問1個人情報保護士 第三者提供② 第三者提供の原則(同意と例外)
個人データの第三者提供に関する次のア・イの記述について、その正誤の組み合わせとして最も適切なものを1つ選びなさい。
- ア.個人情報取扱事業者は、法令に基づく場合等を除き、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。
- イ.法令に基づく場合は、本人の同意がなくても個人データを第三者に提供することができる。
- アー正、イー正
- アー正、イー誤
- アー誤、イー正
- アー誤、イー誤
解答・解説を見る
正解:1(アー正、イー正)
- ア.正しい
- 提供の同意原則
個人情報保護法第27条第1項「あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない」e-Gov原文
ひっかけ第三者提供は同意が原則、ただし条文が列挙する場面では同意なしで足りる。アが原則、イがその例外の一つを述べています。
解説個人データを第三者に渡すと本人の知らないところで情報が広がりうるため、法令に基づく場合等を除き、あらかじめ本人の同意を得ないで個人データを第三者に提供してはならない(個人情報保護法27条1項)。同意原則を述べるアはこのとおり正しい。そして同項各号は、(1)法令に基づく場合、(2)人の生命・身体・財産の保護に必要で同意が困難な場合、(3)公衆衛生・児童の健全育成に特に必要で同意が困難な場合、(4)国等への協力が必要な場合などを例外として定めており、法令に基づく場合を例外とするイも正しい。したがって答えは『アー正、イー正』。
補足ここでの例外(27条1項各号)はいずれも本人の同意「そのもの」を不要にする事由であり、同意を得る代わりに通知と届出で対応するオプトアウト(27条2項)とは別系統の話である。
問2個人情報保護士 第三者提供② 匿名加工情報の提供時の公表・明示
匿名加工情報を第三者に提供する場合に関する次のア・イの記述について、その正誤の組み合わせとして最も適切なものを1つ選びなさい。
- ア.匿名加工情報を第三者に提供するときは、あらかじめ、第三者に提供される匿名加工情報に含まれる個人に関する情報の項目及びその提供の方法について公表しなければならない。
- イ.匿名加工情報を第三者に提供するときは、当該第三者に対して、その情報が匿名加工情報である旨を明示しなければならない。
- アー正、イー正
- アー正、イー誤
- アー誤、イー正
- アー誤、イー誤
解答・解説を見る
正解:1(アー正、イー正)
- ア.正しい
- 公表義務
個人情報保護法第44条「あらかじめ、第三者に提供される匿名加工情報に含まれる個人に関する情報の項目及びその提供の方法について公表する」e-Gov原文
- イ.正しい
- 明示義務
個人情報保護法第44条「当該第三者に対して、当該提供に係る情報が匿名加工情報である旨を明示しなければならない」e-Gov原文
ひっかけ本人同意が要らない=何の手続もいらない、と短絡するとアやイを誤る。
解説匿名加工情報を第三者に提供するときは、あらかじめ、提供される匿名加工情報に含まれる個人に関する情報の項目とその提供の方法について公表しなければならない(個人情報保護法44条)。よってアは正しい。あわせて、提供先の第三者に対して、当該提供に係る情報が匿名加工情報である旨を明示しなければならない(同条)から、イも正しい。匿名加工情報は本人の同意なく第三者提供できるが、この公表と明示の手続が前提になる。
補足提供先に匿名加工情報である旨を明示するのは、受け取った側にも45条の識別行為の禁止(本人識別目的での照合・加工方法等の取得の禁止)が及ぶため、その立場を知らせる意味がある。
問3個人情報保護士 第三者提供② オプトアウトの届出と委員会による公表
オプトアウトによる第三者提供に関する次のア・イの記述について、その正誤の組み合わせとして最も適切なものを1つ選びなさい。
- ア.個人情報保護委員会は、オプトアウトによる第三者提供の届出があったときは、その届出に係る事項を公表しなければならない。
