個人情報

個人情報 ワークシート
STEP 1 個人情報とは何か?
個人情報 = 特定の個人を識別できる情報

個人情報の保護に関する法律(個人情報保護法) では、個人情報を次のように定義しています。

生存する個人に関する情報であって、その情報に含まれる氏名・生年月日その他の記述等により特定の個人を識別できるもの

また、他の情報と容易に照合することができ、それにより特定の個人を識別できるものも含まれます。
個人情報に該当するものの例
明らかに個人情報となるもの
氏名、生年月日、住所、電話番号、メールアドレス、顔写真、マイナンバー(個人番号)、パスポート番号、運転免許証番号
組み合わせで個人情報になるもの
勤務先、学校名、血液型、趣味・関心 など単独では特定できなくても、組み合わせると特定できる場合は個人情報になります。
「死者」の情報は個人情報保護法の対象外!
個人情報保護法は「生存する個人」の情報が対象です。
亡くなった方の情報は対象外ですが、遺族などの生存する個人の情報と結びつく場合は対象になることがあります。
STEP 2 個人情報保護法の重要ポイント
個人情報保護法(2003年制定・2022年全面施行)

個人情報を扱う事業者(個人情報取扱事業者)が守るべきルールを定めた法律です。
2022年の改正で大幅に強化され、個人の権利が拡充されました。
事業者の主な義務
1
利用目的の明示
個人情報を収集するときは、利用目的を明確にして本人に知らせなければならない。
2
目的外利用の禁止
あらかじめ示した目的以外に個人情報を使うことは原則禁止。本人の同意なく第三者へ提供することも禁止。
3
安全管理措置
個人情報の漏えい・紛失・改ざんを防ぐために必要な安全管理措置を講じなければならない。
4
開示・訂正・削除への対応
本人から自分の個人情報の開示・訂正・利用停止・削除を求められた場合、原則として応じなければならない。
5
漏えい時の報告義務(2022年改正)
個人データが漏えいした場合、個人情報保護委員会への報告本人への通知が義務化された。
個人情報保護委員会とは
個人情報の適切な取り扱いを監督する内閣府外局の独立した機関です。
事業者への指導・勧告・命令・立入検査などを行います。
違反した場合は刑事罰(懲役・罰金)が科される場合もあります。
STEP 3 要配慮個人情報・マイナンバー・匿名加工情報
要配慮個人情報(センシティブ情報)
不当な差別・偏見などの不利益が生じないよう、特に慎重な取り扱いが必要な個人情報。
取得には原則として本人の同意が必要です。
身体・健康
人種・民族、病歴、障害の有無、健康診断の結果
思想・信条
信条、宗教、政治的見解、労働組合への加入
犯罪・手続き
犯罪の経歴、犯罪被害の事実、刑事手続きの記録
マイナンバー(個人番号)
日本に住む全員に割り当てられた12桁の番号
マイナンバー法(番号法) で厳格に管理されており、利用できる場面は社会保障・税・災害対策の3分野に限定されています。
目的外の収集・利用は厳しく禁止されており、違反した場合の罰則も個人情報保護法より重くなっています。
匿名加工情報・仮名加工情報
種類 内容 目的・用途
匿名加工情報 特定の個人を識別できないように加工し、復元できないようにした情報 本人同意なしで第三者提供・データ活用が可能
仮名加工情報 他の情報と照合しなければ特定できないように加工した情報(復元は可能 内部分析など社内利用を想定。第三者提供は原則不可
STEP 4 プライバシー権・忘れられる権利
プライバシー権 = 私生活をみだりに公開されない権利

日本では憲法13条(幸福追求権)を根拠に判例で認められてきた権利です。
インターネットの普及により「自己に関する情報をコントロールする権利」としての側面も重視されています。
忘れられる権利(削除権)
過去にインターネット上に投稿された自分に関する情報(検索結果など)を削除・非表示にするよう求める権利
EUの一般データ保護規則(GDPR)で明文化されており、日本でも判例で一部認められています。
オプトアウト・オプトイン
オプトアウト:事前に同意を得ず、拒否の申し出があった場合に停止する方式(第三者提供の一方式)

