筆記封面

Undergraduate

法学

個人情報保護士試験対策

481

まき

個人情報保護士認定試験に向けての勉強ノートです。テキストより重要項目を書き出してます。

2015.03.09 公開

ノートテキスト

ページ1:

Tap me!
Welcome to Clear!
Swipe!

ページ2:

Flash Sticker
Clear!
Double tap me!

ページ3:

Tap here!
5/5
Camera! Album!

ページ4:

"
Friend
Your name
Your Friends (3)
"
Notebooks
"
Share
*****
9:25
Notebooks
Notebook
ID
LINE
Edit
9:25
1/2
(1) L=180°-26
AC-112.1.1.cx4
a

ページ5:

tap here!
Simple Sticker
A
A ARA

ページ6:

南個人情報保護法の背景を取り組み
①個人情報保護法制定の背景と日本の取り組み
☆個人情報の活用が企業成長の鍵
近年、IT化がますます進展
↓
企業にとってみれば、個人情報は1つの大きな価値
いかに活用するか
統計数字だけでなく、個人の属性もがマーケティングデータとして活用
☆自己情報のコントロールの必要性
・コンピュータ上のデータがいったん流通してしまうと回収はまず不可能
●自己情報コントロール機:現実的には相手に対し何らかの担保に基づいて
信用をベースに自分の個人情報を提供
②個人情報の歴史
<考え方>
意思に沿って利用させること。
①欧米諸国では、情報社会の到来に合わせて早くから呼ばれ
法制化についても早期対応がなされた。
(1) 欧米の動き
⇒日本はそれに追随する形で検討がなされ
<重要語句>
① OECD(経済協力開発機構)
⇒ヨーロッパ諸国を中心に日米を含め30ヶ国が
② 1980年「プライバシー保護人データの国際
「関する理事会」採択
(付属文書)
加盟する3階
「OECD プライバシー ガイドライン」公表
OECD8原則
J
(基本原則)

ページ7:

29
30
Parachute Co. L
OECD8原則
7
①目的明確化の原則
個人データ収集の際、収集目的を明確
データ利用は収集目的に合致すべくある。
個人情報保護法第15条(目的)
第6条(
第25条(第三者の
②利用制限の原
③収集制限の原則
④ データ内容の原則
⑤安全保護の原則
=>
データ主体の同意がある場合や法律の規定に
ある場合を除いては、収集したデータを目的以外
利用してはならない。
法第15条、第16条、第23条(上記)
⇒個人データは、適法・公正な手段により、
かつ、情報主体に通知または同意を得て
収集されるべきである。
⇒法第17条(適正な取得)
⇒個人データは、その利用目的に沿ったもので、
かつ、正確・完全・最新であるべきである。
法第19条(データ内容の正確性の確保)
個人データは、合理的な安全保護措置により
失・破壊・使
から保護
すべきである。
⇒法第20条(安全
措置)
第21条(従業者の監督)
第22条(託先

ページ8:

公開の原則
⑦個人参加の原則
⑧ 責任の原則
データ収集の実施方針等を公開
データの存在、キリ明的等を明示
すべきである。
⇒法第18条(取得に際しての利用目的の通知等)
第24条(保有個人データに関する事項の公表等)
第25条(開示)
第26条(訂正等)
第27条(利用停止等)
⇒自己に関するデータの所在および内容を確認させ、
または、異議申立を保証すべきである。
法、第18条、第24条、第25条、第
・第26条、第27条(上記)
⇒ データ管理者は、上記(①~⑦)の諸原則の責任を有する。
⇒法、第31条(個人情報取扱事業者による
苦情の処理)

ページ9:

(2)(連合)の対応
<重要語句>
① EV指令(1995年10月)
「個人データ処理に係わる個人情報の保護及び
当該データの自由な移動に関する欧州議会及び
理事会の指令」⇒採択
EU加盟国に対し、3年以内(1998年10月まで)に
個人情報保護に関する法律の制定、または改正を
求めるもの。
②第三国条項
「第三国への個人データの移転の原則」
EU指令では、OECD8原則を踏まえて、個人データ処理が
適法性に関する一般準則が定められているとともに、第三国条項
そして、EU加盟国から、十分なレベルの個人情報保護措置
を確保していないEU加盟国以外の第三国へ、個人情報を移転
を停止できる条文を国内法に規定することが定められている。
(3) 米国の対応
<重要語句>
①セーフハーバー方式(1998年)
⇒米国の商務省を中心として、独自の自主規制システム
⇒導入
※自主規制を遵守することを企業が自己宣言するもの
↓
米国商務省が自己宣言した企業を認定し、企業名を
セーフハーバーリストに公示
② セーフハーバー原則(2000年)=セーフバーベー原則協定
⇒ 法規制に準じるものであるがEUとの合意に
12年かかった

ページ10:

