定義規定に関する問題

定義規定

最近は第1条に目的や趣旨、第2条に定義規定をおくのがおきまりになっています。

法律の頭の方で用語の定義をキチンとしておくのです。個人情報保護法にも定義規定があります。そして個人情報保護士試験でも「そもそも○○とは?」という定義が出題されることがありますので、定義規定問題を整理しました。

個人情報データベースとは

個人情報を容易に検索できるように体系化したもの個人情報データベースといいます。

コンピュータで処理するものが典型的ですが、紙媒体のものも含みます。

したがって、誰でも検索できるように整理した名刺ファイルも個人データベースになってしまいます。

ただし、利用方法からみて個人の権利利益を害するおそれが少ないものとして政令で定めるものは個人情報データベースから除外されます(平成27年改正)。

したがって、市販の電話帳や住宅地図などは形式的には個人情報データベースですが、これらを購入して通常の利用をする分には個人情報データベースではないということになります。

個人データとは

個人情報データベースを構成する個人情報を「個人データ」と呼びます。

データベースから印字した帳票やバックアップデータも個人データです。

これに対し、データベースに入力する前の帳票は未整理ですから個人データには該当しません。

「個人情報」と「個人データ」がどう違うのかといいますと、個人情報保護法上守るべきルールに差が出てきます。「個人データ」の方が守るべき義務の範囲が広いのです。

  • データ内容の正確性の確保(第19条)
  • 安全管理措置(第20条)
  • 従業者の監督(第21条)
  • 委託先の監督(第22条)
  • 第三者への提供の制限(第23条)
  • 外国にある第三者への提供の制限(第24条)
  • 第三者への提供に係る記録の作成(第25条)
  • 第三者から提供を受ける際の確認(第26条)

以上8ヶ条は義務の対象が「個人データ」となっています。

単なる個人情報ではなく「個人データ」となると個人情報利用上の義務が厳しくなることをおさえておいてください。

保有個人データとは

個人データのうち開示等の権限があるものを「保有個人データ」といいます。

ただし、6ヶ月以内に消去するものと、存否を明らかにすることにより公益その他の利益が害されるおそれのあるものは除外されます。

存否を明らかにするとまずいデータとは潜水艦の開発担当者であるとか総会屋名簿などが考えられます。

保有個人データに対しては、本人からの開示請求、訂正請求等に応じる義務が生じます。

ちなみに、これら請求権は、自己情報コントロール権(どんな自己情報が集められているのかを知り、不当な扱いがされないよう関与する権利)と呼ばれています。

個人情報取扱事業者

個人情報データベースを事業に用いている者を「個人情報取扱事業者」といいます。

ポイント1 国、地方公共団体、独立行政法人等は該当しない

そもそも行政機関を対象にした個人情報保護法は別に存在するので、個人情報保護法の適用がないからです。

ポイント2 非営利組織や権利能力のない社団は該当する

PTAなどの非営利組織や権利能力のない社団も個人情報取扱事業者になりえます。

ポイント3 5000件要件は廃止された

改正前の個人情報保護法では、取り扱う個人データの数が過去6ヶ月間一度も5000件を超えたことのない事業者は個人情報取扱事業者ではない、としていました。

小規模事業者に個人情報保護法上の重い義務を課さない、という趣旨でした。

しかし、この規定は平成27年改正で削除されましたので、取り扱う個人データの多寡にかかわらず個人情報取扱事業者となります。

要配慮個人情報

平成27年改正で新たに導入された概念です。

改正法全面施行直後の第47回試験で早速出題されています。第48回試験でも第49回試験でも2問出題されていますね。

要配慮個人情報とは

個人情報に該当するかどうかは特定の個人を識別できるかどうかで形式的に決まります。しかし、通常他人に公開されることを望まない情報など慎重に取り扱うべき情報もあるはずです。

そこで、改正法は

本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別偏見その他の不利益が生じないようにその取扱いに特に配慮を要するもの」を要配慮個人情報として特別扱いすることにしました。

