公認心理師 2023-52

個人情報保護法に関する問題です。

何度かなされている法改正のときに、改正となった点などが選択肢に含まれていますね。

問52 個人情報の保護に関する法律〈個人情報保護法〉について、正しいものを2つ選べ。
① 個人の権利利益を保護することを目的としている。
② 個人が特定される音声情報は、個人情報に含まれない。
③ 匿名加工情報としては、個人情報を加工して当該個人情報を復元することができないようにしたものをいう。
④ 個人情報取扱事業者は、個人データを利用する必要がなくなった後も、当該個人データを保管する義務がある。
⑤ 人の生命の保護のために必要である場合でも、本人の同意を得ることができなければ個人データを第三者に提供してはならない。

解答のポイント

個人情報保護法に関する基本的な理解を有する。

選択肢の解説

① 個人の権利利益を保護することを目的としている。

こちらについては「目的」を問うているものですから、第一条を見ていきましょう。


(目的)
第一条 この法律は、デジタル社会の進展に伴い個人情報の利用が著しく拡大していることに鑑み、個人情報の適正な取扱いに関し、基本理念及び政府による基本方針の作成その他の個人情報の保護に関する施策の基本となる事項を定め、国及び地方公共団体の責務等を明らかにし、個人情報を取り扱う事業者及び行政機関等についてこれらの特性に応じて遵守すべき義務等を定めるとともに、個人情報保護委員会を設置することにより、行政機関等の事務及び事業の適正かつ円滑な運営を図り、並びに個人情報の適正かつ効果的な活用が新たな産業の創出並びに活力ある経済社会及び豊かな国民生活の実現に資するものであることその他の個人情報の有用性に配慮しつつ、個人の権利利益を保護することを目的とする。


上記の通り、条項の最後に「個人の権利利益を保護することを目的とする」と明記されていますね。

ですから、個人情報保護法の目的は「個人の権利利益を保護すること」と考えて問題ありません。

よって、選択肢①が正しいと判断できます。

② 個人が特定される音声情報は、個人情報に含まれない。
③ 匿名加工情報としては、個人情報を加工して当該個人情報を復元することができないようにしたものをいう。

これらの選択肢に関しては第二条の「定義」に規定がありますね。


(定義)
第二条 この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。
一 当該情報に含まれる氏名、生年月日その他の記述等(文書、図画若しくは電磁的記録(電磁的方式(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式をいう。次項第二号において同じ。)で作られる記録をいう。以下同じ。)に記載され、若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項(個人識別符号を除く。)をいう。以下同じ。)により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)
二 個人識別符号が含まれるもの
2 この法律において「個人識別符号」とは、次の各号のいずれかに該当する文字、番号、記号その他の符号のうち、政令で定めるものをいう。
一 特定の個人の身体の一部の特徴を電子計算機の用に供するために変換した文字、番号、記号その他の符号であって、当該特定の個人を識別することができるもの
二 個人に提供される役務の利用若しくは個人に販売される商品の購入に関し割り当てられ、又は個人に発行されるカードその他の書類に記載され、若しくは電磁的方式により記録された文字、番号、記号その他の符号であって、その利用者若しくは購入者又は発行を受ける者ごとに異なるものとなるように割り当てられ、又は記載され、若しくは記録されることにより、特定の利用者若しくは購入者又は発行を受ける者を識別することができるもの
3 この法律において「要配慮個人情報」とは、本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める記述等が含まれる個人情報をいう。
4 この法律において個人情報について「本人」とは、個人情報によって識別される特定の個人をいう。
5 この法律において「仮名加工情報」とは、次の各号に掲げる個人情報の区分に応じて当該各号に定める措置を講じて他の情報と照合しない限り特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報をいう。
一 第一項第一号に該当する個人情報 当該個人情報に含まれる記述等の一部を削除すること(当該一部の記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。
二 第一項第二号に該当する個人情報 当該個人情報に含まれる個人識別符号の全部を削除すること(当該個人識別符号を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。
6 この法律において「匿名加工情報」とは、次の各号に掲げる個人情報の区分に応じて当該各号に定める措置を講じて特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報であって、当該個人情報を復元することができないようにしたものをいう。
一 第一項第一号に該当する個人情報 当該個人情報に含まれる記述等の一部を削除すること(当該一部の記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。
二 第一項第二号に該当する個人情報 当該個人情報に含まれる個人識別符号の全部を削除すること(当該個人識別符号を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。
7 この法律において「個人関連情報」とは、生存する個人に関する情報であって、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないものをいう。


上記の通り、各表現についての定義がなされております。

挙げた選択肢と関連があるものを以下にまとめておきましょう。

個人情報保護法において「個人情報」とは、生存する個人に関する情報で、氏名、生年月日、住所、顔写真などにより特定の個人を識別できる情報をいいます。

これには、他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものも含まれます。

例えば、生年月日や電話番号などは、それ単体では特定の個人を識別できないような情報ですが、氏名などと組み合わせることで特定の個人を識別できるため、個人情報に該当する場合があります。

また、メールアドレスについてもユーザー名やドメイン名から特定の個人を識別することができる場合は、それ自体が単体で、個人情報に該当します。

このほか、番号、記号、符号などで、その情報単体から特定の個人を識別できる情報で、政令・規則で定められたものを「個人識別符号」といい、個人識別符号が含まれる情報は個人情報となります。

例えば、① 身体の一部の特徴を電子処理のために変換した符号で、顔認証データ、指紋認証データ、虹彩、声紋、歩行の態様、手指の静脈、掌紋などのデータ、②サービス利用や書類において利用者ごとに割り振られる符号で、パスポート番号、基礎年金番号、運転免許証番号、住民票コード、マイナンバー、保険者番号などがあります。