③ プライバシー法(1974年)
⇒公的部門について、連邦行政機関における
個人情報の扱いがこの法律によって自主規制されていた。
⇒包括的な法律をもたずに特定分野のみを
対象とした個別法
しかし、
EU指令の第三国条項により、自主規制だけでは、
問題が生じる可能性が出てきた。
☆ 1998年 スウェーデンにて、米国の航空会社に対して
スウェーデン国内で収集した搭乗者の個人情報を
米国内の予約センターに移転することを禁止する事態発生!
OECD理事会の勧告
・1980年採択 「プライバシー保護と個人データの国際流通について
のガイドラインに関する理事会勧告」
2本の柱の強調(
1.「プライバシー保護」
2.「個人データの自由な流通」
⇒しかし、矛盾している。
☆1. OECD 理事会勧告は、加盟国に強制するものではなく、
法的拘束力ももたない。
☆2. OECD8 原則は、各国の個人情報保護制の基本となっている。
☆3. 日本の個人情報保護法も、OECD8原則に沿った形で
制定されており、条文が対応しているだけでなく、
「個人情報の有用性」と「個人の権利・利益の保護」という
2つの側面を目的としている点も同様である。

ページ11:

日本の取り組み
(1)先行した行政機関の法規制
1980年に発表されたOECD8原則を受け
1988年12月、国民の個人情報を保有する国の
行政機関を対象に「行政機関の保有する
電子計算機処理に係る個人情報の保護に
関する法律」⇒公布
<この法律の特徴>
①電子計算機(コンピュータ)処理される情報のみ対象
⇒マニュアル処理情報は対象外。
②誤った情報であっても、本人からの訂正請求が認められない。
内容的に不十分
(2)民間部門における自主規制
財団法人日本情報処理
開発協会
1988年(行政と同じ)にJIPDEC(一般財団法人日本情報経済
社会推進協会)
が、「民間部門における個人情報保護のためのガイドライン」
作成
1989年には、通商産業省(現経済産業省)が、JIPDECを基に
「民間部門における電子計算機処理に係る個人情報の
保護について(指針)」策定
また、郵政省(総務省)も電気通信分野における個人情報
保護として、1991年に「通信事業における個人情報保護に
関するガイドライン」策定
これらを基に
事業者団体などが自主的にガイドラインを作り、それらの遵守に
よる自主規制」を行っていた。

ページ12:

No
Date
1995年のEU指令採択後・・・
OECDS原則
を基にした
旧日通商産業省や旧郵政省は、それに対応した
ガイドラインを策定
ル
さらに民間事業者の自主的な取り組みをより支援するため
√
1998年(セーフハーバー方式と同時期)に
・プライバシーマーク制度(旧日通商産業省系)
・個人情報保護マーク制度(旧郵政省系)
↓
制定
1999年に「JIS規格(日本工業規格)
JISQ15001:1999
年号
「個人情報保護に関するコンプライアンス・プログラム
の要求事項」
↓
公表
プライバシーマーク制度もこの基準に対する適合評価制度へ
変更された

ページ13:

Date
(3)個人情報保護法の成立
・日本でも個人情報の大量流出や大量漏洩が社会問題化
(事例) 1999年京都府宇治市 住民基本台帳データ漏えい
民間部門を対象とした個人情報の保護法制の
必要性が叫ばれるようになった。
√
事件発生!
1999年6月「住民基本台帳法の一部を改正する法律案」
の審議過程で「個人情報保護に関する法律について
3年以内に法制化を図る」との与党合意が発表された。
1999年7月:個人情報保護検討部会設置
(当時の高度情報通信社会推進本部のもと)
2000年1月:個人情報保護法制化専門委員会設置
T=
2000年10月:「個人情報保護基本法制に関する大綱を公表
2001年3月:第151回国会に「個人情報の保護に関する法律案」
=提出
継続審議
2002年3月:第154回国会での成立を目指す
再び、継続審議
↑
2002年12月 第155回国会で
gt
審議廃案
不当なメディア規制につながると解釈。
3.業界などから反対が強かった。

ページ14:

2002年に住民基本台帳ネットワークシステム(住基ネット)の
第一次サービス開始
#
本格移動となる第二次サービスの開始が控えていた。
↓
法整備が急務
↓
課題部分を削除・修正した法案
↓
2003年3月の第156回国会
再提出
↓
2003年5月関連法案と共に「個人情報保護に関する法律」
(個人情報保護法)
が可決成立。
1週間後、公布
「基本法」と呼ばれる部分が即日施行
全編同時施行ではない!
↓
2005年4月:全編同時施行

ページ15:

☆個人情報保護法成立・施行までの過程
198017
OECD8 原則 採択
1995年
EU 指令 採択
1999年
JISQ15001:1999
「個人情報保護に関するコンプライアンス・プログラムの要求事項」
策定
京都府宇治市、住民基本台帳データ漏洩事件発生
「個人情報の保護に関する法律案」提出(151回国会)
2001年3月
2002年8月
住基ネット第一次サービス開始
12月
審議未廃案 (155回国会)
2003年3月
再提出
(156回国会)
5月
↓
成立・公布・一部即日施行
「行政機関の保有する個人情報の保護に関する法律」公布
2004年
8月 住基ネット第二次サービス開始
12月
2005年4月
[「個人情報の保護に関する法律の一部の施行期日を定める政令
(政令506号)閣議決定
・「個人情報の保護に関する法律施行令(政令507号)閣議決定
「個人情報の保護に関する基本方針」閣議決定
「個人情報の保護に関する法律についての経済産業分野を
対象とするガイドライン」策定
・情報通信分野、金融・信用分野、医療分野、雇用管理分野、
各分野の「ガイドライン」策定
「個人情報の保護に関する法律」全面施行

