個人情報保護に関する問題です。
過去問と重なる部分もあり、非常に解きやすい問題だったと言えます。
問51 個人情報保護について、誤っているものを1つ選べ。
① 本人の同意があれば、当該本人に関する個人データを第三者に提供できる。
② クライエントが公認心理師に対する信頼に基づいて打ち明けた事柄は、個人情報には該当しない。
③ 個人情報には、指紋やDNAの塩基配列など身体に固有の特徴を符号化したデータも含まれる。
④ 個人情報取扱事業者は、その取扱う個人データについて、安全管理のために必要な措置を講じなければならない。
解答のポイント
個人情報保護法で定められている「個人情報」に関する理解がある。
選択肢の解説
① 本人の同意があれば、当該本人に関する個人データを第三者に提供できる。
これは少しひねりが効いていて、個人情報保護法では「本人の同意があれば、第三者にデータを提供しても良いよ」とは明示されていません。
しかし、以下のような表現で第三者への提供について言及しています。
第二十三条(第三者提供の制限) 個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。
一 法令に基づく場合
二 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
三 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
四 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
上記のように、法令に基づく場合と本人の同意を得ることが難しい状況以外は、「本人の同意を得ないで、個人データを第三者に提供してはならない」とありますが、これは言い換えれば「本人の同意を得ることができれば、個人データを第三者に提供することは可能である」ということになるわけです。
まっすぐに「本人の同意があれば、当該本人に関する個人データを第三者に提供できる」とは書いてないのが本選択肢のミソですね。
臨床場面では「私の話は親(先生などの第三者の場合もある)にも話していいですよ」と言ってくるクライエントがいます(特に教育領域では)。
こういう時には、「クライエントと親との精神的密着関係」「クライエントが間接的に自分のことをわかってもらおうとしているが、それにカウンセラーをメッセンジャーとして利用しようとしている」などの視点から考えておくことが大切ですね。
私はケースによっては「私たちの業界では、相談に来ている人ができることをカウンセラーがしてしまうことは、相談に来ている人を過度に弱く見なしていたり、力のない存在として見ているという形になるという捉え方があります」「だから、その情報を私から伝えることが本当に良いことなのか迷うところなんだけど、私から伝えた方が良いという考えはあなたの中にありますか?」と聞いたりします。
他にも、「あなたが面接で話したことは秘密にするのがルールなんだよね」と伝えたり、状況によってはカウンセラーとしての判断で(既に同意があるわけですから)第三者に提供するか否かを考えたりします。
望ましい対応はクライエントとその状況によってまちまちですが、カウンセラーは「クライエントが第三者に自身の情報を提供することを望むのはなぜか」に関する見立てをもって対応するのが仕事ということです。
以上より、選択肢①は正しいと判断でき、除外することになります。
② クライエントが公認心理師に対する信頼に基づいて打ち明けた事柄は、個人情報には該当しない。
個人情報保護法には「カウンセリングで話されたことは個人情報に該当する」という明示されている条項はありません(そんなことをすれば、あらゆる状況を記載する必要が出てきますから、当然ですけど)。
だからと言って、「クライエントが公認心理師に対する信頼に基づいて打ち明けた事柄」が個人情報ではないとはならないですよね。
まず、こちらに類する問題は「公認心理師 2018追加-42」にありましたが、こちらは「要配慮個人情報」に関する内容となっており、解説にもある通り「要配慮個人情報」はかなり限定的であると言えます。
本選択肢にあるのは「個人情報」ですから、改めて個人情報保護法の定義を見てみましょう。
第二条(定義) この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。
一 当該情報に含まれる氏名、生年月日その他の記述等(文書、図画若しくは電磁的記録(電磁的方式(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式をいう。次項第二号において同じ)で作られる記録をいう)に記載され、若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項(個人識別符号を除く)をいう。以下同じ。)により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む)
二 個人識別符号が含まれるもの
「個人識別符号」に関しては選択肢③で詳しく述べますが、施行令でかなり限定的な内容が示されており、本選択肢を考える上では除外して問題ありません。
大切なのは、本法で定めている「個人情報」の定義が「生存する個人に関する情報」であり、「当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの」であり、「他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む」になるということです。
ここで改めて本選択肢を見てみると、「クライエントが公認心理師に対する信頼に基づいて打ち明けた事柄」ということですから、ここには上記の「個人情報」が含まれていると判断できます。
「信頼に基づいて打ち明けられた事柄」はクライエントがその内面を語っていると見なすのが自然であり、上記の氏名だけでなく、見る人が見れば「他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む」ことになると言えますね。
カウンセリングで語られる内容は、特にそれが信頼関係に基づいているものであるほど、クライエントの人生史を含んだストーリーやそこから派生した感情体験などが述べられているわけですから、これは上記の「個人情報」に該当すると見てよいでしょう。
以上より、選択肢②が誤りと判断でき、こちらを選択することになります。
③ 個人情報には、指紋やDNAの塩基配列など身体に固有の特徴を符号化したデータも含まれる。
こちらに関してはまず個人情報保護法第2条を見ていきましょう。