- イ.オプトアウトによる第三者提供をする事業者は、一定事項をあらかじめ本人に通知等するとともに、個人情報保護委員会に届け出る必要がある。
- アー正、イー正
- アー正、イー誤
- アー誤、イー正
- アー誤、イー誤
解答・解説を見る
正解:1(アー正、イー正)
- ア.正しい
- 委員会の公表
個人情報保護法第27条第4項「当該届出に係る事項を公表しなければならない」e-Gov原文
- イ.正しい
- 届出
個人情報保護法第27条第2項「個人情報保護委員会に届け出たときは、前項の規定にかかわらず、当該個人データを第三者に提供することができる」e-Gov原文
ひっかけ事業者が届け出て、委員会が公表する。公表するのは事業者ではない。
解説オプトアウトによる第三者提供をする事業者は、提供する個人データの項目や提供の方法などの所定事項を、あらかじめ本人に通知し又は本人が容易に知り得る状態に置き、かつ個人情報保護委員会に届け出なければならない(個人情報保護法27条2項)。本人への通知等だけでなく委員会への届出も要件である点で、イは正しい。そして委員会は、その届出があったときは、届出に係る事項を公表しなければならない(同条4項)。届出を受けた委員会の側に公表義務がある構造で、アはこの27条4項どおりだから正しい。どの事業者がどのオプトアウトを行っているかを外部から確認できる経路が、届出と公表で確保される。
補足要配慮個人情報や、不正取得された個人データ等は、そもそもオプトアウトによる第三者提供の対象から除かれている(27条2項ただし書)。
問4個人情報保護士 第三者提供② 個人関連情報取扱事業者の定義
個人情報保護法上の個人関連情報取扱事業者に関する次のア・イの記述について、その正誤の組み合わせとして最も適切なものを1つ選びなさい。
- ア.個人関連情報取扱事業者とは、個人関連情報を含む一定の検索可能な情報の集合物を事業の用に供している者をいう。
- イ.個人関連情報取扱事業者についても、個人情報取扱事業者と同様に、16条2項各号に掲げる国の機関等は定義から除かれる。
- アー正、イー正
- アー正、イー誤
- アー誤、イー正
- アー誤、イー誤
解答・解説を見る
正解:1(アー正、イー正)
- ア.正しい
- 個人関連情報の第三者提供規制の名宛人を画する
個人情報保護法第16条第7項「個人関連情報を含む情報の集合物であって」e-Gov原文
- イ.正しい
- 16条5項・6項と同じ除外構造
個人情報保護法第16条第7項「ただし、第二項各号に掲げる者を除く」e-Gov原文
ひっかけ個人関連情報は情報区分、個人関連情報取扱事業者は義務主体。
解説個人関連情報取扱事業者は、個人関連情報を含む検索可能な情報集合物を事業の用に供している者である。個人関連情報自体は、個人情報・仮名加工情報・匿名加工情報のいずれにも該当しない生存する個人に関する情報であり、取扱事業者の定義は16条7項で別に置かれている。提供先で個人データとして取得される見込みがある場面では31条の確認義務につながる。
補足16条5項から7項は、仮名・匿名・個人関連情報の各データベース等を事業利用する者を並行して定義している。
問5個人情報保護士 第三者提供② オプトアウトによる第三者提供
オプトアウトによる第三者提供に関する次のア・イの記述について、その正誤の組み合わせとして最も適切なものを1つ選びなさい。
- ア.個人情報取扱事業者は、本人の求めに応じて提供を停止することとしている個人データについて、一定事項をあらかじめ本人に通知等し個人情報保護委員会に届け出たときは、本人の同意を得ずに第三者に提供することができる。
- イ.要配慮個人情報であっても、オプトアウトの手続によれば本人の同意を得ずに第三者に提供することができる。
- アー正、イー正
- アー正、イー誤
- アー誤、イー正
- アー誤、イー誤
解答・解説を見る
正解:2(アー正、イー誤)
- ア.正しい
- 本人の求めで停止
個人情報保護法第27条第2項「あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届け出たときは、前項の規定にかかわらず、当該個人データを第三者に提供することができる」e-Gov原文