ページ16:

☆個人情報保護法制整備の背景
国内での官民にする
IT社会の急速な進展
<公的部門>
電子
・電子自治体の
<民間部門>
国際的な情報流通の拡大・IT化
OECD
・ほとんどの国で、民間部門を対象
にした法制を整備
情報の自由な流通とプライバシー保護の確保
→制度間の調和の要請
・電子商取引の進展
○顧客サービスの高度化等
IT社会の「量」
プライバシー等の個人の権利利益を
侵害する危険性・不安感が増大
官民における個人情報保護法制の確立
○基本理念
→保護と利用の調和
・国等の責務、施策
ル
→基本法制(第1章~第3章)
・民間事業者が遵守すべき規律
→一般法制(第4章)
●公的機関(国・独立行政法人・地方公共団体等)が
遵守すべき規律
行政機関法制
・独立行政法人法制
・条例

ページ17:

Date
(4)個人情報保護法公布後から全面施行に至るまで
①個人情報保護法は、2003年5月の公布と同時に、まず、国や
地方公共団体の義務部分を含む第1章から第3章の基本法部分が
施行された。
②個人情報保護法は、公布後、国が法の詳細を整備すると
ともに、各省庁より事業者が取り組むべき内容の基準が示された。
③ 2005年4月に個人情報取扱事業者の義務部分などの
一般法部分が施行され、個人情報保護法が全面施行
となった。
POINT>
① 1980年に公表された「OECDガイドライン(OECD8原則)」には、
「プライバシー保護と個人データの国際流通」について述べられて
いる。
② OECDガイドラインに含まれるOECD8原則は、各国の個人情報
保護法制の基本となっている。
③ 個人情報保護法は、OECD8原則に対応した内容で構成
され、制定している。

ページ18:

第1第2節 個人情報に関連する規格と制度
① JISQ15001
この規格において、コンプライアンス・プログラム(CP)は、事業者が
自ら保有する個人情報を保護するための方針、組織、計画
実施、監査および見直しを含むマネジメントシステムと定義されている。
そして、これらを策定し、実施し、維持し、スパイラル的に継続的改善
していくことが求められている。
この規定では、ISO9001品質マネジメントシステムや
JISQ 14001 環境マネジメントシステムなどに
共通のPDCA マネジメントサイクルが採用されている。]
JISQ15001が制定されたことにより、事業者は、自己による評価や
顧客による評価および第三者機関による評価によって、この規格との
適合性を利害関係者に示すことができ、理解を得ることができるようになった。
☆第三者機関による評価 プライバシーマーク制度
2003年 →個人情報保護法が成立・公布
↓
OECD8 原則がベース(JISQ15001と同様)
構成・内容は似ている。
しかし・・・
・世情を反映したり・・・
わかりやすい用語に変更されたり······
JISQ15001
個人情報保護法
相違点あり

ページ19:

@ISQ15001:2006
(1)JISQ15001の改定
JIS規格 5年ごとに見直し
ル
個人情報保護法の成立に時間がかかってほった
JISQ15001:1999制定から7年後
↓
2006年5月: JISQ15001:2006「個人情報保護に
関するマネジメントシステム―要求事項」として改定
<変更内容>
<変更点>
・個人情報保護法との用語統一
・項目の細分化→具体的な記述がなされている
・規格名称「コンプライアンス・プログラム」から
個人情報保護マネジメントシステム」へ変更
・PDCAサイクルによる継続的かつスパイラル的な保護活動が
名実ともにより求められることとなった。]
①「適用範囲」「用語及び定義」の用語を個人情報保護法の用語に統一。
「情報主体」→「本人」、個人情報の収集」→個人情報の「取得」
②「リスクなどの認識、分析及び対策」「内部規程」「委託先の監督」の
内容の詳細化
③「緊急事態への準備」「運用手順」「本人にアクセスする場合の措置」
「提供に関する措置」「従業者の監督」「運用の確認」
「是正処置及び予防措置」の追加
④「事業者の代表者による見直し項目」の明確化

ページ20:

JISQ15001:1999
情報主体
JISQ15001改定に伴う用語の変更・追加
JISQ15001:2006
本人
管理者
個人情報保護管理者
受領者
提供を受ける者
監査責任者
個人情報保護整重責任者
コンプライアンス・プログラム(SP)
個人情報保護マネジメントシステム
不適合
収集
取得
預託
委託
(2) JISQ15001:2006の構成
☆JISQ15001:2006は、OECD8原則を基に策定されているため
個人情報の取扱方法に関して要求されている項目)はほぼ
↓
1964
↓
個人情報保護法が個人情報取扱事業者の義務として
個人情報の取得、利用、管理などの取扱方法を中心に記載
されている。
↓
のに対し・・・
JISQ15001:2006は、個人情報保護に関するマドプロトシムの
構築のひな型として、PDCAサイクルにおける、
DO(実施・運用)にあたる個人情報の取扱方法だけでなく、
Plan (計画)やCheck (点検)、Act (Action)改善・
関する要求事項も記載されている。

