コンテンツへスキップ
個人情報保護法の理解 補講

平成27年改正のポイント

改正の重要性

平成27年9月に改正個人情報保護法が成立し、平成29年5月30日に全面施行となりました。

平成29年6月4日に実施された第47回個人情報保護士試験では、改正に関する問題が15題も出題されています。個人情報保護法に関する出題は全部で40題ですから、実に4問に1問が改正がらみの出題ということになります。

第48回試験についても改正の知識は必須と思われます。すでに触れたところと重複する部分も多いですが、試験直前のおさらいの意味もありますのでご一読ください。

改正のポイント

個人情報保護委員会事務局が「個人情報保護法の基本」と題する文書を出しています。

そこで掲げられている改正のポイントは次のとおりです。

  1. 個人情報保護委員会の新設
  2. 個人情報の定義の明確化
  3. 個人情報の有用性を確保(利活用)するための整備
  4. いわゆる名簿屋対策
  5. その他

個人情報保護委員会の新設

個人情報取扱事業者に対する監督権限を各分野の主務大臣から委員会に一元化しました。

個人情報保護委員会には資料の提出を求めたり立ち入り検査をする権限があること(ただし、犯罪捜査とは峻別されています)、立入検査の権限を事業所管大臣に委任できること、事業者に適当な措置をとることを要求できること、など要チェックです。

個人情報の定義の明確化

定義の明確化のため、「個人識別符号」を導入しました。

個人識別符号はそれ単体でも個人情報とされます。

個人識別符号には2種類あります。ひとつは「身体の一部の特徴を電子計算機のために変換した符号」(DNAなど)、もうひとつは「サービス利用や書類において対象者ごとに割り振られる符号」(パスポート番号など)です。

また、「要配慮個人情報」を他の個人情報と区別しました。要配慮個人情報は取得について本人の同意が必要であること、オプトアウトによる第三者提供ができないことが重要です。

要配慮個人情報は、本人に対する不当な差別や偏見が生じないよう特に配慮を要するものであり、障がいがあること、逮捕歴、健康診断の結果なども含まれます。

個人情報の有用性を確保(利活用)するための整備

ビッグデータ時代への対応です。個人情報保護委員会規則で定めた方法で個人を識別できないように加工した「元個人情報」は自由に利用できることとしました。

「特定の個人を識別することができない」とはあらゆる手法によって特定することができないようにすることまでは求められていないこと、個人情報取扱事業者は本人を識別するために匿名加工情報と他の情報を照合してはいけないことなどが重要です。

いわゆる名簿屋対策

個人データを第三者に提供した個人情報取扱事業者は、記録を作成・保管しなければなりません。

第三者から個人データの提供を受ける者は、個人データの取得経緯を確認し、内容を記録・保管しなければなりません。

個人情報データベースを不正な利益を図る目的で第三者に提供することは「個人情報データベース提供罪」という犯罪になります

その他

5000件要件は廃止

取り扱う個人情報の件数が5000以下である事業者は規制の対象外とされていましたが、新法ではこのような例外は認めないことになりました。

もっとも、個人情報保護委員会作成のガイドラインにおいて、小規模事業者がとるべき安全管理措置は他の事業者のそれとくらべて若干簡易なものでもよいとするなど、運用上の配慮はしています。

オプトアウトの手続き

オプトアウトによる個人データの第三者データ提供をおこなう個人情報取扱事業者は、所要事項を個人情報保護委員会に届け出なければならず、個人情報保護委員会はその内容を公表することとなりました。

外国にある第三者への個人データの提供

原則として本人の同意を要することとなりました。

ただし、その国が我が国と同等の水準にある個人情報保護制度を有する場合、および個人情報保護委員会規則で定める基準に適合する体制を整備している第三者に対する提供についてはこの限りではありません。

個人情報保護委員会による外国執行当局への情報提供

個人情報保護委員会は、我が国の個人情報保護法に相当する法令を執行する外国の当局に対し、その職務遂行に役立つ情報の提供を行うことができます。

ただし、提供した情報を刑事事件の捜査に使用するには個人情報保護委員会の同意が必要です。

しかも、政治犯罪の捜査を目的とする場合、および我が国の法律では罪とならない行為の捜査を目的とする場合には、情報を刑事事件の捜査に使用することの同意ができません。また、日本国が行う同種の要請に応じてもらえる保証がない場合も同意をすることはできません。

なお、これらの同意をするには法務大臣、外務大臣の確認を受ける必要があります。

認定個人情報保護団体

認定個人情報保護団体(事業者の個人情報の適切な取扱いの確保を目的として、個人情報保護委員会の認定を受けた民間団体)が、対象事業者への情報提供や個人情報に関する苦情の処理を行うことになりました。