- イ.誤り
- 要配慮は除外
個人情報保護法第27条第2項「第三者に提供される個人データが要配慮個人情報」e-Gov原文
ひっかけオプトアウトなら何でも同意なしで流せる、と思い込むとイで転びます。要配慮個人情報はこの仕組みから外されています。
解説オプトアウトとは、本人の求めがあれば第三者提供を停止することを前提に、一定事項をあらかじめ本人に通知し又は本人が容易に知り得る状態に置き、かつ個人情報保護委員会に届け出ることで、本人の個別同意なしに個人データを第三者提供できる仕組みである(個人情報保護法27条2項)。アはこの要件どおりで正しい。もっとも、要配慮個人情報、不正の手段で取得された個人データ、オプトアウトで取得した個人データは対象から除外され、提供には本人の同意が必要となる(同項ただし書)。要配慮個人情報でもオプトアウトできるとするイは誤りで、答えは『アー正、イー誤』。
補足ただし書で除外されるのは要配慮個人情報だけでなく、不正取得された個人データと、別の事業者がオプトアウトで取得した個人データも含まれ、適正に取得していないデータがオプトアウトで転々流通するのを止める趣旨である。
問6個人情報保護士 第三者提供② 外国にある第三者への提供
外国にある第三者への個人データの提供に関する次のア・イの記述について、その正誤の組み合わせとして最も適切なものを1つ選びなさい。
- ア.個人情報取扱事業者は、外国にある第三者に個人データを提供する場合は、原則として、あらかじめ外国にある第三者への提供を認める旨の本人の同意を得なければならない。
- イ.外国にある第三者への個人データの提供は、国内での第三者提供についての本人の同意があれば足り、外国への提供を認める旨の特別の同意は不要である。
- アー正、イー正
- アー正、イー誤
- アー誤、イー正
- アー誤、イー誤
解答・解説を見る
正解:2(アー正、イー誤)
- ア.正しい
- 国内提供の同意では足りない
個人情報保護法第28条第1項「あらかじめ外国にある第三者への提供を認める旨の本人の同意を得なければならない」e-Gov原文
- イ.誤り
- 外国提供は特別の同意が必要
個人情報保護法第28条第1項「あらかじめ外国にある第三者への提供を認める旨の本人の同意を得なければならない」e-Gov原文
ひっかけ「第三者提供に同意していれば外国でも同じ」と読むと、イで取りこぼす。
解説外国にある第三者に個人データを提供するときは、原則として、あらかじめ外国にある第三者への提供を認める旨の本人の同意を得なければならない(個人情報保護法28条1項)。国内の第三者提供についての同意があるだけでは、外国への提供は基礎づけられない。外国は日本と個人情報の保護水準が異なる可能性があるためであり、だからアは正しく、国内同意で足りるとするイは誤り。なお、日本と同等の水準にあると認められる国への提供や、基準に適合する体制を整備した提供先への提供は別枠の扱いになるが、それ以外では『外国提供を認める旨の同意』が要る。
補足28条2項では、本人同意に基づいて提供する場合、あらかじめ当該外国の個人情報保護制度や提供先が講じる措置等の情報を本人に提供しておく必要がある(同意の前提情報)。
問7個人情報保護士 第三者提供② 第三者提供に係る記録の作成・保存
個人データの第三者提供に係る記録に関する次のア・イの記述について、その正誤の組み合わせとして最も適切なものを1つ選びなさい。
- ア.個人情報取扱事業者は、個人データを第三者に提供したときは、一定の例外を除き、提供年月日や当該第三者の氏名等に関する記録を作成しなければならない。
- イ.第三者提供に係る記録は、作成すれば足り、保存する必要はない。
- アー正、イー正
- アー正、イー誤
- アー誤、イー正
- アー誤、イー誤
解答・解説を見る
正解:2(アー正、イー誤)
- ア.正しい
- トレーサビリティ
個人情報保護法第29条第1項「当該個人データを提供した年月日、当該第三者の氏名又は名称その他の個人情報保護委員会規則で定める事項に関する記録を作成しなければならない」e-Gov原文