第二条(定義) この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。
一 当該情報に含まれる氏名、生年月日その他の記述等(文書、図画若しくは電磁的記録(電磁的方式(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式をいう。次項第二号において同じ)で作られる記録をいう)に記載され、若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項(個人識別符号を除く)をいう。以下同じ。)により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む)
二 個人識別符号が含まれるもの
2 この法律において「個人識別符号」とは、次の各号のいずれかに該当する文字、番号、記号その他の符号のうち、政令で定めるものをいう。
一 特定の個人の身体の一部の特徴を電子計算機の用に供するために変換した文字、番号、記号その他の符号であって、当該特定の個人を識別することができるもの
二 個人に提供される役務の利用若しくは個人に販売される商品の購入に関し割り当てられ、又は個人に発行されるカードその他の書類に記載され、若しくは電磁的方式により記録された文字、番号、記号その他の符号であって、その利用者若しくは購入者又は発行を受ける者ごとに異なるものとなるように割り当てられ、又は記載され、若しくは記録されることにより、特定の利用者若しくは購入者又は発行を受ける者を識別することができるもの
上記の「個人識別符号」に関しては、個人情報保護法施行令で示されています。
個人識別符号について詳しく述べているのは以下の箇所になります。
第一条(個人識別符号) 個人情報の保護に関する法律(以下「法」という。)第二条第二項の政令で定める文字、番号、記号その他の符号は、次に掲げるものとする。
一 次に掲げる身体の特徴のいずれかを電子計算機の用に供するために変換した文字、番号、記号その他の符号であって、特定の個人を識別するに足りるものとして個人情報保護委員会規則で定める基準に適合するもの
イ 細胞から採取されたデオキシリボ核酸(別名DNA)を構成する塩基の配列
ロ 顔の骨格及び皮膚の色並びに目、鼻、口その他の顔の部位の位置及び形状によって定まる容貌
ハ 虹彩の表面の起伏により形成される線状の模様
ニ 発声の際の声帯の振動、声門の開閉並びに声道の形状及びその変化
ホ 歩行の際の姿勢及び両腕の動作、歩幅その他の歩行の態様
ヘ 手のひら又は手の甲若しくは指の皮下の静脈の分岐及び端点によって定まるその静脈の形状
ト 指紋又は掌紋
二 旅券法(昭和二十六年法律第二百六十七号)第六条第一項第一号の旅券の番号
三 国民年金法(昭和三十四年法律第百四十一号)第十四条に規定する基礎年金番号
四 道路交通法(昭和三十五年法律第百五号)第九十三条第一項第一号の免許証の番号
五 住民基本台帳法(昭和四十二年法律第八十一号)第七条第十三号に規定する住民票コード
六 行政手続における特定の個人を識別するための番号の利用等に関する法律(平成二十五年法律第二十七号)第二条第五項に規定する個人番号
七 次に掲げる証明書にその発行を受ける者ごとに異なるものとなるように記載された個人情報保護委員会規則で定める文字、番号、記号その他の符号
イ 国民健康保険法(昭和三十三年法律第百九十二号)第九条第二項の被保険者証
ロ 高齢者の医療の確保に関する法律(昭和五十七年法律第八十号)第五十四条第三項の被保険者証
ハ 介護保険法(平成九年法律第百二十三号)第十二条第三項の被保険者証
八 その他前各号に準ずるものとして個人情報保護委員会規則で定める文字、番号、記号その他の符号
上記の通り、個人情報には、指紋やDNAの塩基配列など身体に固有の特徴を符号化したデータも含まれることが示されていますね。
よって、選択肢③は正しいと判断でき、除外することになります。
④ 個人情報取扱事業者は、その取扱う個人データについて、安全管理のために必要な措置を講じなければならない。
「個人情報取扱事業者」とは、個人情報データベース等を事業の用に供している者を指しますが、国や地方公共団体、独立行政法人、地方独立行政法人は除きます(個人情報保護法第5条第5項)。
そして、個人情報保護法の第四章には「個人情報取扱事業者の義務等」が示されており、本選択肢の内容はこの章に記載されています。
主だった箇所を抜粋していきましょう。
第十五条(利用目的の特定) 個人情報取扱事業者は、個人情報を取り扱うに当たっては、その利用の目的(以下「利用目的」という)をできる限り特定しなければならない。
(中略)
第十六条(利用目的による制限) 個人情報取扱事業者は、あらかじめ本人の同意を得ないで、前条の規定により特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはならない。
(中略)
第十七条(適正な取得) 個人情報取扱事業者は、偽りその他不正の手段により個人情報を取得してはならない。
(中略)
第十八条(取得に際しての利用目的の通知等) 個人情報取扱事業者は、個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を、本人に通知し、又は公表しなければならない。
(中略)
第十九条(データ内容の正確性の確保等) 個人情報取扱事業者は、利用目的の達成に必要な範囲内において、個人データを正確かつ最新の内容に保つとともに、利用する必要がなくなったときは、当該個人データを遅滞なく消去するよう努めなければならない。
(中略)
第二十条(安全管理措置) 個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又はき損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。
第二十一条(従業者の監督) 個人情報取扱事業者は、その従業者に個人データを取り扱わせるに当たっては、当該個人データの安全管理が図られるよう、当該従業者に対する必要かつ適切な監督を行わなければならない。
第二十二条(委託先の監督) 個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない。
第二十三条(第三者提供の制限) 個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。
上記を見ればわかる通り、本選択肢の内容は個人情報保護法第20条を指していると言えます。
よって、選択肢④は正しいと判断でき、除外することになります。