ポイント1 人種とは民族のこと

そのように理解しておくとよいと思います。

国籍は変更されることもありますので「人種」に該当しません。外国人であることもそれは法的地位であって民族ではないので「人種」とは違います。また、肌の色は人種を推知させる情報にすぎないので「人種」には含まれません。

ポイント2 社会的身分とは生まれつきもので本人の努力で変えられないもの

出身地や婚外子であるということなどが該当します。有名大学を卒業しているとかいないとか、正社員であるとか非正規社員であるとかは生まれつきのものではないので社会的身分ではありません。

ポイント3 金銭的被害を受けた事実も「犯罪により害を被った事実」にあたる

金銭的被害を受けた事実は差別につながるか?という疑問がわくかもしれません。詐欺の被害者リストを思い出してください。(言葉は悪いですが)「カモ」としてまた標的にされることによって不利益が生じますよね。「その他の不利益」が生じるから要配慮個人情報にあたるのだとご理解ください。

ポイント4 推知させるに過ぎない情報は含まない

肌の色は民族を推知させます。キリスト教の本を購入した人はキリスト教徒である可能性があります。しかし、それらはあくまで可能性であり、そのような情報まで要配慮個人情報として特別扱いすることは個人情報の有用性をそこないかねません(目的規定を思い出してください)。したがってこれらの情報は要配慮個人情報とはしません。

他の個人情報と取扱いがどう違うのか

取得の場面と第三者提供の場面で違いがでます。

違い1 取得には本人の同意が必要

一般の個人情報を取得する際に利用目的の通知は必要ですが取得すること自体に同意を得なさい、とはされていません。

しかし、要配慮個人情報については本人の関知しないところで取得されることがないよう、原則として本人の同意を得ないで要配慮個人情報を取得してはいけないとしました。

例外は以下の6つの場合です。

  1. 法令に基づく場合
  2. 生命等を保護するために必要があり、本人の同意を得ることが困難であるとき
    病気で意識を失っているときに病歴情報を取得できないと困りますよね。
  3. 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることがこんなんであるとき
  4. 国の機関等が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき
  5. 本人、国の機関等により公開されている場合
  6. その他政令で定める場合

これらの具体例としてどのようなケースがあるのか、ガイドラインを見て確認しておきましょう。第49回試験で出題されています。

違い2 オプトアウト方式での第三者提供は認められない。

個人データを第三者に提供するためには本人の同意が必要です。

ただ、本人の同意を得るのはなかなか大変な作業です。

そこで、積極的に拒否の意思表示をしなければ第三者提供に同意したものとしますよ、という方式を採用することがあり、これをオプトアウト(opt:選ぶ、out:除外)方式と呼んでいます。

オプトアウト方式をとる場合、個人情報を収集する際に第三者に提供することがありますよ、お嫌でしたらこのチェックボックスにチェックをいれてくださいね、と書いておくのですが、個人情報を提供する側がスルーしてしまうことがままあります。

要配慮個人情報の場合は第三者提供に対する同意の意思確認を確実に取る必要があるので、オプトアウト方式は認めないことにしました。

個人情報の定義

個人情報とは

2条(定義規定)に戻ります。

個人情報保護法は、生存する個人に関する情報であって、

  1. 当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む)
  2. 個人識別符号が含まれるもの

のいずれかに該当するものが個人情報だとしています(2条1項1号、2号)

要は、それが誰の情報なのか分かるものが個人情報なのです。

ポイント1 死者に関する情報は個人情報ではない

ただし、生存する個人に関する情報を含む場合は全体が個人情報となります。

ポイント2 記録形式は問わない

文書だけでなく音声や画像も特定の個人を識別されるものは個人情報です。また、紙に印刷したものに限られず、パソコン内のデータも個人情報です。この点は平成27年改正で明記されるようになりました。

ポイント3 公にされていても個人情報

官報や電話帳にのっている情報も個人情報です。

個人識別符号とは

第46回試験までは上記をおさえていれば得点できました。しかし、第47回試験では2の個人識別符号が聞かれました。

①特定の個人の身体の一部の特徴を変換したデータ

顔、指紋、目の虹彩、DNAなどが該当します。また、個人識別符号に該当するかどうかは政令で定めることになっています。つまり、いちいち国会で決めなくても個人識別符号の指定は可能ということです。さらに技術が進めば個人識別符号の種類も増えていくでしょう。

