第49回試験解説：個人情報保護法の理解（後半）

第49回個人情報保護士試験の解答と解説です。

問題21　正答：エ

個人データの第三者への提供の制限に関する問題です。

所定の事項をあらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているときは、個人データを共同利用する者は「第三者」に該当せず、本人の同意なく提供できます（第23条第5項第3号）。

選択肢エは「本人が容易に知り得る状態に置いていないとき」となっていますので、第三者に該当します。したがって誤りです。

問題22　正答：イ

外国にある第三者に個人データを提供する場合に関する問題です。

当該外国が我が国と同水準にある個人情報保護制度を有する場合（選択肢ア）、当該第三者が個人情報保護委員会規則で定める基準に適合する体制を整備している場合（選択肢ウ）は、外国にある第三者に個人データを提供することに対する本人の同意は不要です（第24条）。

また、23条1項各号に掲げられている事由がある場合も本人の同意は不要であり、感染症の共同研究のために外国の研究機関に患者の情報を提供すること（選択肢エ）は、23条1項2号に該当するため本人の同意は不要となります。

残る外資系企業の日本法人が親会社に個人データを提供する場合（選択肢イ）に本人の同意がいらないとする規定はありませんので本人の同意が必要です。

なお、この事例は「個人情報保護法ガイドライン（外国第三者提供編）」p5に出ています。

問題23　正答：ウ

第三者提供に係る記録の作成に関する問題です。

当該記録の保存期間は原則3年で、作成する記録の種類により1年となる場合があります（規則第14条）。6年とする問題文Cは誤りです。

問題24　正答：ウ

保有個人データに関する問題です。

保有個人データが本人の知り得る状態に置かれ、利用目的が明らかである場合は、本人の求めに応じて利用目的を通知する必要はありません（第27条第2項第1号）。

選択肢ウは、ホームページへの掲載等により利用目的が明らかである場合にも通知をしなければならないとしているので誤りです。

問題25　正答：エ

保有個人データの開示に関する問題です。

開示の方法は書面の交付ですが、開示の請求を行ったものが同意した方法があるときは当該方法とされています（政令第9条）。

したがって、本人が同意している場合でも、電子メール、電話等の方法によることはできないとする選択肢エは誤りです。

政令まで読まないとわからないのでやや細かいなとは思いますが、「個人情報保護法ガイドライン（通則編）」p64に出ていますので、ガイドラインを読み込んでいれば得点できた問題です。

問題26　正答：ア

保有個人データの訂正等に関する問題です。

本人は、保有個人データの内容が事実でないときは、当該保有個人データの内容の訂正、追加又は削除を請求することができます（第29条第1項）。

追加も請求可能であることは条文から明らかですので、追加を行う必要がないとする問題文Aは誤りです。

問題27　正答：ウ

保有個人データの利用停止に関する問題です。

利用停止を請求できるのは16条（利用目的による制限）違反があるときと、17条（適正な取得）違反があるときです（第30条第1項）。

従業者の監督が不適切であっても利用停止請求はできませんので、これを可とする問題文Cは誤りです。

問題28　正答：ウ

保有個人データに関する請求等についての手数料に関する問題です。

訂正の請求に対して手数料を徴収することはできません。訂正の請求が認められるのは内容に誤りがある場合、つまり個人情報取扱事業者に非があるのですから当然です。これを徴収できるとする選択肢アは誤りです。

手数料の額は実費を勘案して合理的であると認められる額を定めなければならないと規定されています（第33条第2項）。そのような規定はないとする選択肢イも誤りです。

手数料の額を定めた場合、これを本人の知り得る状態に置かなければならないと規定されています（第27条第3号）。したがって、そのような規定はないとする選択肢エは誤りです。

利用目的の通知に対して手数料を徴収することはできますので（第33条第1項、第27条第2項）、選択肢ウは正しいということになります。

問題29　正答：ア

苦情の処理に関する問題です。

苦情の処理義務の対象となる苦情は本人の個人情報の取扱いに関するものに限られません。したがって、本人の個人情報の取扱いに関するものに限られるとする問題文Aは誤りです。

第28条（開示）、第29条（訂正）、第30条（利用停止）は「本人は、〇〇できる」と個人の権利利益保護のための措置として規定されているのに対して、第35条（苦情の処理）は、個人情報の取扱いに関する苦情の適切かつ迅速な処理に努める義務（第1項）とそのための体制整備に努める義務（第2項）として規定されていることに注意が必要です。

問題30　正答：ウ

匿名加工情報の作成等に関する問題です。

匿名加工情報取扱事業者が匿名加工情報を第三者に提供するときは、当該第三者に対して、当該提供に係る情報が匿名加工情報である旨を明示しなければなりません（第36条第4項）。

