Scrap Notes

第4章後半 義務等 - 個人情報保護法

🤝 Written with AI Assistance最終更新日: 19 min read

個人情報保護法 第4章 個人情報取扱事業者等の義務等(第2-3節:第36条~第58条)

生成日: 2026-02-15 出典: 個人情報の保護に関する法律 重要度: ★★(第4章前半の補足・監督体制)

第2節 匿名加工情報取扱事業者等の義務(第36条~第39条)

第36条(匿名加工情報の作成等)

主体: 個人情報取扱事業者

要件: 匿名加工情報を作成する場合

対象: 匿名加工情報の作成方法と管理

効果:

  1. 特定の個人を識別できないよう加工
  2. 復元不可能とするための基準に従う
  3. 削除された情報の安全管理
  4. 加工方法に関する情報の安全管理
  5. 作成内容の公表

例外: なし(必須要件)

第37条(匿名加工情報の提供)

主体: 匿名加工情報取扱事業者

要件: 第三者に匿名加工情報を提供する場合

対象: 第三者提供時の情報公示と明示

効果:

  1. 提供前に第三者に含まれる個人情報の項目を公表
  2. 提供方法について公表
  3. 当該情報が匿名加工情報である旨を明示

例外: あらかじめ公表すれば提供可能

第38条(識別行為の禁止)

主体: 匿名加工情報取扱事業者

要件: 匿名加工情報を保有・利用する場合

対象: 個人識別の禁止行為

効果(禁止事項):

  1. 削除された記述等の取得禁止
  2. 個人識別符号の取得禁止
  3. 他情報との照合による本人識別禁止
  4. 識別可能な状態への変更禁止

例外: なし(絶対的禁止)

解説: 匿名加工の目的を損なうあらゆる再識別行為を禁止。法律違反となる具体的な行為が列挙されています。

第39条(安全管理措置等)

主体: 匿名加工情報取扱事業者

要件: 匿名加工情報を取扱う場合

対象: 適正な取扱い確保のための措置

効果(努力義務):

  1. 安全管理措置の実施
  2. 苦情処理制度の構築
  3. 適正な取扱い確保のため必要な措置
  4. 実施措置内容の公表
  5. 本人からの苦情申し出への対応

例外: 「努めなければならない」と努力義務化

第3節 監督(第40条~第58条)

第40条(報告及び立入検査)

主体: 個人情報保護委員会

要件: 法律の遵守状況確認が必要な場合

対象: 個人情報取扱事業者等への監督権

効果(権限):

  1. 事業者等に対し必要な報告要求
  2. 資料の提出要求
  3. 職員の立ち入り権
  4. 質問権
  5. 検査権
  6. 立入職員による身分証提示義務

例外: 表現・学問・信教・政治活動の自由との衝突時は権限制限(第43条参照)

第41条(指導及び助言)

主体: 個人情報保護委員会

要件: 個人情報の適正な取扱いに関し必要と判断した場合

対象: 個人情報取扱事業者等への行政指導

効果(権限):

  1. 個人情報等の取扱いに関する指導
  2. 個人情報等の取扱いに関する助言 (強制力なし、任意的指導)

例外: なし(推奨的措置)

第42条(勧告及び命令)

主体: 個人情報保護委員会

要件:

  • 勧告: 違反行為があり、本人の権利利益保護が必要
  • 命令: 勧告不従順かつ重大侵害が切迫

対象: 違反行為のある事業者への行政処分

効果(段階的処分):

第1段階・勧告:

  • 適切な措置実施を勧告
  • 勧告内容を公表

第2段階・命令:

  • 勧告不従順かつ重大侵害切迫時
  • 具体的措置実施を命令
  • 命令不従順は罰則対象(第83条)

例外: 勧告に従えば命令なし

解説: 行政処分の段階化。軽微から重大へと段階的対応で自主改善の機会を提供します。

第43条(個人情報保護委員会の権限の行使の制限)

主体: 個人情報保護委員会

要件: 報告要求・立入検査等の権限行使時

対象: 基本的人権に関わる機関・事業

効果(権限制限):

  1. 表現の自由を妨げてはならない
  2. 学問の自由を妨げてはならない
  3. 信教の自由を妨げてはならない
  4. 政治活動の自由を妨げてはならない

対象除外:

  • 新聞社・通信社など報道機関
  • 報道目的の個人情報
  • 宗教法人の宗教活動
  • 政治団体の政治活動

例外: 人権侵害の重大性判断で限定的に権限行使

解説: 個人情報保護と基本的人権のバランス。報道機関等への権限行使は最小化されます。

第44条(権限の委任)

主体: 個人情報保護委員会(権限委任者)

要件: 委員会が必要と判断する場合

対象: 報告要求権・立入検査権等の行使

効果(委任先):

  1. 第一段階: 事業所管大臣へ委任
  2. 第二段階: 事業所管大臣がさらに委任可能
  3. 特例: 金融庁長官への直接委任

委任先の義務:

  • 権限行使の結果を委員会に報告
  • 委員会の指示に従う

例外: 基本的人権に関わる権限は委任不可

第45条(事業所管大臣の請求)

主体: 事業所管大臣

要件: 事業者の違反を認識した場合

対象: 個人情報保護委員会への措置要求

効果(権限):

  1. 委員会に適当な措置実施を求める
  2. 法律遵守のための措置要求
  3. 委員会は要求に応じて検討(強制なし)

例外: 委員会が不要と判断可能

第46条(事業所管大臣)

主体: 関係省庁(厚生労働大臣、各業界主管大臣等)

要件: 法律の対象事業に該当する場合

対象: 事業の性質による事業所管大臣の指定

効果(指定基準):

  1. 雇用管理関連: 厚生労働大臣
  2. 金融サービス: 金融庁長官
  3. その他事業: 各業界主管大臣

事業所管大臣の機能:

  • 監督権の委任受け
  • 業界の特殊性を反映した監督
  • 委員会への報告

例外: 複数の大臣が関係する場合は協調

認定個人情報保護団体制度(第47条~第58条)

第47条(認定)

主体:

  • 個人情報保護委員会(認定権者)
  • 個人情報取扱事業者等の業務行う法人(認定申請者)

要件: 苦情処理、情報提供、その他必要な業務を行う法人

対象: 民間団体による個人情報保護推進事業

効果(認定申請法人の利益):

  1. 委員会認定を受けることが可能
  2. 公式な個人情報保護団体として活動

申請手続:

  1. 政令で定める方法により申請
  2. 認定時に委員会が公示
  3. 認定事実の公表

例外: 認定基準・欠格要件に適合が前提

第48条(欠格条項)

主体: 個人情報保護団体として認定を受けようとする法人

効果(認定不可条件):

  1. 本法律違反で刑に処せられた者を役員が含む
  2. 刑の執行終了から2年未経過
  3. 認定取消から2年未経過
  4. 役員に欠格者が含まれる

結果: 認定申請が不承認となる

例外: なし(絶対的欠格事由)

第49条(認定の基準)

主体: 個人情報保護委員会(認定判断者)

効果(認定判断基準・全て満たす必要):

  1. 業務実施方法が適切に定められている
  2. 個人情報保護に関する知識を有する
  3. 個人情報保護に関する能力を有する
  4. 経理的基礎が堅牢である
  5. 他業務が当該業務の公正性を害さない
  6. その他適切な運営が可能

結果: 全基準充足で認定

例外: 一つの基準不適合で不認定

第50条(廃止の届出)

主体: 認定団体

要件: 業務を廃止する場合

効果(義務):

  1. 廃止事前に委員会へ届出
  2. 廃止内容の明確化

委員会の措置:

  1. 届出受理後に公示
  2. 公開情報の更新
  3. 利用者への周知

第51条(対象事業者)

主体: 認定団体

効果(対象事業者の限定):

  1. 構成員である事業者、または
  2. 同意を得た事業者

公表義務:

  1. 対象事業者の氏名等を公表
  2. 定期的な更新公表
  3. アクセス可能な形式での公開

例外: 本人同意あれば対象外事業者も可

第52条(苦情の処理)

主体: 認定団体

要件: 本人から個人情報の取扱いに関する苦情があった場合

効果(認定団体の義務):

  1. 本人からの苦情に応じる
  2. 苦情内容について調査実施
  3. 対象事業者に通知(必要な調査内容)
  4. 迅速解決を求める
  5. 本人への回答

対象事業者の義務:

  1. 説明の提供
  2. 資料提供要求に応じる
  3. 正当理由なく拒否不可

例外: 営業秘密などの正当理由がある場合

第53条(個人情報保護指針)

主体: 認定団体、構成員である個人情報取扱事業者

効果(認定団体の義務):

