベルの場合があり、本人のプライバシーがより低い保護水準で管理される危険がありました。
改正内容
個人データを外国の第三者に提供する場合、企業は本人に対して以下を情報提供する義務が発生しました。
- 提供先の企業の所在地(どの国か)
- 提供先国の個人情報保護制度の内容(EU の GDPR に相当するか、など)
- その国で個人情報がどのような保護を受けるか
これにより、本人は「自分の情報がどの国に、どのような保護水準で管理されるか」を事前に知ることができます。
例外
以下の場合は、情報提供が不要です。
- 本人が同意している場合
- 法令に基づく場合
- 事業者が「外国の保護水準が日本と同等か、それ以上である」ことを確認し、証明できる場合
改正5:罰則の強化
| 対象行為 | 改正前 | 改正後 |
|---|---|---|
| 個人情報の不適切取扱い(目的外利用、無断提供等) | 1年以下懲役、100万円以下罰金 | 1年以下懲役、100万円以下罰金(個人)、1億円以下罰金(法人) |
| 報告義務違反 | 指導・勧告 | 50万円以下の罰金 |
法人の罰金が、改正前は行為者と同額(30〜50万円以下)だったものが、改正後は1億円以下に大幅に引き上げられました。これは「経営層も個人情報保護に責任を持つ」という強いメッセージを与えています。中小企業でも、個人情報保護法の重大な違反は「会社の存続に関わる」レベルの罰金を受ける可能性があります。
匿名加工情報 vs 仮名加工情報の比較
なぜ2つの概念が必要か
企業が個人情報を「データとして活用したい」というニーズと、「本人のプライバシーを守りたい」という要求を両立させるために、加工された情報に対して異なるルールを設けています。
| 観点 | 匿名加工情報 | 仮名加工情報 |
|---|---|---|
| 定義 | 個人を識別できない状態に完全に加工した情報 | 個人を識別できない状態に加工したが、加工用情報(対応表)を保有 |
| 加工用情報の保管 | 破棄または紛失 | 企業が保管(いつでも復元可能) |
| 利用目的の変更 | ✓ 制限なし(個人情報に該当しないため利用目的の制限が適用されない) | ✓ 許可される(関連性のある範囲内で変更可能) |
| 第三者提供 | ✓ 許可される(本人同意不要) | ✗ 原則禁止(法令に基づく場合・委託・事業承継・共同利用を除く) |
| 開示請求の対象 | ✗ 対象外(匿名なので「どの情報か」分からない) | ✗ 対象外(加工情報そのものは非開示) |
| 実装例 | 過去5年の顧客購買データから氏名・住所・ID対応表を削除し、「購買日時・金額・商品カテゴリ」のみを公開。対応表は破棄 | 顧客購買データから氏名・住所を削除し「ID+購買日時+金額」で分析。ID対応表は企業が保管 |
試験での使い分けポイント
- 「加工用情報を保管しているか」がキー
- 保管していない → 匿名加工情報
- 保管している → 仮名加工情報
- 「外部の独立した企業に第三者提供できるか」
- できる → 匿名加工情報の可能性
- できない(原則禁止) → 仮名加工情報の可能性
つまずきやすいポイント
1. 個人情報の定義を曖昧に覚える
間違った理解
- ✗「個人に関する情報ならすべて個人情報」
- ✗「個人情報 = 個人データ」
正しい理解
個人情報の必須条件は「個人を識別できるか」です。属性情報(「営業職」「30代」)だけでは、数百万人が該当するため個人情報ではありません。個人データは、さらに「事業者が体系的に管理している」という条件が加わります。
2. 委託と第三者提供を混同する
間違った理解
- ✗「委託先に個人データを渡す = 第三者提供」
正しい理解
委託は、事業者Aが外注先Bに処理を任せるが、A社が管理責任を保有し続けます。委託先は「A社の指示下で」処理するので、本人同意は不要です。反対に、第三者提供は独立した別企業に管理・利用を任せるため、本人同意が原則として必須です。