②個人ごとに異なるように割り当てられる番号等

パスポート番号、運転免許証番号などが該当します。

情報と個人との結びつきの強さや情報の変更可能性が個人識別符号該当性判断の基準となっています。携帯電話の番号はむやみに知られたくない情報ではりますが、法人契約というものもありますし、変更しようと思えば変更できますので個人識別符号にはあげられていません。

まとめ

個人情報の定義に関する問題は絶対に出題されると思います。

特定の個人を識別することができるかどうか、がまず大事です。

DNAなど私には意味不明の文字列でそれが誰のものなのか言い当てることなどできませんが、個人識別符号ですからDNAが記載された紙は個人情報です。

以上を忘れないようにしてください。

国及び地方公共団体の施策

個人情報保護法の第4条から第14条までは、個人情報の適正な取扱いを確保するために国や地方公共団体はどのような責務を負っていてどのような施策を実施しなければならないのか、についての規定になっています。

第2章 国及び地方公共団体の責務(4条、5条、6条)

  • 国:必要な施策を総合的に策定し実施する責務(4条)
  • 地方公共団体:区域の特性に応じて必要な施策を策定し実施する責務(5条)

をそれぞれ負っています。

第6条(法制上の措置)には平成27年改正で「政府は、各国政府と共同して国際的に整合のとれた個人情報保護に係る制度を構築するために必要な措置を講ずるものとする」という国際協調の文言が追加されました。

第3章 個人情報の保護に関する施策等(7条~14条)

基本方針

政府は個人情報保護に関する基本方針を定めなければなりません(7条)。

基本方針は個人情報保護委員会が作成した案について内閣が閣議決定して公表するという点も規定されていますのでおさえておいてください。

国の施策

  • 情報提供や指針の策定により、地方公共団体や民間の個人情報保護の活動を支援すること(8条)
  • 事業者と本人(個人)の間に生じた苦情処理のための必要な措置を講じること(9条)
  • 個人情報取扱事業者の個人情報の適正な取扱いを確保するために必要な措置を講じること(10条)

以上3つです。出題されやすいのは2番目の苦情処理の措置です。民間人どうしの争いにくびをつっこまないのではありません。また、あくまで事業者と個人の間の苦情処理であって事業者同士の紛争は対象外だという点が出題されたことがあります。

地方公共団体の施策

  • 地方公共団体、地方独立行政法人が保有する個人情報の保護に必要な措置を講じること(11条)
  • 区域内住民を支援すること(12条)
  • 事業者と個人の間に生じた苦情処理のあっせんなど必要な措置をこうじること(13条)

以上3つです。ちなみに、地方公共団体の施策は「○○するよう努めなければならない」と努力義務として規定されています。国の施策の方は「講ずるものとする」となっています。この点の出題実績はないようですが、念のため。

国及び地方公共団体の協力

「相協力するものとする」と規定されています(14条)。こんな規定をわざわざ置かなければいけないほど仲が悪いんでしょうか?

正直言って勉強していてもつまらないですし、出題可能性も低めで50%くらいです。

個人情報保護法の目的と基本理念

いよいよ個人情報保護法本体の勉強に入ります。

第1条(目的)

個人情報保護法の第1条にはこの法律の目的が書かれています。

この法律は、高度情報通信社会の進展に伴い個人情報の利用が著しく拡大していることに鑑み、(中略)、個人情報の適正かつ効果的な活用が新たな産業の創出並びに活力ある経済社会及び豊かな国民生活の実現に資するものであることその他の個人情報の有用性に配慮しつつ、個人の権利利益を保護することを目的とする。

