【G検定まとめ2026】38.個人情報保護法

1. 個人情報保護法が適用される場面を理解できている

個人情報保護法では、個人情報を「生存する個人に関する情報」と定義しています。これには、氏名や生年月日などの記述により特定の個人を識別できる情報や、個人識別符号が含まれる情報が該当します。

例えば、氏名や顔写真は明らかに個人を特定できる情報です。また、メールアドレスも、「abcd@tsukumochi.com」のように個人が特定できる場合は個人情報に該当します。一方で、単独の電話番号や位置情報は、それだけでは誰の情報かわからないため、個人情報には該当しません。ただし、これらの情報が氏名と一緒に扱われる場合は、個人情報となります。個人情報の中でも、より慎重な取り扱いが求められる「要配慮個人情報」があります。これには、人種、信条、社会的身分、病歴、犯罪の経歴などが含まれます。要配慮個人情報を取得する際には、原則として本人の同意が必要です。

個人情報保護法は、個人情報、個人データ、保有個人データという3つの段階で情報を分類し、それぞれに応じた規制を設けています。個人データとは、個人情報データベース等を構成する個人情報のことを指します。例えば、顧客リストなどがこれに該当します。個人データを取り扱う際には、正確かつ最新の内容に保つ努力義務があります。また、不要になった場合は速やかに消去する必要があります。さらに、個人データの安全管理も重要です。漏洩や滅失、毀損を防ぐための適切な措置を講じなければなりません。従業員や委託先に対する監督も必要です。保有個人データは、開示や訂正、削除などの権限を持つ個人データを指します。これらのデータに対しては、本人からの開示請求や訂正、利用停止の請求に応じる義務があります。

個人情報保護法の適用範囲は広く、企業だけでなく、個人情報を取り扱うあらゆる組織や個人に及びます。特に、AIの開発や利用においては、大量の個人情報を扱うことが多いため、この法律の理解と遵守が不可欠です。AIの学習データとして個人情報を使用する場合、その収集や利用目的を明確にし、必要に応じて本人の同意を得ることが重要です。また、AIによる推論結果が誤っている場合、それが個人情報として保存されると、プライバシーの観点から問題となる可能性があります。個人情報保護法は、技術の進歩に合わせて改正されることがあります。最新の法改正や関連するガイドラインにも常に注意を払い、適切な個人情報の取り扱いを心がけることが大切です。

2. 個人情報等の定義に従い、基本的な事例について個人情報かのあてはめができる

個人情報保護法における個人情報の定義は、生存する個人に関する情報を指します。この定義には2つの条件があり、そのいずれかに該当するものが個人情報とされています。1つ目の条件は、情報に含まれる氏名、生年月日などの記述により、特定の個人を識別できることです。2つ目の条件は、個人識別符号が含まれていることです。この定義を実際の事例に当てはめると、どのようなものが個人情報に該当するのかが明確になります。最も分かりやすい例として、氏名が挙げられます。「山田太郎」という名前を見ると、特定の個人を識別できるため、これは個人情報です。同じように、顔写真も個人を特定できるので個人情報に該当します。メールアドレスも、多くの場合個人情報となります。例えば、「taro-yamada@company.co.jp」というアドレスからは、誰のものかが分かるため個人情報です。一方で、単独では個人を特定できない情報もあります。電話番号や住所だけでは、誰のものかまでは特定できません。ただし、これらの情報が氏名と一緒にある場合は個人情報となります。個人情報保護法では「個人識別符号」という概念も定められています。これには指紋やDNAなどの生体情報、運転免許証番号やパスポート番号などの公的機関が発行する番号が含まれます。これらは単体でも個人情報となります。一見すると個人情報ではないように見える情報でも、他の情報と容易に照合できる場合は個人情報として扱われます。例えば、社員番号と購買履歴のデータがあるとします。このデータ単体では誰の情報か分かりませんが、別の場所に保管されている社員番号と氏名の対応表と照合すれば個人が特定できるため、個人情報として扱う必要があります。

3. 個人情報等に関して生じる常識的な義務について理解しており、具体的な場面において判断ができる

利用目的の明確化と通知

個人情報を取り扱う際の第一歩は、その利用目的を明確にすることです。この目的は、できるだけ具体的に定める必要があります。また、定めた利用目的は、本人に通知するか、公表しなければなりません。これにより、個人情報の提供者は、自分の情報がどのように使われるかを知ることができます。

個人情報の適切な取得

個人情報の取得には、正当な方法を用いることが求められます。不正な手段で個人情報を入手することは、法律で禁止されています。例えば、本人の同意なく第三者から個人情報を入手したり、虚偽の目的を告げて個人情報を集めたりすることは、適切ではありません。

データの正確性と最新性の維持

取得した個人データは、常に正確で最新の状態に保つ必要があります。古いデータや誤ったデータを放置すると、本人に不利益を与える可能性があります。定期的なデータの更新や、本人からの訂正要求に迅速に対応することが大切です。

