行政書士 一般知識 問25:個人情報保護法の罰則・個人情報保護委員会
個人情報保護委員会(PPC)および個人情報保護法の執行・罰則に関する次のア〜オの記述のうち、**誤っているもの**はどれか。
- ア個人情報保護委員会は、個人情報保護法の執行機関として、個人情報取扱事業者に対する報告徴収・立入検査・指導・勧告・命令を行う権限を持つ。
- イ個人情報取扱事業者が個人情報保護委員会の命令に違反した場合、法人に対しても罰則(両罰規定)が適用される場合がある。
- ウ個人情報保護委員会は、内閣府の外局として設置された合議制の行政機関であり、内閣府大臣の指揮監督のもとで職務を行う。正答
- エ個人データが漏えい等した場合、一定の要件(要配慮個人情報の漏えい等・1,000人超の漏えい等)を満たすときは、個人情報取扱事業者は個人情報保護委員会への報告と本人への通知が義務づけられる。
- オ個人情報保護委員会の委員は、任期中に正当な理由なく罷免されない身分保障が与えられており、職務の独立性が確保されている。
AI解説(初心者・標準・上級)
理解度に合わせて3レベルの解説を無料で読めます。根拠条文・判例も明記。
誤りはウです。個人情報保護委員会は「内閣府の外局」として設置されていますが、「内閣府大臣の指揮監督のもとで職務を行う」という点が誤りです。個人情報保護委員会は独立した行政委員会であり、その職権行使において内閣府大臣(または内閣総理大臣)の指揮監督を受けません(個人情報保護法の規定上、委員会の独立性が明記されています)。ア(正):報告徴収・立入検査・指導・勧告・命令は委員会の権限です(156条以下)。イ(正):両罰規定により事業者(法人)も罰則対象です。エ(正):漏えい等報告義務(26条)の要件が記述されています(要配慮情報の漏えい・1,000人超等)。オ(正):身分保障による独立性確保は行政委員会の特徴です。
ウが誤りです。個人情報保護委員会は、内閣府設置法等に基づき内閣府の外局として設置された独立行政委員会です。合議制であり、その職権行使においては内閣府大臣(または内閣総理大臣)の指揮監督を受けない点が重要な特徴です(公正取引委員会・国家公安委員会等と同様の独立行政委員会の類型)。これは個人情報保護の執行において政治的中立性・専門性を確保するための設計です。ア(正):委員会の権限(個人情報保護法第6章)は、①事業者への報告・資料提出要求(146条)、②立入検査(147条)、③指導・助言(147条)、④勧告(148条1項)、⑤勧告に従わない場合の命令(148条2項・3項)と段階的に設計されています。イ(正):命令違反には1年以下の拘禁刑(令和7年6月施行の刑法改正前は「懲役」)または100万円以下の罰金が定められ、法人に対する両罰規定もあります。エ(正):2022年改正で漏えい等の報告・本人通知が義務化されました(26条)。対象事由は要配慮個人情報の漏えい・1,000人超の漏えい・不正アクセスによる漏えい等です。オ(正):委員の身分保障(正当な理由なき罷免の禁止)は独立行政委員会の基本的特徴です(同種の規定は公正取引委員会設置法・国家公安委員会等にも存在)。
【独立行政委員会の理論】
独立行政委員会(independent administrative commission)は、行政の民主的コントロールを受けながらも政治的中立性・専門技術的独立性を確保するために設けられた合議制の行政機関です。日本では公正取引委員会・国家公安委員会・原子力規制委員会・個人情報保護委員会等がこの類型に属します。内閣府の外局として設置されますが(内閣府設置法49条以下)、職権行使においては内閣の指揮命令を受けません(ウの誤りの根拠)。これは憲法65条(行政権は内閣に属する)との緊張関係がありますが、三条委員会(国家行政組織法3条に基づく機関)として独立性が認められています。委員の身分保障(罷免制限)は独立性を担保する法的仕組みです(オの根拠)。
【個人情報保護委員会の権限と執行体系】
個人情報保護委員会の権限は段階的に設計されています。①行政指導(指導・助言)→②勧告→③命令という順序で、段階的に強度が増します。命令に違反した場合は刑事罰(拘禁刑〔改正前は懲役〕・罰金)が科され、法人に対する両罰規定も適用されます(イの根拠)。2022年改正(2023年4月全面施行)により、同委員会の監督権限は国・地方公共団体・独立行政法人にも及ぶようになりました(官民一元化の結果)。ただし国の行政機関に対する命令等の権限については特別な規定が設けられており、自律的な是正が求められる仕組みです。外国の個人情報保護機関との協力・情報共有も国際的な規律の観点から重要です(EUのGDPR(一般データ保護規則)との十分性認定:日本のPPCとEUが相互に十分な保護水準を認定)。
【漏えい報告制度の詳細】
2022年改正(26条)で義務化された漏えい等の報告・本人通知の対象事由は、①要配慮個人情報の漏えい等、②不正アクセスによる漏えい等、③財産的被害が生じるおそれがある漏えい等、④1,000人を超える個人データの漏えい等、です(エの根拠)。報告は速報(3〜5日以内に個人情報保護委員会へ)と確報(30日以内・不正アクセスの場合60日以内)の二段階で行います。本人への通知は漏えい等の事実・対象者の範囲・原因・対応措置等を含めて行います(ただし連絡先不明等で本人に通知できない場合は公表等で代替)。報告義務違反も命令の対象となり、従わない場合は刑事罰が科される可能性があります。
【委員会の監督と限界】
個人情報保護委員会の監督は国内の個人情報取扱事業者を主な対象としていますが、越境データ移転規制(24条:外国にある第三者への提供制限)という形で国際的な場面にも及びます。EU・GDPRとの関係では、2019年に日EU相互の十分性認定が行われ(EUから日本への個人データ移転が簡易化)、定期的な見直しが行われています。しかしGAFA等の大規模プラットフォーム事業者への実効的な規制は依然として課題であり、個人情報保護委員会の執行リソース・権限の強化が政策議題となっています。行政書士試験では委員会の独立性(ウの誤り)と漏えい報告義務(エ)が特に出題されやすい論点です。
【根拠条文】
個人情報の保護に関する法律 第26条(漏えい等の報告・本人通知義務)、第130条以下(個人情報保護委員会の設置・組織)、第146条〜第148条(報告徴収・立入検査・勧告・命令)、第184条(両罰規定)
【補足】
個人情報保護委員会は「内閣府外局だが独立行政委員会であり指揮監督を受けない」(ウ誤り)。「指揮監督を受ける」とする選択肢は典型的な引っかけ。漏えい報告の4要件(エ正)も頻出論点。
本問は合格ナビが作成したオリジナル問題です(過去問の転載ではありません)。 根拠・出典:根拠: 個人情報の保護に関する法律 第131条・第156条以下、個人情報保護委員会設置規定(個人情報保護法130条以下)、26条(漏えい等の報告・本人通知義務) 現行法(2026年度基準)に準拠し、根拠条文・判例を明記しています。