個人情報保護法で定められている個人情報に該当しないものとして、最も適切なものを選べ。
A. ある企業のHPに掲載されている顔写真
B. 氏名と容易に照合できる状態にある携帯電話番号
C. 2020年度末の東京都の成人男性人口
D. 生年月日と氏名が記載されたプロフィール
個人情報保護法(個人情報の保護に関する法律)とは、企業や団体が個人情報を扱う際のルールを定めた法律です。2003年5月に公布、2005年4月に施行されました。その後、情報通信技術の発展や事業活動のグローバル化といった急速な環境変化などを踏まえて、2015年9月に改正法が公布され、2017年5月30日に施行されました。
個人情報保護委員会は、この2015年の個人情報保護法の改正以来、社会・経済情勢の変化を考慮して、2019年12月に示した「個人情報保護法 いわゆる3年ごと見直し制度改正大綱」に即し、3年ごとに個人情報保護法の見直しを行っています。
この原則に沿って、さらなる本法の見直しが行われ、2020年6月に改正個人情報保護法が再度、成立・公布されました(全面施行日は、2022年4月1日)。
改正個人情報保護法に規定された個人情報とは、生存する個人に関する情報であり、氏名や生年月日等により特定の個人を識別することができるもの、ならびに、個人識別符号が含まれるものを指します。個人識別符号の一例として、個人のDNA、声紋、マイナンバー、免許証番号などがあります。また、個人情報保護法によると、個人情報には、他の情報と容易に照合することができ、それにより特定の個人を識別することができるものも含まれると定義されています。
たとえば、個人の顔写真や、氏名と容易に照合できる状態にある携帯電話番号、プロフィールといったものは、特定の個人を識別できると考えられるため、個人情報となります(A、B、D)。
一方、会社の財務諸表や自治体の人口などは、団体情報として扱われるため個人情報には該当しません(C)。
個人情報保護法で定められている、匿名加工情報の特徴についての記述として、最も適切でないものを選べ。
A. 特定の個人を識別することができないように個人情報を加工し、当該個人情報を復元できないようにした情報のことである
B. 匿名加工情報は個人情報に該当しない
C. 本人の同意を得ることなくデータを事業者間で共有できる
D. 個人識別符号が含まれていない情報は匿名加工情報となる
匿名加工情報とは、特定の個人を識別することができないように個人情報を加工し、当該個人情報を復元できないようにした情報のことをいいます(A)。
匿名加工情報を作成する際には、個人情報保護法の第43条1項および、個人情報保護委員会規則の第34条で定められている基準に従って、以下のすべての措置を行わなければなりません。
(1) 特定の個人を識別することができる記述等の全部又は一部を削除すること
(2) 個人識別符号の全部を削除すること
(3) 個人情報と他の情報とを連結する符号を削除すること
(4) 特異な記述等を削除すること
(5) 上記のほか、個人情報とデータベース内の他の個人情報との差異等の性質を勘案し、適切な措置を講ずること
以上の措置が適切に施された情報は匿名加工情報となり、個人情報には該当しません(B)。そのため、本人の同意を得ることなくデータを事業者間で共有できます(C)。
個人識別符号を削除したのみでは、匿名加工情報に関わるすべての加工措置を行ったことにはなりません。
以上より、選択肢Dが正解です。
個人情報保護法で定められている個人識別符号に該当するものとして、最も適切でないものを選べ。
A. DNA情報
B. 運転免許証番号
C. 歩行の際の姿勢および動作から抽出した特徴情報
D. 匿名加工情報に加工された利用者アンケート情報
個人情報保護法において個人識別符号は「その情報だけでも特定の個人を識別できる文字、番号、記号、符号等」と定義されています。個人識別符号は個人情報と見なされます。
たとえば、以下のものが個人識別符号に該当します。
匿名加工情報は、特定の個人を識別することができないように個人情報を加工し、当該個人情報を復元できないようにした情報のことであり、個人識別符号ではありません(D)。
**)で強調しました。個人情報保護法第27条第2項において、オプトアウトが定められている。「オプトアウト」の説明として、最も適切なものを選べ。
A. ある一定の条件を満たした場合、本人の許可がなくても第三者に個人情報を提供できる制度を指す
B. 本人に事前に通知しているならば、個人情報を第三者に提供できる制度を指す
C. 事業者の個人情報の適切な取扱いの確保を目的として、個人情報保護法によって定められた民間団体を指す
D. データの保有件数が5,000件未満の事業者は、個人情報保護法の規制対象にならないことを規定した制度を指す
オプトアウトは、一定の条件を満たした場合に、本人の許可を得ていなくとも第三者に個人情報を提供できる制度です。オプトアウトは、個人情報保護法第27条第2項によって規定されています(A)。
ただし、オプトアウトにより個人情報を第三者に提供する場合は、必要な事項(第三者に提供される個人データの内容や、第三者への情報提供の方法など)を個人情報保護委員会に届け出る必要があります。委員会では、事業者から届け出のあった事項を公表することになっています。第三者提供が行われた個人情報の持ち主は、委員会のWebサイトを検索すれば具体的な公表内容を確認することができます。また、公表内容によっては第三者提供の停止を求めることが可能です。