オプトイン:事前に本人の同意を得てから情報を利用する方式(より保護が強い)
GDPR(EU一般データ保護規則)
2018年にEUで施行された世界最高水準のプライバシー保護規制
EU域内の個人データを扱う企業はEU域外の企業も対象となります。
違反した場合の制裁金は最大2,000万ユーロまたは全世界年間売上高の4%のいずれか高い方。
日本の個人情報保護法改正にも大きな影響を与えました。
STEP 5 個人情報の漏えいと対策
個人情報の漏えいは当事者・企業・社会に大きな被害をもたらします。
原因を理解し、適切な対策をとることが重要です。
漏えいの主な原因
原因 具体例 対策
不正アクセス・サイバー攻撃 SQLインジェクション、マルウェア感染、フィッシング詐欺 ファイアウォール、脆弱性対策、多要素認証
内部不正・誤操作 従業員による持ち出し、メールの誤送信、USBの紛失 アクセス権限の管理、操作ログの記録、暗号化
設定ミス クラウドの公開設定ミス、アクセス制御の不備 定期的な設定確認、セキュリティ監査
漏えいが起きた場合の影響
個人への影響
なりすまし被害、詐欺・フィッシング、精神的苦痛、名誉・信用の毀損
企業への影響
損害賠償、行政処分(勧告・命令)、刑事罰、社会的信用の失墜
社会への影響
情報社会への不信感、デジタル化の阻害、国家安全保障上のリスク
SNSでの個人情報流出に注意!
投稿した写真の位置情報(Exifデータ)や背景から自宅・学校が特定される事例があります。
また、複数の投稿を組み合わせる「デジタルタトゥー」による特定も問題となっています。
一度インターネットに流出した情報は完全に削除することが非常に困難です。
練習 やってみよう!
【基本】用語の確認
① 個人情報の取り扱いルールを定めた日本の法律の名称は?
② 特定の個人を識別できないように加工し、復元もできないようにした情報を何という?
③ 病歴・信条・人種など、特に慎重な取り扱いが必要な個人情報を何という?
④ 日本に住む全員に割り当てられた12桁の番号を何という?
⑤ 私生活をみだりに公開されない権利を何という?
⑥ 個人情報の適切な取り扱いを監督する、内閣府外局の機関の名称は?
【応用】法律・制度の理解
⑦ 個人情報保護法で、事業者が個人情報を第三者に提供する場合に原則必要なものは?
⑧ 2018年にEUで施行された、世界最高水準のプライバシー保護規制をアルファベット4文字で答えよう
⑨ 過去にネット上に投稿された自分の情報の削除を求める権利を何という?
⑩ マイナンバーが利用できる3つの分野を答えよう
【発展】事例判断・応用問題
⑪ 企業が収集目的を「商品の発送」として集めた個人情報を、本人に無断でマーケティングに使った。これは何に違反する?
⑫ 氏名だけでは個人を特定できなくても、勤務先・生年月日と組み合わせると特定できる場合、この情報は個人情報になる?ならない?
⑬ 事前に本人の同意を得てから情報を利用する方式を何という?(カタカナ)
⑭ SNSに投稿した写真に含まれる位置情報など、写真に埋め込まれたデータのことを何という?
まとめ ポイントを確認しよう
👤
個人情報
特定の個人を識別できる情報
組み合わせで該当することも
生存する個人が対象
📋
個人情報保護法
利用目的の明示
目的外利用の禁止
漏えい時の報告義務
🔒
プライバシー権
私生活を公開されない権利
忘れられる権利
自己情報コントロール権
要配慮個人情報
病歴・信条・人種など
取得に本人同意が必要
特に慎重な取り扱いが必要
🌐
GDPR
EUの個人情報保護規制
2018年施行・世界最高水準
忘れられる権利を明文化
🔢
マイナンバー
12桁の個人番号
社会保障・税・災害対策
目的外利用は厳禁
共通テストで出るポイント
個人情報の定義(組み合わせによる該当・死者は対象外)を説明できる
・個人情報保護法の事業者の義務(利用目的の明示・目的外利用禁止・漏えい報告)がわかる
要配慮個人情報の具体例と取り扱いのルールを知っている
匿名加工情報と仮名加工情報の違いが説明できる
プライバシー権・忘れられる権利・GDPRの内容がわかる
オプトイン・オプトアウトの違いが説明できる
マイナンバーの利用範囲(3分野)を知っている
プログラミング教室ワークシート / 個人情報編
戻る
タイトルとURLをコピーしました