第1節 個人情報保護法
第5章 情報通信・個人情報保護
個人情報保護法は、デジタル社会において個人の権利利益を守るための重要な法律です。行政書士試験では、個人情報の定義、事業者の義務、本人の権利など実務に直結する論点が頻出します。この節では、試験で問われる基本概念から最新の制度まで体系的に学びます。
個人情報保護法の制定経緯と2021年改正による一本化
第1条・57条1項条
簡単にいうと
簡単にいうと、昔はバラバラだった個人情報の法律が2021年改正でひとつにまとまったということです。民間・行政・地方公共団体に統一ルールが適用されるようになったことがポイントです。
■ 制定の背景
個人情報保護への関心は1970年代に欧米で高まりました。OECDが1980年に「プライバシー保護と個人データの国際流通についてのガイドライン」を策定したことを契機として、世界的な制度整備が進みました。日本においても個人情報の漏えいが社会問題化したことを背景に、2003年に「個人情報保護関連5法」が制定されました。
■ 2003年体系の課題
この2003年体系では、民間部門を対象とする「個人情報保護法(第1章〜第3章の基本原則+第4章の民間向け義務規定)」を一般法としつつ、国の行政機関は「行政機関個人情報保護法」、独立行政法人等は「独立行政法人等個人情報保護法」、地方公共団体は各自制定の条例で規律するという複雑な分立体制がとられていました。そのため地方公共団体ごとにルールが異なり、制度の統一性・実効性に課題がありました。
■ 2021年改正による一本化
この問題を解決するため、2021年改正によって民間部門・国の行政機関・独立行政法人等・地方公共団体のすべてを「個人情報保護法」一本で規律する体制に再編されました。改正法の施行日は2022年4月1日(地方公共団体向けの規定は2023年4月1日)です。この改正により「行政機関個人情報保護法」と「独立行政法人等個人情報保護法」は廃止され、個人情報保護法に統合されました。
■ 現行法の目的
現行法の目的(1条)は、デジタル社会の進展に伴い個人情報の利用が著しく拡大していることに鑑み、個人情報の適正な取扱いに関する基本事項を定め、国・地方公共団体の責務等を明らかにし、個人情報取扱事業者・行政機関等が遵守すべき義務等を定めるとともに個人情報保護委員会を設置することで、個人情報の有用性に配慮しつつ、個人の権利利益を保護することです。なお条文に「プライバシー」という言葉は明記されていません。
具体例
2003年以前は、同じ個人情報でも民間企業への提供ルールと行政機関への提供ルールが別法で定められており、企業と行政機関にまたがる情報共有の際に混乱が生じていた。2021年改正後は一本の法律で統一的に規律される。
個人情報保護関連法の制定
ポイント整理
- ・個人情報の有用性への配慮
- ・個人の権利利益の保護
- ・個人情報保護委員会の設置
効果
- ・民間・行政・地公体すべてに統一ルールが適用
- ・旧・行政機関個人情報保護法・独立行政法人等個人情報保護法は廃止
条文(第1条・57条1項条)
(目的)第1条 この法律は、デジタル社会の進展に伴い個人情報の利用が著しく拡大していることに鑑み、個人情報の適正な取扱いに関し、基本理念及び政府による基本方針の作成その他の個人情報の保護に関する施策の基本となる事項を定め、国及び地方公共団体の責務等を明らかにし、個人情報を取り扱う事業者及び行政機関等についてこれらの特性に応じて遵守すべき義務等を定めるとともに、個人情報保護委員会を設置することにより、行政機関等の事務及び事業の適正かつ円滑な運営を図り、並びに個人情報の適正かつ効果的な活用が新たな産業の創出並びに活力ある経済社会及び豊かな国民生活の実現に資するものであることその他の個人情報の有用性に配慮しつつ、個人の権利利益を保護することを目的とする。
重要メモ
- ・「2003年個人情報保護法制定→2015年大改正→2021年改正で行政機関個人情報保護法等を一本化・個人情報保護委員会が一元的管理」
- ・制定経緯:1970年代に欧米で個人情報保護への関心高まる→日本でも個人情報漏洩問題が社会問題化→2003年に個人情報保護関連法制定
- ・2015年改正:①個人情報の定義明確化②要配慮個人情報の新設③匿名加工情報の活用④個人情報保護委員会の設置
- ・2021年改正(令和3年):行政機関個人情報保護法・独立行政法人等個人情報保護法・各地方公共団体の条例を廃止し、個人情報保護法に一本化
- ・一本化の意義:官民・国地方を通じた統一的なルールの適用——個人情報保護委員会が民間・行政機関等を一元的に監視
- ・2022年改正(施行):保有個人データの開示方法の電磁化・漏洩等の報告義務化・越境移転の制限強化・課徴金制度の導入等
個人情報の定義(2条1項)
第2条1項条簡単にいうと
簡単にいうと、「個人情報」とは生きている人のことが特定できる情報のことです。氏名・生年月日などで個人を識別できるか、または個人識別符号を含むかどうかがポイントです。
■ 個人情報の定義
個人情報(2条1項)とは、生存する個人に関する情報であって、次のいずれかに該当するものをいいます。第一に、当該情報に含まれる氏名・生年月日その他の記述等(文書・図画・電磁的記録に記載・記録された文字・番号・記号等の一切の事項)により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含みます)。第二に、個人識別符号が含まれるものです。
■ 死者の情報について
「生存する個人」に限定されるため、死者の情報は原則として「個人情報」にあたりません。ただし、死者の相続財産に関する情報が同時に生存する相続人等の個人情報でもある場合は、生存する人物に関する情報として「個人情報」に該当します。
■ 容易照合性の考え方
「容易に照合できる」という要件については、単独では特定個人を識別できない情報であっても、別の名簿・データベース等と容易に突き合わせることで特定個人が識別できるものであれば「個人情報」にあたります。例えば、単純な数字のみからなるメールアドレスや社員番号は、単体では「個人情報」にあたらないことがありますが、氏名等を含む別の名簿と照合することで特定個人を識別できる場合は「個人情報」に該当します。
■ 映像・音声・個人識別符号について
容貌(顔写真等)や声(音声データ等)は、それによって特定の個人を識別することができる場合には「個人情報」にあたります。なお、個人の指定するデータやマイナンバー等の個人識別符号を含む情報も「個人情報」に含まれます(2条2項参照)。
具体例
氏名と生年月日が記載された名簿は「個人情報」にあたる。単なる電話番号だけのリストは原則として「個人情報」にあたらないが、氏名が紐づけられていれば「個人情報」になる。
個人情報保護制度の見直し(2021年改正)
ポイント整理
- ・生存する個人に関する情報であること
- ・①氏名・生年月日等の記述により特定個人を識別できること(容易照合を含む)、または②個人識別符号が含まれること
効果
- ・個人情報保護法上の各種義務・規制の適用対象となる
条文(第2条1項条)
(定義)第2条第1項 この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。一 当該情報に含まれる氏名、生年月日その他の記述等(文書、図画若しくは電磁的記録(電磁的方式(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式をいう。次項第2号において同じ。)で作られる記録をいう。以下同じ。)に記載され、若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項(個人識別符号を除く。)をいう。以下同じ。)により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。) 二 個人識別符号が含まれるもの
重要メモ
- ・「個人情報=生存する個人に関する情報で①特定の個人を識別できるもの②個人識別符号を含むもの・死者の情報は原則対象外」
- ・個人情報(2条1項):生存する個人に関する情報であって、次の①②のいずれかに該当するもの
- ・①特定の個人を識別できる情報:氏名・生年月日その他の記述等により特定の個人を識別できるもの(他の情報と容易に照合して識別できる場合を含む)
- ・②個人識別符号が含まれるもの
- ・死者の情報:原則として「個人情報」に該当しない——ただし遺族の個人情報でもある場合は対象
