見出し画像

個人情報保護士認定試験 ③

#3 個人情報保護法


< 2.定義 >


◆個人情報取扱事業者(法第16条第2項)

①取り扱う個人情報の数は、関係ない(一人でも保有していれば対象)
②事業は、営利・非営利(NPO 法人や自治会・町内会、同窓会、PTAなど) 
 の別は問わない
委託先は、委託された業務を行うために利用するのであれば「事業の用に供している」ことになり、委託先も個人情報取扱事業者に該当する。
倉庫業、データセンター等の事業が個人情報を認識なく預かっている場合は、該当しない ※事業の用に該当しない
⑤事業の用:利用方法は特に限定されない(自社の従業員の管理も該当)
⑥私生活で自分のパソコンで個人情報データベース等を利用している
 ような場合は該当しない(事業の用は除く)


【ポイント】
・個人情報取扱事業者の定義
・「事業の用」の定義の理解
・「事業」の定義の理解(特に非営利)
・②③④は頻出

ガイドライン(通則編) |2-5 個人情報取扱事業者

参照元:個人情報の保護に関する法律についてのガイドライン|個人情報保護委員会

◆個人データ(法第16条第3項関係)

①「個人データ」とは「個人情報データベース等」を構成する個人情報
②個人情報データベース等から外部記憶媒体に保存された個人情報も該当
③個人情報データベース等から紙面に出力されたものは該当
市販の電話帳やカーナビデータは該当しない(個人の権利利益を害する恐れがない)
構成前の入力用データは該当しない。
⑥データベース等の構成前は「個人データ」ではない 「個人情報」
⑦データベース等の構成時点で「個人データ」でもある「個人情報」


【ポイント】
・個人データの定義(状態も含めて)
 ※個人情報との違い
・該当しないデータ例
・②③④は頻出

◆ガイドライン(通則編) |2-6 個人データ

参照元:個人情報の保護に関する法律についてのガイドライン|個人情報保護委員会

◆保有個人データ(法第16条第4項関係)

【該当しない例】言葉は簡略化しているので詳細はガイドライン参照
①暴力団等の反社会的勢力による不当要求の被害等を防止用の個人データ
②不審者や悪質なクレーマー等の不当要求の被害等を防止用の個人データ
③製造業者、情報サービス事業者等が保有(防衛関連)担当者個人データ
④警備会社が保有の当該要人を本人とする行動予定等の個人データ
⑤警察から捜査関係事項照会等を行うことで初めて取得した個人データ
⑥捜査関係事項照会等の対応の過程で作成した照会受理簿・回答発信簿、照会対象者リスト等の個人データ(※当該契約者情報自体は「保有個人データ」に該当する。)
⑦疑わしい取引の届出の有無及び届出に際して新たに作成した個人データ
⑧振り込め詐欺に利用された口座に関する情報に含まれる個人データ


【ポイント】
・保有個人データの定義(個人データとの違い)
・該当しない保有個人データの例
・一見、すべて該当しない例で、細かい文言が違うケースが多い。
 ※⑥などの()文言に注意。("契約者情報"という言葉に注意)

◆ガイドライン(通則編) |2-7 保有個人データ

参照元:個人情報の保護に関する法律についてのガイドライン|個人情報保護委員会

<3.個人情報取扱事業者等の義務>


◆個人情報の利用目的の特定(法第17条第1項関係)

①一般的かつ合理的に想定できる程度に具体的に特定することが望ましい
②「個人情報を取り扱うに当たっては」 は、個人情報を取得前のことであり、取得後や利用前では遅い
③【具体的に利用目的を特定していない事例】
 「事業活動に用いるため」「マーケティング活動に用いるため」など。


【ポイント】
・利用目的を特定するタイミング
・具体的な事例に対して、特定していると言えるか
※ガイドライン【具体的に利用目的を特定している事例】
※ガイドライン【具体的に利用目的を特定していない事例】