  1. 消費者意見を聴く(パブリックコメント等)
  2. 個人情報保護指針を策定
  3. 委員会に届出
  4. 公表(アクセス可能な形で)

指針の機能:

  1. 個人情報保護の指標
  2. 対象事業者の遵守要件

認定団体の監督機能:

  1. 指針遵守の指導
  2. 指針違反時の勧告
  3. 重大違反時の命令準備

例外: 業界特性で指針修正可能

第54条(目的外利用の禁止)

主体: 認定団体

要件: 業務実施過程で個人情報等を知得した場合

効果(禁止事項):

  1. 業務実施で知得した情報を業務以外に利用
  2. 第三者提供の禁止
  3. 本来業務との無関係な利用禁止

結果: 違反時は認定取消事由(第58条)

例外: なし(絶対的禁止)

第55条(名称の使用制限)

主体: 個人情報保護団体として認定を受けていない法人・個人

効果(禁止行為):

  1. 「認定個人情報保護団体」と紛らわしい名称を使用禁止
  2. 認定受けていないのに認定を装う禁止
  3. 虚偽表示の禁止

罰則: 違反時は罰金対象(第88条)

例外: 認定団体は堂々と使用可能

第56条(報告の徴収)

主体: 個人情報保護委員会

要件: 認定団体の適正運営確認が必要な場合

効果(権限):

  1. 認定団体に報告を求める
  2. 業務実施状況の報告要求
  3. 必要限度での情報提供
  4. 定期報告の要求可能

報告対象:

  1. 認定業務の実施状況
  2. 苦情処理実績
  3. 指針遵守状況
  4. 経理状況

例外: 事業秘密保護のための限定可能

第57条(命令)

主体: 個人情報保護委員会

要件: 認定団体の業務運営に改善が必要な場合

効果(権限):

  1. 業務実施方法の改善を命令
  2. 個人情報保護指針の変更を命令
  3. その他法令遵守のための命令

命令対象:

  1. 第49条の認定基準不充足
  2. 指針違反が著しい
  3. 苦情処理が不適切
  4. 目的外利用がある

例外: 軽微な事項は指導で対応

第58条(認定の取消し)

主体: 個人情報保護委員会

効果(取消事由):

  1. 欠格要件の該当が判明(第48条)
  2. 認定基準を満たさなくなった(第49条)
  3. 目的外利用違反(第54条)
  4. 命令不従順(第57条)
  5. 不正な方法で認定取得

処分効果:

  1. 認定を取消す
  2. 取消しを公示
  3. 認定団体資格の喪失
  4. 苦情処理機能の喪失

例外: なし(取消事由該当時は確定)

第4章第2-3節の構造分析

階層的な監督構造(4段階)

第1段階:指導・助言(第41条)
   ↓ 自発的改善促進
第2段階:勧告(第42条)
   ↓ 是正を勧告
第3段階:命令(第42条)
   ↓ 強制的措置実施
第4段階:罰則(第83条等)
   ↓ 法的制裁

権限の分散と協働

  • 個人情報保護委員会: 全体統括・指導
  • 事業所管大臣: 業界別監督(委任受け)
  • 認定団体: 業界セルフレギュレーション実施
  • 報道機関等: 基本的人権尊重で権限制限

個人情報保護士試験対策メモ

匿名加工情報(第36-39条)

覚えるポイント:

  • 作成時: 特定個人識別不可 + 復元不可
  • 提供時: 項目公表 + 方法公表 + 匿名加工情報である旨明示
  • 禁止: 識別行為の絶対的禁止(第38条)
  • 努力義務: 安全管理・苦情処理(第39条)

監督(第40-46条)

処分の段階:

  1. 指導・助言(任意)
  2. 勧告(公表あり)
  3. 命令(罰則あり)

権限制限(第43条):

  • 報道機関
  • 学術研究機関
  • 宗教団体
  • 政治団体 → 表現・学問・信教・政治の自由を尊重

認定団体制度(第47-58条)

認定の流れ:

  1. 申請 → 2. 審査(第48条欠格、第49条基準) → 3. 認定 → 4. 公示

認定団体の義務:

  • 苦情処理(第52条)
  • 指針策定(第53条)
  • 目的外利用禁止(第54条)

認定取消事由(第58条):

  • 欠格要件該当
  • 認定基準不充足
  • 目的外利用
  • 命令不従順
  • 不正取得

グラフビュー