- ・映像・音声:それにより特定の個人が識別できる場合には個人情報に該当
- ・社員番号・メールアドレス:単体では個人情報でない場合でも、名簿等と容易に照合して個人を識別できれば個人情報に該当
個人識別符号(2条2項)
第2条2項条簡単にいうと
簡単にいうと、マイナンバーや指紋データのようにそれだけで特定の個人を識別できる番号・符号のことを「個人識別符号」といいます。生体情報系と役務利用に関する識別番号の2種類があることがポイントです。
■ 個人識別符号とは
個人識別符号(2条2項)とは、次のいずれかに該当する文字・番号・記号その他の符号をいいます。
■ 第一類型(①号):生体情報系
第一類型(①号)は、特定の個人の身体の一部の特徴を電子計算機の用に供するために変換した文字・番号・記号その他の符号であって、当該特定の個人を識別することができるものです。具体的には顔認識データ・指紋認証データ・発声の際の声帯データ・虹彩データ・歩行の動作データ・静脈データ等が該当します。
■ 第二類型(②号):役務・商品利用に関する識別番号
第二類型(②号)は、個人に提供される役務の利用もしくは個人に販売される商品の購入に割り当てられた文字・番号・記号その他の符号であって、その利用もしくは購入者または発行を受ける者ごとに異なるものとなるように割り当てられ、または記載・記録されることにより、特定の利用もしくは購入者またはカード等の書類の発行を受ける者を識別することができるものをいいます。具体的にはマイナンバー(個人番号)・旅券番号(パスポート番号)・基礎年金番号・運転免許証番号・住民票コード・在留カード番号・各種被保険者番号等が該当します。
■ クレジットカード番号について(重要注意点)
重要な注意点として、クレジットカード番号は個人識別符号には含まれません(2条2項の対象外)。クレジットカード番号自体は「特定の個人の身体的特徴の変換符号」でも「役務利用に伴い割り当てられた個人を識別する番号」にも厳密には当たりません。ただし、クレジットカード番号と氏名等が組み合わさっていれば「個人情報」になりえます。また、指紋データは①号の個人識別符号に該当するため、それを含む情報は「個人情報」にあたります。
具体例
スマートフォンの顔認証・指紋認証に使われるデータは個人識別符号①に該当する。マイナンバーは個人識別符号②に該当する。クレジットカード番号は個人識別符号には該当しない。
ポイント整理
- ・①身体的特徴を電子計算機用に変換した符号で個人を識別できるもの、または②役務利用・商品購入に割り当てられた個人識別番号であること
効果
- ・個人識別符号が含まれる情報は「個人情報」に該当する(2条1項2号)
条文(第2条2項条)
第2条第2項 この法律において「個人識別符号」とは、次の各号のいずれかに該当する文字、番号、記号その他の符号をいう。一 特定の個人の身体の一部の特徴を電子計算機の用に供するために変換した文字、番号、記号その他の符号であって、当該特定の個人を識別することができるもの 二 個人に提供される役務の利用若しくは個人に販売される商品の購入に関し割り当てられ、又は個人に発行されるカードその他の書類に記載され、若しくは電磁的方式により記録された文字、番号、記号その他の符号であって、その利用者若しくは購入者又は発行を受ける者ごとに異なるものとなるように割り当てられ、又は記載され、若しくは記録されることにより、特定の利用者若しくは購入者又は発行を受ける者を識別することができるもの
重要メモ
- ・「個人識別符号=①生体情報(顔・指紋・声帯データ等)②サービス利用等に割り当てられた符号(マイナンバー・パスポート番号等)」
- ・個人識別符号(2条2項):①または②に該当する文字・番号・記号等の符号
- ・①生体情報系:身体の一部の特徴を電子計算機用に変換した符号——顔認識データ・指紋認識データ・発声時の声帯データ・虹彩・静脈・歩容データ等
- ・②役務・商品利用に関して割り当てられた符号——マイナンバー・パスポートの番号・自動車運転免許証番号・住民票コード等
- ・個人識別符号を「含む」情報は、それ自体が個人情報に該当——他の情報と照合しなくても識別可能
- ・個人識別符号の意義:個人を直接識別できる符号を個人情報として明確に位置付け——2015年改正で追加
要配慮個人情報(2条3項)
第2条3項条簡単にいうと
簡単にいうと、病歴や犯罪歴など特に取扱いに注意が必要な個人情報を「要配慮個人情報」といいます。通常の個人情報より厳格な規制が適用され、取得するときは原則として本人の同意が必要なことがポイントです。
■ 要配慮個人情報とは
要配慮個人情報(2条3項)とは、本人の人種・信条・社会的身分・病歴・犯罪の経歴・犯罪により害を被った事実、その他本人に対する不当な差別・偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものを含む個人情報をいい、「センシティブ情報」とも呼ばれます。
■ 取得時の制限
要配慮個人情報は通常の個人情報よりも厳格な規制が適用されます。まず取得に際しては、原則として本人の同意が必要です(20条2項)。通常の個人情報の取得では本人の同意は不要であるのに対し、要配慮個人情報については取得時点から本人の同意が求められる点が大きく異なります。ただし、法令に基づく場合・人の生命・身体・財産の保護のため必要な場合(本人の同意を得ることが困難な場合)・公衆衛生の向上・児童の健全育成のために特に必要な場合・国の機関等への協力が必要な場合等には例外として本人の同意なしに取得できます。
■ 第三者提供の制限
第三者提供に際しても、要配慮個人情報についてはオプトアウト手続き(本人が容易に知り得る状態にした上で、本人の求めがあれば停止するという方式)が利用できず、原則として本人の同意が必要です(27条2項)。通常の個人情報であればオプトアウトによる第三者提供が可能なのに対し、要配慮個人情報はこの手続きが認められていないことが重要です。
■ 個人情報との関係
個人情報と要配慮個人情報の関係としては、要配慮個人情報は個人情報の中に含まれる特別な類型であり、通常の個人情報よりも注意を要する取扱いが法律上義務付けられています。
具体例
患者の病歴データ、前科・前歴に関する情報、宗教団体の信者リスト、人種・民族に関する情報などが要配慮個人情報にあたる。思想・信条に関する情報も該当する。
ポイント整理
- ・個人情報であること
- ・人種・信条・社会的身分・病歴・犯罪の経歴・犯罪被害事実等、不当な差別・偏見・不利益が生じるおそれのある情報を含むこと
効果
- ・取得に際して原則として本人の同意が必要(20条2項)
- ・オプトアウトによる第三者提供が不可(27条2項)
- ・第三者提供には原則として本人の同意が必要
条文(第2条3項条)
第2条第3項 この法律において「要配慮個人情報」とは、本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める記述等が含まれる個人情報をいう。
重要メモ
- ・「要配慮個人情報=人種・信条・病歴・犯罪歴等の差別・偏見を生じるおそれのある情報・取得と第三者提供に本人同意が必要」
- ・要配慮個人情報(2条3項):本人の人種・信条・社会的身分・病歴・犯罪の経歴・犯罪被害事実等、不当な差別・偏見が生じないよう特に配慮を要する個人情報
- ・取得時の制限:要配慮個人情報は、原則として本人の同意がなければ取得できない(通常の個人情報は同意不要)
- ・第三者提供の制限:要配慮個人情報は、オプトアウト手続による第三者提供が禁止——第三者提供には本人の同意が必要
- ・適用除外の例:法令に基づく場合・人の生命・身体・財産保護のために必要な場合等は本人同意不要
- ・要配慮個人情報の例:HIV感染・精神疾患等の病歴・前科・前歴・障害等
仮名加工情報(2条5項)
第2条5項・41条・42条条簡単にいうと
簡単にいうと、個人情報の一部を削除・置換して他の情報と照合しなければ誰かわからないようにした情報が「仮名加工情報」です。社内利用向けで照合すれば復元可能でもよい点が、匿名加工情報との最大の違いであることがポイントです。
■ 仮名加工情報とは
仮名加工情報(2条5項)とは、個人情報を次の方法で加工して得られる個人に関する情報であって、他の情報と照合しない限り特定の個人を識別することができないようにしたものをいいます。加工方法は、①当該個人情報に含まれる記述等(氏名・住所・生年月日等)の一部を削除すること(当該一部の記述等を復元することができる規則性を有しない方法により他の記述等に置き換えることを含みます)、②当該個人情報に含まれる個人識別符号の全部を削除することです。
