個人情報保護法の基礎｜ITパスポート試験対策

個人情報保護法とは

個人情報保護法は2003年に制定され、2005年に全面施行されました。その後、3年ごとに改正が行われており、最新の動向にも注意が必要です。この法律は個人情報を取り扱う全ての事業者を対象としており、小規模事業者の除外規定は2017年改正で撤廃されました。監督機関は個人情報保護委員会（PPC）です。

個人情報の定義

個人情報とは、生存する個人に関する情報であり、特定の個人を識別できるものを指します。代表的な例として、氏名、生年月日、住所、顔写真、メールアドレスなどが挙げられます。また、個人識別符号として、マイナンバー、運転免許証番号、パスポート番号など、それ単独で個人を識別できる符号も個人情報に含まれます。

要配慮個人情報

要配慮個人情報は、取扱いに特に配慮を要する個人情報です。具体的には、人種、信条、社会的身分、病歴、犯罪歴、犯罪被害事実などが該当します。これらの情報を取得するには、原則として本人の同意が必要となります。

匿名加工情報

匿名加工情報は、個人情報を加工して特定個人を識別できないようにし、復元もできないようにした情報です。ビッグデータ活用のために2017年改正で導入されました。一定のルールを守れば、本人の同意なしに第三者提供が可能となります。

事業者の主な義務

事業者にはいくつかの重要な義務が課されています。まず、利用目的を特定し本人に通知しなければなりません。また、安全管理措置を講じて漏えいを防止する必要があります。第三者提供は原則として本人の同意が必要であり、開示・訂正・利用停止の請求には適切に対応しなければなりません。さらに、漏えいが発生した場合には個人情報保護委員会への報告と本人への通知が義務付けられています。

罰則

命令違反に対しては、1年以下の懲役または100万円以下の罰金が科されます。法人に対しては、2020年改正により1億円以下の罰金という重課が定められています。

ITパスポート試験での出題ポイント

この分野では、個人情報・要配慮個人情報・匿名加工情報の区別が頻出です。また、第三者提供のルールや漏えい時の報告義務についても出題されます。

過去問の典型パターン

• 「要配慮個人情報に該当するものはどれか」型
• 「匿名加工情報の特徴として正しいものはどれか」型

関連用語

• GDPR との比較（GDPRとは）
• 暗号化と漏えい対策（暗号化の基礎）

学習のコツ

3種類の情報の定義を1行で言えるようにしておきましょう。第三者提供の原則（本人同意が必要）とその例外（匿名加工情報など）をセットで覚えることが重要です。罰則金額として1億円も併せて暗記しておくと試験で役立ちます。

まとめ

個人情報保護法の出題範囲は、3種類の情報と事業者の義務、罰則の3つに絞られます。これらを押さえれば確実に得点できます。ストラテジ系を網羅的に演習するならストラテジ系まとめ、本番形式は模擬試験へどうぞ。