情報法（法情報学）：第5講

個人情報保護制度 Part 2

個人情報保護法

個人情報取扱事業者・個人関連情報取扱事業者の義務等

※丸数字は OECD 8原則に対応

①利用目的の特定（個人情報17条）
②
- ⑴利用目的による利用の制限（個人情報18条）
  あらかじめ本人の同意を得ずに利用目的達成に必要な範囲を超えて個人情報を取り扱ってはならない（例外あり★）
- ⑵第三者提供の制限（個人情報27条～31条）
  - あらかじめ本人の同意を得ずに個人データを第三者に提供してはならない（例外あり★）
  - 外国の第三者に個人データを提供する場合，その旨の本人の同意を得なければならない
  - 個人データを第三者に提供したときは，これに係る所定の記録を作成しなければならない
  - 第三者から個人データの提供を受ける場合，当該第三者について所定の確認をしなければならない
  - 第三者が個人関連情報を個人データとして取得することが想定される場合，個人関連情報取扱事業者は所定の確認をしないで提供してはならない
③適正な取得（個人情報20条）
- 不正の手段により個人情報を取得してはならない
- あらかじめ本人の同意を得ずに要配慮個人情報を取得してはならない（例外あり★☆）
④データ内容の正確性の確保等（個人情報22条）
個人データを正確かつ最新の内容に保つとともに，利用の必要がなくなったときは遅滞なく当該個人データを消去するよう努めなければならない
⑤
- ⑴安全管理措置＆従業者・委託先の監督（個人情報23条～25条）
- ⑵個人データの漏洩・滅失・毀損等があった際の個人情報保護委員会への報告等（個人情報26条）
⑥
- ⑴利用目的の通知・公表（個人情報21条）
- ⑵保有個人データに関する事項の公表等（個人情報32条）
⑦開示・訂正等・利用停止等とこれらの手続（個人情報33条～39条）
- ⒜本人による個人データの開示請求（個人情報33条）
  ⇒原則開示義務
  
  例外：　全部または一部の不開示
  - 本人または第三者の生命・身体・財産その他の権利利益を害するおそれがある場合
  - 個人情報取扱事業者の業務の適正な実施に著しい支障を及ぼすおそれがある場合
  - 他の法令に違反することとなる場合
- ⒝個人データの内容が事実でないとき　
  ☞本人による訂正・追加・削除の請求（個人情報34条）
  
  ⇒利用目的達成に必要な範囲内において，調査→訂正等
- ⒞
  - ⅰ利用制限・収集制限に違反して利用・収集されているとき　
    ☞本人による利用停止・消去の請求
  - ⅱ第三者提供制限に違反して提供されているとき　
    ☞本人による提供停止の請求（個人情報35条）
  ⇒違反是正に必要な限度で利用停止・消去・提供停止
⑧苦情処理（40条）

例外★：
- 法令に基づく場合
- 人の生命・身体・財産の保護のため必要がある場合で，本人の同意を得ることが困難であるとき
- 公衆衛生向上または児童の健全な育成推進のため特に必要がある場合で，本人の同意を得ることが困難であるとき
- 行政機関等の法令所定事務の遂行に対して協力する必要がある場合で，本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき
- 当該個人情報取扱事業者が学術研究機関等である場合で，当該個人情報を学術研究目的で取り扱う必要があるとき〔㊟〕
- 学術研究機関等に個人データを提供する場合で，当該学術研究機関等が当該個人データを学術研究目的で取り扱う必要があるとき〔㊟〕
- ㊟目的の一部が学術研究目的である場合を含み，個人の権利利益を不当に侵害するおそれがある場合を除く
例外☆：
- 当該要配慮個人情報が，本人・行政機関・学術研究機関等・適用除外対象者（報道機関等）・外国政府・国際機関等により公開されている場合（施行規則6条）
- その他上記に準ずる政令所定の場合（本人を目視・撮影することで外形上明らかな要配慮個人情報を取得する場合など）（施行令9条）