個人情報保護法 第1条

個人情報の利活用にも配慮しますよ、といっていることを見落とさないでください。

また「プライバシー」という言葉が使われていない!という点にもご注意ください。

プライバシーとは何か、万人が納得する定義が難しいのと侵害されることを防ぎたい個人の権利利益はプライバシー以外にもあるからでしょう。

第3条 基本理念

第3条は基本理念です。

個人情報は、個人の人格尊重の理念の下に慎重に取り扱われるべきものであることにかんがみ、その適正な取扱いが図られなければならない。

個人情報保護法 第3条

難しいことは何もなくて個人の人格尊重の理念がうたわれているんだなということをおさえておけばOKです。

以上2ヶ条を確認しておくだけで1問正解できます。

この試験の課題Iは法律の試験です。法律の試験なのだから法律そのもの(条文)が重要なんです。確かにめんどうくさいのですが条文に目を通しておくということが合格の早道かもしれません。

JISQ15001:2006とPマーク、JISQ27001とISMSマーク

JISQ15001とPマーク

JISは日本工業規格、QはJISのうち管理システム分野についている記号です。

JISQ15001は個人情報の管理システムに関する規格になっていまして、審査に合格してJISQ15001の要求事項を満たしていると認められるとPマークが取得できます。

JISQ15001の出題ポイント

個人情報保護法より早く制定された

個人情報保護法は2003年、JISQ15001は1999年です。

個人情報保護法とは用語法等に若干の違いがある

例えば「個人情報」の定義。個人情報保護法は「生存する個人の情報で」という限定がついていますが、JISQ15001の方にはそのような限定がありません。つまり死者の情報も含みます。

ただ、個人情報保護法の施行を受けてJISQ15001 にも改正が加えられるなど、整合性の配慮はもちろんされています。

「JISQ15001:2006」という表記は2006年に改正をしましたよ、という意味です。

Pマークの出題ポイント

現地審査あり

文書だけで取得できるものではありません。現場まで審査員が見にきます。

有効期間

2年です。

国内限定

取得できるのは日本国内に活動拠点をもつ事業者のみです。

JISQ27001とISMSマーク

JISQ27001は情報セキュリティのマネジメント規格で、審査に合格したら取得できるのがISMS(Information Security Management System)マークです。

ISMSマークの出題ポイント

個人情報に限定されない

JISQ15001が個人情報の取扱いに関する規格であるのに対し、JISQ27001は情報セキュリティ全般に関する規格です。

有効期間

3年更新です。Pマークより長いのですが毎年「サーベイランス(認証維持)審査」というものを受けなければなりません。

総合的な仕組みによる運用

評価を希望する組織の情報セキュリティマネジメントシステムがJISQ27001 に適合しているかどうかを審査する「認証機関」、審査員に資格を付与する「要員認証機関」、認証機関および要員認証機関の能力を評価する「認定機関」からなる総合的な仕組みで運用されています。

業種や組織規模による限定がない

Pマークが法人単位で取得するものであるのに対し、ISMSマークは「事業部」「プロジェクト」単位で認証を受けることもできます。

以上です。出題傾向が変わらなければ本講だけで2問得点できます。

OECD8原則

OECDオーイーシーディー8原則(OECD(経済開発協力機構)が1980年に採択した「プライバシー保護と個人データの国際流通についてのガイドライン」)も重要です。

世界の個人情報保護のスタンダードになっており、個人情報保護法にも反映されています。

個人情報保護士試験でも毎回のように1題出題されます。

OECD8原則の内容

試験対策としては8原則の内容を理解するとともに、それらが個人情報保護法のどの規定に現れているか確認しておく必要があります。

1 目的明確化の原則

(Purpose Specification Principle)

個人データの収集目的を明確にしましょう、ということです。

個人情報保護法第15条に反映されています。

「提出いただいた個人情報は、商品の発送にのみ使用させていただきます」といった表記を見たことがあると思います。あれのことです。

2 利用目的制限の原則

(Use Limitation Principle)

本人の同意なしに個人データを当初の目的以外に使用してはいけない、ということです。

個人情報保護法第16条(利用目的による制限)と第23条(第三者提供の制限)に反映されています。

データ取得時に示された利用目的の自由な変更を許しては本人に思わぬ不利益が生じるかもしれませんよね。

3 収集制限の原則

(Collection Limitation Principle)

