今回は、「運営管理 ~R2-43 その他店舗・販売管理(22)個人情報の保護~」について説明します。
目次
運営管理 ~令和2年度一次試験問題一覧~
令和2年度の試験問題に関する解説は、以下のページを参照してください。
個人情報保護法
「個人情報保護法」とは、「個人情報の有用性に配慮しつつ個人の権利利益を保護すること」を目的として2005年に施行された「個人情報の保護に関する法律」の略称であり、情報通信技術の発展や事業活動のグローバル化等の急速な環境変更等に対応することを目的として、2017年5月30日に改正されました。
改正された「個人情報保護法」では、個人情報の対象を明確化するために、新たに「個人識別符号」という種別が定義されました。
また、改正前の「個人情報保護法」では、5,000人以内の個人情報しか保有していない中小企業・小規模事業者は適用対象外となっていましたが、法改正によりこの規定は廃止され、個人情報を取り扱う「すべての事業者」に適用されるようになりました。なお、「すべての事業者」には、法人だけでなく、マンションの管理組合、NPO法人、自治会や同窓会などの非営利組織も含まれます。
「個人情報保護法」では、個人情報を取り扱う事業者に対して「個人情報の取得・利用」「個人データの安全管理措置」「個人データの第三者提供」「保有個人データの開示請求」といった対策を講じるよう定められています。
個人情報とは
「個人情報」とは、生存する個人に関する情報であり、以下に該当する情報のことをいいます。
- 生存する個人に関する情報であって、特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができるものを含む。)
- 「個人情報符号」を含むもの(2017年5月30日の法改正により追加)
「個人情報」には、氏名、性別、生年月日、顔画像などといった個人を識別する情報に限らず、個人の身体、財産、職種、肩書等の属性に関して、事実、判断、評価を表す全ての情報であり、評価情報、公刊物等によって公にされている情報や、映像、音声による情報も含まれています。また、その情報が暗号化等によって秘匿化されているかどうかは関係ありません。
「生存する個人」には日本国民だけでなく外国人も含まれますが、法人その他の団体は「生存する個人」には該当しないため、法人等の団体そのものに関する情報は含みません。ただし、役員、従業員等に関する情報は個人情報として扱われます。
また、死者に関する情報が、遺族等の生存する個人に関する情報である場合には、遺族等の生存する個人に関する情報として扱われます。
この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。(個人情報保護法2条1項)
- 当該情報に含まれる氏名、生年月日その他の記述等(文書、図画若しくは電磁的記録(電磁的方式(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式をいう。次項第二号において同じ。)で作られる記録をいう。第十八条第二項において同じ。)に記載され、若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項(個人識別符号を除く。)をいう。以下同じ。)により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)
- 個人識別符号が含まれるもの
個人識別符号(2017年5月30日の法改正により追加)
改正された「個人情報保護法」では、個人情報の対象を明確化するために、新たに「個人識別符号」という種別が定義されました。
「個人情報符号」とは、その情報だけでも特定の個人を識別できる文字、番号、記号、符号等のことをいい、「身体的な特徴を示す情報」と「公的機関が割り振った番号などの情報」があります。
身体的な特徴を示す情報
「身体的な特徴を示す情報」には、指紋データや顔認識データのような個人の生体情報をコンピュータの用に供するために変換した文字、番号、記号等の符号が含まれます。
- DNAの塩基配列
- 顔画像から目の間の距離や鼻の長さなどの顔貌の特徴を抽出した特徴
- 虹彩(眼球)の表面の起伏により形成される線状の模様
- 声帯の振動、声門の開閉並びに声道の形状及びその変化量
- 指紋又は掌紋
特定の個人の身体の一部の特徴を電子計算機の用に供するために変換した文字、番号、記号その他の符号であって、当該特定の個人を識別することができるもの(個人情報保護法2条2項1号)
公的機関が割り振った番号などの情報
「公的機関が割り振った番号などの情報」には、旅券番号や運転免許証番号のような個人に割り当てられた文字、番号、記号等の符号が含まれます。
- マイナンバー
- 旅券番号
- 基礎年金番号
- 運転免許証番号
- 住民票コード
- 健康保険証番号
個人に提供される役務の利用若しくは個人に販売される商品の購入に関し割り当てられ、又は個人に発行されるカードその他の書類に記載され、若しくは電磁的方式により記録された文字、番号、記号その他の符号であって、その利用者若しくは購入者又は発行を受ける者ごとに異なるものとなるように割り当てられ、又は記載され、若しくは記録されることにより、特定の利用者若しくは購入者又は発行を受ける者を識別することができるもの(個人情報保護法2条2項2号)
個人データデータベース等/個人データ/保有個人データ
「個人情報」をデータベース化したり、検索可能な状態にしたものを「個人情報データベース等」といい、「個人情報データベース等」を構成する情報のことを「個人データ」といいます。
また、「個人データ」のうち、事業者が修正、削除等を行う権限が有しており、6ヶ月以上保有するものを「保有個人データ」といいます。
事業のために「個人情報データベース等」を扱っている者を「個人情報取扱事業者」といい、「個人情報取扱事業者」が「個人情報保護法」の適用対象となります。