仮名加工情報に関する義務

①仮名加工情報取扱事業者の義務（個人情報41条）
- ⑴他の情報と照合しない限り個人情報が復元できないような加工
- ⑵削除した記述等・個人識別符号ならびに加工方法に関する情報（＝削除情報等）の漏洩防止措置
- ⑶利用目的の達成に必要な範囲を超える仮名加工情報の取扱いの禁止
- ⑷仮名加工情報の利用目的の公表
- ⑸仮名加工情報である個人データおよび削除情報等が不要になった場合の消去努力義務
- ⑹仮名加工情報である個人データの第三者提供の制限
- ⑸個人識別のための仮名加工情報と他の情報との照合の禁止
- ⑹架電・郵送その他の送信または住居訪問のために仮名加工情報に含まれる連絡先等を利用することの禁止
- ※仮名加工情報等については，利用目的変更の制限（個人情報17条），漏洩等の報告（同26条）ならびに公表および開示・訂正等・利用停止等（同32条以下）は適用除外となる（個人情報41条9項）
②個人情報を除く仮名加工情報を第三者に提供することの制限等（個人情報42条）

匿名加工情報に関する義務

①個人情報取扱事業者が匿名加工情報を作成する際の義務（個人情報43条）
- ⑴個人情報が復元できないような加工
- ⑵削除した記述等・個人識別符号ならびに加工方法に関する情報漏洩防止措置
- ⑶匿名加工情報に含まれる個人に関する情報の項目の公表
- ⑷第三者提供される情報の項目およびその提供方法の公表等
- ⑸個人識別のための匿名加工情報と他の情報との照合の禁止
- ⑹安全管理のための必要な措置，苦情処理，適正な取扱いを確保するための必要な措置等
②匿名加工情報取扱事業者の義務
- ⑴第三者提供される情報の項目およびその提供方法の公表等（個人情報44条）
- ⑵個人識別を目的とした削除事項・加工方法に関する情報取得および他の情報との照合の禁止（個人情報45条）
- ⑶安全管理措置（個人情報46条）

行政処分と民間団体

①個人情報保護委員会（内閣府設置法に基づく行政機関＝個人情報130条）
個人情報取扱事業者・仮名加工情報取扱事業者・匿名加工情報取扱事業者・個人関連情報取扱事業者に対して……
- 報告・資料提出の求め
- 事務所等への立入り，質問，検査
- 指導・助言（行政指導）
- ⑴個人情報保護委員会による勧告
  違反行為の中止，違反是正に必要な措置を取るべき旨
- ⑵個人情報保護委員会による命令
  上記⑴に対して正当理由なく措置を取らなかった場合＆
  個人の重大な権利利益を害する事実があるため緊急に措置を取る必要があると認めるとき
  - ※個人情報保護委員会は一部の権限（報告等の求め、立入り・質問等）を事業所管大臣に委任できる
  - ※個人情報保護委員会の命令に違反　⇒罰則（個人情報178条）
- ⑶その他の罰則
  - 個人情報保護委員会の秘密保持義務違反（個人情報177条）
  - 個人情報取扱事業者による個人情報データベース等の不正利用等（個人情報179条）
②認定個人情報保護団体
民間団体が苦情処理や事業者への情報提供等を行う

適用除外

個人情報取扱事業者＆個人関連情報取扱事業者だが義務規定の適用なし（個人情報57条）

⑴報道機関（個人を含む）の報道目的
⑵著述業者の著述目的
⑶宗教団体の宗教活動（付随活動を含む）用の目的
⑷政治団体の政治活動（付随活動を含む）用の目的
※令和3年改正法までは「大学・学術研究機関の学術研究用の目的」についても一律で適用除外とされていたが，同改正により個別に規定されるようになった。

情報法（法情報学）： 第5講

個人情報保護法

個人情報取扱事業者・個人関連情報取扱事業者の義務等

仮名加工情報に関する義務

匿名加工情報に関する義務

行政処分と民間団体

適用除外

関連事例

情報法（法情報学）：第5講