- イ.誤り
- 保存義務
個人情報保護法第29条第2項「前項の記録を、当該記録を作成した日から個人情報保護委員会規則で定める期間保存しなければならない」e-Gov原文
ひっかけ記録は作った時点で完結する、と読むとイを落とす。
解説個人情報取扱事業者は、個人データを第三者に提供したときは、一定の例外(法令に基づく場合等)を除き、提供した年月日や当該第三者の氏名・名称その他規則で定める事項に関する記録を作成しなければならない(個人情報保護法29条1項)。だから記録作成を要するとするアは正しい。そして作成した記録は、作成した日から規則で定める期間保存しなければならない(同29条2項)から、「作成すれば足り保存不要」とするイは誤り。不正に流通したデータを事後に追跡できるようにする仕組みである。
補足この29条(提供側の記録)は、受領側に確認・記録を課す30条と対をなし、提供のたびに両端で記録が残ることで流通経路をたどれるようにしている。
問8個人情報保護士 第三者提供② 共同利用と第三者該当性
個人データの共同利用に関する次のア・イの記述について、その正誤の組み合わせとして最も適切なものを1つ選びなさい。
- ア.特定の者との間で共同して利用される個人データが当該特定の者に提供される場合で、共同利用する旨等をあらかじめ本人に通知し、又は本人が容易に知り得る状態に置いているときは、その提供先は第三者に該当しない。
- イ.共同利用の場合、共同して利用する旨等を本人に通知等しなくても、当然に提供先は第三者に該当しない。
- アー正、イー正
- アー正、イー誤
- アー誤、イー正
- アー誤、イー誤
解答・解説を見る
正解:2(アー正、イー誤)
- ア.正しい
- 共同利用
個人情報保護法第27条第5項「前各項の規定の適用については、第三者に該当しないものとする」e-Gov原文
個人情報保護法第27条第5項第3号「特定の者との間で共同して利用される個人データが当該特定の者に提供される場合」e-Gov原文
- イ.誤り
- 通知等が要件
個人情報保護法第27条第5項第3号「特定の者との間で共同して利用される個人データが当該特定の者に提供される場合」e-Gov原文
ひっかけ共同利用なら手続抜きで当然に第三者でなくなる、と考えるとイで外れる。
解説委託・事業承継と並び、共同利用に伴う提供先も『第三者』に該当しない(個人情報保護法27条5項3号)。ただし共同利用には要件があり、共同して利用する旨、共同利用される個人データの項目、共同利用する者の範囲、利用目的、管理について責任を有する者の氏名・名称等を、あらかじめ本人に通知し、又は本人が容易に知り得る状態に置いていることが必要である。アはこの要件を満たした場合の効果を述べており正しい。イのように通知等を欠けば第三者非該当とはならず、原則どおり本人の同意が要るため、イは誤り。
補足共同利用の場合、利用目的や管理責任者の氏名等は後から変更でき、変更する旨をあらかじめ本人に通知等すればよい(27条6項)。最初の通知等で固定されるわけではない。
問9個人情報保護士 第三者提供② 第三者に該当しない場合(委託・事業承継)
個人データの提供先が「第三者」に該当するかに関する次のア・イの記述について、その正誤の組み合わせとして最も適切なものを1つ選びなさい。
- ア.個人データの取扱いを委託することに伴って委託先に個人データを提供する場合、その委託先は常に「第三者」に該当し、提供には本人の同意が必要である。
- イ.合併その他の事由による事業の承継に伴って個人データが提供される場合、その提供先は「第三者」に該当しない。
- アー正、イー正
- アー正、イー誤
- アー誤、イー正
- アー誤、イー誤
解答・解説を見る
正解:3(アー誤、イー正)
- ア.誤り
- 委託は第三者提供でない
個人情報保護法第27条第5項「前各項の規定の適用については、第三者に該当しないものとする」e-Gov原文
個人情報保護法第27条第5項第1号「個人データの取扱いの全部又は一部を委託することに伴って当該個人データが提供される場合」e-Gov原文
- イ.正しい
- 承継は第三者提供でない