3. 安全管理措置を「IT技術だけ」と思い込む
間違った理解
- ✗「暗号化すれば安全管理措置の責務は果たせる」
正しい理解
安全管理は組織・人・物理・技術の4方向すべてが必須です。いくら暗号化しても、施設の鍵がなければ、従業員が無断持ち出しすれば、プライバシーポリシーがなければ、全体として不十分です。中小企業は「規模に応じた実行可能な措置」で足りますが、4方向をすべてカバーする必要があります。
4. 仮名加工情報と匿名加工情報の違いを混同する
間違った理解
- ✗「仮名加工情報は外部企業への第三者提供が自由にできる」
- ✗「匿名加工情報は利用目的を変更できない」
正しい理解
2つの最大の違いは第三者提供の可否です。匿名加工情報は外部企業への第三者提供が可能(本人同意不要)ですが、仮名加工情報は原則として第三者提供が禁止されています(委託・事業承継・共同利用は例外)。また、匿名加工情報は個人情報に該当しないため利用目的の制限がなく、あらゆる目的での利用が可能です。仮名加工情報は利用目的の変更が関連性のある範囲内で許可されます。
5. 2022年改正の漏えい報告義務を軽く見る
間違った理解
- ✗「漏えい発見後、密に対応すれば、報告は後日でもいい」
正しい理解
PPC報告は「3〜5日以内」です。本人通知も速やかに行う必要があります。報告遅延は行政処分、罰金の対象になります。
6. オプトアウト手続の限界を忘れる
間違った理解
- ✗「オプトアウト手続なら、すべての個人情報を第三者提供できる」
正しい理解
要配慮個人情報(病歴、犯罪歴など)はオプトアウト手続でも第三者提供できません。この情報の第三者提供には、必ず本人の個別同意が必須です。
問題を解くときの流れ
ステップ1:スコープを特定
問題が何について問うているかを確認します。
- 個人情報保護法の「定義」か「義務」か「改正」か
- 「第三者提供」か「委託」か「個人関連情報」か
- 「漏えい対応」か「仮名加工」か
ステップ2:個人情報の定義を段階的に判定
「これは何に該当するか」を4段階で切り分けます。
- 個人を識別できるか → NO なら「個人情報ではない」で判断終了
- 事業者が体系的に管理しているか → NO なら「個人情報だが個人データではない」
- 本人対応の対象か → NO なら「個人データだが保有個人データではない」
- 人種・信条・病歴等か → YES なら「要配慮個人情報として特別ルール適用」
ステップ3:第三者提供か否かを判定
「第三者提供に該当するか」を確認します。
- 委託(処理外注)→ 第三者提供に該当しない、本人同意不要
- 事業承継(M&A時引継)→ 第三者提供に該当しない
- 共同利用(複数企業が同目的で共同管理)→ 第三者提供に該当しない、ただし本人に通知必須
- 独立した別企業への提供 → 第三者提供に該当する、本人同意が原則必須(ただし例外あり)
ステップ4:本人同意の例外を確認
第三者提供が該当する場合、本人同意が不要な例外がないか確認します。
- 法令に基づく提供か
- 生命・身体・財産保護が緊急に必要か
- 公衆衛生・児童健全育成か
- オプトアウト手続か(ただし要配慮個人情報は除外)
ステップ5:2022年改正に該当するか確認
- 漏えい報告:PPC報告(3〜5日)、本人通知が義務か
- 仮名加工情報:利用目的変更、第三者提供の許可を確認
- 個人関連情報:Cookie等の情報提供義務が発生するか
- 外国提供:外国保護制度の情報提供義務が発生するか
確認問題
問1:第三者提供と本人同意
D社は顧客管理システムに10,000人の顧客情報(名前、住所、電話番号、購買履歴)を保有している。D社の営業部門が、顧客データを「マーケティング目的」で外部のデータ分析企業E社に提供することを検討している。
(1) 本人同意が不要となる場合を1つ挙げ、その理由を説明しなさい。 (2) 仮に顧客の中に病歴を含む健康情報が混在していた場合、オプトアウト手続でこの情報をE社に提供できるか、理由と共に答えなさい。
