第49回試験解説：個人情報保護法の理解（前半）

第49回個人情報保護士試験の解答と解説です。

問題1　正答：イ

平成27年9月改正の背景に関する問題です。選択肢イの「行政運営の効率化」等は、マイナンバー制度導入の背景であり、個人情報保護法改正の背景としては不適当です。

したがって、イが誤りとなります。

• 002個人情報保護法改正の背景
• 001マイナンバー制度の概要

問題2　正答：ウ

OECD8原則に関する問題です。

選択肢ウの個人参加の原則は、どのようなデータを有しているか確認することができるなど本人に参加の機会を与える、というものです。

この原則が反映されているのは「適正な取得」（17条）ではなく、「保有個人データに関する事項の公表、開示、訂正、利用停止」（27条から3０条）です。

したがって、ウは誤りとなります。

• 003OECD8原則

問題3　正答：ア

問題文Aは、JIS Q 15001の要求する保護措置のレベルが個人情報保護法で定められているレベルよりも低いとしていますが、逆です。

問題文B、Cは正しいので、Aのみが誤っており、正答はアとなります。

問題4　正答：エ

プライバシーマークに関する問題です。

プライバシーマーク付与事業者同士が合併した場合、プライバシーマーク付与の地位は継続されます。したがって、されないとする選択肢エは誤りです。

このことは公式テキストにも記載されていませんが、他の選択肢の内容が基本的なものなので、是非得点しておきたい問題です。

問題5　正答：イ

ISMS適合性評価制度のサーベイランス審査は毎年行われます。

したがって、これを2年ごととしている問題文は誤りとなり、正答はイとなります。

• 004JISQ15001:2006とPマーク、JISQ27001とISMSマーク

問題6　正答：ウ

法人そのものに関する情報は個人情報ではなりません。したがって、選択肢アは誤りです。

特定の個人を識別できる情報は個人情報です。したがって、特定の個人を識別できるメールアドレスは個人情報に該当しないとする選択肢イは誤りです。

SNSで公にされているからといって個人情報でなくなるわけではありません。したがって、これを個人情報に該当しないとする選択肢エは誤りです。

• 007個人情報の定義

問題7　正答：エ

個人識別符号に関する問題です。

顔認識情報（問題文A）、虹彩模様情報（問題文B）、皮下静脈の形状情報（問題文C）などを装置やソフトウェアにより本人を認証することができるようにしたものは、いずれも「個人識別符号」に該当します（政令第1条（１）ロ、ハ、へ）。

• 007個人情報の定義

問題8　正答：エ

要配慮個人情報に関する問題です。

単純な国籍や外国人という情報は法的地位であり、それだけでは「人種」に含まれません。また、肌の色は人種を推知させる情報にすぎず「人種」に含みません（「個人情報保護法ガイドライン（通則編）」p12）。

したがって、これらを「人種」に含むとする選択肢エは誤りです。

• 008要配慮個人情報

問題9　正答：イ

個人情報データベースとは、特定の個人情報を容易に検索することができるように体系的に構成したものをいいます（第2条第4項第2号）。

したがって、他人には容易に検索できな独自の分類方法により名刺を分類した状態にとどまるのであれば、個人情報データベースには該当しませんので、選択肢イは正しいということになります。

• 009定義規定に関する問題

問題10　正答：エ

個人情報取扱事業者に関する問題です。

国の機関や地方独立行政法人は「個人情報取扱事業者」から除外されています（第2条第5項1号、4号）。したがって、国の機関である家庭裁判所（選択肢ア）や地方独立行政法人（選択肢イ）は「個人情報取扱事業者」に該当することはありません。よって選択肢アおよびイは正しいということになります。

次に、「個人情報取扱事業者」とは個人情報データベース等を事業の用に供している者をいいますので（第2条第5項柱書）、個人情報データベース等を事業の用に供していない権利能力なき社団が「個人情報取扱事業者」に該当することはありません。したがって、選択肢ウは正しいと思います。

選択肢エは、過去6か月以内のいずれの日においても5000件を「超える」者が「個人情報取扱事業者」から除かれるのかどうかを問うています。結論としては除かれません。したがって誤りです。公式サイトでは正答はウとなっていますが、正答はエだと思います。

当該事業者はいわゆる5000件要件が削除される前から個人情報取扱事業者から除かれていなかったのであり、改正の知識を問おうとしているのか、受験生の混乱を狙ったものなのか出題意図もよくわかりません。

（公式サイトでは当初正答はウとされていましたが、後にエに訂正されました。）

• 009定義規定に関する問題

問題11　正答：エ

「個人データ」「保有個人データ」に関する問題です。

選択肢エは「要人の訪問先やその警備会社が保有している、当該要人を本人とする行動予定等の個人データ」が保有個人データに該当するかどうかを問うています。

このような情報は当該個人データの存否が明らかになることにより、国の安全が害されるおそれ、他国若しくは国際機関との信頼関係が損なわれるおそれ又は他国若しくは国際機関との交渉上不利益を被る恐れがあるもの（政令第4条（３））にあたり、保有個人データから除外されます。

したがって、これを保有個人データに該当するとしている選択肢エは誤りです。

ちなみに、この事例は、「個人情報保護法ガイドライン（通則編）」p20にそのまま出ています。

• 009定義規定に関する問題

問題12　正答：イ

匿名加工情報に関する問題です。

「特定の個人を識別することができない」とは、あらゆる手法によって特定することができないよう技術的側面からすべての可能性を排除することを求めるものではありません。問題文Bは誤りです。