このため、個人情報の持ち主に対して「個人情報を第三者に提供する」旨を事前通知するだけでは、個人情報の第三者提供を行うことはできません(B)。
選択肢Cは、認定個人情報保護団体の説明です。事業者の個人情報の適切な取扱いの確保を目的として、個人情報保護法によって定められた民間団体を指します。
2017年5月施行の個人情報保護法において、自社で保有する個人情報件数が5,000件未満の小規模事業者に対しても、個人情報保護法が適用されることとなりました。これにより、個人情報を保有する国内すべての事業者が、個人情報保護法における規制対象となりました(D)。
参考
オプトアウトに対し、「事前に本人の同意を得ること」はオプトインと呼ばれます。
2020年6月公布、2022年4月施行の改正個人情報保護法で導入された「仮名加工情報」についての記述として、最も適切でないものを選べ。
A. 個人情報を加工し、他の情報と照合しない限り特定の個人を識別することができないようにした情報のことである
B. 仮名加工情報の作成により、削除情報等の安全管理措置への対応義務が生じる
C. 仮名加工情報の漏洩、滅失、毀損が生じた場合には、その旨を個人情報保護委員会に報告しなければならない
D. 仮名加工情報は必ずしも個人情報として扱われるわけではない
2020年6月に公布、2022年4月1日に施行された改正個人情報保護法において、仮名加工情報に関する概念が導入されました。
仮名加工情報は、他の情報と照合しない限り特定の個人を識別することができないように個人情報を加工した情報のことです(A)。
仮名加工情報の目的は、一定の安全性を確保しつつ、データとしての有用性を加工前の個人情報と同程度に保つことです。これにより、匿名加工情報よりも詳細なデータ分析を、比較的簡便な加工方法で実施することができます。
仮名加工情報の加工要件は、匿名加工情報に比べて緩和されていると考えられます。仮名加工情報の加工要件には、以下のようなものがあります。
仮名加工情報を扱う際、削除情報等の安全管理措置の対応義務が生じます(B)。しかし、仮名加工情報の漏洩、滅失、毀損が生じた場合にその旨を個人情報保護委員会に報告する義務は定められていません(C)。
また、仮名加工情報は、対照表と照合すれば本人がわかる程度まで加工された情報であるため、個人情報に該当する場合もあれば、該当しない場合もあります。したがって、必ずしも個人情報とみなされるわけではありません(D)。
**)で強調しました。*)に合わせ、視認性を向上させました(元の意味は維持しています)。<!-- 08_240_1 --> という記述がありましたが、指定の図マーカー形式 [図:...] ではないため、システム的なコメントとしてそのまま維持しています。これが図表を指す場合は、指定の形式に書き換える必要があります。2018年5月に施行された、EU域内の個人データ保護を規定する法律の名称として、最も適切なものを選べ。
A. GPDR
B. GDPR
C. CCPA
D. CPRA
GDPR(General Data Protection Regulation:EU一般データ保護規則)は、EU域内の個人データ保護を規定する法律です(B)。1995年から適用されていたEUデータ保護指令(Data Protection Directive 95)に代わり、2016年4月に制定され、2018年5月25日に施行されました。
GDPRでは、個人データやプライバシーの保護に関して、EUデータ保護指令よりも厳格に規定されています。また、EUデータ保護指令は各EU加盟国内での個別の法制化を必要としましたが、GDPRはEU加盟国に対して直接的な効力をもちます。
CCPAは、California Consumer Privacy Act of 2018(カリフォルニア州消費者プライバシー法)の略で、消費者プライバシーについて規定した米国の個人情報保護法です(C)。
CPRAは、California Privacy Rights Act of 2020(カリフォルニア州プライバシー権利法)の略で、CCPAの改正案となります。2023年1月1日に施行されましたが、2022年1月1日以降に収集したデータすべてが本法の規制対象となります(D)。
GPDRは年金積立金データ管理を指す用語であり、個人情報保護法に関係する用語ではありません(A)。
**)で強調しました。<pb: 09_235_1> は図版指定または改ページ用タグと判断し、改変せずそのまま残しています。規定の [図:...] 形式ではないため、自動置換は行っていません。2018年5月にEUで施行されたGDPR(一般データ保護規則)の特徴についての記述として、最も適切なものを選べ。
A. 日本国内の事業者には適用されない法律である
B. 制裁金については規定されていない
C. データ保護対象には、Cookieは含まれない
D. 個人が自身のデータをコントロールする権利を取り戻すことを第一の目標とした法律である
GDPR(EU一般データ保護規則)は、EU域内の事業者だけでなくEU域外の事業者にも適用されます(A)。そのため、各組織・企業等の業務へ影響が生じた場合に備えておく必要があります。
制裁金については、GDPRの第83条 “General conditions for imposing administrative fines”(制裁金を科すための一般的要件)に明文化されています(B)。
