個人情報保護法の基本 — 何が個人情報か

導入

ネットショッピングやSNSへの登録で名前やメールアドレスを入力するとき、「この情報はきちんと守られるのだろうか」と感じたことはないでしょうか。日本では個人情報保護法という法律が、私たちの情報を守るためのルールを定めています。ITパスポート試験では個人情報の定義や企業の義務が頻出テーマとなっており、ここでしっかり確認していきます。

くわしく知ろう

個人情報保護法とは、個人の情報を適切に扱うためのルールを定めた法律で、2003年に制定され、その後も改正が重ねられています。この法律では「個人情報」を、生存する個人に関する情報であり、氏名・生年月日・顔写真など特定の個人を識別できる情報として定義しています。なお、死亡した人の情報は個人情報保護法の保護対象には含まれません。

個人情報のなかでも、人種・信条・社会的身分・病歴・犯罪歴・障害の有無など、取り扱いを誤ると差別や偏見につながりやすい情報は「要配慮個人情報」として特別に位置づけられています。要配慮個人情報を取得する際には、原則として本人の同意が必要になっています。

個人情報を事業で利用している企業や団体は「個人情報取扱事業者」と呼ばれ、いくつかの義務が課せられています。まず、個人情報を取得する際には利用目的を明確にして本人に通知または公表することが求められます。次に、取得した情報は通知した利用目的の範囲内でのみ使用しなければならず、本人の同意なしに第三者へ提供することは原則として禁止されています。

また、本人が自分の個人情報の開示・訂正・削除を請求できる権利も保障されています。企業はこれらの請求に対応する体制を整えることが義務づけられており、情報漏えいが発生した場合には速やかに本人や監督機関（個人情報保護委員会）への報告が必要になっています。

具体例

たとえば、オンラインショッピングサイトがユーザーの氏名・住所・購入履歴を「商品の配送とアフターサービスのため」と明示して取得するのは、利用目的を明確にした適切な取得にあたります。一方、そのサイトが同意を得ずに購入者の情報を提携広告会社に提供すれば、第三者提供の禁止に違反することになります。また、社員の採用面接で取得した応募者の病歴や障害の有無は要配慮個人情報にあたるため、取得には本人の同意が必要です。

まとめ・試験ポイント

• 個人情報＝生存する個人を特定できる情報（氏名・生年月日・顔写真等）
• 死亡者の情報は個人情報保護法の対象外
• 要配慮個人情報＝病歴・信条・人種など、取得に本人同意が必要
• 個人情報取扱事業者の義務＝利用目的の明示・目的外使用の禁止・第三者提供の禁止
• 本人には開示・訂正・削除を請求する権利がある
• 試験では「何が個人情報に該当するか」「要配慮個人情報の取得条件」がよく出題される