個人情報保護法第27条第5項第2号「合併その他の事由による事業の承継に伴って個人データが提供される場合」e-Gov原文
ひっかけ外部に渡せば必ず第三者提供、という発想だとアで誤ります。委託・事業承継・共同利用の三つは『第三者』の枠の外に置かれています。
解説第三者提供の制限は『第三者』への提供を前提とするが、一定の場合には提供先が『第三者』に該当しないものとされる(個人情報保護法27条5項)。具体的には、(1)利用目的の達成に必要な範囲内での委託に伴う提供(1号)、(2)合併その他の事由による事業承継に伴う提供(2号)、(3)一定の手続を満たした共同利用(3号)である。委託先は常に第三者で同意が必要とするアは1号に反して誤り、事業承継に伴う提供先を第三者でないとするイは2号どおりで正しく、答えは『アー誤、イー正』。第三者に当たらず同意は不要でも、委託先には監督義務(25条)が、共同利用には通知等の要件が課される。
補足第三者に当たらないのは同意の要否の話にとどまり、委託先には委託元の監督義務(25条)、共同利用には共同利用する旨・項目・範囲・管理責任者等の事前通知(27条5項3号)という別の縛りがそれぞれ用意されている。
問10個人情報保護士 第三者提供② 第三者提供を受ける際の確認
第三者からの個人データの提供を受ける際の確認に関する次のア・イの記述について、その正誤の組み合わせとして最も適切なものを1つ選びなさい。
- ア.個人情報取扱事業者は、第三者から個人データの提供を受ける際、提供元の氏名等やその第三者による取得の経緯を確認する必要は一切ない。
- イ.個人データの提供を受ける際の確認に関し、提供元の第三者は、その確認に係る事項を偽ってはならない。
- アー正、イー正
- アー正、イー誤
- アー誤、イー正
- アー誤、イー誤
解答・解説を見る
正解:3(アー誤、イー正)
- ア.誤り
- 受領側の確認義務
個人情報保護法第30条第1項「第三者から個人データの提供を受けるに際しては」e-Gov原文
個人情報保護法第30条第1項「次に掲げる事項の確認を行わなければならない」e-Gov原文
- イ.正しい
- 提供側の禁止
個人情報保護法第30条第2項「当該確認に係る事項を偽ってはならない」e-Gov原文
ひっかけ義務を負うのは提供する側だけ、と決めてかかるとアを取り違える。
解説第三者から個人データの提供を受けるに際しては、提供元の氏名・名称・住所等や、その第三者による当該個人データの取得の経緯を確認しなければならない(個人情報保護法30条1項)。だから「確認は一切不要」とするアは誤り。一方、確認を受ける提供元の第三者は、その確認に係る事項を偽ってはならない(同30条2項)から、イは正しい。不正に取得されたデータの流通を断つため、受け取る側に確認義務を、提供する側に虚偽申告の禁止を、それぞれ課している。
補足30条1項で確認した内容は、同条3項により記録を作成し、同条4項により一定期間保存しなければならない。確認義務と記録義務がひとつながりになっている。
問11個人情報保護士 第三者提供② 個人関連情報の第三者提供の制限
個人関連情報の第三者提供に関する次のア・イの記述について、その正誤の組み合わせとして最も適切なものを1つ選びなさい。
- ア.個人関連情報取扱事業者は、提供先の第三者が個人関連情報を個人データとして取得することが想定される場合でも、本人の同意の確認をせずに自由に提供することができる。
- イ.提供先が個人関連情報を個人データとして取得することが想定されるときは、提供元は、本人の同意が得られていること等を確認しなければならない。
- アー正、イー正
- アー正、イー誤
- アー誤、イー正
- アー誤、イー誤
解答・解説を見る
正解:3(アー誤、イー正)
- ア.誤り
- 提供制限
個人情報保護法第31条第1項「当該個人関連情報を当該第三者に提供してはならない」e-Gov原文
- イ.正しい
- 同意の確認
個人情報保護法第31条第1項「本人が識別される個人データとして取得することを認める旨の当該本人の同意が得られていること」e-Gov原文