選択肢ウは「明示してはならない」と全く逆の記述になっており誤りです。

問題31　正答：イ

個人情報保護委員会による監督に関する問題です。

個人情報保護委員会には事務所等に立ち入って検査をする権限があります（第40条第1項）。しかし、この権限は犯罪捜査のために認められたものと解釈してはならないと定められています（第40条第3項）。

選択肢イは、犯罪捜査のため、質問や検査をさせることができるとしており誤りです。

問題32　正答：ウ

認定個人情報保護団体に関する問題です。

認定個人情報保護団体は対象事業者の氏名又は名称を公表しなければなりません（第51条第2項）。「公表してはならない」とする問題文Aは誤りです。

認定個人情報保護団体は、苦情の解決について必要があるときは、資料の提出を求めることができます（第52条第2項）。「資料の提出を求めることはできないとする」問題文Bは誤りです。

認定個人情報保護団体が認定業務を廃止しようとするときは、問題文Cのとおり、その旨を個人情報保護委員会に届け出なければならず、個人情報保護委員会は届出があった旨を講じしなければなりません（第50条第1項、第2項））。

したがって、問題文Cのみ正しいので正答はウとなります。

問題33　正答：ア

認定個人情報保護団体には、個人情報保護指針の作成努力義務がありますが（第53条第1項）、個人情報保護方針を作成する際に意見を聞くべき相手は「消費者の意見を代表する者その他の関係者」です。問題文A「個人情報の利用者の意見を代表する者その他の関係者」となっている部分が誤りです。

問題34　正答：ウ

個人情報保護委員会に関する問題です。

個人情報保護委員会の委員長および委員を任命するのは総理大臣です（第63条第3項）。総務大臣が任命するとする選択肢ウは誤りです。

問題35　正答：イ

個人情報保護法の適用除外に関する問題です。

大学等の機関や団体に属さない個人は、個人情報保護法の適用除外となりません（第76条第1項第3号参照）。したがって、適用除外となるとする問題文Bは誤りです。

問題36　正答：イ

行政機関の保有する個人情報の保護に関する法律に関する問題です。

問題文Bは、非識別加工情報の取扱いについて、行政機関により認定された専門委員会が所管することとしているとしていますが、そのような専門委員会はありません。

したがって、問題文Bは誤りであり正答はイとなります。

問題37　正答：エ

外国執行当局への情報提供に関する問題です。

外国執行当局から要請があった場合でも、日本の法令によれば罪とならない行為を対象とする犯罪捜査を目的とする情報提供について、個人情報保護委員会は情報提供の同意をすることができません（第78条第3項第2号）。

選択肢エは、「外国の法令によれば罪に当たるものでないときは」となっており、この点が誤りです。

問題38　正答：ウ

個人情報データベース等提供罪に関する問題です。

問題文Cは、「政治団体が個人情報データベース等を事故の利益を図る目的で提供しても、個人情報データベース提供罪を構成しない」としています。

確かに、政治団体がその業務に関して個人情報を取り扱う場合でも、個人情報保護法第4章の個人情報取扱事業者に課せられている義務についての規定は適用されません（第76条第1項第5号）。

しかし、罰則規定（第7章）の規定まで適用除外とするとの規定はありません。

したがって、問題文Cは誤りです。

問題39　正答：イとウ（正答が二つあります）

個人情報の保護に関する法律についてのガイドライン（通則編）に関する問題です。

ガイドラインp1に「本ガイドラインにおいて記述した具体例は、事業者の理解を助けることを目的として典型的なものを示したものであり、すべての事案を網羅したものでなく、記述した内容に限定する趣旨で記述したものでもない」とあります。

選択肢イは「すべての事案を網羅したものであり」となっており、この点が誤りです。

また、同じページに「「努めなければならない」「望ましい」等と記述している事項については、これらに従わなかったことをもって直ちに法違反と判断されることはない」とありますので、「努力義務の規定に従わなかった場合でも法の規定違反と判断されることになる」とする選択肢ウも誤りです。

問題40　正答：エ

金融分野における個人情報保護に関するガイドラインに関する問題です。

当該ガイドラインp14には、「与信事業に係る個人の返済能力に関する情報を個人信用情報機関へ提供するに当たっては、法第23条第2項を用いないこととし、本条第3項に従い本人の同意を得ることとする。」とあります。つまり、個人の返済能力に関する情報についてはオプトアウトによる第三者提供はしないということです。

選択肢エは、オプトアウトの方式による第三者提供を行うべきであるとしている点が誤りです。