行政書士 一般知識 問21:個人情報保護法の第三者提供・開示請求
個人情報保護法における個人情報の利用・提供・開示等に関する次のア〜オの記述のうち、**誤っているもの**はどれか。
- ア個人情報取扱事業者は、原則として本人の同意なしに個人データを第三者に提供することはできない。
- イあらかじめ本人に通知・公表した上で、本人が拒否の意思表示をしなかった場合に第三者提供できる「オプトアウト方式」は、要配慮個人情報については適用されない。
- ウ本人は、個人情報取扱事業者に対し、自己の個人データの開示を請求することができ、事業者は原則としてこれに応じなければならない。
- エ個人情報取扱事業者が合併・事業承継等により個人データを承継した場合、承継した事業者は当然に元の事業者の利用目的を引き継げるため、新たな利用目的の通知は一切不要である。正答
- オ個人情報取扱事業者は、個人データの安全管理のために必要かつ適切な措置を講じなければならず、従業員の監督義務も含まれる。
AI解説(初心者・標準・上級)
理解度に合わせて3レベルの解説を無料で読めます。根拠条文・判例も明記。
誤りはエです。合併・事業承継等により個人データを承継した場合、承継した事業者は元の利用目的の範囲内では利用できますが(18条2項で承継を例外として認める)、利用目的を変更する場合や本人への通知が必要な場合は対応が求められます。「新たな利用目的の通知が一切不要」という断言は誤りです。ア(正):27条1項が第三者提供の同意原則を定めます。イ(正):オプトアウト方式(27条2項)は要配慮個人情報には適用されません(27条2項但書)。ウ(正):33条は本人の開示請求権を定め、事業者は原則として応じる義務があります(拒否できる例外事由あり)。オ(正):23条(安全管理措置)・24条(従業者の監督)に根拠があります。
エが誤りです。事業承継と利用目的については、18条2項が「事業を承継することに伴って個人情報を取得した場合には、あらかじめ本人の同意を得ないで、承継前における当該個人情報の利用目的の達成に必要な範囲を超えて当該個人情報を取扱ってはならない」と定めています。つまり、承継前の利用目的の範囲内での利用は可能ですが、目的外利用には同意等が必要です。また、新たに取得した個人情報と同様に適切な管理・通知が求められる場合もあります。「一切不要」という断言は誤りです。ア(正):27条1項の第三者提供の同意原則。例外は①法令に基づく場合(警察の照会等)、②人の生命・身体・財産保護のために必要かつ本人同意取得困難の場合、③公衆衛生向上のために必要かつ本人同意取得困難の場合、④国の機関等への協力の場合(同条1項1〜4号)です。イ(正):オプトアウト方式(27条2項)は通常の個人データに限定され、要配慮個人情報には適用されません(センシティブ情報の保護強化)。ウ(正):開示請求に対し、事業者は3か月以内(法定期間・改正後)に開示・不開示の決定を通知します。オ(正):23条(安全管理措置)・24条(従業者の監督義務)・25条(委託先の監督義務)が義務の体系を構成します。
【第三者提供規制の体系】
個人情報保護法における第三者提供の規制は、①同意原則(27条1項:原則として本人の同意が必要)、②例外(同条1項各号:法令・生命保護等)、③オプトアウト方式(27条2項:一定条件のもと本人の拒否機会を与えて提供可)、④委託・事業承継・共同利用(27条5項各号:これらは「第三者提供」に該当しない例外)という層構造で成り立っています。「委託」「事業承継」「共同利用」は第三者提供の例外扱いとされますが、目的外利用・安全管理の義務は継続します。第三者提供の記録作成義務(29条)と受領側の確認義務(30条)は「トレーサビリティ確保」を目的とした2017年改正で追加されました。
【オプトアウト方式の詳細】
オプトアウト方式(27条2項)は、①あらかじめ個人情報保護委員会への届出、②本人への通知または公表(第三者提供の対象となる項目・提供の方法・停止手続等)を行ったうえで、本人が停止を求めない限り第三者に提供できる仕組みです。主に名簿業者・DM業者等が活用していましたが、2022年改正でオプトアウト適用範囲の縮小が検討され、要配慮個人情報への適用禁止(イの正答根拠)に加え、他社からオプトアウトで取得した情報を再度オプトアウトで提供することも禁止されました(いわゆる「横流し防止」)。
【本人の権利(開示・訂正・削除・利用停止等)】
本人は以下の権利を行使できます(33〜40条)。①開示請求(33条):自己の個人データの内容の開示を求める権利。②訂正等(34条):内容が事実でない場合の訂正・追加・削除を求める権利。③利用停止等(35条):利用目的の達成に必要な範囲を超えた利用・不正取得・第三者提供違反等があった場合の利用停止・消去・提供停止を求める権利(2022年改正で拡充)。2022年改正では、本人の権利拡充として、保有個人データの漏えい等が生じた場合の利用停止等の求めができる範囲が広がりました。開示請求への対応期間は「遅滞なく」とされており、実務上は30日程度が目安です(法定期間の詳細は規則)。
【事業承継と個人情報の関係】
合併・会社分割・事業譲渡等の組織再編では個人データが大量に承継されます。18条2項が「承継前の利用目的の範囲内での利用は可」とする一方、元の利用目的を超えた利用や実質的に別事業への転用は制限されます。また、承継の際に本人への通知が必要か否かは、利用目的の変更の有無・承継の態様(吸収合併で目的そのままの場合等)によって異なります。「一切不要」(エの誤りの核心)という断言は、このような場合分けを無視した過度な一般化です。個人情報保護委員会のガイドラインでは、承継後に元の利用目的を超えて利用する場合は新たな同意取得または適切な通知が必要とされます。
【根拠条文】
個人情報の保護に関する法律 第18条第2項(事業承継・利用目的の継承)、第27条第1項(第三者提供・同意原則)、第27条第2項(オプトアウト)、第33条(開示請求)、第23条・第24条(安全管理・従業者監督)
※条番号は令和3年改正後(2022年4月全面施行)の現行条文に基づく。
【補足】
エの誤りは「一切不要」という断言。事業承継でも元の利用目的の範囲を超える場合は通知等が必要。オプトアウトが要配慮情報に不適用(イ正)と並んで出題頻度が高い。
本問は合格ナビが作成したオリジナル問題です(過去問の転載ではありません)。 根拠・出典:根拠: 個人情報保護法 第18条・第23条・第27条・第33条・第24条(令和3年改正後の現行条番号) 現行法(2026年度基準)に準拠し、根拠条文・判例を明記しています。