◆ガイドライン(通則編) |3-1-1 利用目的の特定

参照元:個人情報の保護に関する法律についてのガイドライン|個人情報保護委員会

◆個人情報の利用目的の変更

①変更された利用目的は、本人に通知か又は公表しなければならない。
②変更前の利用目的と『関連性』を有すると合理的に認められる範囲
③個人データに該当しない個人情報についても課される義務
④取得した個人情報が施行後(平成29年5月30日 以後)が対象
⑤変更が認められない事例(ガイドライン参照)
⑥必要な範囲を超えて個人情報を取り扱う場合は、本人の同意がいる。
例外:本人の身体等の保護かつ本人の同意を得ることが困難及び(法第18条第3項関係(利用目的による制限の例外を参照)にあたるもの。


【ポイント】
・変更した場合の措置(通知、又は公表)
・①同意が”義務付けられている”で終わる文には注意。(範囲内であれば同意は義務ではない⇒通知、又は公表が義務)
・合理的に認められる範囲とは
・目的の達成に必要な範囲を超えられるケース
・②の『相当の関連性』は、平成27年改正前の用語
 ※現在は『関連性』のみ、間違えやすいので注意。
・合理的に認められる範囲・認められない事例

◆ガイドライン(通則編) |3-1-2 利用目的の変更

参照元:個人情報の保護に関する法律についてのガイドライン|個人情報保護委員会

◆個人情報の利用目的の制限

①本人の同意を得ないで、利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはならない。
②当該同意を得るためのメールの送信や電話そのものは目的外利用には該当しない。
③同意の事例:口頭による意思表示/書面(電磁的記録を含む)受領/メールの受信/確認欄へのチェック/ホームページ上のボタンのクリック/音声入力、タッチパネルへのタッチ等による入力
④判断できる能力を有していないなどの場合は、親権者や法定代理人等から同意を得る必要がある。
事業の承継は、目的の必要な範囲内であれば同意不要、目的の必要な範囲超える場合は同意要


【ポイント】
・同意を得るために個人情報を利用する場合の扱い
・事業継承の場合の扱い
・「本人の同意」の定義(未成年者などの対応等)
・②③④が頻出(ガイドライン「本人の同意」の6つの事例を理解。

◆ガイドライン(通則編) |3-1-3 利用目的による制限

参照元:個人情報の保護に関する法律についてのガイドライン|個人情報保護委員会

◆個人情報の利用目的の制限の例外

【同意なく必要な範囲を超えて利用できる場合:特例】
①法令(条例を含む。)に基づく場合(例:警察捜査/裁判官令状/税務署調査/製品安全法/弁護士会/積極的疫学調査/災害発生時の停電復旧対応等)
②人の生命、身体又は財産の保護+本人の同意を得ることが困難
③公衆衛生の向上又は児童の健全な育成推進+本人の同意を得ることが困難
④国の機関、地方公共団体、その委託を受けた者が法令事務を遂行
⑤学術研究の用に供する目的で、取り扱う必要があるとき
⑥学術研究の用に供する目的で、学術研究機関等に提供する場合
(⑤⑥目的の一部が学術研究目的である場合を含む


【ポイント】
・同意なく必要な範囲を超えて利用できる場合の具体例
・法第18条(第3項)の6つの項目から。
・②③本人の同意を得ることが困難である場合の条件付きに注意。
・学術研究()内の文言

◆ガイドライン(通則編) |3-1-5 利用目的による制限の例外

参照元:個人情報の保護に関する法律についてのガイドライン|個人情報保護委員会

◆個人情報の不適正な利用の禁止

「違法又は不当な行為」とは、直ちに違法とはいえないもののも含み、社会通念上適正とは認められない行為が該当
「おそれ」の有無とは、法又は不当な行為を助長又は誘発することについて、社会通念上蓋然性が認められるか否かにより判断。一般的な注意力をもってしても予見できない状況の場合は「おそれ」として認められない。

