令和6年度27ストラテジ系

ITパスポート 令和6年度 問27:corporate_legalに関する問題

個人情報保護法では、あらかじめ本人の同意を得ていなくても個人データの提供が許される行為を規定している。この行為に該当するものだけを、全て挙げたものはどれか。 a: 事故で意識不明の人がもっていた本人の社員証を見て、搬送先の病院が本人の会社に電話してきたので、総務の担当者が本人の自宅電話番号を教えた。 b: 新規加入者を勧誘したいと保険会社の従業員に頼まれたので、総務の担当者が新入社員の名前と所属部門のリストを渡した。 c: 不正送金等の金融犯罪被害者に関する個人情報を、類似犯罪の防止対策を進める捜査機関からの法令に基づく要請に応じて、総務の担当者が提供した。

  • aa
  • ba, c正答
  • cb, c
  • dc
正答:Ba, c

AI解説(初心者・標準・上級)

理解度に合わせて3レベルの解説を無料で読めます。

初心者向けまずはここから。やさしく要点を解説

答えは b(a, c) です。

個人情報は本人の同意なしに勝手に他人へ渡すのが基本ダメ。でも“例外”があります。

  • a:事故で意識不明の人を助けるため、病院に連絡先を教える → 命を守る緊急時はOK。
  • c:警察など捜査機関から法律に基づいて求められた → 法令に基づく要請はOK。
  • b:保険の勧誘のために社員リストを渡す → ただの営業目的なのでダメ。

👉 覚え方:「命を守る」「法律で求められた」ときは同意なしでもOK。「営業のため」はアウト。

だからOKなのはaとc=選択肢bです。

標準試験対策の基準レベル

なぜこれが正解か

正解は b(a, c)。個人情報保護法は、本人同意なしの第三者提供を原則禁止しつつ、一定の例外を定めている。

  • a:事故で意識不明の本人の救護のため会社に連絡先を伝える → 「人の生命・身体の保護に必要で本人同意取得が困難」な場合に該当しOK。
  • c:捜査機関からの法令に基づく要請への提供 → 「法令に基づく場合」に該当しOK。

この2つが同意不要で許される。

誤りの選択肢

  • b:保険勧誘という営業目的で新入社員リストを渡す行為は、いずれの例外にも当たらず、本人同意のない第三者提供として違法。

よってa・cが該当 → 選択肢b。

覚え方・ひっかけ注意

同意不要の主な例外は「①法令に基づく ②人の生命・身体・財産の保護 ③公衆衛生・児童の健全育成 ④国等への協力」の4類型。bのような“営業・勧誘目的”はこれに含まれない、と覚える。

上級誤答論破・背景理論まで深掘り

理論的背景

個人情報保護法(2003年制定、2015年・2022年改正)における個人データの第三者提供制限は、同法23条(旧)→17条(2022年改正後)が根拠規定であり、原則として本人の事前同意が必要とされる。ただし同条の例外規定として「法令に基づく場合」「人の生命・身体・財産の保護のために必要な場合(本人から同意を得ることが困難な場合に限る)」「公衆衛生・児童健全育成のために必要な場合」「国・地方公共団体等の法令事務への協力が必要な場合」が明定されている。

本問の正解はbの「a と c の両方」。事例aは「人の生命・身体の保護に必要」かつ「本人が意識不明で同意取得が困難」という2要件を満たし、適法な例外提供に該当する。事例cは「法令に基づく要請(捜査機関による法令上の照会)」に対応しており、これも明確な法令根拠に基づく例外に該当する。

事例bの「保険会社従業員の勧誘目的での提供」は完全にアウトであり、①目的外利用(採用目的で取得した個人情報を保険勧誘に使用)、②営利目的の第三者提供という2点の違反を構成する。2022年の法改正でオプトアウト規制の厳格化と不正競争防止法との連携強化が図られており、こうしたケースへの法的リスクが増大している。

実務での使われ方

企業の個人情報保護実務では「プライバシーポリシー」と「個人情報管理規程」の整備が基本となる。第三者提供の例外を正確に把握することはコンプライアンス担当者に必須の実務知識であり、特に医療機関・金融機関・教育機関では行政機関・警察・家族等からの照会に対応する手続きマニュアルが整備されている。

2022年改正の主要ポイントは①漏えい等の報告義務の法定化(個人の権利利益侵害のおそれがある漏えいは72時間以内に届出)、②保有個人データの開示方法の電磁的記録対応、③オプトアウト手続きの厳格化(要配慮個人情報はオプトアウト不可)、④外国への提供規制の強化(適切な措置を講じていることの確認義務)である。GDPRとの比較でEU圏との越境データ移転規制も企業実務では重要テーマとなっている。

試験での位置づけ

個人情報保護法の適法・違法判断は、ITパスポートの「経営・法務」分野で毎年出題されるコアテーマであり、「例外規定の適用可否」を問う本問形式は頻出中の頻出。出題パターンは「適法な提供事例の選択」「違法な利用・提供の識別」「個人情報取扱事業者の義務(取得時の通知・利用目的の特定・安全管理措置)」の3タイプ。

2022年法改正後は改正ポイントを踏まえた出題が増加しており、「漏えい報告義務(72時間ルール)」「要配慮個人情報の定義拡大(ゲノムデータ等の追加)」「個人関連情報の第三者提供制限」が新出題ポイントとして注目される。基本情報技術者・情報セキュリティマネジメント試験ではGDPR・APEC CBPRとの国際比較も出題される。

選択肢の発展補足

事例aの詳細分析:「意識不明の人の緊急連絡先の提供」は「人の生命・身体の保護に必要で、かつ本人から同意取得が困難な場合」という2要件を同時に満たす教科書的な例外事例。「会社の連絡先として社員証情報を用いる」という点も、業務上の記録として適切に保有された個人データの緊急目的利用として許容される。

事例bの違反構造:保険会社従業員への新入社員リスト提供は、①雇用管理目的で取得した個人情報を保険勧誘という全く異なる目的に使用する「目的外利用」、②外部の商業目的のために本人同意なく個人データを第三者に提供する「不正な第三者提供」の二重違反。2022年改正で強化された漏えい報告義務の文脈でも、このような不正提供は重大インシデントとして届出義務が生じる。

事例cの法令根拠:刑事訴訟法197条2項が任意捜査としての「捜査関係事項照会書」による照会を認めており、金融機関・携帯電話会社等がこれに応じた情報提供を行うことは個人情報保護法の例外規定と整合する。ただし「法令に基づく」要請であることの確認(照会書の形式・照会機関の確認)が実務上の手続き要件として重要。

出典・引用について

出典:IPA(情報処理推進機構)公式 ITパスポート試験 令和6年度27/ 公的機関配布資料につき出典明記の上引用。解説は合格ナビによる独自AI解説です。

ストラテジ系の他の過去問

1
corporate_legal
2
corporate_legal
3
business_strategy
4
business_strategy
5
corporate_legal

あなたの弱点を診断して、合格までの最短ルートを

この分野を連続演習し、AIがあなたの弱点を分析。合格ナビならITパスポートの過去問を解きながら学べます。