■ 匿名加工情報との違い
仮名加工情報の最大の特徴は、加工前の個人情報を復元可能な状態であってもよい点です。つまり、識別に使われる記述を削除・置換するだけで作成でき、削除した記述や変換ルールを保有していれば元に戻せます。この点が匿名加工情報(復元不可能でなければなりません)との決定的な違いです。
■ 主な用途と規制内容
仮名加工情報は主に事業者内部での利用を想定しており、外部への第三者提供は原則として想定されていません(41条・42条)。そのため匿名加工情報と比べて規制が少なく、比較的柔軟に利用できます。具体的には、利用目的の変更が一定範囲で認められるなど、個人情報よりも緩やかな取扱いルールが適用されます。ただし仮名加工情報はあくまで「個人情報」のカテゴリに含まれる場合があるため、個人データ・保有個人データとしての義務が一部適用される点に注意が必要です。
具体例
顧客DBの氏名欄を仮の番号(001、002…)に置き換え、住所の一部(丁目・番地)を削除したデータ。他の情報と照合しなければ誰のデータか分からないが、対応表があれば復元できる。
ポイント整理
- ・個人情報を加工して得られる情報であること
- ・他の情報と照合しない限り特定個人を識別できないこと
- ・記述等の一部削除または個人識別符号の全部削除による加工であること
効果
- ・内部利用に限定(原則として第三者提供は想定しない)
- ・利用目的の変更が一定範囲で認められる
- ・匿名加工情報より規制が少ない
条文(第2条5項・41条・42条条)
第2条第5項 この法律において「仮名加工情報」とは、次の各号に掲げる個人情報の区分に応じて当該各号に定める措置を講じて他の情報と照合しない限り特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報をいう。
重要メモ
- ・「仮名加工情報=他の情報と照合しない限り識別不能に加工した情報・内部利用向け・復元禁止義務なし(照合禁止義務あり)」
- ・仮名加工情報(2条5項):他の情報と照合しない限り特定の個人を識別できないように個人情報を加工して得られる情報
- ・加工方法:①記述等の一部を削除②個人識別符号の全部を削除
- ・特徴:照合すれば復元可能でも構わない——匿名加工情報との最大の違い
- ・目的:社内での分析・研究目的に活用しやすくする——外部提供より内部利用を想定
- ・義務:①本人への利用目的通知不要(作成目的を公表すれば足りる)②照合禁止義務(他の情報と照合して個人を識別してはならない)③外部への第三者提供は原則禁止
匿名加工情報(2条6項)
第2条6項・43条〜46条条簡単にいうと
簡単にいうと、絶対に元の個人情報に戻せないように加工した情報が「匿名加工情報」です。社外への提供も想定されており、その分作成・提供・利用に関する義務が多いことがポイントです。
■ 匿名加工情報とは
匿名加工情報(2条6項)とは、個人情報を次の方法で加工して得られる個人に関する情報であって、特定の個人を識別することができないように個人情報を加工して得られるものをいいます。加工方法は、①当該個人情報に含まれる記述等(氏名・生年月日等)の全部を削除すること(当該一部の記述等を復元することができる規則性を有しない方法により他の記述等に置き換えることを含みます)、②当該個人情報に含まれる個人識別符号の全部を削除することです。
■ 復元不可能性の要件
匿名加工情報の核心は、加工前の個人情報が復元不可能でなければならないという点です。元のデータに戻す手段(対応表・変換ルール等)を保有していても、それを利用して復元することが禁止されます。この「復元不可能性の要件」が仮名加工情報との最大の違いです。
■ 外部提供と事業者の義務
匿名加工情報は事業者の内部利用だけでなく、外部(第三者)への提供も想定されており、ビジネスデータとしての活用が広く認められています。ただしその分、作成者・取扱者双方に多くの義務が課されており(43条〜46条)、作成時の加工方法の公表義務、第三者提供時の公表義務、提供先での再識別化の禁止等が定められています。
■ 個人情報との関係
匿名加工情報は「個人情報」にも「個人データ」にも「保有個人データ」にも該当しないため、それらに対する義務(利用目的の特定・本人同意・開示請求対応等)は原則として適用されません。これが匿名加工情報を利用することの事業者側のメリットです。
具体例
顧客の購買履歴データから氏名・住所・電話番号等の識別情報をすべて削除し、年代・性別・購入品目・金額のみに集計した統計データ。元の個人に戻すことが不可能な状態に加工されている。
要配慮個人情報(2条3項)
ポイント整理
- ・個人情報を加工して得られる情報であること
- ・特定個人を識別できないこと
- ・加工前の個人情報が復元不可能であること
効果
- ・個人情報・個人データ・保有個人データに非該当(関連義務が適用されない)
- ・外部への第三者提供が可能
- ・作成・提供・利用に関する義務規定あり(43〜46条)
条文(第2条6項・43条〜46条条)
第2条第6項 この法律において「匿名加工情報」とは、次の各号に掲げる個人情報の区分に応じて当該各号に定める措置を講じて特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報であって、当該個人情報を復元することができないようにしたものをいう。
重要メモ
- ・「匿名加工情報=特定の個人を識別できず+復元不能に加工した情報・外部提供も可・作成事実の公表義務あり」
- ・匿名加工情報(2条6項):特定の個人を識別することができないように個人情報を加工して得られる情報——復元不可能な加工が必要
- ・加工方法:①記述等の一部を削除②個人識別符号の全部を削除③属性情報の一般化(年齢を年代に)等
- ・仮名加工情報との比較:匿名加工情報は復元不可能が要件——外部への提供も可能
- ・義務:①作成した際に作成した旨・情報の項目を公表する義務②提供時は情報項目と提供方法を公表③識別行為の禁止(照合・特定しようとする行為の禁止)
- ・利活用:ビッグデータ・AI開発・統計分析等への活用促進——個人情報保護と産業振興の両立
個人関連情報(2条7項)
第2条7項・31条条簡単にいうと
簡単にいうと、個人情報でも仮名加工情報でも匿名加工情報でもないけれど、生存する個人に関する情報を「個人関連情報」といいます。Webの閲覧履歴や位置情報が典型例で、第三者提供時に本人同意確認義務が生じる点がポイントです。
■ 個人関連情報とは
個人関連情報(2条7項)とは、生存する個人に関する情報であって、個人情報・仮名加工情報および匿名加工情報のいずれにも該当しないものをいいます。具体例としては、氏名等の識別子と紐づいていないWebサイトの閲覧履歴・位置情報・購買履歴・Cookie情報・IPアドレスなどが挙げられます。これらは単体では特定個人を識別できないため「個人情報」には該当しませんが、それ自体は生存する個人に関する情報です。
■ 制定の背景
個人関連情報は、2021年改正で新たに設けられたカテゴリです。制定の背景には、スマートフォンやインターネットの普及により、個人情報には該当しないものの生活の実態を詳細に反映するデータ(Cookieを利用したターゲティング広告のための閲覧履歴等)が大量に収集・提供されるビジネスが拡大し、個人のプライバシーへの懸念が高まったことがあります。
■ 第三者提供時の義務
個人関連情報に関する義務として、個人関連情報取扱事業者が第三者に個人関連情報を提供する場合、提供先が当該情報を個人データとして取得することが想定されるときは、提供先が本人の同意を得ていることを確認しなければなりません(31条)。なお、個人関連情報取扱事業者には一定のルールが課されており(31条)、これをデータベース化して事業の用に供している者が「個人関連情報取扱事業者」と呼ばれます(16条7項)。
具体例
特定の個人の氏名等と紐づいていないCookieを使った閲覧履歴データ、位置情報、購買履歴など。それ単体では誰のものか分からないが生存する個人に関する情報ではある。
ポイント整理
- ・生存する個人に関する情報であること
- ・個人情報・仮名加工情報・匿名加工情報のいずれにも該当しないこと
効果
