ストラテジ系

個人情報保護法の基本 — 何が個人情報か

導入

ネットショッピングやSNSへの登録で名前やメールアドレスを入力するとき、「この情報はきちんと守られるのだろうか」と感じたことはないでしょうか。日本では個人情報保護法という法律が、私たちの情報を守るためのルールを定めています。ITパスポート試験でも頻出テーマとなっており、ここでしっかり確認していきます。

なぜ重要か

ITパスポート試験のストラテジ系では、個人情報保護法は毎回出題される最重要テーマのひとつです。「何が個人情報に該当するか」「要配慮個人情報とは何か」「企業の義務は何か」という3つの視点から多角的に出題されます。定義を暗記するだけでなく、具体的なシナリオに当てはめて判断できる力が求められます。

社会的な背景としても、スマートフォンの普及やSNSの利用拡大に伴い、意図せず個人情報を提供したり、漏洩事故が起きたりするリスクが高まっています。個人情報保護法は2003年の制定以来、改正が重ねられており、直近では2022年の改正で本人への通知義務が強化されています。試験だけでなく、実生活やビジネスの場面でも役立つ知識です。

くわしく知ろう

個人情報保護法とは、個人の情報を適切に扱うためのルールを定めた法律で、2003年に制定され、その後も改正が重ねられています。この法律では「個人情報」を、生存する個人に関する情報であり、氏名・生年月日・顔写真など特定の個人を識別できる情報として定義しています。なお、死亡した人の情報は個人情報保護法の保護対象には含まれません。

個人情報のなかでも、人種・信条・社会的身分・病歴・犯罪歴・障害の有無など、取り扱いを誤ると差別や偏見につながりやすい情報は「要配慮個人情報」として特別に位置づけられています。要配慮個人情報を取得する際には、原則として本人の同意が必要になっています。

個人情報を事業で利用している企業や団体は「個人情報取扱事業者」と呼ばれ、いくつかの義務が課せられています。まず、個人情報を取得する際には利用目的を明確にして本人に通知または公表することが求められます。次に、取得した情報は通知した利用目的の範囲内でのみ使用しなければならず、本人の同意なしに第三者へ提供することは原則として禁止されています。

また、本人が自分の個人情報の開示・訂正・削除を請求できる権利も保障されています。企業はこれらの請求に対応する体制を整えることが義務づけられており、情報漏えいが発生した場合には速やかに本人や監督機関(個人情報保護委員会)への報告が必要になっています。

具体例で理解する

たとえば、オンラインショッピングサイトがユーザーの氏名・住所・購入履歴を「商品の配送とアフターサービスのため」と明示して取得するのは、利用目的を明確にした適切な取得にあたります。一方、そのサイトが同意を得ずに購入者の情報を提携広告会社に提供すれば、第三者提供の禁止に違反することになります。また、社員の採用面接で取得した応募者の病歴や障害の有無は要配慮個人情報にあたるため、取得には本人の同意が必要です。

試験での出題パターン

【パターン1:何が個人情報に該当するかを問う問題】

「次の情報のうち、個人情報保護法における個人情報に該当するものはどれか」という形式で出題されます。メールアドレス単体・顔写真・氏名と生年月日の組み合わせなどが選択肢に並びます。「単独または他の情報と照合することで特定の個人を識別できる情報」という定義を正確に理解しておくことが鍵で、住所・氏名・電話番号の3つが揃わなくても個人情報になりえる点が注意ポイントです。

【パターン2:要配慮個人情報の取得条件を問う問題】

「採用面接で取得するにあたり、本人の同意が必要な情報はどれか」という形式で、要配慮個人情報に当たる項目を選びます。病歴・障害・信条・人種・犯罪歴が要配慮個人情報の代表例です。氏名や職歴は通常の個人情報であるため、誤答選択肢として並ぶことが多くなっています。

【パターン3:事業者の義務を問う問題】

「個人情報取扱事業者が行う行為として適切でないものはどれか」という形式で、利用目的外使用・第三者提供・不適切な管理などが選択肢に並びます。

よくある間違い・紛らわしいポイント

【死亡者の情報は対象外という点】

個人情報保護法の「個人情報」は「生存する個人」に関する情報に限定されます。亡くなった方の氏名・住所・医療記録などは、この法律の保護対象ではありません。ただし、遺族など生存する個人と紐づけられる場合はその生存個人の情報として扱われることがあります。

【匿名加工情報との違い】

個人情報を加工して特定の個人を識別できなくしたものを「匿名加工情報」と呼びます。匿名加工情報は個人情報ではなくなるため、本人の同意なしに第三者提供が可能になります。ただし、再識別化(元の個人情報に戻す行為)は禁止されています。「加工の有無で扱いが変わる」という点を押さえておきましょう。

【利用目的の通知と同意の違い】

通常の個人情報は利用目的を「通知または公表」するだけで取得できますが、要配慮個人情報は「本人の同意」が必要です。「通知するだけでよいか」「同意が必要か」という区別が試験でよく問われます。

まとめ・試験ポイント

  • 個人情報=生存する個人を特定できる情報(氏名・生年月日・顔写真等)
  • 死亡者の情報は個人情報保護法の対象外
  • 要配慮個人情報=病歴・信条・人種など、取得に本人同意が必要
  • 個人情報取扱事業者の義務=利用目的の明示・目的外使用の禁止・第三者提供の禁止
  • 本人には開示・訂正・削除を請求する権利がある
  • 試験では「何が個人情報に該当するか」「要配慮個人情報の取得条件」がよく出題される

学習した内容を試験形式で確認しよう。ITパスポート入門試験100問に挑戦できます。

入門試験100問に挑戦する