個人情報保護法は、経営情報システムでも経営法務でも出題される横断的なテーマだ。2022年(令和4年)4月に全面改正が施行され、漏洩報告の義務化・外国第三者提供規制の強化など新論点が加わっている。個人情報の定義4種・事業者の義務・改正ポイントを整理しておくと試験に対応しやすい。
個人情報の種類と定義
個人情報保護法における「個人情報」には段階的な概念がある。どの種類かによって取扱いルールが異なるため、まず4種の定義から整理する。
| 種類 | 定義 | 主な例 | 特記事項 |
|---|---|---|---|
| 個人情報 | 生存する個人に関する情報で、氏名・生年月日等により特定の個人を識別できるもの | 氏名・住所・電話番号・顔写真 | 他の情報と容易に照合して識別できるものも含む |
| 要配慮個人情報 | 不当な差別・偏見が生じうる特に慎重な取扱いを要する個人情報 | 病歴・障害・前科・宗教・人種・犯罪被害歴 | 本人の同意なく取得・第三者提供は原則禁止 |
| 仮名加工情報 | 他の情報と照合すれば個人を識別できるが、単独では識別できないよう加工したもの | 氏名を削除してIDに置き換えたデータ | 内部分析での利用規制が緩和される(2022年改正で新設) |
| 匿名加工情報 | 特定の個人を識別できないよう加工し、復元もできないようにしたもの | 年代・性別のみのデータ | 本人同意なく第三者提供が可能。ビッグデータ活用を念頭に設計 |
個人情報取扱事業者の4つの義務
個人情報を取り扱う事業者には、取得・利用・保管・第三者提供の各局面で義務が課されている。それぞれの局面での基本ルールを押さえる。
2022年改正(令和4年施行)の主なポイント
2022年4月に全面施行された改正では、デジタル化・グローバル化への対応として複数の新規定が加わった。試験では改正点を問う問題が出やすいため、要点を確認しておきたい。
改正の主なポイント6点
- 漏洩等の報告義務化:一定規模以上の漏洩が発生した場合、個人情報保護委員会への報告と本人への通知が義務に(改正前は努力義務)
- 保有個人データの開示等の請求権強化:本人が電磁的記録での開示請求が可能に。第三者提供記録の開示請求権も新設
- 利用停止・消去の請求権拡大:不適正利用・目的外利用の場合に利用停止等を請求できる範囲が拡大
- 外国の第三者提供:外国にある第三者へ提供する場合、移転先の個人情報保護体制の確認・情報提供義務が追加
- オプトアウト規制の強化:オプトアウトで提供された情報を再度オプトアウトで提供することを禁止
- 仮名加工情報の新設:内部分析・AIの学習等での利活用を促進するため仮名加工情報の規定が整備
| 区分 | 個人情報 | 仮名加工情報 | 匿名加工情報 |
|---|---|---|---|
| 識別可否 | 特定の個人を識別できる | 照合すれば識別可能 | 識別不可・復元不可 |
| 第三者提供 | 原則:本人同意必要 | 本人同意必要 | 本人同意不要 |
| 利用目的変更 | 関連性ある範囲で可 | 内部処理に限り目的変更可 | 制限なし |
| 本人への通知 | 利用目的の通知・公表 | 削除情報の管理・公表 | 不要 |
過去問で確認する
個人情報保護法における「要配慮個人情報」に関する記述として最も適切なものはどれか。
要配慮個人情報は、不当な差別や偏見が生じうる情報として特別に保護される。取得時に原則として本人同意が必要であり、オプトアウトによる第三者提供も認められていない。
個人情報保護法の2022年改正により新設・強化された内容として不適切なものはどれか。
匿名加工情報は廃止されていない。2022年改正では仮名加工情報が新設されたが、匿名加工情報の制度は引き続き存在する。改正によって廃止されたわけではない点に注意。
個人情報取扱事業者がオプトアウトによって個人データを第三者提供できる場合の要件として正しいものはどれか。
オプトアウトとは本人が提供停止を申し出るまで第三者提供できる方式。ただし要配慮個人情報には使えない(ア不正解)。個人情報保護委員会への届出が必要(イ不正解)。外国第三者提供には通常の同意が必要(エ不正解)。
この記事のまとめ
- 個人情報は4種類(個人情報・要配慮個人情報・仮名加工情報・匿名加工情報)で取扱いルールが異なる
- 要配慮個人情報:取得・第三者提供に本人同意が必要。オプトアウト不可
- 事業者の義務は取得・利用・保管・第三者提供の4局面で発生する
- 2022年改正で漏洩報告の義務化・仮名加工情報の新設・外国第三者提供規制強化が追加
- 匿名加工情報は本人同意なく第三者提供が可能(ビッグデータ活用向け)