- ・第三者提供時に提供先が個人データとして取得することが想定される場合は本人同意確認義務が生じる(31条)
条文(第2条7項・31条条)
第2条第7項 この法律において「個人関連情報」とは、生存する個人に関する情報であって、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないものをいう。
重要メモ
- ・「個人関連情報=個人情報・仮名加工情報・匿名加工情報のいずれにも該当しない生存個人に関する情報(閲覧履歴・位置情報等)」
- ・個人関連情報(2条7項):生存する個人に関する情報であって、個人情報・仮名加工情報・匿名加工情報のいずれにも該当しないもの
- ・具体例:氏名と結びついていないWebサイトの閲覧履歴・位置情報・購買履歴・Cookie情報等
- ・第三者提供の制限(31条):個人関連情報を第三者に提供する場合、提供先が個人情報と照合して個人を識別するおそれがあるときは本人同意確認義務が生じる
- ・個人関連情報取扱事業者の義務:2021年改正で新設——ターゲティング広告等での個人関連情報の濫用を規制
行政機関等(2条8項)
第2条8項条簡単にいうと
簡単にいうと、「行政機関等」とは国の省庁だけでなく、独立行政法人や地方公共団体の機関なども含む広い概念です。2021年改正でこれらすべてが個人情報保護法の規律対象となったことがポイントです。
■ 行政機関等の定義
行政機関等(2条8項)とは、①国の行政機関(内閣府・各省庁・会計検査院等)、②独立行政法人等(独立行政法人通則法に定める独立行政法人・個人情報保護法別表に定める法人)、③地方公共団体の機関、④地方独立行政法人を合わせた概念です。
■ 2021年改正前との違い
2021年改正前は、国の行政機関は「行政機関個人情報保護法」、独立行政法人等は「独立行政法人等個人情報保護法」がそれぞれ適用されていましたが、改正後はこれらが廃止され「個人情報保護法」に統合されました。そのため改正後の個人情報保護法では「行政機関等」という概念を用いて民間の「個人情報取扱事業者」と区別しています。
■ 適用される規定
行政機関等に対しては、個人情報取扱事業者とは別の規定が適用されます(61条以下)。「行政機関等」に関する規定の適用を受けるのは、行政機関等が保有する個人情報(保有個人情報)であり、行政文書に記録されているものに限られる点が民間と異なる重要ポイントです。また地方公共団体の機関には都道府県・市区町村の行政機関が含まれ、地方独立行政法人も含まれます。なお「行政機関」という場合には、厳密には国の行政機関(内閣府・各省庁等)を指しますが、「行政機関等」という場合には独立行政法人・地方公共団体の機関・地方独立行政法人も含む広い概念です。
具体例
内閣府・財務省・国土交通省などの国の行政機関、日本年金機構・国立病院機構などの独立行政法人、都道府県・市区町村の行政機関、地方独立行政法人がすべて「行政機関等」にあたる。
個人情報データベース等と個人情報取扱事業者(16条)
効果
- ・個人情報保護法第5章(61条以下)の行政機関等向け規定が適用される
- ・保有個人情報に関する開示・訂正・利用停止請求の制度が適用される
条文(第2条8項条)
第2条第8項 この法律において「行政機関等」とは、次の各号に掲げる機関をいう。一 行政機関 二 地方公共団体の機関(議会を除く。) 三 独立行政法人等(独立行政法人通則法(平成11年法律第103号)第2条第1項に規定する独立行政法人及び別表第2に掲げる法人をいう。以下同じ。) 四 地方独立行政法人(地方独立行政法人法(平成15年法律第118号)第2条第1項に規定する地方独立行政法人をいう。以下同じ。)
重要メモ
- ・「行政機関等(2条8項)=内閣府・各省庁・会計検査院・人事院等の国の機関と独立行政法人・地方公共団体の機関・地方独立行政法人」
- ・行政機関等(2条8項):内閣府・宮内庁・内閣官房・人事院・内閣法制局・国家安全保障会議・各省庁・会計検査院等の国の行政機関
- ・独立行政法人等:2021年改正で旧「独立行政法人等個人情報保護法」が一本化——国立大学法人・理化学研究所等も対象
- ・地方公共団体の機関:都道府県・市区町村・地方公共団体の設置する機関
- ・地方独立行政法人:地方公共団体が設立した独立行政法人(公立大学法人等)
- ・行政機関等への規律:民間事業者と同様の個人情報取扱原則(61条〜67条)に加え、行政固有の規律(開示・訂正・利用停止請求制度)が適用
個人情報データベース等・個人情報取扱事業者・個人データ・保有個人データ(16条)
第16条1項〜4項条簡単にいうと
簡単にいうと、個人情報データベース等を事業に使っている者が「個人情報取扱事業者」で、法律上の義務規定の適用対象になります。NPO法人や行政書士会も含まれ、取り扱う個人情報の件数に関係なく対象となることがポイントです。
■ 個人情報データベース等(16条1項)
個人情報データベース等(16条1項)とは、個人情報を含む情報の集合物であって、①特定の個人情報を電子計算機を用いて検索することができるように体系的に構成したもの、または②その他特定の個人情報を容易に検索することができるように体系的に構成したものをいいます。電子化されたDBだけでなく、50音順に整理されたカード式名簿等の紙媒体も「容易に検索できるように体系的に構成したもの」として該当します。
■ 個人情報取扱事業者(16条2項)
個人情報取扱事業者(16条2項)とは、個人情報データベース等を事業の用に供している者のうち、国の機関・地方公共団体・独立行政法人等を除いた者をいいます。営利事業者だけでなく、NPO法人や行政書士会等の非営利団体も個人情報取扱事業者となります。また、取り扱う個人情報の数にかかわらず個人情報取扱事業者となる点が重要です(以前は「5,000人超」の閾値がありましたが現在は廃止されています)。
■ 個人データ(16条3項)
個人データ(16条3項)とは、個人情報データベース等を構成する個人情報のことをいいます。個人情報の中でも、個人情報データベースに組み込まれたものだけが「個人データ」であり、散在する個人情報(データベース等に体系的に組み込まれていないもの)は個人データには該当しません。
■ 保有個人データ(16条4項)
保有個人データ(16条4項)とは、個人データのうち、個人情報取扱事業者が開示・内容の訂正・追加・削除・利用の停止・消去および第三者への提供の停止を行うことができる権限を有するもの(その存否が明らかになることにより公益その他の利益が害されるものとして政令で定めるものを除きます)をいいます。第三者に業務委託しているデータ(A社がB社に委託し、B社のDBに保管されているA社の顧客データ)の場合、A社は保有個人データとして開示・訂正等の対応ができますが、B社は権限を持たないため保有個人データにあたりません(ただし個人データではあります)。
具体例
メールアドレスと氏名を記録したアドレス帳はアドレス数が1件でも「個人情報データベース等」。これを事業の用に供しているNPO法人は「個人情報取扱事業者」。アドレス帳内の各データが「個人データ」。そのうち事業者が開示・訂正できる権限を持つものが「保有個人データ」。
効果
- ・個人情報取扱事業者に対して個人情報保護法第4章の義務規定が適用される
条文(第16条1項〜4項条)
第16条第1項 この章及び第8章において「個人情報データベース等」とは、個人情報を含む情報の集合物であって、次に掲げるものをいう。(以下略) 第16条第2項 この章及び第6章から第8章までにおいて「個人情報取扱事業者」とは、個人情報データベース等を事業の用に供している者をいう。ただし、次に掲げる者を除く。(国の機関、地方公共団体、独立行政法人等 等)
重要メモ
- ・「個人情報DB=検索可能に体系化した情報集合体・取扱事業者=DBを業として取り扱う者・個人データ=DB構成する個人情報・保有個人データ=開示等請求の対象」
- ・個人情報データベース等(16条1項):特定の個人情報を電子計算機で検索できるように体系的に構成した情報の集合物——名刺管理ソフト・顧客台帳等
- ・個人情報取扱事業者(16条2項):個人情報データベース等を業として取り扱う者——義務規定の適用対象
- ・個人データ(16条3項):個人情報データベース等を構成する個人情報——安全管理措置・第三者提供制限等の義務が適用
- ・保有個人データ(16条4項):個人情報取扱事業者が開示・訂正・消去等の権限を有する個人データ——本人の開示・訂正・利用停止請求の対象
