今日は、平成27年度 第2問について解説します。
個人情報の保護に関する法律(本問において「個人情報保護法」という。)に関する次の記述のうち、最も不適切なものはどれか。
① 他の情報と照合しなければ特定の個人を識別することができない情報は、個人情報保護法における個人情報に該当することはない。
② 指定流通機構(レインズ)にアクセスできる事業者は、取り扱う個人情報の数にかかわらず個人情報取扱事業者に該当する。
③ 個人情報取扱事業者は、あらかじめ利用目的を公表していれば、個人情報を取得した場合に、その利用目的を本人に口頭又は書面等で直接に通知する必要はない。
④ 個人情報を含む情報の集合物については、電子計算機によって特定の個人情報が検索できるように体系的に構成されていなくても、個人情報データベースに該当することがある。
解説
個人情報保護法に関する問題です。
それではさっそく選択肢を確認しましょう。
選択肢 ①
他の情報と照合しなければ特定の個人を識別することができない情報は、個人情報保護法における個人情報に該当することはない。
×不適切です
個人情報保護法における個人情報とは、生存する個人に関する情報であって、その情報に含まれる氏名や生年月日などの記述等によって特定の個人を識別することができるものをいいます。
なお、他の情報と容易に照合ができて、照合することによって特定の個人を識別できる情報も含まれます。
また、個人識別符号が含まれるものは、単体で個人情報に該当します。
つまり、他の情報と照合しなければ特定の個人を識別することができない情報であっても、個人情報識別符号が含まれるものは、単体でも個人情報保護法における個人情報に該当します。よってこの選択肢は不適切です。
選択肢 ②
指定流通機構(レインズ)にアクセスできる事業者は、取り扱う個人情報の数にかかわらず個人情報取扱事業者に該当する。
〇適切です。
個人情報取扱事業者とは、個人情報データベース等を事業の用に供している者をいいます。
個人情報データベース等を事業の用に供している限り、取り扱う個人情報の数にかかわらず個人情報取扱事業者に該当します。
また、指定流通機構(レインズ)にアクセスできる管理業者は、自ら個人情報データベースを作成・保有していなくても、個人情報取扱事業者に該当します。
選択肢の説明通りですので、この選択肢は適切です。
選択肢 ③
個人情報取扱事業者は、あらかじめ利用目的を公表していれば、個人情報を取得した場合に、その利用目的を本人に口頭又は書面等で直接に通知する必要はない。
〇適切です。
個人情報取扱事業者には、個人情報の利用目的に関する規制が定められています。
個人情報を取得する場合に、あらかじめその利用目的を公表している場合を除き、取得後速やかにその利用目的を本人に通知するか、公表しなければならないという利用目的の通知・公表の義務があります。
選択肢の説明の通り、あらかじめ利用目的を公表していれば、その利用目的を本人に通知する必要はありませんので、この選択肢は適切です。
選択肢 ④
個人情報を含む情報の集合物については、電子計算機によって特定の個人情報が検索できるように体系的に構成されていなくても、個人情報データベースに該当することがある。
〇適切です。
個人情報データベース等とは、特定の個人情報を電子計算機を用いて検索することができるように体系的に構成した、個人情報を含む情報の集合物をいいます。
紙媒体においても、個人情報を五十音順や番号順など一定の規則に従って整理・分類し、目次、索引、符号などを付けて、他人でも容易に検索可能な状態にしているものも該当します。たとえば、電子メールソフトのメールアドレス帳や、顧客カードや名刺を50音順に整理してインデックスを付けたファイルなどがこれに該当します。
選択肢の説明の通り、電子計算機を用いて検索することができるように体系的に構成されていない紙媒体のものでも、一定の規則に従って整理・分類し、目次、索引、符号などを付けて、他人でも容易に検索可能な状態にしていれば、個人情報データベース等に該当しますので、この選択肢は適切です。
以上から、正解は選択肢①となります。
※個人情報保護法の改正に伴い、選択肢②を改題しております。
本試験での出題「選択肢②:自社で保有するデータベース等を構成する個人情報によって識別される特定の個人の数の合計が 5,000 に達していなくても、指定流通機構(レインズ)にアクセスできる事業者は、個人情報取扱事業者に該当する。」
今回は、古い表現を整理し、現在の法制度に合わせて「取り扱う個人情報の数にかかわらず」と簡潔に書き換えて解説しました。
★関連解説★
2025年度版 一発合格まとめシート おかげさまで好評販売中!
