＃４　個人情報保護法

保有個人データの管理

◆保有個人データに関する事項の公表

①本人の知り得る状態に置く必要ない場合に、利用目的が明らかである場合は含まれない。
②本人の知り得る状態に置くもの(全ての利用目的、 苦情申出先、 安全管理措置、氏名又は名称及び住所/法人は代表者、手数料額等)
③前項の規定(利用目的が明らかな場合など法第32条(第2項・第3項))に基づき求められた保有個人 データの利用目的を通知しない旨の決定をしたときは、本人に対し、遅滞なく、 その旨を通知しなければならない。

【ポイント】
・本人の知り得る状態の必要性に利用目的の明らかさは関係なし。
・知り得る状態に置く義務＋通知義務は、分けて考える。
・知りえる状態の項目（目的・苦情・安全措置・名称・代表者）
・すでに消去されてた場合は、開示対象にならない。

◆保有個人データの開示及び訂正等

①開示不要の場合 : 生命、身体、財産その他の権利利益を害するおそれ等）
②利用目的の通知を求められたとき又は開示の請求を受けたときは、手数料を設定可能。 (訂正時の手数料は×)
③内容の訂正等に関して他の法令の規定により特別の手続が定められている場合は、本規定は適用されず、 当該他の法令の規定が適用される。

【ポイント】
・②手数料は、利用目的の通知と開示請求だけに注意
・他の法令の特別手続きは、他の法令の規定が適用

◆保有個人データの利用停止等及び第三者提供の停止

①個人情報取扱事業者は、本人の同意ない目的外利用、不適正な利用、不正の手段、本人の同意なく要配 慮個人情報による請求を受けた場合であって、その請求に理由があることが判明したときは、違反を是正する ために必要な限度で、遅滞なく、当該保有個人データの利用停止等を行わなければならない。
②当該保有個人データの利用停止等に多額の費用を要する場合その他の利用停止等を行うことが困難な場 合である場合、本人の権利利益を保護するため必要なこれに代わるべき措置をとる必要がある。 (代替えの 措置が必要)

【ポイント】
・②利用停止が避けられる事例は、多額の費用などが発生するからといって避けられるのではなく、本人の権利利益を保護するため必要なこれに代わるべき措置をとることが必要になる。

◆仮名加工情報取扱事業者

【個人情報である仮名加工情報の取扱いに関する義務等】
※他の情報と容易に照合し、特定の個人を識別可能
①利用目的の達成に必要な範囲を超えて、取り扱ってはならない。
②取得時、利用目的を公表（事前の公表除く）しなければならない。
③必要がなくなったときは、遅滞なく消去するよう努めなければならない。
④第三者提供の禁止（特例除く）
⑤識別行為の禁止（他の情報と照合）
⑥本人への連絡等の禁止
⑦不適正利用の禁止、適正取得、安全管理措置、従業者の監督、委託先の監督、苦情処理
【個人情報でない仮名加工情報の取扱いに関する義務等】
※他の情報と容易に照合し、特定の個人を識別できない
⑧第三者提供の禁止（特例除く）
⑨安全管理措置、従業者の監督、委託先の監督、苦情処理、識別行為の禁止、本人への連絡等の禁止

【ポイント】
・第三者提供の禁止と必要がないときの消去
・③④が頻出、③は努力義務であること

◆匿名加工情報取扱事業者

【匿名加工情報を作成する個人情報取扱事業者が遵守する義務等】
①作成するときは、適正な加工
②作成したときは、加工方法等の情報の安全管理措置
③作成したときは、情報の項目を公表しなければならない。
④作成したときは、安全管理措置、苦情の処理などの措置を自主的に講じて、その内容を公表するよう努めなければならない。
⑤第三者提供するときは、提供する情報の項目及び提供方法について公表、匿名加工情報である旨を明示しなければならない。
⑥自ら利用するとき、他の情報と照合してはいけない。（識別行為の禁止）