さらに、GDPRによるデータ保護対象として、前文の第30項にて、Cookie等のデジタル情報が該当する可能性について言及されています(C)。
また、第1条 “Subject-matter and objectives”(対象事項及び目的)において、「本規則は、自然人の基本的な権利及び自由、並びに、特に、自然人の個人データの保護の権利を保護する」と明記されています。
以上より、選択肢Dが正解です。
参考
GDPRについては、個人情報保護委員会の以下のサイトに詳細が記載されています。一度目を通しておくとよいでしょう。
https://www.ppc.go.jp/enforcement/infoprovision/laws/GDPR/
個人情報保護法で定められている個人情報取扱事業者の義務として、最も適切でないものを選べ。
A. 事業者の保有する個人データに関して、本人からの求めがあった場合でも、その開示を行ってはならない
B. 個人データを安全に管理し、従業員や委託先も監督しなければならない
C. あらかじめ本人の同意を得ずに第三者に個人データを提供してはならない
D. 個人情報を取り扱うに当たっては、利用目的をできる限り特定し、原則として利用目的の達成に必要な範囲を超えて個人情報を取り扱ってはならない
**)で強調しました。個人情報取扱事業者については、個人情報保護法第16条第2項で「個人情報データベース等を事業の用に供している者」と定義されています。
個人情報保護法第4章第2節では、個人情報取扱事業者に対し、以下のことを義務づけています。
・個人情報を取り扱うに当たっては利用目的をできる限り特定し、原則として利用目的の達成に必要な範囲を超えて個人情報を取り扱ってはならない (D)
・個人情報を取得する場合には、利用目的を通知・公表しなければならない。なお、本人から直接書面で個人情報を取得する場合には、あらかじめ本人に利用目的を明示しなければならない
・個人データを安全に管理し、従業員や委託先も監督しなければならない (B)
・あらかじめ本人の同意を得ずに第三者に個人データを提供してはならない (C)
・事業者の保有する個人データに関し、本人からの求めがあった場合には、その開示を行わなければならない (A)
・事業者が保有する個人データの内容が事実でないという理由で本人から個人データの訂正や削除を求められた場合、訂正や削除に応じなければならない
・個人情報の取扱いに関する苦情を、適切かつ迅速に処理しなければならない
以上より、選択肢Aが正解です。
試験対策
「企業などが、法令や規則をよく守ること」をコンプライアンスといいます。コンプライアンスを推進するために、企業や組織では、個人情報を適切に管理するための規制を設ける必要があります。
ある企業では、生成AIの業務利用にあたり、次のような主旨の規定を設けた。
この規定に従う運用として、最も適切なものを選べ。
A. カスタマーサポート部門に送信されてきた、問い合わせメールの本文を自社管理の生成AIで解析し、返答案をCRMに連携できる仕組みを構築した
B. 新興生成AIサービスのポテンシャル調査のため、日常業務で自社管理の生成AIに入力してきた業務データとプロンプトを新興生成AIサービスに入力し、得られた結果を、自社管理生成AIの出力結果と比較した
C. 経営層向けの業績指標ダッシュボード内に、自社管理の生成AIによって作成された業績サマリと解説を表示するようにした
D. SNSに投稿されている画像からインスピレーションを得たため、その創作者の名前をプロンプトに含めて自社管理生成AIで画像を生成し、社外向けのプロモーション記事でそのまま使用した
生成AIを利用する際は、他者の知的財産権を侵害するリスクに配慮しなければなりません。また、個人情報や機密情報がAIに入力されることで、それらが部外者に漏えいするというリスクも考えられます。こうしたリスクを回避するため、従業員が適切にサービスを利用できるよう自組織のガイドラインを定めておくことが重要です。
本問では、業務利用にあたり3項の規定を設けています。各選択肢について、規定に従う運用かどうかを考えます。
A メール本文には顧客の個人情報や機密情報が含まれている可能性があり、それを生成AIへの入力とすることは、規定の3項目「いかなる場合も、従業員および顧客の個人情報、ならびに顧客の機密情報を生成AIの入力に含めてはならない」に反しています。
B 業務で使用しているデータを自社の管理下にない生成AIサービスへ入力することは、規定の1項目「自社が独自にホストした生成AIに限り、自社のビジネスに関わるデータをアップロードしてよい」に反しています。
C 自社がコントロールしている環境下で自社保有の情報を生成AIに入力することは、規定に従う運用です。
D 生成された画像の公開前に、類似著作物の検証を経ていないため、規定の2項目「画像生成AIを利用し作成した画像をウェブサイトなどで使用する場合、別途規定するフローにおいて類似著作物の検証を実施する」に反しています。
参考
組織のガイドラインを策定する際は、以下のウェブサイトを参照するとよいでしょう。
・生成AIの利用ガイドライン(日本ディープラーニング協会)
https://www.jdla.org/document/#ai-guideline
・AIと著作権について(文化庁)
https://www.bunka.go.jp/seisaku/chosakuken/aiandcopyright.html