ページ21:

Date
また、個人情報保護法は、事業者が守るべき義務の規定である。
主務大臣の関与や、義務違反した場合の行政処分や罰則が規定されている。
JISQ15001:2006には記載はない。
JISQ15001:2006の構成
要事項
項目
個人情報保護法
PDCAサイクル
漢文での記載
の対応関係
適用範囲
2
用語が定義
3.1
一般要求事項
X
3.2
個人情報保護方針
▲ (*)
Plan
計画
×
3.4
実施及び運用
0
個人情報保護
35
マネジメントシステム 文書
36
苦情及び相談への対応
3.7
点検
XOX
×
Do
0
×
Check
98
是正処置及び予防処理
×
39
事業者の代表者による見直し
X
Act (Action)
(*)「個人情報の保護に関する基本方針」に記載あり。

ページ22:

(3) JIS Q 15001:2006の要求事項
JISQ15001:2006で規定されている個人情報保護マネジメントシステム
とは、個人情報保護に関する体制を整備し、適切に運用し、
定期的な確認を行い、継続的に改善を行っていくための
体系的な仕組み(PDCAサイクル)のことである。
JISQ15001:2006では、PDCAサイクルを構築し、
管理を行うことが要求されている。
☆Plan
☆Do
3.2 個人情報保護方針
3.3 計画
3.3.1 個人情報の特定
3.3.2 法の特定
3.3.3 リスク分析と対策
3.3.4 資源、役割、責任、権限
3.3.5 内部規程の作成・管理
3.3.6 計画書の作成
3.3.7 緊急事態への準備
3.4 実施及び運用
3.4.1 運用手順の明確化
3.4.2 利用目的の特定
3.4.2.2 適正な取得
3.4.2.3 機微な個人情報の取扱制限
3.4.2.4 直接書面取得の場合の措置
3.4.2.5間接取得等の場合の措置
3.4.2.6利用に関する措置
3.4.2.7アクセスする場合の措置
34.2.8 提供に関する措置
つづく

ページ23:

☆Do
前ページから
3.4.3.1
3,4,3,2
正確性の確保
安全管理措置
3,4,3,3
従業員の監督
3.4.3.4
委託先の監督
3,4.4.1
個人情報に関する権利
3.4.4.2 開示等の求めに応じる手続
3,4,4,3 事項の周知など
3.4.4.4 利用目的の通知
3.4.4.5 開示
3.4.4.6
訂正、追加又は削除、
3,4.9.7 利用・提供の拒否権
3.5
教育
3.5.1 大書の範囲
3.5.2
文書管理
3.5.3
記録の管理
3.6
苦情及び相談への対応
☆Check.
3.7.1
運用の確認
3.7.2
監査
3.8
是正処置及び予防処置
☆Act (Action)
3.9 事業者の代表者による見直し

ページ24:

⑨ プライバシーマーク制度
(1)制定の概要と目的
JIPDEC般財団法人
日本情報経済社会援協会
・プライバシーマーク制度は、日本工業規格のJISQ15001の
適合性を評価する制度
適切な個人情報保護のための体制を整備している事業者
に対し、その申請に基づいて、JIPDECおよび指定審査機関
が評価・認定V、その証として、「プライバシーマーク」を付与
し、事業活動に関して、そのロゴマークの使用を認めている。
プライバシーマーク制度の目的
① 消費者の目に見えるプライバシーマークで示すことによって、
個人情報の保護に関する消費者の意識の向上を図ること。
② 適切な個人情報の取扱いを推進していくことによって、
消費者の個人情報の保護意識の高まりに応え、社会的な
信用を得るためのインセンティブを事業者に与えること。
・プライバシーマーク制度は、1998年に創設され、1997年に
公表された旧通商産業省(現経済産業省)のガイドラインを
認証基準としていた。
しかし、翌年「JISQ15001:1999」が公表され、
適合性評価制度の変更された。
・JISQ15001:1999」が2005年4月の個人情報保護法の
全面施行を受けて、2006年5月に改正された。
2006年5月の改正で「JISQ15001:2006」として公表されたことに
伴い、プライバシーマークの認証基準も改正後の内容に移行した。
・JIPDECは2006年3月に「JISQ15001:2006をベースにした
個人情報保護マネジメントシステム実施のためのガイドライン」を公表した。
これは、プライバシーマーク審査の基準にもなっており、各事業者が個人
情報保護マネジメントシステムを構築し運用するための指針となる。
2010年9月に周ガイドラインの第2版が公表された。

ページ25:

(2)更新と指導・処分等の措置
事業者は、申請時だけでなく継続して
これらの目的を達成しなければならない
↓
2年間の有効期限が設けられている。
↓
以後も2年ごとに更新審査を受けな
・2005年の個人情報保護法全面施行以
↓
「個人情報の保護に関する基本方針」に示されている
各事業者から個人情報の取扱いにおける事故など
に関する公表が積極的に行われるようになった。
↓
プライバシーマーク制度においても、事故の軽重に
かかわらず報告が求められたうえで、適正に対処
するための「指導・処分等の措置が講じられている
指導・処分等とは、
①欠格レベルに応じた措置の区分が設けられている。
②個人情報にかかる事故がどの欠格レベルに相当すまが
③ 欠格性判断基準に基づいて判断されている。

ページ26:

・2006年12月 指導処分等の措置が見直される。
→10段階に細分化
☆措置のこら(事故の欠語レベルに応じて)
業者がマーク
REER PRHP
める。
③ 取消し
② 一時停止
4段階
⑤ 量
④ 注意
認定の権利がされる取消
したままである勧告・注意
認定の一時停止階が加えられた
事故の原因となった連合所を特定し
必要な改善を実施に連合状態に戻すため
期間位置付け。
<期間>
認定の取消しなが
JPBECの
される。
1年間
に応じて
1ヵ月~10月の間
ただレー
期間中でも定められた終了条件を満去した場合→解除
に
期間にしても条件を満たしていない場合→長
結果 一時停止期間が待を超えた場合

ページ27:

Date
ISMS適合性評価制度
ISMS適合性評価制度とは····
・国際的に整合性のとれた情報セキュリティマネジメントシステム
(ISMS: Information Security Management System)
に対する適合性評価制度であり、日本の情報
セキュリティ全体の向上に貢献するとともに、諸外国からも
信頼を得られる情報セキュリティレベルを達成することを目的に
した制度である。
情報セキュリティの基準として、組織が保護すべき情報資産について、
P
機密性
・完全性
▼可用性
を維持することが求められている。
ISMS適合性評価制度の運営はJIPDECが行なっている。
<適合性評価の基準>
・英国(イギリス)での認証基準である、英国規格
BS7799-2:2002を基に国際規格化された
ISO/IEC 27001:2005を国内規格化した
JISQ 27001:2006「情報技術 セキュリティ
技術・情報セキュリティマネジメントシステム
要求事項」である。

ページ28:

☆ISMSの認証取得には、業種や組織の規模は
条件を設けられていないと
したがって・・
法人化されているかどうかにかかわら
公共または月間の会社、法人、企業、機関
あるいは、それらの一部または組み合わせで独自
機能と管理があり、情報セキュリティマネジメントを
実施する能力をもつ組織であれば、認証を取得
できる。
また···
認証取得の範囲にも制限がないので、法人単位
ではなく、事業部・部・課単位、プロジェクト単位
など柔軟に認証を取得できる。
認証登録後は・・・
通常、1年ごとにサーベランス(認証維持)審査が
行われ、再認証(更新)審査は3年ごとに行われる。
認証事業者数は、増え続けており、2014年1月現在
4000組織を超えている
だから…
2015年はもっと

ページ29:

(Pマーク)
プライバシーマーク制度とISHS適合性評価制度
(1) 共にJIPDECが運営
(2)類似点が多い
しかし、異なる点に注意
・いずれもJISで定められたマネジメントシステムの基準に対する
適合性評価という点では共通
・プライバシーマーク制度 対象は個人情報に限定
取扱方法
・ISMS適合評価制度 事業者が取扱う情報全額に
対し、安全管理が対象
共通部分は…
「個人情報の安全管理
基準としているJIS規格について>
ISMS
JIS Q 27001は、国際規格であるISO/IEC 27001
に準拠しているため、国際的に通用する認証制度であるが、
PマークJISQ1500gは準備している国際基準は特になく、
「日本国内の独自の認証制度」である。
ただし····
プライバシーマーク制度は、韓国情報通信産業協会(KAIT)
運営する個人情報保護認証制度 PRIVACY
中国大手ソフトウェア産業協会(DSIA)が運営する
個人情報保護認証制度PIPAと相互承認関係がある。

ページ30:

プライバシーマーク制度(Pマーク)
ISMS BNI &
情報保護に関するマネジメントシステムの整備
従業者教育、内部監査、経営者のレビュー
PDCAサイクルの運用
事業会社単位
部門単位など
認定数
2014年
2014年
13,402
BIRA
4,431組織(189)
保護の対象事業者が取り扱う個人情報
JISQ15001:2006 (国内基準)
ただし、韓国・中国と相互承認あり
有効期限は2年
2年ごとに更新審査
基準となる規格
・維持・更新
ISO/IEC 27001:2005
通常、1年ごとにサーベイランス(認証
審査 再認証(更新)審査は
3年ごと。
組織が保護すべき情報資産
JISQ 27001:2006/

ページ31:

(最重要)
第2章 個人情報保護法の理解
①個人情報保護法制の構式
(1) 個人情報保護法制
①第1章~第3章の個人情報護に関する
民共通の基本法
②第4章~第6章 個人情報取扱事業
対象になる一般
<図表>個人情報保護法制の体系イメージ
※1)個人情報の保護に関する法律
2)行政機関の保有する個人情報
の保護に関する法律
boleta
団体の
基本方針の教
※3独立行政法人等の保有する
個人情報の保護に関する法律
-
あかす
※4)各地方公共団体において制定
される個人情報保護条例
に関する
玉
のガイドライン
*4
民間部門
公的部門