解答
(1) 本人同意が不要となる場合の例
法令に基づく提供:警察からの捜査関連照会、税務署からの調査照会など、法律で明示的に情報開示が義務付けられている場合。この場合は公共の利益が個人のプライバシーより優先されるため、本人同意なしで提供できます。
また、オプトアウト手続による提供も可能です。D社が「顧客データをマーケティング企業に提供する可能性がある」とウェブサイトで事前公表し、顧客が明示的に拒否しない限り提供可能です。ただしこの場合、提供先、提供情報の項目、利用目的を本人に通知する必要があります。
(2) 健康情報(要配慮個人情報)のオプトアウト提供について
できない。理由:オプトアウト手続では要配慮個人情報を第三者提供できないから。
健康情報は「病歴」として要配慮個人情報に該当します。要配慮個人情報の第三者提供には、本人の個別的で明示的な同意が必須です。「拒否されなかった」というオプトアウト(消極的同意)では不十分です。D社がE社にこの情報を提供したい場合は、各顧客から「健康情報の第三者提供に同意する」という個別の明示的同意を得なければなりません。
問2:漏えい報告と本人通知
F社は2024年3月1日、顧客管理システムがランサムウェアに感染したことを発見した。被害を受けた顧客は50,000人で、漏えいした情報は名前、住所、クレジットカード番号である。F社が2022年改正の漏えい報告義務に基づいて講じるべき対応を述べなさい。
解答
F社が講じるべき対応:
1. 個人情報保護委員会(PPC)への報告
- 報告期限:発見日(3月1日)から速やかに、一般的には3〜5日以内(遅くとも3月6日程度)
- 報告内容:
- 漏えいの事実(ランサムウェア感染)
- 影響を受けた個人情報の項目(名前、住所、クレジットカード番号)
- 被害者の数(50,000人)
- 漏えい発見日時
- 対応措置(システムの隔離、ランサムウェアの駆除予定、再発防止策など)
2. 被害者本人への直接通知
- 通知対象:50,000人全員
- 通知方法:郵送、メール、電話、または公式ウェブサイトへの掲載(複数手段の組み合わせが望ましい)
- 通知内容:
- 漏えいの事実(「お客様の個人情報が漏えいしました」と明確に)
- 対象情報の具体的項目(名前、住所、クレジットカード番号)
- 本人が講じるべき対策(クレジットカード停止の申請、クレジット監視サービスの利用など)
- F社の対応措置(セキュリティ強化の詳細、無料の信用監視サービス提供など)
3. その他の対応
- ランサムウェアの駆除と除去確認
- セキュリティ監査による再発防止策の実装
- 従業員教育の強化
罰則 報告遅延、報告拒否、または虚偽報告があれば、行政処分(指導・勧告)の対象となり、50万円以下の罰金が科される可能性があります。
問3:仮名加工情報と利用目的変更
G社は5,000人の顧客購買データを保有している。データ内容は「顧客ID、購買日時、商品カテゴリ、購買金額」である。G社は当初「顧客管理・販売促進」目的でこのデータを収集していた。
現在、G社は以下の2つの案を検討している:
(1) 案A:顧客名簿(ID対応表)をすべて削除し、「購買日時、商品カテゴリ、金額」のみをマーケティング企業に提供し、市場調査に活用してもらう。 (2) 案B:顧客名簿を企業秘密として厳重に保管したまま、「ID+購買日時+金額」のデータをマーケティング企業に提供し、市場分析に活用してもらう。
案A、案Bの場合、それぞれどの加工情報に該当するか、利用目的の変更が許可されるか、第三者提供に本人同意が必要か、を説明しなさい。
解答
案A:匿名加工情報
- 理由:ID対応表をすべて削除しているため、いかなる手段を用いても顧客を特定できない状態
- 利用目的の変更:✓ 制限なし(匿名加工情報は個人情報に該当しないため、利用目的の制限が適用されない)
- 第三者提供:✓ 本人同意不要(匿名なので個人情報ではなく、個人情報保護法の第三者提供ルールが適用されない)