また、「個人情報取扱事業者」は、本人から「保有個人データ」の開示請求を受けたときは、本人に対し、原則として当該保有個人データを開示しなければなりません。
要配慮個人情報(2017年5月30日の法改正により追加)
「要配慮個人情報」とは、心身の機能障害、健康診断結果、刑事事件に関する手続きが実施されたことなど、本人に対する不当な差別や偏見などの不利益が生じないよう、特に配慮が必要な「個人情報」のことをいいます。
- 人種
- 信条
- 社会的身分
- 病歴
- 犯罪の経歴
- 犯罪被害の事実 など
「要配慮個人情報」を取得するには、利用目的の特定、通知または公表に加えて、原則として本人の同意が必要であり、「要配慮個人情報」を含む「個人データ」については、「オプトアウト」によって第三者に提供することはできません。
オプトアウトによる個人データの第三者提供
「個人情報」を取り扱う事業者が「個人データ」を「第三者提供」するためには、原則としてあらかじめ本人の同意を得る必要があり、本人から「事前の同意」を得ることを「オプトイン」といいます。
これに対して、本人に対して「個人データ」を「第三者提供」することを、あらかじめ通知または認識しうる状態にしておき、個人情報保護委員会にあらかじめ届けた上で、本人がこれに反対をしないかぎり、同意したものとみなし、第三者提供することを、「オプトアウト」といいます。
匿名加工情報(2017年5月30日の法改正により追加)
「匿名加工情報」とは、特定の個人を識別できないように個人情報を加工した情報であり、かつその情報から元の個人情報を復元できないようにした情報のことをいいます。
「匿名加工情報」は、個人情報の取り扱いよりも緩やかなルールの下で、本人同意を得ることなく、事業者間におけるデータ取引やデータ連携を含むパーソナルデータの利活用を促進することを目的として、2017年5月30日の法改正により追加されました。
「匿名加工情報」と「統計情報」の違い
「統計情報」とは、複数人の情報から共通要素に係る項目を抽出して同じ分類ごとに集計して得られるデータであり、集団の傾向または性質などを数量的に把握するもののことをいいます。
つまり、「統計情報」は、特定の個人との対応関係が排斥されている限りにおいては、そもそも「個人に関する情報」に該当するものではないため、「個人情報保護法」における規制の対象外と整理されています。
試験問題
それでは、実際の試験問題を解いてみます。
【令和2年度 第43問】
顧客属性データを活用する事業者は、個人情報保護法に基づいて、個人情報の取り扱いには細心の注意を払いながら活用する必要がある。
個人情報保護法に関する記述の正誤の組み合わせとして、最も適切なものを下記の解答群から選べ。
a 個人情報の定義の明確化を図るため、その情報単体でも個人情報に該当することとした「個人識別符号」の定義が設けられている。
b 匿名加工情報(特定の個人を識別することができないように個人情報を加工した情報)の利活用の規定が設けられている。
c 小規模事業者を保護するため、取り扱う個人情報の数が5,000以下である事業者を規制の対象外とする制度が設けられている。
[解答群]
ア a:正 b:正 c:誤
イ a:正 b:誤 c:正
ウ a:誤 b:正 c:正
エ a:誤 b:正 c:誤
オ a:誤 b:誤 c:正
中小企業診断協会Webサイト(https://www.j-smeca.jp/contents/010_c_/shikenmondai.html)
考え方と解答
個人情報保護法に関する知識を問う問題です。
「個人情報保護法」とは、「個人情報の有用性に配慮しつつ個人の権利利益を保護すること」を目的として2005年に施行された「個人情報の保護に関する法律」の略称であり、情報通信技術の発展や事業活動のグローバル化等の急速な環境変更等に対応することを目的として、2017年5月30日に改正されました。
今回の問題では、2017年5月30日に改正された内容について知識を問われています。
a 適切です。
改正された「個人情報保護法」では、個人情報の対象を明確化するために、新たに「個人識別符号」という種別が定義されました。
「個人情報符号」とは、その情報だけでも特定の個人を識別できる文字、番号、記号、符号等のことをいい、「身体的な特徴を示す情報」と「公的機関が割り振った番号などの情報」があります。
したがって、個人情報の定義の明確化を図るため、その情報単体でも個人情報に該当することとした「個人識別符号」の定義が設けられているため、選択肢の内容は適切です。
b 適切です。
「匿名加工情報」とは、特定の個人を識別できないように個人情報を加工した情報であり、かつその情報から元の個人情報を復元できないようにした情報のことをいいます。
「匿名加工情報」は、個人情報の取り扱いよりも緩やかなルールの下で、本人同意を得ることなく、事業者間におけるデータ取引やデータ連携を含むパーソナルデータの利活用を促進することを目的として、2017年5月30日の法改正により追加されました。
したがって、匿名加工情報(特定の個人を識別することができないように個人情報を加工した情報)の利活用の規定が設けられているため、選択肢の内容は適切です。
c 不適切です。
改正前の「個人情報保護法」では、5,000人以内の個人情報しか保有していない中小企業・小規模事業者は適用対象外となっていましたが、法改正によりこの規定は廃止され、個人情報を取り扱う「すべての事業者」に適用されるようになりました。
したがって、法改正より従前は、小規模事業者を保護するため、取り扱う個人情報の数が5,000以下である事業者を規制の対象外とする制度が設けられていましたが、法改正により、その規定は廃止されたため、選択肢の内容は不適切です。
「a:正 b:正 c:誤」であるため、答えは(ア)です。
コメント