概要

個人情報保護法(個人情報の保護に関する法律)は、個人情報の適正な取り扱いを定める日本の法律です。GDPR(General Data Protection Regulation)は EU の個人データ保護規則で、日本企業でも EU 居住者のデータを扱う場合は適用されます。SC試験では、定義・義務・例外・越境移転の規制が頻出です。

仕組みと動作原理

個人情報の定義と分類

種類定義
個人情報生存する個人を識別できる情報氏名・住所・メールアドレス
要配慮個人情報差別・偏見につながるおそれのある特定の情報人種・信条・病歴・犯罪歴・障害
個人識別符号それ単体で個人を識別できる符号マイナンバー・旅券番号・指紋データ
匿名加工情報特定個人を識別できないよう加工した情報統計データ・利用規約の同意不要で第三者提供可
仮名加工情報他の情報と照合しなければ識別できないよう加工内部分析に活用可だが外部提供には制限

個人情報取扱事業者の主な義務

義務内容
利用目的の特定・明示収集前に利用目的を明確にし公表・通知
適正な取得不正な手段での取得禁止。要配慮情報は原則として本人同意が必要
安全管理措置漏洩・毀損・滅失防止のための技術的・組織的措置
第三者提供の制限原則として本人同意が必要
保有個人データの開示・訂正・削除本人からの請求に対応する義務

第三者提供の例外(同意不要のケース)

例外具体例
法令に基づく場合捜査機関からの照会・税務調査
人命・財産保護で本人同意困難な場合災害時の安否確認
公衆衛生・児童健全育成感染症対策
国の機関への協力統計調査への回答
オプトアウト手続き第三者提供を公表しオプトアウト機会を提供(要配慮情報は不可)

GDPR との主な比較

観点個人情報保護法GDPR
適用対象日本国内で個人情報を取り扱う事業者EUおよびEEAの居住者のデータを扱うすべての事業者(域外適用)
同意の要件比較的緩やか明示的・自由意思・特定的・情報提供済みの同意が必要
データ主体の権利開示・訂正・利用停止アクセス・訂正・消去(忘れられる権利)・ポータビリティ・異議申し立て
漏洩通知義務個人情報保護委員会+本人へ報告義務72時間以内に監督機関へ通知
制裁金措置命令・刑事罰(1億円以下等)最大 2,000 万ユーロまたは全世界年間売上高の4%のいずれか高い方

越境データ移転の規制

EU からの個人データを日本に移転するには:

  1. 十分性認定:EU から日本は2019年に十分性認定を受けており、一般的に可能
  2. 標準データ保護条項(SCC):EU委員会が承認した標準契約条項を使用
  3. 拘束的企業準則(BCR):グループ企業内でのデータ移転用

SC試験での頻出ポイント

  • 要配慮個人情報の特徴:取得に原則として本人の明示的同意が必要・オプトアウトは不可
  • 匿名加工情報と仮名加工情報の違い:匿名加工情報は同意なしで第三者提供可、仮名加工情報は内部利用が主
  • GDPR の域外適用:日本企業でも EU 居住者の個人データを扱う場合は GDPR が適用される
  • 忘れられる権利(Right to Erasure):GDPRのデータ主体は個人データの削除を要求できる
  • 漏洩時の報告義務:GDPRは72時間以内の通知義務。個人情報保護法(2022年改正)も報告義務化

よくある誤問・ひっかけパターン

誤り① 「メールアドレス単体は個人情報にならない」→ 。氏名なしでも、メールアドレスだけで個人を識別できる場合は個人情報です。

誤り② 「要配慮個人情報はオプトアウトで第三者提供できる」→ 。要配慮個人情報は本人の明示的同意が必要で、オプトアウト手続きでの第三者提供は認められません。

誤り③ 「GDPRは EU 企業にのみ適用される」→ 。域外適用があり、EU 居住者の個人データを取り扱う日本企業にも適用されます。

関連用語

重要キーワード

用語説明
要配慮個人情報人種・病歴・犯罪歴など、取得・提供に明示的同意が必要な情報
匿名加工情報特定個人を識別できないよう加工した情報。第三者提供は同意不要
仮名加工情報他情報との照合なしに識別不可な情報。内部分析向け
オプトアウト拒否しない限り第三者提供される仕組み(要配慮情報は不可)
十分性認定EUが第三国のデータ保護水準を十分と認定する決定
忘れられる権利GDPRのデータ主体が個人データの削除を要求できる権利