【不当な行為を助長し、又は誘発するおそれの事例】要約文
③違法な行為を営むことが疑われる事業者
(例:貸金業登録を行っていない貸金業者等)平穏な生活を送る権利の侵害
④裁判所による公告等により散在的に公開されている個人情報
(例:官報に掲載される破産者情報)本人に対する違法な差別
⑤暴力的要求行為等の不当な行為や総会屋による不当な要求を助長
 不当要求による被害を防止に必要な業務を行う各事業者の責任者名簿
⑥提供先において法第27条第1項に違反する第三者提供が予見
⑦採用選考を通じて個人情報を取得した事業者の違法な差別的取扱い
⑧広告配信を行っている事業者の商品が違法薬物等の違法な商品であることが予見


【ポイント】
・同意なく必要な範囲を超えて利用できる場合の具体例
・「違法又は不当な行為」と「おそれ」の定義を理解
・具体的な禁止されている対象
・ガイドラインの6事例の中から抜粋して出題。
・「違法又は不当な行為」と「おそれ」の定義

◆ガイドライン(通則編) |3-2 不適正利用の禁止

参照元:個人情報の保護に関する法律についてのガイドライン|個人情報保護委員会

◆個人情報取扱事業者の適正取得

①偽りその他不正の手段により個人情報を取得してはならない。
名簿業者から個人の名簿を購入すること自体は禁止されていない
インターネット上の公な情報を閲覧するだけでは取得に当たらないが、そのデータを転記したり、データベースを作成すれば取得にあたる。
④不正の手段には、十分な判断能力を有していない者からの取得や強要、不正の手段で取得されたことが容易にわかるものを取得するなども含まれる。
⑤要配慮個人情報の取得は、あらかじめ本人の同意がいる。(特例除く


【ポイント】
・取得してはいけないケース
・取得の定義(インターネット情報、名簿業者)
・要配慮個人情報の取得
②③などのFAQ
・④ガイドラインの不正の手段により個人情報を取得している事例

◆ガイドライン(通則編) |3-3-1 適正取得

参照元:個人情報の保護に関する法律についてのガイドライン|個人情報保護委員会

◆要配慮個人情報の取得

【同意について】
①本人の意思にかかわらず、本人の外形上の特徴により、要配慮個人情報に含まれる事項(例:身体障害等)が明らかであるときは、同意不要。
②事業承継又は共同利用により取得する場合は、同意不要。
③インターネット:転記等を行わない場合は、要配慮個人情報を取得していると言えない。
【同意なく必要な範囲を超えて利用できる場合:特例】

④個人情報の利用目的の制限の例外と同じ。
⑤要配慮個人情報が、本人、国の機関、地方公共団体、学術研究機関等で、個人情報保護委員会規則で定める者により公開されている場合


【ポイント】
・同意がいらない具体的シーン
・④本人の同意を得ることが困難である場合の条件付きに注意。
個人情報の利用目的の制限の例外と同形式の問い
・①の具体例(FAQ参照)

◆ガイドライン(通則編) |3-3-2 要配慮個人情報の取得

参照元:個人情報の保護に関する法律についてのガイドライン|個人情報保護委員会

◆利用目的の通知

【通知又は公表が必要な事例】
単に閲覧しただけの場合を除く。
①ネット上で本人が自発的に公にしている個人情報を取得(SNSや掲示板)
②ネット、官報、職員録等から個人情報を取得した場合
③個人情報の第三者提供を受けた場合

【通知又は公表が必要のない事例】
④生命、身体、財産その他の権利利益を害するおそれがある
⑤正当な利益を害するおそれがある
⑥国の機関又は地方公共団体が法令事務のため、それに支障を及ぼすおそれ
⑦取得の状況からみて利用目的が明らかであると認められる場合
【⑦の利用目的が明らかな事例】
⑧商品・サービス等で販売・提供住所・電話番号等を取得(保証書等)
⑨一般の慣行として名刺を交換→広告・宣伝メール


【ポイント】
・通知又は公表が必要な事例といらない事例
②③⑧⑨あたりが出題頻度がやや高め。

◆ガイドライン(通則編) |3-3-3 利用目的の通知又は公表

参照元:個人情報の保護に関する法律についてのガイドライン|個人情報保護委員会


この記事が気に入ったらサポートをしてみませんか?