個人情報保護法の条文構成解説

 個人情報保護法の構成を理解する上で、本稿の最初の方で説明した個人情報、個人情報データベース、個人データなどの定義が大切になります。それぞれに必要な対策が書かれているからです。このようにきちんと定義を覚えて、分類しながら理解することは法律を勉強する上での常套手段となります。個人情報保護士以外の法律系の試験を受験される方は是非試してみられる良いと思います。

 

 個人情報に関しては

  1.利用目的の特定・制限(15・16条)

  2.適正な取得(17条)

  3.取得に際しての利用目的の通知(18条)

  4.苦情処理(31条)

  が論点となります。OECD8原則との関連で理解してください。

 個人データに関しては

  1.データ内容の正確性の確保(19条)

  2.安全管理措置、従業者・委託先の監督(20・22条)

  3.第三者提供の制限(23条)

  が論点となります。情報システムに関するセキュリティと第三者提供のお話ですね。

 保有個人データに関しては

  公表、開示・訂正・利用停止等が論点となり、そもそももっている個人データを情報主体からの要望があった場合にどのようにするべきかを述べています。

 

  OECD8原則から、個人情報保護法がどのように構成されているべきかを、条文番号は覚えなくても結構ですから、考えてみると良い勉強になり、バラバラに暗記するのと比較して、全てがもれなく定着するはずです。

 

└試験に出る例外(例外は例外なく出題されるの法則)

  法律に関する試験に限らずどの試験でも、「重要な例外」は絶対に試験に出ます。ここでは「第三者開示の制限」に関する例外と「情報開示請求」に関する例外を説明しましょう。ここで復習しておきますが、「第三者に勝手に個人の情報を漏らしてはいけない」ことや「個人情報の主体が自分の情報を開示してくださいと言った場合には、原則開示しなければならない」というのはいいですね。

 

 ①個人データの第三者開示制限の例外

  個人情報保護法の条文に即して言えば、次の例外があります。

  1.法令に基づく場合

  2.人の生命、身体又は財産の保護のための必要がある場合にあって、本人の同意を得ることが困難である場合

  3.公衆衛生の向上または児童の健全な育成の促進のために特に必要ある場合であって、本人の同意を得ることが困難である場合

  4.国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要があって、本人の同意を得ることにより当該事務の遂行に支障を及ぼす恐れがある場合

 

  例えば救急患者が意識不明なときに家族から、その患者の既往歴などを聞くことが出来なかったりしたら大変です。遭難者の救助を家族が求める時に、そもそもその場にいない人に「あなたの名前を警察に届けていいですか?」と聞くことが出来るでしょうか?そのような例は過去問の中に沢山あります。問題を解答しながら、これのことを言っているだなという勘を働かせる訓練をしていくと良いでしょう。

 

 ②開示請求の例外

  個人情報取扱事業者は、本人から保有個人データの開示を求められたときは、以下のいずれかに該当する時を除いて、遅滞なく開示しなければならない。ただし6ヶ月以内で消去されることが予定されている情報や情報の存否を明らかにすることによって、公益等が害される情報は除かれる。

  1.本人又は第三者の生命、身体、財産その他の権利利益を害する恐れがある場合

  2.当該個人情報取扱事業者の業務の適正な実施に著しい支障を及ぼすおそれがある場合

  3.その他の法令に違反することとなる場合

 

  まとめると個人のための個人情報保護の利益と、他の人が被る迷惑との中をとって解決しようということです。いい加減なようですが、このような考え方を法律学では比較考量論といいます。

 

└忘れやすい論点となぜか誤解されることが多い事項(最後の攻めどころ)

 試験対策をする場合、なぜか多くの受験生が誤解していることが多い事項というものが存在します。また多くの人が常識と思っていることと、原理原則が乖離しているものもあります。さらに個人情報保護士試験の場合には、「個人情報保護士」という名称のせいで、個人情報保護法の勉強だけをしていて、情報系の知識やISOの対策をしていないために、その問題が全滅という人もいるので、その点を最後に述べておきしょう。

 なぜか誤解されることが多い事項は、個人情報保護体制を整えるときに必要な、「個人情報保護方針」に関するものです。現実に会社で業務を行う場合、何らかの方針案を書面化するのは確かに総務部などかも知れませんが、それはあくまで草案に過ぎず、方針を出すことが出来るのは、戦で言えば大将です。方針であるからには、トップマネジメントも含めた会議体、例えば役員会などで正式承認をとり、代表取締役名で出すのが本当です。ところが多くの方は、業務としての文書作成だけを見ているために、「方針」の作成者を「監査役」としてしまったり、その内容を「具体的な個人情報の保護方法についての内容」と思ってしまったりして、間違えます。方針はあくまで社の方針、抽象的であっても個人情報保護の大切さを社内に宣言し、これから体制をつくるぞという大将の号令なのです。またこんな間違いをする人もいます。「個人情報保護方針は会社の重要事項であるから、一部の関係者を除き、厳重に機密として管理しなければならない」などという選択肢を選んでしまう方。方針は徹底してこそ方針です。社員に見せられない方針はそもそもナンセンスですし、方針は企業のホームページにも掲載されているところが多いことなどから勘を働かせるべきでしょう。

