行政書士 一般知識 問20：個人情報保護法の基本概念

正答はアです。個人情報保護法2条1項は、個人情報を「生存する個人に関する情報」と定義しており、死者に関する情報は個人情報保護法上の「個人情報」には該当しません（ただし遺族等生存する個人に関する情報としての側面を持つ場合は別途考慮されます）。イ（誤）：2017年改正で5,000件以下の事業者への適用除外は廃止され、件数要件なしで個人情報を取り扱うすべての事業者が適用対象となりました。ウ（誤）：要配慮個人情報の取得には、原則として本人の同意が必要（20条2項）です。同意不要とする記述は誤りです。エ（誤）：事業者は利用目的をできる限り特定しなければならず（17条1項）、特定した利用目的の達成に必要な範囲を超えて取り扱うことは原則できません（18条1項）。「特定不要・自由に利用できる」とするエは誤りです。オ（誤）：2022年改正により、国・地方公共団体・民間を通じた一元的な規律が個人情報保護法に統合されました。

アが正答です（2条1項「生存する個人に関する情報」）。各肢の詳細：イ（誤）：改正前（2015年以前）は5,000件超の事業者のみが「個人情報取扱事業者」でしたが、2017年5月施行の改正で件数要件が撤廃され、個人情報データベース等を事業に用いるすべての事業者が対象となりました。ウ（誤）：要配慮個人情報（2条3項）は「不当な差別・偏見等が生じる恐れがある情報」として定義されており、その取得には原則として本人の事前同意が必要（20条2項）です（旧法の要配慮情報概念の明文化と強化）。エ（誤）：事業者は利用目的をできる限り特定する義務を負い（17条1項）、特定した利用目的の達成に必要な範囲を超えた取扱いは原則禁止されます（18条1項）。取得時には、あらかじめ利用目的を公表している場合を除き速やかに利用目的を通知・公表する必要があります（21条1項）。「特定不要・自由に利用できる」とするエは誤りです。ア（正）：死者の情報が遺族等の生存個人に関する情報を含む場合は生存個人の情報として保護されますが、死者単独の情報は法の適用外です。オ（誤）：2022年改正（2023年4月全面施行）により、行政機関個人情報保護法・独立行政法人等個人情報保護法が廃止され、国・地方・民間を通じた一元的規律が個人情報保護法に統合されました。

【個人情報の定義の詳細】

個人情報保護法2条1項は「個人情報」を「生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）又は個人識別符号が含まれるもの」と定義します。重要なポイントは、①生存する個人に関する情報（死者除外：アの正答根拠）、②特定の個人を識別できること（単独または他情報との照合で識別可能）、③個人識別符号（マイナンバー・生体認証データ等）を含む情報も該当。「要配慮個人情報」（2条3項）は人種・信条・社会的身分・病歴・犯罪歴・犯罪被害歴・心身の障害等に関する情報であり、取得に本人同意が原則必要な特別な情報です（20条2項。ウの誤りの根拠）。

【2022年改正の意義（官民一元化）】

2022年改正（令和3年改正：2023年4月全面施行）は、個人情報保護制度の最大の改革です。改正前は、①民間：個人情報保護法、②国の行政機関：行政機関個人情報保護法、③独立行政法人等：独立行政法人等個人情報保護法、④地方公共団体：各自治体の個人情報保護条例という分散規律でした。改正後は、②③を廃止して個人情報保護法に統合し、④についても個人情報保護委員会の指針に従う形で標準化されました（オの誤りの根拠）。これにより、個人情報保護委員会（PPC）が国・地方・民間を通じた統一監督機関となりました。この官民一元化は、デジタル社会における個人情報の適切な流通と保護のバランスを取るための根本的な制度変革です。

【要配慮個人情報の法的扱い】

要配慮個人情報の取得・第三者提供については、通常の個人情報より厳格な規律が適用されます。主な違いは①取得に本人の明示的同意が原則必要（20条2項：オプトアウト方式による取得不可）、②第三者提供にも原則として本人同意が必要（27条2項はオプトアウト提供の対象外）です。2022年改正ではさらに、不正競争防止法との関係整理・仮名加工情報（匿名化が不完全でも識別困難にした情報）・匿名加工情報（完全に匿名化した情報）の区分が明確化され、データ利活用と保護のバランスが調整されました。個人情報保護法の改正は2〜3年サイクルで行われており、試験対策では「2022年改正（官民一元化）」と「各規制の基本構造」を優先的に押さえます。

【利用目的の規律と試験対策】

個人情報取扱事業者の主要義務は①利用目的の特定（17条1項）・目的外利用の制限（18条）、②適正な取得（20条1項）・要配慮情報の同意取得（20条2項）・取得時の利用目的の通知公表（21条）、③安全管理措置（23条）・従業者の監督（24条）・委託先の監督（25条）、④第三者提供の制限と同意原則（27条）・提供記録（29条）、⑤開示・訂正・削除・利用停止等の請求への対応（33〜39条）が核心です。行政書士試験では個人情報の定義・要配慮情報の定義と扱い・利用目的の通知義務・第三者提供の原則（同意原則＋オプトアウト例外）・2022年改正による官民一元化が頻出論点です。具体的な違反事例（利用目的の変更・目的外第三者提供）と法的効果（差止請求・損害賠償等）も基礎として理解しておくと応用力がつきます。

【根拠条文】

個人情報の保護に関する法律 第2条第1項（個人情報の定義・生存者のみ）、第2条第3項（要配慮個人情報）、第17条第1項（利用目的の特定）、第18条第1項（利用目的による制限）、第20条第2項（要配慮情報の取得における同意義務）、第21条（取得時の利用目的の通知・公表）

※条番号は令和3年改正後（2022年4月全面施行）の現行条文に基づく。

【補足】

「個人情報＝生存する個人」という定義（2条1項）は最重要。2022年改正による官民一元化（オ誤り）、2017年改正による5,000件要件廃止（イ誤り）、要配慮情報は取得に同意必要（20条2項・ウ誤り）、利用目的の特定義務（17条1項・エ誤り）の四点を押さえる。