5 thoughts on “平成27年改正のポイント

  1. 海波空風

    もう一つ教えて下さい。同じく第47回問題の22です。これは外国への個人データ提供の場合の基本、本人同意を得る必要があるかの問いですが、正解はエでした。

    アからウまでは、24条(と23条にある)適用除外例で従って同意の必要がないとわかりましたが、

    エ.国の機関等が「外国の法令の定める」事務を実施する上で、民間企業等の協力
    を得る必要がある場合であって、協力する民間企業等が当該国の機関等に個人デー
    タを提供することについて、本人の同意を得ることが当該事務の遂行に支障を及ぼ
    すおそれがある場合

    というもので、二つおかしなヶ所があり、
    ①外交の法令の定める?
    ②本人の同意を得ることが~支障を及ぼすおそれがある場合?
    この様な場合、本人の同意がとても取れるとは思えないのですが..
    これは、ア~ウが法に規定された適用除外だから、消去法的にエを選択しなさい。
    というヒッカケ問題ですか?

    一問でも合否に関わる大事な質問としてはちょっと悪質(笑)かと思いますが、
    どう思われますか?解説よろしくお願いします。

    返信
    1. okada

      ヒッカケ問題だとは思いませんが、細かいことを聞くなあ、とは思います。

      この問題のポイントは個人情報保護法第23条第1項第4号の「法令」に「外国の法令」が含まれるか?ということです。

      日本の行政機関は日本の法律に従って権限を行使するのだから、外国の法令は含まれませんよね、と試験会場で判断できればいいのですが。または、あなたがされたように消去法で。

      ちなみに、「個人情報の保護に関する法律についてのガイドライン(外国にある第三者への提供編)」の3ページに「外国の法令は含まれない」と明記されています。ガイドラインは出題ネタの宝庫ですね。

      返信
  2. 海波空風

    コメントありがとうございます。

    条文とか結構細かい所を聞いてくる出題が、増えてる様な気がします。
    個人情報保護委員会の問57とか、だから各選択文をじっくり読まないといけないし、
    読んでいると混乱(つまりは、しっかり記憶していないから)してきます。ここまで来たら
    過去問題の反復練習で臨みたいと思います。

    あと単純に合計8割以上(480点)あっても合格にならないんですね。課題Ⅰ・Ⅱそれぞれ
    240点以上要求される。やはり課題Ⅰが弱いです。あと1~2問正解なら・・・という状況です。

    それでは、また よろしくお願い申し上げます。

    返信
  3. 海波空風

    また解説お願いしたい過去問題です。第46回の問題58です。 

    【問題文A】 情報提供ネットワークシステムは、内閣総理大臣が、個人情報保護委員会と
            協議して、設置及び管理するものである。・・・総務大臣主管で×

    【問題文B】 情報提供ネットワークシステムとは、番号利用法に規定する行政機関の長
            等の間で、特定個人情報を安全かつ効率的にやりとりするための情報シス
            テムであるが、この「行政機関の長等」の中に地方公共団体情報システム
            機構は含まれない。・・・???

    【問題文C】 情報提供に際し、情報相会社及び情報提供者は、情報提供ネットワークシ
            ステムを介することなく、直接情報のやり取りをする。・・システムを介しで×

    明らかにAとCは誤りなので消去。残るBについて「行政機関の長等」に地方公共団体情
    報システムが含まれるのかどうか?マイナンバーの生成には関わっているが、今までどこ
    の記述にも長等に含まれるというものはなかったと記憶、調べてみたら番号法第二条14に

    この法律において「情報提供ネットワークシステム」とは、行政機関の長等(行政機関の
    長、地方公共団体の機関、独立行政法人等、地方独立行政法人-略-)及び地方公共団体
    情報システム機構-以下略- 

    とあり、並列の表記になっていました。よって行政機関の長等と地方公共団体情報システ
    ム機構は別もの。
    ネットワークシステム内には含まれているが、長等には含まれないと考え、この文章は「含
    まれない」で正しいものと解釈しました。
    しかし、正解は「すべて誤り」となっていました。

    この1問で合否の分かれ道になることもありますよね。
    解説よろしくお願い申し上げます。

    返信
    1. okada

      定義規定を難しく解釈をする必要はありません。書いてある通り読めばいいのです。

      マイナンバー法の第2条第14項は情報提供ネットワークシステムとは「行政機関の長等」の使用するものだとしています。

      そしてこの「等」に具体的に何が含まれるのかがカッコ書きの中に列記されていて「機構」も挙げられています。

      したがって、「機構」は「行政機関の長等」に含まれます。

      おっしゃるように「行政機関の長」と「機構」は「別物」ではありますが、別物をいちいち挙げながら規定するのは大変(書く方も、読む方も)なので、「行政機関の長等」という言葉で代表させますよ、としているだけのことです。

      ちなみにこの問題、出題形式からして合格者でも間違えた方が多かったのではと推測します。

      返信

コメントを残す

メールアドレスが公開されることはありません。