 誤解されることが多い事項の次は、会社でのパソコンの管理です。模範解答的には、使用していない時には、施錠されたロッカー等に保管するとなります。ISMSなどではこのようなことが推奨されていますが、現実問題として、パスワードをかけることぐらいしかしていないのではないでしょうか?それは現実であって、理想論はどうかというのが解答となります。そもそも多くの事業者が個人情報保護対策ができていなかったために出来た法律といえますから、この部分の常識にずれがあっても当然といえば当然ですが・・・・。

 第二にシステムに関する知識です。情報処理技術者試験などを受験したことのある方は、比較的この分野は得意であると思われます。情報セキュリティ関連の出題は、情報セキュリティアドミニストレータやテクニカルエンジニア(情報セキュリティ)だけではなく、他の多くの試験でも出題されますから。

 そこでここでは情報システムに関して予備知識のない方のために簡単な概略と勉強方法を書くことにしましょう。

 個人情報保護法に関連した情報システムプロパーの知識はそれほど高度なものが出てくるわけではありません。但し次のようなことは最低限度理解しておく必要があります。

 情報セキュリティの3要素といわれるのは、機密性(Confidentiality)、完全性(Integrity)、可用性(Availability)であり、頭文字でCIAとなることから、「CIAがチェックする情報セキュリティ」と語呂合わせで覚えたりします。機密性とは、権利のない人が情報システムにアクセスしたり、情報を見たり出来ないようにしなければならないということで、例えば不正侵入を防止するためのファイアウォール装置や、侵入探知装置(IDS Intrusion Detection System)、その進化した形である侵入防止・探知装置(IDPS Intrusion Detection and Protection System)が関連します。またパスワードを設定して本人以外に使えないようにするなどもこれに関連する事項ですね。完全性とは、システムが不正に改変されずに完璧な情報を提供するものでなければならないということで、例えばホームページの改竄などは、完全性に関連した問題ということになります。最後の可用性とは使いたい時に、きちんと使えなければいけないということで、これを脅かすものとしては、DoS攻撃(Denial of Service)等があげられます。

 情報セキュリティを脅かすものの中で一番の脅威は「人」といわれています。だからこそ下請け管理や、社員・取引業者との秘密保持契約の締結が必要とされています。例えばハッカーまがいの技術を使って侵入するよりも、社内の人間で口の軽い人からパスワードを聞きだした方が簡単で確実です。またパソコンの画面の横にパスワードを忘れないように付箋紙で貼り付けている人などもたまにいるようですが、そのようなパスワードを外部の人間が見てしまうというリスクもありますね。ソーシャルエンジニアリングと呼ばれる人に関する脅威です。

 この他脅威に関する事項として、新聞などで目にすることの多いウイルス、ワーム、スパムメール、スプーフィング(ネットワークを利用した一種の盗聴技術)、フィッシング(見た目そっくりのホームページにいざなって、銀行か何かのようなふりをして情報を入力させること)、トロイの木馬などは、テキストに出ているはずですから、その定義を覚えておいてください。

 情報セキュリティ対策として、暗号化に関する知識はもっておかなければなりません。CA(認証局)とは何かに関する問題が、情報処理関係の試験でよく出題されおり、筆者が受けた試験会場でも、受験した他の方が「CAって何だ?」と仰っていたので意外な盲点になった論点だったのでしょう。人の振り見てという言葉通り、暗号化に関する説明はしっかり読んでおきましょう。一般にPKI(公開情報鍵基盤 Public Key Infrastructure )に関する出題がなされることが多いということも知っておくといいでしょう。

 最後にISOに関して、実はもう説明しています。BS7799やOECDガイドライン、ISMS、プライバシーマークに関する知識が問われるのです。BS7799の各パートと、ISOの関係、JIS規格との関係をもう一度読み返して見てください。但し暗記の要素が高い部分ですから、これは試験前日にもう一度覚えなおしするぐらいの気分で勉強した方がいいかも知れません。

 

スポンサードリンク

Copyright © 2006 個人情報保護士資格試験ガイド. All rights reserved