- ・6ヶ月以内に消去する予定の個人データは保有個人データから除外(旧規定)→2021年改正で廃止(6ヶ月以内でも保有個人データに該当)
個人情報取扱事業者の義務①——利用目的・取得・通知(17条〜21条・40条)
第17条・18条・19条・20条・21条・40条条簡単にいうと
簡単にいうと、企業が個人情報を集めたり使ったりするときには、何のために使うかを明示し、適正な方法で収集し、本人に知らせる義務があります。利用目的をできる限り具体的に特定することがポイントです。
■ 取得・利用に関する主な義務
個人情報取扱事業者に課せられる義務のうち、情報の取得・利用・通知に関するものは以下の通りです。
■ 利用目的の特定(17条)
個人情報を取り扱うにあたっては利用目的をできる限り特定しなければなりません。「できる限り特定」とは、単に「サービス向上のため」という抽象的な記載では不十分で、具体的にどのような業務・場面で利用するかを特定することを求めています。利用目的を変更する場合は、変更前の利用目的と合理的な関連性のある範囲内に限られます(18条)。
■ 不適正利用の禁止(19条)
違法または不当な行為を助長し、または誘発するおそれがある方法により個人情報を利用してはなりません。
■ 適正な取得(20条)
偽りその他不正の手段により個人情報を取得してはなりません。また、要配慮個人情報を取得する場合は原則として本人の同意が必要です(20条2項)。
■ 利用目的の通知(21条)
個人情報を取得した場合はあらかじめ利用目的を公表している場合を除き、取得後速やかに利用目的を本人に通知し、または公表しなければなりません。本人から直接情報を取得する場合はあらかじめ利用目的を明示しなければなりません(21条2項)。
■ 苦情の処理(40条)
個人情報の取扱いに関する苦情の適切かつ迅速な処理に努めるとともに、その目的を達成するために必要な体制の整備に努めなければなりません。
具体例
通販会社が会員登録時に「商品の発送・代金の請求・新商品のご案内のために使用します」と利用目的を明示する行為は21条2項の義務を果たしている。「個人情報の管理に使用します」のような曖昧な記載は17条の「できる限り特定」の要件を満たさない。
個人データに関する義務(安全管理・第三者提供)
ポイント整理
- ・利用目的をできる限り特定すること(17条)
- ・不正な手段による取得の禁止(20条)
- ・要配慮個人情報取得時は原則として本人の同意が必要(20条2項)
- ・取得後速やかに利用目的を通知・公表すること(21条)
効果
- ・義務違反の場合、個人情報保護委員会から報告徴収・立入検査・勧告・命令の対象となりうる
条文(第17条・18条・19条・20条・21条・40条条)
第17条 個人情報取扱事業者は、個人情報を取り扱うに当たっては、その利用の目的(以下「利用目的」という。)をできる限り特定しなければならない。
重要メモ
- ・「取得時の義務:①利用目的の特定②利用目的による制限③適正取得(不正取得・要配慮情報の本人同意取得)④利用目的の通知・公表」
- ・利用目的の特定(17条):個人情報を取り扱う際はできる限り利用目的を特定しなければならない——変更は合理的関連の範囲内で
- ・利用目的による制限(18条):特定された利用目的の達成に必要な範囲を超えた取り扱いを原則禁止——本人同意があれば超えられる
- ・不正な利用の禁止(19条):違法または不当な行為を助長・誘発するおそれがある方法での個人情報利用禁止
- ・適正な取得(20条):偽り等不正の手段による取得禁止——要配慮個人情報は本人の同意なく取得できない
- ・利用目的の通知等(21条):個人情報取得後、あらかじめ公表していない場合は速やかに利用目的を本人に通知または公表する
- ・苦情処理義務(40条):個人情報取扱いに関する苦情を適切かつ迅速に処理するよう努める義務
個人情報取扱事業者の義務②——安全管理・第三者提供の制限(22条〜30条)
第22条〜30条条簡単にいうと
簡単にいうと、集めた個人データは安全に管理して、勝手に他の会社に渡してはいけません。第三者提供には原則として本人の同意が必要であり、委託・事業承継・共同利用は「第三者への提供」にあたらない点がポイントです。
■ 個人データに関する主な義務
個人データに関する義務として以下のものが定められています。
■ データ内容の正確性確保等(22条)
利用目的の達成に必要な範囲内において、個人データを正確かつ最新の内容に保つよう努め、利用する必要がなくなったときは遅滞なく消去するよう努めなければなりません。
■ 安全管理措置(23条)
取り扱う個人データの漏えい・滅失・毀損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければなりません。
■ 従業者・委託先の監督(24条・25条)
個人データを取り扱う従業者(正規・非正規を問わず、派遣社員・業務委託者も含みます)に対して、個人データの安全管理が図られるよう必要かつ適切な監督を行わなければなりません(24条)。また、個人データの取扱いの全部または一部を委託する場合は、委託を受けた者に対する必要かつ適切な監督を行わなければなりません(25条)。
■ 漏えい等の報告等(26条)
個人データの漏えい・滅失・毀損等の事態が生じた場合は、個人情報保護委員会への報告義務および本人への通知義務が生じます(一定の要件のある場合)。
■ 第三者提供の制限(27条)
原則として本人の同意を得ないで個人データを第三者に提供してはなりません。ただし、①法令に基づく場合、人の生命・身体・財産の保護のために必要な場合、公衆衛生・児童健全育成のために特に必要な場合、国の機関等への協力が必要な場合は本人同意不要です。②オプトアウト手続きが適切にとられている場合(要配慮個人情報・不正取得個人データは不可)は本人同意なしで提供できます。③委託・事業承継・共同利用の場合は「第三者への提供」にあたりません(27条5項)。
■ 第三者提供記録の作成・保存(29条・30条)
個人データを第三者に提供した場合、提供者は記録を作成・保存しなければなりません(29条)。個人データを第三者から受領した場合も受領者は記録を作成・保存しなければなりません(30条)。
具体例
A社がB社に顧客リストを渡す際は原則として顧客本人の同意が必要。ただし法令に基づく行政機関への提供(税務調査への協力等)は同意不要。共同キャンペーンでの共同利用は「第三者提供」に該当しない。
ポイント整理
- ・個人データの安全管理措置の実施(23条)
- ・従業者・委託先への監督(24条・25条)
- ・第三者提供は原則として本人の同意(27条1項)
効果
- ・違反の場合は個人情報保護委員会からの勧告・命令の対象
- ・命令違反には刑事罰(1年以下の懲役または100万円以下の罰金)
条文(第22条〜30条条)
第27条第1項 個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。
重要メモ
- ・「安全管理措置(23条)は義務・第三者提供は原則本人同意必要・例外としてオプトアウト手続・要配慮情報へのオプトアウト不可」
- ・データ内容の正確性確保(22条):正確かつ最新の内容に保ち、不要になったら速やかに消去するよう努める義務
- ・安全管理措置(23条):漏洩・滅失等を防止するために必要かつ適切な措置を講じなければならない——努力義務ではなく義務
- ・従業者・委託先の監督(24条・25条):従業者と委託先に対して安全管理が図られるよう必要かつ適切な監督をしなければならない
- ・第三者提供の原則(27条1項):本人の同意なく個人データを第三者に提供してはならない
- ・オプトアウト手続(27条2項):一定の事項を個人情報保護委員会に届け出た上で、本人に停止申し出の機会を与えることで同意なしに提供可——ただし要配慮個人情報には不可
- ・第三者に該当しない場合(27条5項):委託先・事業承継・共同利用は「第三者」に該当しないため同意不要
保有個人データに関する本人の権利(32条〜35条)
第32条〜35条条簡単にいうと
簡単にいうと、自分の個人情報を企業が持っているとき、本人には「見せて」「直して」「使わないで」と言う権利があります。開示請求・訂正請求・利用停止請求の3つが主な権利であることがポイントです。
■ 保有個人データとは