違法な方法で個人データを収集してはいけないし、本人に通知または同意を得て収集してください、ということです。

第17条(適正な取得)に反映されています。

盗んだりだまし取ったりしてはいけません。

4 データ内容の原則

(Data Quality Principle)

訳語が少しわかりにくいですね。

収集したデータの正確性、最新性を保ちましょう、ということです。

個人情報保護法第19条(データ内容の正確性の確保)に反映されています。

例えば、誤ったデータに基づいてDMが送られ続けてきたりしたら迷惑ですよね。

5 安全保護の原則

(Security Safeguards Principle)

紛失や破損しないよう合理的な措置をとってください、ということです。

個人情報保護法第20条(安全管理措置)、第21条(従業者の監督)、第22条(委託先の監督)に反映されています。

いい加減な管理をされては不安ですよね。

6 公開の原則

(Openness Principle)

個人データの取扱いについて情報公開をしましょう、ということです。

個人情報保護法第18条(取得に際しての利用目的の通知)などに反映されています。

7 個人参加の原則

(Individual Participation Principle)

本人(データの主体)のデータ管理に関与する権利を保証するものです。

個人情報保護法第27条から第30条まで(保有個人データに関する事項の公表、開示、訂正、利用停止)に反映されています。

8 責任の原則

(Accountability Principle)

個人データの管理者には上記の諸原則を守る責任がありますよ、ということです。

個人情報保護法第31条(苦情処理)に反映されています。

おわりに

試験ではさらに一歩踏み込んで個人参加の原則が適用されるのは個人情報全体ですか?個人データについてですか?それとも保有個人データについてですか?といったことも聞かれます。

個人情報保護法をひととおり勉強したところで本講の復習をすることをお勧めします。

個人情報保護法改正の背景

個人情報保護法は平成27年9月に改正法が成立し、平成29年5月に全面施行となりました。

実は、「個人情報保護法制定の経緯と社会的背景」というテーマはこの試験の頻出事項であの記事を読むだけで1問正解できました。しかし、2017年6月実施の第47回試験ではこのテーマの出題はなく、かわりに個人情報保護法改正の背景が問われました。それだけ重要な改正だったのだといえます。

では、なぜ改正されたのかご説明します。

グレーゾーンの拡大→定義の明確化

従来の個人情報法保護法は、特定の個人を識別できる情報が個人情報だ、としていました。誰の情報か分かってしまうとプライバシーなど個人の権利侵害のおそれがあるからです。

一見もっともな定義ですが、以前は個人の識別に結びつく情報ではなかったものが技術の進歩により個人の識別が可能となる現象が起こっています。その情報が個人情報に該当するのか判断に迷う「グレーゾーン」が拡大しているのです。

そこで、改正法では「個人識別符号」という概念を導入し、個人識別情報を含むものは個人情報だ、としてグレーゾーンの解消を図りました。

個人識別符号には2つあって、1つは生体情報(顔認識データ、指紋データなど)、もう1つは個人を特定するために割り振られた番号等(運転免許証番号など)です。

これでDNA情報などが個人情報に該当することがはっきりしたのです。

他方、携帯電話番号は個人に割り振られたものではなく(会社が契約する場合もありますよね)、変更されることもあるので個人情報ではありません。

また、特に慎重な取扱いが求められる情報を「要配慮個人情報」と定義して個人の権利利益侵害を防ぐようにしました。

情報の利活用の推進→匿名加工情報

情報は重要な経営資源です。とりわけ近年いわゆるビッグデータの活用が新たなビジネスチャンスを生んでいます。しかし、ビッグデータに含まれるパーソナルデータが個人情報だとされるとどうでしょう。ビッグデータの活用を躊躇ちゅうちょすることになります。