ひっかけ「単体では個人情報でないから規律も及ばない」とみなすと、アに引っかかる。
解説個人関連情報(生存する個人に関する情報で、個人情報・仮名加工情報・匿名加工情報のいずれにも該当しないもの。Cookieに紐づく閲覧履歴など)は単体では個人情報でないが、提供先で他の情報と照合され個人データとして取得されることがある。そこで、提供先の第三者が個人関連情報を個人データとして取得することが想定されるときは、本人がそれを認める旨の同意が得られていること等を確認しないで提供してはならない(個人情報保護法31条1項)。確認なしに自由提供できるとするアは誤り、同意の確認が要るとするイは正しい。
補足ここで確認すべき同意は、提供元ではなく提供先(個人データとして取得する側)が取得するのが原則で、提供元はその取得状況を確認する立場に立つ。
問12個人情報保護士 第三者提供② 第三者提供の制限の例外
個人データの第三者提供の例外に関する次のア・イの記述について、その正誤の組み合わせとして最も適切なものを1つ選びなさい。
- ア.法令に基づく場合であっても、個人データの第三者提供には常に本人の同意が必要である。
- イ.人の生命、身体又は財産の保護のために必要がある場合であって本人の同意を得ることが困難であるときは、本人の同意なく個人データを第三者に提供できる。
- アー正、イー正
- アー正、イー誤
- アー誤、イー正
- アー誤、イー誤
解答・解説を見る
正解:3(アー誤、イー正)
- イ.正しい
- 例外事由
個人情報保護法第27条第1項第2号「人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき」e-Gov原文
ひっかけ「同意が大原則」だけを覚えていると、法令に基づく場合まで同意必須と読み違える。
解説個人データの第三者提供は原則として本人の同意を要するが、27条1項各号に例外がある。法令に基づく場合(1号)は同意なく提供できるので、「法令に基づく場合でも常に同意が必要」とするアは誤り。人の生命・身体・財産の保護のために必要で、かつ本人の同意を得ることが困難であるとき(2号)も同意なく提供できるので、イは正しい。各号にはこのほか、公衆衛生の向上・児童の健全育成に特に必要で同意困難な場合、国等への協力が必要な場合などがあり、いずれも公益性の高い場面に限られる。
補足災害時の安否確認のように本人同意を得る暇がない場面が2号の典型で、利用目的による制限の例外(18条3項各号)とほぼ同じ並びの事由が、提供制限の側にも置かれている。
問13個人情報保護士 第三者提供② 第三者提供の制限と本人の関与
第三者提供に関する次のア・イの記述について、その正誤の組み合わせとして最も適切なものを1つ選びなさい。
- ア.個人データを第三者に提供する場合、提供先が国内であれば、いかなる場合も本人の同意は不要である。
- イ.第三者提供の制限に違反して提供されている保有個人データであっても、本人はその第三者への提供の停止を請求することはできない。
- アー正、イー正
- アー正、イー誤
- アー誤、イー正
- アー誤、イー誤
解答・解説を見る
正解:4(アー誤、イー誤)
- ア.誤り
- 国内でも同意原則
個人情報保護法第27条第1項「あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない」e-Gov原文
- イ.誤り
- 本人の関与手段あり
個人情報保護法第35条第3項「第二十七条第一項又は第二十八条の規定に違反して第三者に提供されているときは、当該保有個人データの第三者への提供の停止を請求することができる」e-Gov原文
ひっかけアは「国内なら自由」、イは「本人は止められない」。どちらの思い込みも条文に反する。
解説第三者提供の制限は提供先が国内か外国かを問わず働く。国内の第三者提供であっても、例外に当たらない限り、原則あらかじめ本人の同意が必要である(個人情報保護法27条1項)。よって「国内なら同意不要」とするアは誤り。さらに、27条1項や外国提供制限(28条)に違反して個人データが提供されているときは、本人は当該保有個人データの第三者への提供の停止を請求できる(同35条3項)から、「本人は手出しできない」とするイも誤り。事業者側の提供制限と、本人側の提供停止請求は表裏をなす。