保有個人データとは、個人情報取扱事業者が開示・内容の訂正・追加・削除・利用の停止・消去および第三者への提供の停止を行うことができる権限を有する個人データをいいます(16条4項)。本人には保有個人データに関する次の権利が認められています。
■ 利用目的の公開(32条)
個人情報取扱事業者は保有個人データに関する事項(氏名・住所・利用目的等)をあらかじめ本人の知り得る状態に置かなければなりません。
■ 開示請求(33条)
本人は個人情報取扱事業者に対し、保有個人データの電磁的記録による開示を請求することができます。事業者は原則として遅滞なく当該保有個人データを開示しなければなりません。不開示の理由となる場合(本人または第三者の生命・身体・財産その他の権利利益を害するおそれがある場合、事業者の業務の適正な実施に著しい支障を及ぼすおそれがある場合、法令に違反することになる場合)には開示しないことができます。
■ 訂正等の求め(34条)
本人は個人情報取扱事業者に対し、内容が事実でない場合は保有個人データの内容の訂正・追加・削除を求めることができます。事業者は必要な調査を行い、利用目的の達成に必要な範囲内で遅滞なく訂正等を行わなければなりません。
■ 利用停止等の求め(35条)
本人は個人情報取扱事業者に対し、法違反(不適正な利用・不正な取得等)があった場合は保有個人データの利用停止・消去を求めることができます。また第三者提供違反の場合は提供停止を求めることができます。利用停止・消去が困難な場合に代替措置(第三者への提供停止、データの破棄等)をとることもできます。なお、開示請求を先にしなければ利用停止請求ができないという手続的先行要件は設けられていません。
具体例
通販サイトに登録している住所が古い場合、利用者は事業者に対して正しい住所への訂正(34条)を求めることができる。事業者は調査の上、訂正に応じる義務がある。
ポイント整理
- ・保有個人データの主体である本人であること
- ・開示・訂正・利用停止等を求める保有個人データが存在すること
効果
- ・事業者は遅滞なく開示・訂正・利用停止等に対応する義務を負う
- ・利用停止が困難な場合は代替措置でも可(35条)
条文(第32条〜35条条)
第33条第1項 本人は、個人情報取扱事業者に対し、当該本人が識別される保有個人データの電磁的記録による開示を請求することができる。
重要メモ
- ・「保有個人データについて本人は:①開示請求②訂正・追加・削除請求③利用停止・消去請求④第三者提供停止請求ができる」
- ・開示請求(33条):本人は個人情報取扱事業者に対して保有個人データの開示を請求できる——書面等の方法で開示
- ・訂正等の請求(34条):内容が事実でない場合、本人は保有個人データの訂正・追加・削除を請求できる——事実の確認後、遅滞なく対応
- ・利用停止等の請求(35条):①取得・利用が法違反②安全管理措置義務違反③第三者提供違反の場合、本人は利用停止・消去・提供停止を請求できる
- ・2021年改正で追加:利用する必要がなくなった場合・本人の権利利益が害されるおそれがある場合も利用停止等請求が可能に
- ・開示の方法(33条2項):本人が指定した方法(電磁的記録含む)で開示——ただし多額の費用を要する場合等は別の方法も可
適用除外(57条)
第57条1項条簡単にいうと
簡単にいうと、報道機関・著述業者・宗教団体・政治団体は、それぞれの活動目的のために個人情報を取り扱う場合、個人情報取扱事業者としての義務規定が適用されません。表現の自由・信教の自由・政治活動の自由を保護するためであることがポイントです。
■ 適用除外の概要
個人情報取扱事業者および個人関連情報取扱事業者のうち、一定の者については、その個人情報等を取り扱う目的の全部またはそれぞれ次に掲げる目的の一部がその目的以外の目的であるときは、「個人情報取扱事業者等の義務等」に関する規定(第4章第2節・第3節)は適用しないものとされています(57条1項)。
■ 適用除外の4類型
適用除外となる4類型は次の通りです。第一に放送機関・新聞社・通信社その他の報道機関(報道を業として行う個人を含みます)が報道の用に供する目的で個人情報等を取り扱う場合です。第二に著述を業として行っている者が著述の用に供する目的で取り扱う場合です。第三に宗教団体が宗教活動(これに付随する活動を含みます)の用に供する目的で取り扱う場合です。第四に政治団体が政治活動(これに付随する活動を含みます)の用に供する目的で取り扱う場合です。
■ 適用除外の理由と注意点
適用除外が認められる理由は、報道の自由・信教の自由・政治活動の自由等の憲法上の基本権を保護するためです。ただし、適用除外となるのはあくまで義務規定(個人情報取扱事業者等の義務等)の適用であり、これらの団体が全く制約なく個人情報を使えるわけではありません。
重要な注意点として、行政機関等が政治活動の用に供する目的で個人情報を取り扱う場合は適用除外として規定されていない点があります(行政機関等は政治活動の適用除外には含まれません)。また、学術研究機関等については57条1項ではなく各条文の例外規定として義務の一部が免除される場合があります。
具体例
新聞社が報道目的で収集した取材源の個人情報は、報道の自由保護の観点から個人情報保護法の義務規定が適用されない。宗教団体が信者名簿を宗教活動目的で管理する場合も同様。
ポイント整理
- ・報道機関・著述業者・宗教団体・政治団体のいずれかに該当すること
- ・それぞれの目的(報道・著述・宗教活動・政治活動)のために個人情報を取り扱うこと
効果
- ・個人情報取扱事業者等の義務等に関する規定(第4章第2節・第3節)が適用されない
条文(第57条1項条)
第57条第1項 個人情報取扱事業者等のうち次の各号に掲げる者については、その個人情報等を取り扱う目的の全部又は一部が当該各号に規定する目的であるときは、第4章第2節及び第3節の規定は、当該目的を達成するために必要な範囲内において取り扱われる個人情報等については、適用しない。
重要メモ
- ・「適用除外(57条):報道・著述・宗教・政治の目的で個人情報を取り扱う場合は個人情報取扱事業者の義務規定が適用外」
- ・適用除外の趣旨:報道・言論・信仰の自由と個人情報保護の調整——表現の自由等との衝突を回避
- ・①報道機関等(報道目的):新聞社・テレビ局等および報道を業として行う個人——報道の用に供する目的での個人情報取扱は義務規定の適用除外
- ・②著述業者(著述目的):著述を業として行う者——著述の用に供する目的での取扱は適用除外
- ・③宗教団体(宗教活動目的):宗教活動(これに付随する活動を含む)の用に供する目的での取扱は適用除外
- ・④政治団体(政治活動目的):政治活動(これに付随する活動を含む)の用に供する目的での取扱は適用除外——よく出る選択肢
- ・適用除外は全義務規定の適用を除外——ただし目的の範囲内に限られる
行政機関等の保有個人情報と個人情報ファイル(60条)
第60条1項・2項・5項条簡単にいうと
簡単にいうと、行政機関が保有する個人情報のうち、行政文書に記録されているものを「保有個人情報」といいます。官報や白書に掲載された情報は行政文書ではないため対象外であることがポイントです。
■ 保有個人情報とは
行政機関等における「保有個人情報」(60条1項)とは、行政機関等の職員が職務上作成し、または取得した個人情報であって、当該行政機関等の職員が組織的に利用するものとして当該行政機関等が保有しているものをいいます。ただし、行政文書(行政機関の保有する情報の公開に関する法律2条2項に規定する行政文書)等に記録されているものに限られます。
■ 官報・白書等の取扱い
重要な点として、有償の刊行物(官報・白書・統計書等)は「行政文書」には該当しないため、そこに記載されている個人情報は「保有個人情報」にあたりません。官報に掲載された情報(破産者の氏名等)や白書に掲載された情報は「保有個人情報」の定義から除外されます。
■ 個人情報ファイル(60条2項)
個人情報ファイル(60条2項)とは、保有個人情報を含む情報の集合物であって、①一定の事務の目的を達成するために特定の保有個人情報を電子計算機を用いて検索することができるように体系的に構成したもの、または②その他一定の事務の目的を達成するために特定の保有個人情報を容易に検索することができるように体系的に構成したものをいいます。これは民間の「個人情報データベース等(16条1項)」とほぼ同義の概念です。
■ 条例要配慮個人情報(60条5項)
