行政書士 一般知識 問33:情報通信・個人情報保護
個人情報取扱事業者の利用目的に関する規律について、次のア〜オの記述のうち、**正しいもの**はどれか。
- ア個人情報取扱事業者は、いったん特定した利用目的を変更する場合、変更前の利用目的と相当の関連性を有すると合理的に認められる範囲内でのみ変更することができ、変更した利用目的は本人に通知または公表しなければならない。正答
- イ個人情報取扱事業者は、人の生命・身体または財産の保護のために必要な場合であっても、本人の同意を得ることが不可能でないときは、利用目的の範囲を超えた取扱いをすることはできない。
- ウ個人情報取扱事業者が学術研究機関への個人データの提供を行う場合、学術研究目的であるとの理由があれば、目的外利用であっても本人の同意なく常に提供することができる。
- エ個人情報取扱事業者は、個人情報を取得する際に利用目的を「個人情報を取得した目的のために利用します」と包括的に公表すれば、その後いかなる目的にも利用することができる。
- オ個人情報取扱事業者が目的外利用を行う場合、本人の同意を得ることに加えて、個人情報保護委員会への届出も必要となる。
AI解説(初心者・標準・上級)
理解度に合わせて3レベルの解説を無料で読めます。根拠条文・判例も明記。
正答はアです。利用目的を変更する場合は、変更前の目的と「相当の関連性を有すると合理的に認められる範囲内」でのみ変更でき(17条2項)、変更後の目的を本人に通知または公表しなければなりません(21条3項)。イ(誤):生命・身体・財産の保護のために必要で、本人の同意を得ることが困難である場合は目的外利用が認められます(18条3項1号)。「不可能でないとき」という誇大な要件ではなく「困難」で足ります。ウ(誤):学術研究機関への提供であっても、無条件に提供できるわけではなく、学術研究目的で必要かつ本人の権利利益を不当に侵害しないことなど、要件を満たす場合に限られます(27条1項5号)。エ(誤):「個人情報を取得した目的のために利用します」という包括的な表現は、利用目的を「できる限り特定」する義務(17条1項)を果たしておらず、そのような包括的目的記載は無効です。オ(誤):目的外利用に個人情報保護委員会への届出は不要です。本人同意があれば足ります。
アが正答です。17条2項は「個人情報取扱事業者は、利用目的を変更する場合には、変更前の利用目的と相当の関連性を有すると合理的に認められる範囲を超えて変更してはならない」と定め、21条3項は変更後の利用目的の通知・公表義務を規定しています。「相当の関連性」の判断は、変更前後の目的の間に合理的な継続性・親和性があるかどうかで判断します(例:商品購入者への関連商品案内は関連性あり、全く別業種の勧誘は関連性なし)。イ(誤):18条3項は①生命・身体・財産保護で同意取得が困難、②公衆衛生の向上または児童の健全育成で同意取得が困難、③国の機関等への法令に基づく協力が必要で同意取得により支障をきたすおそれがある場合等を目的外利用・提供の例外として認めています。ウ(誤):学術研究目的の例外(27条1項5号等)は要件を満たす場合に限られ、無条件ではありません。エ(誤):17条1項は「利用目的をできる限り特定しなければならない」と規定し、包括的・抽象的な目的記載は「特定」の要件を満たしません。オ(誤):目的外利用には原則として本人同意が必要ですが(18条1項の反対解釈)、委員会届出は要件とされていません。
【利用目的の特定義務の趣旨と「できる限り特定」の意味】
17条1項の「できる限り特定しなければならない」という規定の趣旨は、本人が自己情報の利用態様を予測・理解できるようにすることで、本人の自己情報コントロール権を実質的に保障することにあります。個人情報保護委員会のガイドライン(通則編)では、「単に最終的な目的の達成手段として利用されることをも含め、目的を特定することが必要」とされており、「サービスの提供のため」「マーケティングのため」という程度では不十分で、具体的な業務内容・利用の態様まで示すことが求められます。エのような「個人情報を取得した目的のために利用します」という表現は、利用目的の特定義務を全く果たさない無効な記載です。
【利用目的変更の「相当の関連性」基準の詳細】
17条2項の「相当の関連性を有すると合理的に認められる範囲内」という基準は、実務上重要な判断基準です。具体的には①変更前後の目的の性質・内容の親和性、②本人が変更前の目的から変更後の目的での利用を予測できるか、という二つの観点から判断します。OECDプライバシーガイドライン(1980年)の目的明確化原則(Purpose Specification Principle)と利用制限原則(Use Limitation Principle)が日本法の解釈基準の背景にあります。変更例として認められやすいもの:同一サービス内での別機能提供(購入履歴を使った推薦機能追加)。認められにくいもの:A社が収集した顧客データをB社(グループ外)の全く別目的に流用すること。
【18条3項の例外類型の詳細】
利用目的外の利用・第三者提供が許容される例外(18条3項・27条1項)は以下の類型があります。①法令に基づく場合(捜査機関への照会等)、②人の生命・身体・財産の保護で本人同意が困難な場合、③公衆衛生の向上・児童の健全育成で本人同意が困難な場合、④国・地方公共団体の法令事務への協力で本人同意により支障をきたすおそれがある場合、⑤学術研究機関等への提供で学術研究目的に必要かつ本人の権利利益を不当に侵害しない場合(27条1項5号:2022年改正で追加・整備)。これらの例外は限定列挙であり、拡張解釈は許されません。行政書士実務では特に①(行政機関からの照会への対応)と④(地方公共団体業務への協力)が問題になる場面があります。
【上位資格・実務への接続】
個人情報の利用目的規律は、プライバシー・ポリシーの法的有効性判断に直結します。利用目的が適切に特定・公表されているか、変更の際に法定手続が踏まれているかは、企業のコンプライアンス体制監査の核心事項です。行政書士は企業向けプライバシーポリシーのレビュー・作成支援業務において、17条・18条・21条の要件充足の確認が実務上の核心スキルとなります。また、EU GDPRの目的制限原則(Article 5(1)(b))との対比では、日本法の「相当の関連性」基準はGDPRの「compatible purposes」判断と類似した構造を持つ点も押さえておくと国際業務に応用できます。
【根拠条文】
個人情報の保護に関する法律 第17条第1項(利用目的の特定)・第17条第2項(利用目的変更の範囲)・第18条第1項(目的外利用の禁止)・第18条第3項(例外事由)・第21条第3項(変更時の通知・公表)
※条番号は令和3年改正後(2022年4月全面施行)の現行条文に基づく。
【補足】
変更は「相当の関連性」の範囲内でのみ可(17条2項)+変更後の通知・公表義務(21条3項)。例外は18条3項の限定列挙。「できる限り特定」は包括記載では不十分。
本問は合格ナビが作成したオリジナル問題です(過去問の転載ではありません)。 根拠・出典:根拠: 個人情報の保護に関する法律 第17条第1項(利用目的の特定)・第18条第1項(利用目的による制限)・第18条第3項(利用目的の制限の例外)・第17条第2項(利用目的の変更)・第21条第3項(変更時の通知・公表義務) 現行法(2026年度基準)に準拠し、根拠条文・判例を明記しています。