【匿名加工情報データベース等を事業の用に供している匿名加工情報取扱事業者が遵守する義務等（※）】
⑦適正な取扱いを確保するため、安全管理措置、苦情の処理などの措置を自主的に講じてその内容を公表するよう努めなければならない。
⑧第三者提供するときは、提供する情報の項目及び提供方法について公表、匿名加工情報である旨を明示しなければならない。
⑨自ら利用するとき、他の情報と照合してはいけない。（識別行為の禁止）

⑩「事業の用に供している」一定の目的をもって反復継続して遂行される同種の行為、社会通念上事業と認められるもの（営利・非営利問わない）
⑪「作成するとき」匿名加工情報として取り扱うために作成するときであり、安全管理措.置の一環、統計情報作成時の一部の削除、置き換えは、「作成するとき」にあたらない。

【ポイント】
・公表の義務と努力義務の入れ替え。自主的に講じるもの（安全管理、苦情、その内容の公表）は努力義務、以外は、義務と捉えとくと良い

◆認定個人情報保護団体

①認定個人情報保護団体の認定・監督等については、
　平成27年改正法: 個人情報保護委員会に一元化(従来: 主務大臣)
②認定個人情報保護団体は、 対象事業者の氏名又は名称を
　公表しなければならない。
③認定業務の対象となることについて同意を得た個人情報取扱事業者等を
　対象事業者としなければならない。
④個人情報保護指針を遵守しないときは、当該対象事業者を
　認定業務の対象から除外することができる。
⑤認定業務として、個人情報保護指針と個人情報委員会への届け出を担う
⑥紛争の調停や仲裁は行わない(苦情相談などの対応は実施)

【ポイント】
・認定個人情報保護団体の役割と①②⑤⑥のキーワードの理解
・平成27年改正法: 個人情報保護委員会に一元化(従来: 主務大臣)

◆個人情報保護委員会

①個人情報の適正な取扱いの確保を図ることを任務とする独立性の高い機関
②主務大臣は内閣総理大臣 (改正個人情報保護法59条2項)
③委員長・委員は、両議院の合意で内閣総理大臣が任命
④委員会の委員長や委員は職権行使の独立性が認められている
　(改正個人情報保護法62条))
⑤委員長及び委員 8人
⑥任期は5年で再任が可能

【ポイント】
・①②③④⑤⑥のキーワードの理解（特に③・⑥が注意）
・余力あれば、リンクの基本理念を一読
・委員人数、任期、独立性、大臣

◆個人情報取扱事業者の義務等の適用除外

①放送機関、新聞社、通信社その他機関（報道を業としている個人含む）
　報道の用に供する目的フリージャーナリストのような個人も含まれる。
②著述を業として行う者 著述の用に供する目的
　（「著述」とは、文芸作品の創作、 文芸批評、 評論等がこれに該当)
③宗教団体 宗教活動 (礼拝の施設を備える団体、
　宗教団体を包括する団体)の用に供する目的
④政治団体 政治活動(政治上の主義又は施策を推進、資金上の援助をすることを目的とする団体)の用に供する目的。

【ポイント】
・各定義の説明文（）内の定義説明の理解。（特に①②）

◆個人情報保護法の罰則

①報告徴収・立入検査に応じなかった場合、
　虚偽の報告をした場合等には、刑事罰(50万円以下の罰金)(法第182条)
②委員会命令に違反した者には、刑事罰(1年以下の懲役又は
　100万円以下の罰金) (法第178条)
③個人情報データベース等不正な利益提供、
　盗用は、刑事罰 (1年以下の懲役又は50万円以下の罰金)　(法第179条)
④両罰規定 法第178条(委員会命令に違反) 法人1億円以下
⑤両罰規定 第179条 (個人情報データベース等不正な利益を
　図る目的で提供、 盗用) 法人 1億円以下
⑥両罰規定 法第182条 (報告徴収・立入検査拒否、
　報告徴収に対して虚偽報告) 法人50万以下
⑦認定個人情報保護団体の虚偽の届け出提出は、10万円以下の過料

【ポイント】
・①②⑤⑦の違反内容と金額
・両罰規定関連（法人１億円以下）