条例要配慮個人情報(60条5項)とは、地方公共団体もしくは地方独立行政法人が保有する要配慮個人情報のうち、地域の特性その他の事情に応じて、本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして地方公共団体が条例で定める記述等が含まれる保有個人情報をいいます。
具体例
国税庁の職員が職務で管理している納税者の申告情報は「保有個人情報」。官報に掲載された破産者の氏名・住所は「保有個人情報」にあたらない。
ポイント整理
- ・行政機関等の職員が職務上作成・取得した個人情報であること
- ・職員が組織的に利用するものとして当該機関が保有していること
- ・行政文書等に記録されていること
効果
- ・保有個人情報については本人からの開示・訂正・利用停止等の請求制度が適用される(76条以下)
条文(第60条1項・2項・5項条)
第60条第1項 この章及び第8章において「保有個人情報」とは、行政機関等の職員(独立行政法人等にあっては、その役員を含む。以下この章において同じ。)が職務上作成し、又は取得した個人情報であって、当該行政機関等の職員が組織的に利用するものとして、当該行政機関等が保有しているものをいう。ただし、行政文書等に記録されているものに限る。
重要メモ
- ・「保有個人情報=行政文書に記録された職員が職務上取得・組織的に利用する個人情報・個人情報ファイル=体系的に構成した情報集合体」
- ・保有個人情報(60条1項):行政機関等の職員が職務上作成・取得した個人情報で、組織的に利用するものとして当該機関が保有するもの——行政文書に記録されているものに限る
- ・個人情報ファイル(60条2項):保有個人情報を含む情報の集合物で、①電子計算機で特定の保有個人情報を検索できるように体系的に構成したもの②その他氏名等により特定の保有個人情報を容易に検索できるように体系的に構成したもの
- ・条例要配慮個人情報(60条5項):地方公共団体等が保有する要配慮個人情報以外の情報で、地域の特性に応じて条例で定めるもの
- ・個人情報ファイル簿の作成・公表:行政機関等は個人情報ファイルの名称・利用目的等を記録したファイル簿を作成し公表する義務(75条)
行政機関等における個人情報の取扱い(61条〜67条)
第61条〜67条条簡単にいうと
簡単にいうと、行政機関も仕事の目的の範囲でしか個人情報を持てないし、職員は在職中も退職後も知り得た個人情報を守らなければなりません。67条の守秘義務は退職後も継続することがポイントです。
■ 行政機関等における取扱いに関する主な規定
行政機関等における個人情報の取扱いに関する主な規定は以下の通りです。
■ 個人情報の保有(61条)
行政機関等は、法令の定める所掌事務を遂行するため必要な場合に限り個人情報を保有することができ、保有するにあたっては利用目的をできる限り特定しなければなりません。
■ 利用目的による制限(62条)
行政機関等は、あらかじめ特定した利用目的の達成に必要な範囲を超えて保有個人情報を保有してはなりません。利用目的を変更する場合は、変更前の利用目的と相当の関連性を有すると合理的に認められる範囲を超えて行ってはなりません。
■ 利用目的の明示(63条)
行政機関等が本人から直接書面(電磁的記録を含みます)に記載された当該本人の個人情報を取得するときは、原則としてあらかじめ本人に対して利用目的を明示しなければなりません(ただし人の生命・身体・財産の保護のために緊急に必要がある場合や、利用目的を明示することにより保有個人情報の収集目的に反する結果をもたらす場合などは例外です)。
■ 不適正な取得の禁止(64条)・安全確保の措置(66条)
偽りその他不正の手段により個人情報を取得してはなりません(64条)。また、行政機関等は、保有個人情報の漏えい・滅失・毀損の防止その他の保有個人情報の適切な管理のために必要な措置を講じなければなりません(66条)。
■ 従事者の義務(67条)
行政機関等の職員若しくは職員であった者、または行政機関等から業務を受託した事業者の従事者は、その業務に関して知り得た個人情報の内容をみだりに他人に知らせ、または不当な目的に利用してはなりません。この義務は退職後も続きます。
具体例
国税庁の職員が職務で得た納税者の個人情報を、プライベートで友人に教えたり、転職先に持ち出したりすることは67条違反となる(在職中・退職後を問わず禁止)。
保有個人情報の開示請求(本人の権利)
ポイント整理
- ・法令の所掌事務の達成のために必要な場合に限り保有(61条)
- ・利用目的をできる限り特定(61条)
- ・本人から直接書面で取得する際は原則として利用目的を明示(63条)
効果
- ・違反した職員は秘密保持義務違反として刑事罰の対象となりうる(179条)
条文(第61条〜67条条)
第67条 行政機関等の職員若しくは職員であった者又は行政機関等から個人番号利用事務等の委託を受けた者若しくはその役員若しくは従業者であった者は、正当な理由がなく、その業務に関して取り扱った個人情報の内容をみだりに他人に知らせ、又は不当な目的に利用してはならない。
重要メモ
- ・「行政機関等の義務:①利用目的の特定・制限②本人からの直接取得時は利用目的の明示③不適正利用禁止④不正取得禁止⑤職員の守秘義務」
- ・個人情報の保有の制限等(61条):所掌事務遂行のために必要な場合に限り保有し、利用目的をできる限り特定——目的超過の保有禁止
- ・利用目的の明示(62条):本人から直接個人情報を取得するときは、原則としてあらかじめ本人に明示しなければならない
- ・不適正な利用の禁止(63条):違法または不当な行為を助長・誘発するおそれがある方法での個人情報利用禁止
- ・適正な取得(64条):偽りその他不正の手段による個人情報取得禁止
- ・従業者(職員)の義務(67条):行政機関等の職員・元職員は業務で知り得た個人情報をみだりに他人に知らせ、または不当な目的に利用してはならない——退職後も同様
- ・安全管理措置義務(66条):保有個人情報の漏洩防止等のため必要かつ適切な措置を講じる義務
保有個人情報の開示・訂正・利用停止請求(76条〜99条)
第76条・77条・83条・90条・98条・105条条簡単にいうと
簡単にいうと、行政機関等が持っている自分の情報を「見せて」「直して」「使わないで」と求める権利が本人にあります。開示請求は「何人でも」できること、30日以内に決定すること、不服なら審査請求ができることがポイントです。
■ 本人の権利の概要
行政機関等が保有する保有個人情報に関して、本人には次の権利が認められています。
■ 開示請求権(76条1項)
何人でも行政機関の長等に対し、保有個人情報の開示を請求することができます。「何人でも」とあるため、日本国民に限らず外国人でも、未成年者でも開示請求が可能です。開示請求の相手方は、当該保有個人情報を保有する行政機関等の長(各省大臣・地方公共団体の長等)です(77条1項)。行政機関の長は開示請求があった日から30日以内に開示するか否かを決定しなければなりません(83条1項)。やむを得ない理由があるときは30日以内に限り延長できます。
開示しないことができる場合(不開示情報)としては、①本人・第三者の生命・身体・財産その他の権利利益を害するおそれがある情報、②行政機関等の業務の適正な実施に支障を及ぼすおそれがある情報、③法令の規定により開示することができない情報等があります(78条1項)。
■ 訂正請求権(90条1項)
本人は行政機関の長等に対し、当該本人が識別される保有個人情報の内容が事実でない場合は訂正(内容の追加・削除を含みます)を請求することができます。
■ 利用停止等請求権(98条1項)
本人は、保有個人情報が違法に取得されたものである場合等において、利用停止・消去または提供停止を請求することができます。
■ 不服申立て(審査請求)
行政機関の長等の開示決定等または不作為に不服がある者は審査請求をすることができます(105条1項・2項)。審査請求を受けた行政機関の長等は、原則として情報公開・個人情報保護審査会に諮問しなければなりません(105条1項)。審査会は諮問を受けてから答申を出し、行政機関の長等が最終的な裁決を行います。
具体例
外国籍の住民が市役所に対して自分の住民票関連情報の開示を請求できる(76条「何人でも」)。開示決定に不服があれば市長への審査請求ができ、情報公開・個人情報保護審査会への諮問手続きが行われる。
個人情報保護委員会の任務と権限
ポイント整理
- ・開示請求:何人でも可(76条1項)