ページ32:

<個人情報保護関連五法>
①個人情報の保護に関する法律(2003年5月30日法律第57号)
基本法制。通称「個人情報保護法」。理念と用語の定義等の
基本法部分と、個人情報取扱事業者に対する義務と罰則を定めた一般法。
②行政機関の保有する個人情報の保護に関する法律(同日法第58号)
国の行政機関に対する一般法
③ 独立行政法人等の保有する個人情報の保護に関する法律(同日法律第59号)
独立行政法人、特殊法人および認可法人で行政機関と同様に
扱うべきものに対する一般法
④ 情報公開・個人情報保護審査会設置法(同日法律第60号
情報公開・個人情報保護審査会の設置および組織・調査審議の
手続き等について定める法律
⑤ 行政機関の保有する個人情報の保護に関する法律等の施行に伴う
関係法律の整備等に関する法律(同日法律第61条)
法第58号から60号の施行に伴い、関係する諸法律について、
規定の整備を行う法律

ページ33:

<図表:個人情報保護法制の構造図>
Date
A以外の
個人情報取扱
行政権力
利用
私人利用者
(A)たる私人
国
地方自治体
↑
個人情報保護法
第1章~第3章 基本法制
第4章
Aの義務
「行政機関個人情報「個人情報保護条例」
保護法」 ・罰則規定
第5章
・強力則規定◎
規定
適用除外など
第6章
・計会社員にも罰則
ない
調整
罰則規定
「改正住民基本台帳法」
ガイドライン
「不正競争防止法」
「国家公務員法」
「地方公務員法♪
・機密情報漏洩
・守秘義務違反
・守秘義務違反罪
「民法」
「国家賠償法
契約債務不履行損害賠
損害賠
不法行為損害賠償義務
「刑法」
・名誉毀損
↓
保護 「杁」たる私人
国民
住民
「利用」「調整」「保護」の3つに区分されている。「保護」が個人情報主体である。
本人を表し、「利用」が個人情報を利用する主体を表わしている。
両者の調整を図るための法規として、民法、不正競争防止法、国家公務員法
国家賠償法、個人情報保護条例などとともに個人情報保護法、行政機関
個人情報保護法がある。

ページ34:

(2)個人情報保護法の構成と概用
・2003年5月に公布・一部施行→基本法
・2005年4月に全面施行 一般法
↓
全6章59条と附則からなる法律
(3)個人情報保護法の構造
・官民共通の基本理念などを定めた「基本法」(2003年5月客倖茅)
と
・民間部門に対する「一般法」(2005年4月、第1章~第6章)
個人情報保護法施行後、内閣総理大臣は、基本方針等を
作成し、公表することが法7条で規定されている。
↓
これに対応し····
↓
2004年4月「個人情報の保護に関する基本方針が公表された。
その基本方針で、産業分野ごとに法律条文を具体化したい、
追加義務を定義したガイドラインや指針を公表することが記載された。
↓
これに対応し…
↓
2004年に各省庁から、順次、ガイドラインが公表

ページ35:

<図表:個人情報保護法の構成と関連法令等」
①:保護法の目的 第1章(総則)
政令
個人情報等の目的(1)、定義() 基本理念(株)
507号、166号
定義、基本理
芋(国民が地方公共団体の責務等)
2003年5月~
念
公布と同時
137047
1.国目地松公共団体の話()
上の措置 (6)
③:国および地方 第3章(個人情報の保護に関する市)
公共団体の責 第1節個人情報の保護に関する基本方針
務等と施策の
(7)
基となる事項 第2節国の施帯(8条~10条)
第3節地方公共団体の施策(1~13)
第4節 国民が地方公共団体の協力(14)
第4章(個人情報取扱業者の義務等
第1節個人情報取扱事 務
(1)利用目的の特定、利用目的による
2005年4月
に施行
③-1:個人情報取 制限(1516)
事業の業務 (2)適な取得、利用目的の通知
(17条18年)
(3)データ内容の正確性の確保(19)
(4)安全管理措置、従業者、手計者の
監督(20~22条)
(5)第三者提供の制限(23条)
(6)公表等、開示、訂正等、利用停止等
(24~27年)
(9) 苦情の処理 (31条)
(8)主務大臣の関与(32)
主務大臣(36条)
③-2:個人情報 民間団体による個人情報の保護
団体
と推冷
④: 雑則と罰則 報道、著述、学術研究、宗教活動
行う団体の除外
[第6章罰則
個人情報取扱の思則 (56条~59条)
基本方針
各産業分野
ガイドライン
⑤:附則抄
附則公布日(2003)から
ただ、等
。
政令
0
の規定は公布後2年
506号
以内に施行

ページ36:

(4)政機関の個人情報保護法
行政機関の保有する個人情報の保護に関する法律」
(行政機関の個人情報保護法)
①対象は、国のすべての行政機関である。
(内面に置かれる機関が会計検査院含む)
②地方公共団体は、対象外(別途、条例が定められているから)
③裁判所の対象外に権分立の観点から。通達に定める。)
☆ 個人情報保護法の読み方のコツ☆
(1)
(34)
① 目的:基本理念を理解する。
②個人情報保護法の条文構成を理解する。
*
条文のブロック構造と、条文やガイドライン等との
関係を意識しながら読むとよい。
③事業者の義務とそれ以外に分けて理解する。
④ 例外条文を別枠で読む。
⑤ 一般義務と努力義務に分けて理解する。
※「できる限り」や「努める」という文言が入っていま
努力義務に注意する。
否定的表現「~してはならない。」
↓
~すれば~してもよい
というように全体を肯定的にとらえると理解しやすく
なることがある。

ページ37:

・人情報保護法の主な改良点>
998
電算がされた個人情報だけでなく。
***8-44. (C)
体も対象となった。
生の強く
ななどの個人情報ファイルにまで開示請求権の対象が
ちされた。
環
定などにかかる申立てについて、第三者が
議を行うこととなった。
構成する書室会
菜などに対する罰則が新設された。

ページ38:

②基本方針とガイドライン
(1)個人情報の保護に関する基本方針
2004年4月、2003年5月に公布(基本法)された
個人情報保護法7条1項に基づき、「個人情報の
保護に関する基本」→閣議決定→公表
※2008年以降、つど、改正
個人情報の施策を推進する方向性を定めたもの
国・地方公共団体・事業者が対象
となる指針を示している。
また、個人情報保護法が全面施行(2005年4月)
された結果、個人情報保護に対する過剰反応など
いくつかの問題が起きた。
<変更点>
さらに・・・
↓対応するため
基本方針の内容が一部変更された。
↓
2008年4月に公表
①過剰反応への対応
②国際的な取り組みへの対応
③ プライバシーポリシー等の記述
④安全管理措置の程度
⑤ 国民生活審議会の役割
2009年9月に消費者庁が新設 所管の変更に伴って、
「政府全体としての制度の統一的な運用を図るための指針」が、
変更・追加された。

ページ39:

(2)各分野のガイドライン
2013年10月現在、民間事業者を対象に、
各所管省庁より、27事業分野について40のガイドライン
そして、総務省から各行政機関および独立行政法人
等に対してのガイドラインが公表されている。
これらの指針やガイドラインでは、法令解釈を明確に
するための詳細な説明や具体的な例の記載を
交え、個人情報取扱事業者が「しなければならない
義務性のある規定と「望ましい」「適切である」等の記述
により、任意に取り組みを求めている項目がある。
義務性のある規定は、各分野の主務大臣が法律に
基づいて勧告、命令を行う際の判断基準となるため、
従がっていなかった場合は、義務違反と判断される。
ガイドラインは、個人情報保護法の施行後の状況
など、環境の変化を踏まえて、適宜見直されることになっている。
経済産業分野のガイドラインでは、2007年3月、2008年2月
および2009年10月に改定され、原則的に毎年見直すように
努とめるとされているが、2014年1月現在、4回目の改定は
行われていない。
複数のガイドラインが適用される事業者があることから、
各省庁において、2008年7月の個人情報保護関係省庁
連絡会議申合せに基づき、内閣府の策定・公表する考え方に
合わせ、ガイドラインの共通化のために必要な措置を
講ずることとなった。
000

ページ40:

個人情報保護法の目的:基本理念
①個人情報保護法の目的(第1条) 基本法を明言している。
個人情報保護法は、IT社会の進展に伴って、
個人情報の利用が拡大していくなかで、個人情報
取り扱う事業者の遵守すべき義務等を定めることにより、
①個人情報の有用性に配慮しつつ
②個人の権利・利益を保護する
ことを目的としている。(法1条)
(要点
注意
「個人情報」ではなく、
「個人の権利・利益」を保護することを求めている。
・個人情報を取り扱う事業者が遵守するルールを定めて
本人との信頼関係を保つことが目標となっている。
的確かつ迅速なサービス等を提供するために不可決なもの。
個人情報取扱事業者による個人情報の利用と個人情報の
主体である本人の自己情報コントロール権の保護との
調整が目的
罰則を課すことを目的としている訳ではない。

ページ41:

②個人情報保護法の基を理念(第3条)
「個人の人格尊重の理念の下に慎重に取り扱われるがきもの」
適正な取扱いが図られなければならない」
☆すべての事業者が個人の意に背いた個人情報の取扱いを
してはならない。
☆3葉は、個人情報保護活動を行う上での基本的な理念
個人情等の定義と分類
カ)個人情報等の定義
法2条(定義)
①個人情報の定義
②個人情報データベース等の定義
・検索可能なもの(政会507号1条)
③個人情報取扱事業者の定義
<個人情報取扱事業者から除かれる者>
1. 国の機関
2. 地方公共団体
3. 独立行政法人等
4.地方独立行政法人
5、過去6ヵ月以内に5,000件を超えない煮
(政令507号2条)

ページ42:

④個人データの定義
⑤保有個人データの定義(6ヶ月)→政令507号4条
⑥本人の定義
2.個人情報の定義と該当例
(1) 「個人情報」とは
・生存する個人に関する情報(死亡したら適用しない)
・当該情報に含まれる氏名、生年月日
・その他の記述等により特定の個人を識別することが
できるもの。(法2条1項)
⑦「生存する個人に関する情報」の対象
・本人関与の規定があること
・死者が実在しない者の情報→除外
情報を取得した後にその本人が死亡した場合
→死亡時点でその情報は個人情報に該当しない。
②「個人に関する情報」の対象
・法人・団体そのものや企業の財務情報などに関する
情報 →「個人」に該当しない。
文字情報、防犯カメラに記録された映像や音声
→本人と判別できる場合は、対象となり得る。

ページ43:

② 「特定の個人を識別することのできるものの対象
自名、映像、音声など本人と特定できる情報
→「個人情報
住所、電話番号、メールアドレス、生年月日、
会社名、評価などの雇田豊理情報などと氏名を
組み合わせた情報
→それらを含めて、
しかし… 氏名をベースにしない記号や数字からなる文字列で
構成されたメールアドレスや社員番号は、単体で特定
個人情報と識別できない場合
→その情報単体では該当しない。
「他の情報と容易に照合することができ、それにより
特定の個人を識別することができるものを含む」
↓
個人情報になる。
※暗号化は、個人情報になる場合がある。
(2)個人情報に該当する事例、しない事例
<該当する>
1、本人の氏名
2.生年月日、連絡先
3.防犯カメラに記録された情報等、本人識別できる映像情報
4.特定の個人を識別できるメールアドレス情報
5、特定個人を識別できる情報が記述されていなくても、
周知の情報を補って認識することにより、特定個人を識別できる情報
6、雇用管理情報
7.個人情報を取得後に当該情報に付加された個人に関する情報
8、官報、電話帳、職員録等で公にされている情報
(本人氏名等)

ページ44:

<該当しない>
1.企業の財務情報等法人等の団体情報
2.
区別のつかないメールアドレス情報
※ただし、他の情報と照合することによって
容易に特定の個人を識別できる場合を除く。
言、特定の個人を識別することができない統計情報
ミ、個人情報データベース等の定義と該当例
(1)「個人情報データベース等」とは
・「個人情報を含む情報の集合体」であり、
特定の条件を満たすもの(法2条2項)
⑦コンピュータで検索できるもの
② 検索が容易なもの
管理されて保管されている場合
ぐちゃぐちゃに(乱雑に)保管されている場合は該当しない。
「不要な個人情報として廃棄することも検討すべきである」

ページ45:

(2)個人情報データベース等に該当する事例該当しない事例
<該当する>
1.電子メールソフトに保管されているメールアドレス帳長
2. ユーザIDとユーザが利用した取引についての
ログ情報が保管されている電子ファイル
3.従業者が名刺情報を所有者の問わない業務用パソコンの
表計算ソフトを用いて入力、整理し、他の従業者
によっても検索できる状態にしている場合
4.人材派遣会社が登録カードを氏名の50音順に
整理し、50音順のインデックスを付してファイルしている場合
5、氏名、住所、企業別に分類整理されている
市販の人名録
<該当しない>
1. 容易に検索できない独自の分類方法により、
名刺を分類した状態である場合
2.氏名、住所等により分類整理されていない状態
である場合
00000000

ページ46:

4.「個人情報取扱事業者とは
(1)対象の範囲
「個人情報デー笑べく天等を事業の用に供して
いる者をいう」(涙みを項)
・個人情報取扱事業者は、個人情報保護法第4章茅
で規定される個人情報の取扱いに関する義務を負う。
~国の呼政機関
別の法の規定が
地方公共団体
独立行政法人等
・地方促立行政法人
・適用される。
→打象がら涙がれている。
・個人の権利利益を害するおそれが少ない事業者は
対象から除かれている(政令307号条)
<定義>
・個人情報によって識別される特定の個人の数が
過去6ヶ月以内のいずれの目において5000件
を超えない者。
↓という事は
過去6ヶ月に一度でも5000件を超えた者は、
個人情報取扱事業者」となる。
<算定>
(事業者の規模とわず)
・1つのベースではなく、その事業者が
保有するすべてのデータベースの会計。
ただし、
(音かの各事業部の総和)
個人の情報は重してカウントしない。

ページ47:

なお、その情報に対して編集や加工をしない場合、
5,000件の算定に加える必要はない。
「事業者」とは法人・個人を問わず、「事業の用に
供していま者なので、営利・非営利にかかわらない。
(例)-NPO法人
数の条件を満たしていれば
・自治会
該当する可能性がある。
同窓会
ただし、
国内法であま
・国外での事業を含まない。
(2)罰則規定の範囲
1.個人情報取扱事業者に該当しない事業者
→罰則の対象にはならない。
現実的には、個人情報事業者にあたるかどうかは、
情報の本人にとっては無関係である。
個人情報保護法の基本理念(法3条)に基づき、
法の義務や合事業分野のガイドラインに準じた
個人情報の適正な取扱いに努めるべきである。
C
E