そこで、改正法は、個人を識別できないよう加工した匿名とくめい加工情報」という概念を導入し、厳格なルールのもとで流通させることを認めました。

匿名加工情報については第47回試験で詳しく聞かれていますので、別講で解説します。

グローバル化対応の要請

経済のグローバル化に伴い、個人情報の国際的流通も課題になっています。

法律は国によって異なり、個人情報を厳格に扱う国もあればそうでもない国もあるからです。

そこで、改正法は、我が国と同等の個人情報保護法制が整備されている国、あるいは我が国の個人情報保護法下で求められるのと同水準の管理体制をしいている事業者以外の外国事業者に個人データを提供するには本人の同意を要するものとしました。

名簿屋対策の強化

ベネッセの事件で流出した個人情報がどこまで広まってしまったのかは捜査機関でも把握しきれなかったと聞きました。

名簿の取引自体は合法ですが、規制強化の要請は高まっています。

そこで、改正法は、個人データのトレーサビリティ(追跡可能性)を確保するために、提供者は受領者の氏名等を、受領者は提供者の氏名や当該データの取得経緯を確認・記録し一定期間保管するよう義務づけました。

また、不正な利益を図る目的で個人情報データベースを提供する行為を犯罪として処罰の対象にすることとしました(データベース提供罪)。

個人情報保護委員会の新設

我が国には個人情報保護の専門行政庁がなく、各行政庁が所管する事業者を指導・監督してきました。

例えば、銀行や証券会社は金融庁、病院は厚生労働省といった具合です。

しかし、複数の省庁にまたがる場合もありますよね。医療一般は厚生労働省の所管ですが、医療研究となると文部科学省や経済産業省も関係してきます。仮定の話ですが、複数の省庁から二重、三重に指導を受けるとしたらどうでしょう。同じ事を言われるなら煩雑なだけで無駄ですし、違う事を言われたらどう対処していいのか混乱します。

そもそも、専門の所管庁がないということ自体、日本が個人情報保護を重要視していないとの評価につながりかねません。

そこで、マイナンバー法施行時に設立された「特定個人情報保護委員会」を改組して個人情報保護委員会」を新設することにしました。

個人情報保護委員会には調査、監督権限が認められており、同委員会の命令違反には罰則が科せられます。

その他

いわゆる5000件要件廃止、第三者提供のルール整備、認定個人情報保護団体制度導入などたくさんあります。いずれも出題可能性が高いと思われますので適宜解説します。

個人情報保護法制定の経緯と社会的背景

個人情報保護に関する法制の歴史

個人情報保護法制の出発点は1980年のOECD8原則発表です。

プライバシー保護と個人データの国際的流通のガイドラインが提示されたのです。(OECD8原則自体もこの試験の頻出事項なので項を改めて解説します)

これを受けて1988年に「行政機関の保有する電子計算機処理に係る個人情報の保護に関する法律」が公布されました。

この段階では民間事業者に個人情報の保護に関する義務を課すのは時期尚早として、まずは行政機関の個人情報保護制度整備に着手したのです。

「個人情報保護法は我が国初の個人情報保護に関する法律である、○か×か」と問われましたら自信を持って「×」とお答えください。

個人情報の漏洩事件

次に重要なのは、個人情報の大量漏洩事件が社会問題化した、ということです。

1999年に宇治市で住民ほぼ全員の住民基本台帳データが流出してしまうという事件が発生しました。

乳幼児検診システムの開発に従事していた大学院生が、住民基本台帳データを自宅に持ち帰り、そのコピーを名簿販売業者に販売したというものです。

流出したデータには氏名、住所、生年月日のほか世帯主との続柄なども含まれており、プライバシー侵害の不安感が高まりました。

電子政府の構築

また、電子政府の構築も重要です。

2002年に住基ネットの運用が始まりました。住基ネットの導入に際しては政府が個人情報を掌握する布石ではないか、プライバシーは保護されるのかとの警戒感があり個人情報についての議論が盛んになりました。

このような社会背景があって個人情報保護法は2003年5月に公布され、2005年4月に全面施行となりました。

この公布と施行まで約2年の期間が空いているということも出題可能性あり、です。

だいたい、重要な制度の導入が国会で決まって即実施、というのは乱暴ですよね。

実際、2004年に関係各省庁がガイドラインを発表し、これを参照しつつ各事業者が準備をするという流れになっていました。