- ・訂正請求:本人であること・内容が事実でないこと(90条1項)
- ・利用停止請求:本人であること・違法取得等の事由があること(98条1項)
効果
- ・開示決定:30日以内(延長可)
- ・不服申立て:行政機関の長への審査請求→情報公開・個人情報保護審査会への諮問
条文(第76条・77条・83条・90条・98条・105条条)
第76条第1項 何人も、この法律の定めるところにより、行政機関の長等に対し、当該行政機関の長等の属する行政機関等の保有する自己を本人とする保有個人情報の開示を請求することができる。
重要メモ
- ・「行政機関への開示請求:何人でも可・30日以内に開示決定・不開示情報あり・訂正・利用停止請求は開示を受けた本人のみ・不服申立ては情報公開・個人情報保護審査会」
- ・開示請求(76条):何人でも保有個人情報の開示を請求できる——行政機関の長等に書面で請求
- ・開示決定等(83条):開示請求があった日から30日以内に開示するかどうかを決定しなければならない(事務量が多い場合は60日まで延長可)
- ・不開示情報(78条):①本人・第三者の生命・財産等への支障②公務の適正な遂行への支障③他の法律で公開が禁じられている情報等は不開示
- ・訂正請求(90条):開示を受けた保有個人情報の内容が事実でない場合に訂正・追加・削除を請求できる——請求できるのは開示を受けた本人
- ・利用停止請求(98条):違法な取扱いに対して利用停止・消去・提供停止を請求できる
- ・不服申立て:不開示決定等に不満がある場合は行政不服申立て→情報公開・個人情報保護審査会への諮問——第三者機関が審査
個人情報保護委員会の権限と罰則(13条・146条〜148条・178条〜184条)
第13条・146条〜148条・178条・184条条簡単にいうと
簡単にいうと、個人情報の取扱いを監視する機関が「個人情報保護委員会」で、報告徴収・指導助言・勧告・命令という段階的な権限を持ちます。命令違反は1年以下の懲役または100万円以下の罰金という刑事罰があることがポイントです。
■ 個人情報保護委員会とは
個人情報保護委員会は、個人情報の適正な取扱いの確保を図ることを任務とする独立した行政機関であり(13条)、個人情報取扱事業者・行政機関等の双方に対して監督権限を持ちます。
■ 主な権限
個人情報保護委員会の主な権限として、①報告徴収・立入検査(146条)、②指導・助言(147条)、③勧告・命令(148条)があります。報告徴収・立入検査は個人情報取扱事業者が法令を遵守しているかどうかを確認するために行うものであり、事業者は正当な理由なく拒むことができません。指導・助言は法令違反の予防・改善のための助言的措置であり、勧告・命令は違反が認められた場合に行われる強制力を伴う措置です。
■ 罰則(178条・182条・184条)
命令(148条3項)に違反した場合は、1年以下の懲役または100万円以下の罰金に処せられます(178条)。また、命令に違反した行為者が属する法人に対しても罰金刑(両罰規定)が課されます(184条)。なお、個人情報保護委員会への虚偽報告・検査拒否等についても50万円以下の罰金が課されます(182条)。
■ 事業所管大臣との関係
事業所管大臣(経済産業大臣・厚生労働大臣等)も、個人情報保護委員会と連携して当該事業分野における事業者への指導・助言・勧告等の権限を持ちます(146条〜148条準用)。ただし命令は個人情報保護委員会のみが行うことができ、事業所管大臣は命令権限を持ちません。
■ 行政機関等への監督
行政機関等に対しても、個人情報保護委員会は勧告・立入検査の権限を持ち、行政機関等の長に対して必要な勧告を行うことができます(166条)。
具体例
個人情報保護委員会が事業者に対して「個人データ漏えい防止のための安全管理措置を改善するよう」命令を出した場合、事業者がこれに従わないと1年以下の懲役または100万円以下の罰金に処せられる(178条)。法人の従業員が違反した場合は法人も罰金対象(184条・両罰規定)。
効果
- ・命令違反:1年以下の懲役または100万円以下の罰金(178条)
- ・両罰規定:法人も罰金対象(184条)
- ・虚偽報告・検査拒否:50万円以下の罰金(182条)
条文(第13条・146条〜148条・178条・184条条)
第148条第3項 個人情報保護委員会は、前2項の規定による勧告を受けた個人情報取扱事業者等が正当な理由なくその勧告に係る措置をとらなかった場合において、個人情報等の適正な取扱いの確保のために特に必要があると認めるときは、その者に対し、その勧告に係る措置をとることを命ずることができる。
重要メモ
- ・「個人情報保護委員会=民間・行政機関等を一元的に監視・報告徴収→指導助言→勧告→命令の段階的権限・命令違反は1年以下懲役または100万円以下罰金」
- ・個人情報保護委員会の設置(13条):行政機関等の事務・事業の適正な運用を監視し、個人情報の適正な取扱いを確保することを任務
- ・報告徴収・立入検査(146条):個人情報取扱事業者等に対し、報告の提出を求め、立ち入り検査を行う権限
- ・指導・助言(147条):個人情報の取扱いについて指導・助言を行う
- ・勧告・命令(148条):違反が認められる場合に勧告し、勧告に従わない場合は命令を発令
- ・罰則:委員会への報告拒否・虚偽報告→50万円以下の罰金(182条)・委員会の命令違反→1年以下の懲役または100万円以下の罰金(178条)
- ・両罰規定(184条):法人の代表者・従業員等が違反行為をした場合、その法人にも罰金刑が科される
まとめ
独学でも合格をつかみ取れる!
充実の判例解説やテキスト、演習まですべて網羅!
予備校代の1/30で、独学の不安をまるごと解決できます
プレミアム登録すると全テーマのテキスト閲覧や、判例の音声再生のほか、過去問の年度別・肢別演習や苦手な判例・問題の管理、学習記録もできるよ!
- 行政書士試験に出る判例のわかりやすく丁寧な解説を音声で無制限に聞き放題!プレミアム限定
- 過去問の年度別・肢別演習無制限!何度も解きなおせます。マイページで苦手管理もばっちり。プレミアム限定
- 科目別テキストPDFダウンロード可能!ダウンロード後は半永久的に利用可能で、印刷したりご自身の好きな使い方で合格に近づけます。プレミアム限定
- テキストのブックマーク管理で苦手分野・何度も確認したい部分を徹底管理可能!プレミアム限定
- 記述式問題をAIで添削採点可能!最適なフィードバックで自分だけの強み・弱みを把握できる。プレミアム限定
プレミアムプラン
¥7,800/ 1年間有効(税抜)
自動更新なし
決済は Stripe(世界最高水準・PCI-DSS準拠)で安全に処理されます。カード情報は当サービスに保存されません。
スマホアプリで、いつでもどこでも。行政書士合格を、スキマ時間で。
判例解説の音声再生・過去問演習・AI記述採点をスマホ1台に。通勤・休憩中に1問だけでも。独学でも仕事と両立しながら、合格を目指せます。
✓ Webでプレミアム登録済みの方は、アプリでも全機能をそのままご利用いただけます。
- 判例の音声解説をながら学習
- テキストPDFダウンロードで、紙でもオフラインでも
- 過去問・記述式演習がいつでも
- 苦手ブックマーク管理で弱点を集中復習
無料ダウンロード・iOS対応
独学でも合格をつかみ取れる!
充実の判例解説やテキスト、演習まですべて網羅!
予備校代の1/30で、独学の不安をまるごと解決できます
プレミアム登録すると全テーマのテキスト閲覧や、判例の音声再生のほか、過去問の年度別・肢別演習や苦手な判例・問題の管理、学習記録もできるよ!
- 行政書士試験に出る判例のわかりやすく丁寧な解説を音声で無制限に聞き放題!プレミアム限定
- 過去問の年度別・肢別演習無制限!何度も解きなおせます。マイページで苦手管理もばっちり。プレミアム限定
- 科目別テキストPDFダウンロード可能!ダウンロード後は半永久的に利用可能で、印刷したりご自身の好きな使い方で合格に近づけます。プレミアム限定
- テキストのブックマーク管理で苦手分野・何度も確認したい部分を徹底管理可能!プレミアム限定
- 記述式問題をAIで添削採点可能!最適なフィードバックで自分だけの強み・弱みを把握できる。プレミアム限定
プレミアムプラン
¥7,800/ 1年間有効(税抜)
自動更新なし
決済は Stripe(世界最高水準・PCI-DSS準拠)で安全に処理されます。カード情報は当サービスに保存されません。