補足35条3項の提供停止請求は、利用目的違反・不正取得(同条1項)や、本人が請求しうる事由のない取扱い(同条5項)による利用停止・消去請求とは別建ての権利として並んでいる。
問14個人情報保護士 第三者提供② 仮名加工情報・匿名加工情報の提供(総合)
加工情報の第三者提供に関する次のア・イの記述について、その正誤の組み合わせとして最も適切なものを1つ選びなさい。
- ア.仮名加工情報(個人情報であるものを除く)は、本人の同意を得れば、自由に第三者に提供することができる。
- イ.匿名加工情報を作成して第三者に提供する場合、提供先にその情報が匿名加工情報である旨を明示する必要はない。
- アー正、イー正
- アー正、イー誤
- アー誤、イー正
- アー誤、イー誤
解答・解説を見る
正解:4(アー誤、イー誤)
- ア.誤り
- 提供制限
個人情報保護法第42条第1項「を第三者に提供してはならない」e-Gov原文
- イ.誤り
- 明示義務
個人情報保護法第44条「当該第三者に対して、当該提供に係る情報が匿名加工情報である旨を明示しなければならない」e-Gov原文
ひっかけ仮名と匿名をひとくくりに「加工してあるから出せる」と扱うと、両方で滑る。
解説仮名加工情報と匿名加工情報では第三者提供の扱いが違う。仮名加工情報(個人情報であるものを除く)は、法令に基づく場合を除き第三者に提供できない(個人情報保護法42条1項)から、「同意を得れば自由に提供できる」とするアは誤り。匿名加工情報は本人同意なく提供できるが、提供する情報の項目・方法の公表と、提供先への『匿名加工情報である旨』の明示が必要である(同44条)から、「明示は不要」とするイも誤り。仮名は原則提供不可、匿名は手続を踏めば提供可、という違いがそのまま正誤を分ける。
補足仮名加工情報も、委託・事業承継・共同利用なら42条2項が準用する27条5項により提供先は第三者に当たらない。「絶対に出せない」のではなく、本人同意やオプトアウトの経路が閉じている点が匿名加工情報との分かれ目になる。
問15個人情報保護士 第三者提供② 特定個人情報の提供とオプトアウト(総合)
特定個人情報・オプトアウトに関する次のア・イの記述について、その正誤の組み合わせとして最も適切なものを1つ選びなさい。
- ア.特定個人情報は、委託や事業承継に伴う場合であっても、提供することは一切認められない。
- イ.個人情報保護委員会は、オプトアウトによる第三者提供の届出があっても、その届出に係る事項を公表してはならない。
- アー正、イー正
- アー正、イー誤
- アー誤、イー正
- アー誤、イー誤
解答・解説を見る
正解:4(アー誤、イー誤)
- ア.誤り
- 提供の例外
マイナンバー法第19条第6号「特定個人情報の取扱いの全部若しくは一部の委託又は合併その他の事由による事業の承継に伴い特定個人情報を提供するとき」e-Gov原文
- イ.誤り
- 公表
個人情報保護法第27条第4項「当該届出に係る事項を公表しなければならない」e-Gov原文
ひっかけ『絶対できない』と『公表してはならない』が並ぶと、片方くらい正しそうに見える。19条6号と27条4項を当てれば両方とも落ちる。
解説二つの制度をまたぐ問題になっている。アはマイナンバー法側で、特定個人情報も委託や事業承継に伴う提供は19条6号で認められるから、『一切認められない』は誤り。イは個人情報保護法側で、オプトアウトによる第三者提供の届出を受けた個人情報保護委員会は、当該届出に係る事項を公表しなければならない(同27条4項)。よって『公表してはならない』も誤り。結局アもイも誤りで、組み合わせは『アー誤、イー誤』。番号の提供例外と、オプトアウトを外から見えるようにする公表義務を、どちらも逆向きに書いて誤らせている。
補足オプトアウトはそもそも要配慮個人情報には使えず、委員会への届出と公表に加えてこの入口の絞り込みも実効性を支えています(要配慮個人情報の除外は27条2項本文)。