案B:仮名加工情報
- 理由:顧客ID対応表を企業が保管しているため、いつでも顧客を復元可能な状態
- 利用目的の変更:✓ 許可される(当初の「顧客管理」から「市場分析」への変更が可能)
- 第三者提供:✗ 原則禁止(法令に基づく場合を除き、独立した外部企業への提供は禁止。委託・事業承継・共同利用は例外)
ポイント 案AとBの大きな違いは「対応表の保管」と「第三者提供の可否」です。匿名加工情報(案A)は外部企業への第三者提供が自由ですが、仮名加工情報(案B)は外部企業への提供が原則禁止です。案Bとして示した「外部のマーケティング企業に提供する」方法は、仮名加工情報では認められません(委託・事業承継・共同利用を除く)。仮名加工情報の実務的価値は、社内での利用目的変更が許可される点にあります。
プロバイダ責任制限法と発信者情報開示
この論点は個人情報保護法そのものではありませんが、診断士試験では「ネット上で個人の権利が侵害されたとき、誰にどこまで責任を問えるか」という形で並んで問われやすいため、ここでまとめて整理します。
どんな問題に対応する法律か
インターネット掲示板やSNSでは、名誉毀損、プライバシー侵害、営業上の信用毀損などが発生します。しかし、投稿者本人は匿名であることが多く、被害者は「まず誰が書いたのか」を突き止めないと損害賠償請求も削除請求も進めにくいという問題があります。
この法律は、その場を提供しているプロバイダやプラットフォーム事業者について、
- どの場面で責任を負うのか
- どの場面で責任が制限されるのか
- 被害者が発信者情報の開示を求められるのはどんなときか
を整理したものです。
まず押さえるべき3点
| 論点 | 何を意味するか |
|---|---|
| 常時監視義務はない | 事業者が全投稿を常時チェックし続ける義務までは課されていない |
| 責任制限がある | 権利侵害が明白でない段階で、事業者に無制限の損害賠償責任を負わせない |
| 発信者情報開示制度がある | 被害者は、権利侵害が明らかで、損害賠償請求などに必要な場合に、発信者情報の開示を求められる |
試験では特に「プロバイダには一般的な監視義務がある」という誤りが定番です。法律の狙いは、被害者救済と、事業者に過大な監視義務を負わせないことのバランスにあります。
発信者情報開示と削除対応の違い
被害者が求めるものは大きく2種類あります。
- 削除対応:投稿そのものの流通を止めたい
- 発信者情報開示:投稿者を特定して損害賠償請求などにつなげたい
この2つは目的が違います。削除は「これ以上広がらないようにする」ための対応であり、開示は「誰がやったかを特定する」ための対応です。試験では両者を混同しないことが重要です。
発信者情報開示で問われる要件
細かな手続名称よりも、まずは次の骨格を覚えると整理しやすくなります。
- 権利侵害があること:名誉、信用、プライバシーなどが侵害されている
- 侵害が明らかであること:単なる不快感ではなく、法的に見て侵害といえる
- 開示を受ける正当な理由があること:損害賠償請求や差止請求の準備など、発信者を特定する必要がある
要するに、「被害がある」「それが法的に見ても侵害といえる」「だから発信者を知る必要がある」という3段階です。
個人情報保護法との違い
個人情報保護法が扱う中心は「事業者が保有する個人データの取得・利用・第三者提供」です。一方、プロバイダ責任制限法が扱う中心は「ネット上の発信による権利侵害と、その情報流通の責任配分」です。
つまり、
- 個人情報保護法:顧客名簿や従業員データをどう扱うか
- プロバイダ責任制限法:掲示板投稿やSNS投稿で誰の権利が侵害されたか
という役割分担です。どちらも「個人に関する情報」を扱いますが、守ろうとしている場面が違います。
関連ページ
このページは役に立ちましたか?
評価とひとことを残してもらえると、内容と導線の改善に使えます。
Last updated on