上記のことから、音声情報は個人情報に含まれることがわかりますね。

そして選択肢③にある「匿名加工情報」とは、特定の個人を識別することができないように個人情報を加工し、当該個人情報を復元できないようにした情報のことをいいます。

匿名加工情報は、一定のルールの下で、本人同意を得ることなく、事業者間におけるデータ取引やデータ連携を含むパーソナルデータの利活用を促進することを目的に個人情報保護法の改正により新たに導入されました。

匿名加工情報の利活用事例としては、ポイントカードの購買履歴や交通系ICカードの乗降履歴等を複数の事業者間で分野横断的に利活用することにより、新たなサービスやイノベーションを生み出す可能性があります。

医療機関が保有する医療情報を活用した創薬・臨床分野の発展や、カーナビ等から収集される走行位置履歴等のプローブ情報を活用したより精緻な渋滞予測や天候情報の提供等により、国民生活全体の質の向上に寄与する可能性なども挙げられていますね。

匿名加工情報に関する事業者の義務として、①適切な加工、②安全管理措置、③公表義務、④識別行為の禁止、が定められています。

上記の適切な加工について述べると以下の通りです。

  1. 特定の個人を識別することができる記述等の全部又は一部を削除(置換を含む)すること(例:氏名は削除)
  2. 個人識別符号の全部を削除すること(例:顔画像、指紋等)
  3. 個人情報と他の情報とを連結する符号を削除すること(例:事業者内で個人情報を分散管理してデータベース等を相互に連結するために割り当てられているID等は削除する)。
  4. 特異な記述等を削除すること(例:年齢116歳のように、国内で数名しかいない場合など)。
  5. 上記のほか、個人情報とデータベース内の他の個人情報との差異等の性質を勘案し、適切な措置を講ずること

こうした匿名加工情報については、平成27年(2015年)改正法の中で示されました。

以上より、選択肢②は誤りと判断でき、選択肢③が正しいと判断できます。

④ 個人情報取扱事業者は、個人データを利用する必要がなくなった後も、当該個人データを保管する義務がある。

こちらは令和2年(2020年)改正法(令和4年(2022年)4月全面施行)で改正されたポイントになります。


(データ内容の正確性の確保等)
第二十二条 個人情報取扱事業者は、利用目的の達成に必要な範囲内において、個人データを正確かつ最新の内容に保つとともに、利用する必要がなくなったときは、当該個人データを遅滞なく消去するよう努めなければならない。


個人情報保護法では、個人情報の保存期間や廃棄すべき時期について規定していませんが、個人情報取扱事業者は、その取扱いに係る個人データを利用する必要がなくなったときは、当該個人データを遅滞なく消去するよう努めなければなりません。

個人データを利用する必要がなくなった場合というのは、「個人情報の利用目的を達成し、もはや個人データを保有する合理的な理由が存在しなくなった場合」や「個人情報の利用目的を達成するより前に、事業自体が中止となった場合」などが考えられます。

「遅滞なく」という点については、法律上は具体的な期間を明示していませんが、業務遂行上の必要性や個人データを保管した場合の影響等も勘案して、必要以上に長期にわたらないようにする必要があると解されています。

例えば、イベント開催時の参加者を募集した場合には、イベントを実施し、その後、問い合わせ等があり得ると考えられる合理的な期間が経過すれば、消去すべきと考えられます。

以上より、選択肢④は誤りと判断できます。

⑤ 人の生命の保護のために必要である場合でも、本人の同意を得ることができなければ個人データを第三者に提供してはならない。

こちらについては「第三者提供の制限」に規定がありますね。


(第三者提供の制限)
第二十七条 個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。
一 法令に基づく場合
二 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
三 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
四 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
五 当該個人情報取扱事業者が学術研究機関等である場合であって、当該個人データの提供が学術研究の成果の公表又は教授のためやむを得ないとき(個人の権利利益を不当に侵害するおそれがある場合を除く。)。
六 当該個人情報取扱事業者が学術研究機関等である場合であって、当該個人データを学術研究目的で提供する必要があるとき(当該個人データを提供する目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)(当該個人情報取扱事業者と当該第三者が共同して学術研究を行う場合に限る。)。
七 当該第三者が学術研究機関等である場合であって、当該第三者が当該個人データを学術研究目的で取り扱う必要があるとき(当該個人データを取り扱う目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)。


まず掲げられているのは、生命・身体・財産の保護に必要な場合であり、災害時など本人の同意を得ることが困難で、かつ生命・身体・財産の保護のために必要と判断された場合も免除対象です。

たとえば、輸血のために被災者の血液型や病歴を知る必要がある場合などが該当します。

他にも児童虐待の情報など「公衆衛生・児童の健全育成に必要な場合」であり、虐待を受けている子どもの情報を関連機関(学校・保護施設など)で共有する場合も同意が免除されます。

生命の危険にさらされていることはもちろん、それに対して公に主張することが難しい児童や幼児の安全を守るためでもあります。

これらに加えて「警察・裁判所による照会など法令に基づく要請」も第三者提供の同意が不要になりますが、ここで挙げた3つが「同意取得が難しいが、身の安全などプライバシーより優先されるべき事柄がある」と判断される場合において義務が免除されるケースとなりますね。

いずれにせよ、本選択肢の「人の生命の保護のために必要である場合」には、第三者提供の同意が不要となり、個人情報を利用することができます。

よって、選択肢⑤は誤りと判断できます。

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です