• 025匿名加工情報の作成

問題13　正答：ウ

個人情報の利用目的による制限に関する問題です。

合併等により事業の承継をすることに伴って個人情報を取得した場合でも利用目的の達成に必要な範囲を超えて取り扱う場合には本人の同意が必要です（第16条第2項）。

したがって、選択肢ウは誤りです。

問題14　正答：エ

要配慮個人情報の取得に関する問題です。

要配慮個人情報の取得には本人の同意が必要となるのが原則です。

しかし、人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるときは本人の同意は不要です（17条2項2号）。

不正送金当の金融犯罪被害の事実に関する情報を、関連する犯罪被害の防止のために、他の事業者から取得する場合はこれに該当しますので問題文Aは正しいです。

また、公衆衛生の向上又は児童の健全な育成の推進のために特に必要があって、本人の同意を得ることが困難であるときも本人の同意は不要です（17条2項3号）。

児童生徒の不登校等について関係機関で連携して対応するために、他の関係機関から当該児童生徒の保護事件に関する手続きが行われた情報を取得する場合はこれに該当しますので問題文Bも正しいです。

国の機関が法令の定める事務を遂行することに対して、事業者が協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるときも本人の同意は不要です（第17条第2項第4号）。

警察の任意の求めに応じて要配慮個人情報に該当する個人情報を提出するために、当該個人情報を取得する場合はこれに該当しますので問題文Cも正しいです。

以上より、いずれの問題文も正しいので正答はエとなります。

ちなみに、いずれの事例も「個人情報ガイドライン（通則編）」にそのまんまのっているものです。問題文AおよびBは本人の同意を得ることが困難であるという条件がみたされているかどうか分からないので誤りかも、と思いましたがガイドラインそのまんまですから試験としては正しいとするのでしょう。

• 008要配慮個人情報

問題15　正答：イ

個人情報の利用目的の通知・公表に関する問題です。

個人情報を直接本人から取得する場合、あらかじめ、本人に対し、その利用目的を通知しなければなりません（第18条第2項）。

選択肢イは条文そのままですから正しいです。

商品・サービス等の販売・提供のみを確実に行うために住所・電話番号等の個人情報を取得することは、「取得の状況からみて利用目的が明らかと認められる場合」に該当しますので、選択肢エでは利用目的の明示は不要です（第18条第4項第4号）。

• 013利用目的の通知

問題16　正答：イ

個人データ内容の正確性の確保に関する問題です。

個人データを利用する必要がなくなったときは、当該個人データを遅滞なく消去するよう努めなければなりません（第19条）。

ただし、法令の定めにより保存期間が定められている場合はこの限りではありません（「個人情報保護法ガイドライン（通則編）」p40）。したがって、「法令の定めにより保存期間等が定められている場合であっても」とする問題文Bは誤りです。

• 014データ内容の正確性の確保等

問題17　正答：ア

「移送する個人データについて、パスワード等による保護を行うこと」は物理的安全管理措置ではなく技術的安全管理措置です。したがって問題文Bは誤りです。

「持ち運ぶ個人データの暗号化、パスワードによる保護等を行った上で電子媒体に保存すること」は技術的安全管理措置ではなく物理的安全管理措置です。したがって問題文Cは誤りです。

以上より、正しいのは問題文Aだけですので正答はアとなります。

これらの措置は「個人情報保護法ガイドライン（通則編）」の別添資料にすべて掲げられています。

ガイドラインにいう問題文Bの「移送」は、メールなど情報システムで個人データをやり取りすることを指しているようですが、問題文Cの「持ち運ぶ」の意味にも取れるので受験生は混乱したと思います。

• 015安全管理措置

問題18　正答：イ

従業者の監督に関する問題です。

従業者を監督する際、個人データの取扱状況等に起因するリスクに応じて、個人データを取り扱う従業者に対する教育、研修等の内容及び頻度を充実させるなど、必要かつ適切な措置を講ずることが望ましい、とされています（「個人情報保護法ガイドライン（通則編）」p42)。

したがって、「個人データが漏えい、滅失又はき損をした場合に本人が被る権利利益の侵害の大きさは考慮せずに」としている問題文Bは誤りです。

• 016従業者の監督、委託先の監督

問題19　正答：エ

個人情報取扱事業者の委託先の監督に関する問題です。

委託された個人データの取り扱い状況を委託元が合理的に把握することを盛り込むことは望ましいので問題文Aは正しいです。

再委託の条件に関する指示を行わず、再委託先が個人データを漏えいした場合、必要かつ適切な監督を行っていたとはいえません。したがって、問題文Bも正しいです。

委託先の定期的な監査により委託内容の見直しを検討することを含め適切に評価することは望ましいといえます。したがって問題文Cも正しいです。

以上より、問題文はすべて正しいので正答はエとなります。

• 016従業者の監督、委託先の監督

問題20　正答：ア

オプトアウトによる第三者提供に関する問題です。

本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止することとしてなければ、オプトアウトによる第三者提供を行うことはできません（第23条第2項柱書）。したがって、問題文Aは正しいです。

要配慮個人情報について、オプトアウトによる第三者提供はできません（第23条第2項カッコ書き）。したがって、問題文Bは誤りです。

「第三者に提供される個人データの項目」等を変更する場合は個人情報保護委員会規則で定めるところにより、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置くとともに個人情報保護委員に届け出なければならないとされています（第23条第3項）。したがって、変更ができないわけではないので問題文Cは誤りです。

以上より、問題文Aのみ正しいこととなりますので正答はアです。

• 018オプトアウト