不要になったデータの消去

個人データが不要になった場合は、速やかに消去するよう努めなければなりません。長期間保存することで、データの漏洩リスクが高まる可能性があります。また、本人の権利を尊重する観点からも、不要なデータは保持しないことが望ましいです。

安全管理措置

個人データの安全管理は非常に重要です。データの漏洩や損失、不正アクセスを防ぐため、適切な措置を講じる必要があります。具体的には、データへのアクセス制限、暗号化、バックアップの作成などが考えられます。また、定期的な社内研修やセキュリティ監査も有効です。

第三者提供の制限

個人データを第三者に提供する際は、原則として本人の同意が必要です。ただし、法令に基づく場合や、人の生命、身体、財産の保護のために必要な場合など、いくつかの例外があります。また、業務委託に伴う提供や、合併などによる事業承継の場合は、第三者提供とはみなされません。

要配慮個人情報の取り扱い

個人情報の中でも、特に配慮を要するものとして「要配慮個人情報」があります。これには、人種、信条、病歴、犯罪歴などが含まれます。要配慮個人情報は、原則として本人の同意なしに取得することはできません。取り扱いには特に慎重な対応が求められます。

社内体制の整備

個人情報を適切に管理するためには、社内での教育や体制づくりが欠かせません。従業員に対する指導や監督、委託先の管理なども重要です。また、個人情報の取り扱いに関する方針（プライバシーポリシー）を策定し、公表することも求められます。

法改正への対応

個人情報保護法は、技術の進歩や社会の変化に合わせて定期的に見直されています。最新の改正では、個人関連情報や仮名加工情報など、新しい概念も導入されました。これらの変更にも注意を払い、常に最新の法令に則った対応を心がけることが大切です。

4. 匿名加工情報、仮名加工情報の制度趣旨や最基本事項について理解している

項目	匿名加工情報	仮名加工情報
制度趣旨	個人を再識別できない形に加工し、第三者提供を含む幅広い活用を可能にする	事業者内部での利活用を想定し、利用目的変更の柔軟性を確保する
加工の程度	高い (氏名削除に加え特異データの削除・抽象化、対応表破棄)	比較的低い (氏名等・財産的損害の恐れがある情報の削除で足りる)
特異データの削除	必要 (例: 116歳など特異値の削除や範囲化)	不要
第三者提供	一定事項の公表により、本人同意なく可能	原則禁止
利用目的の事後変更	(個人情報ではないため利用目的の枠組み外)	本人同意なく可能
再識別の禁止	元データとの照合は禁止	他の情報との照合による本人識別は禁止
主な利用シーン	データの外部提供・共同利用	社内分析・AI開発等の内部利活用

企業が保有する個人情報を自由に利用したり、第三者に提供したりするために、氏名などの個人を特定できる情報を削除することがあります。しかし、単に氏名を削除しただけでは、元のデータと照合することで個人を特定できる可能性が残ります。そこで、個人情報保護法は匿名加工情報という制度を導入しました。匿名加工情報とは、個人を識別できないように加工された情報のことです。具体的な加工方法としては、氏名の削除、住所の市町村レベルまでの抽象化、照合用IDの削除、特異なデータ（例：116歳）の削除や範囲化（90歳以上など）があります。また、元のデータとの対応表も破棄する必要があります。このように加工された匿名加工情報は、一定の事項を公表すれば、本人の同意なしに第三者へ提供することができます。

ただし、プライバシーに関わる情報であることには変わりがないため、取り扱いには注意が必要です。一方、仮名加工情報は匿名加工情報よりも加工の程度が低い情報です。仮名加工情報は、事業者内部での利活用を想定した制度です。そのため、第三者への提供は原則として禁止されています。仮名加工情報の加工方法は、氏名等の削除やクレジットカード番号などの財産的損害が生じる恐れのある情報の削除で十分です。匿名加工情報で必要とされる特異なデータの削除までは求められません。仮名加工情報の利点は、個人情報の利用目的を事後的に変更できることです。通常の個人情報では、利用目的を変更する場合に本人の同意が必要ですが、仮名加工情報ではその必要がありません。これにより、企業は柔軟にデータを活用できるようになります。ただし、仮名加工情報も完全に自由に扱えるわけではありません。例えば、本人を識別するために他の情報と照合することは禁止されています。また、漏えい時の報告義務など、様々な規制が設けられています。これらの制度により、企業は個人情報を適切に加工することで、データの利活用の幅を広げることができます。同時に、個人のプライバシーも一定程度保護されるため、データ活用と個人の権利保護のバランスを取ることができます。

5. GDPRが適用される場合の概要を理解している

一般データ保護規則（General Data Protection Regulation、GDPR）は、欧州連合（EU）が制定した個人情報保護法です。この法律の適用範囲は、EUに拠点を持つ企業に限らず、より広範囲に及びます。GDPRが適用されるのは、主に次のような場合です。まず、EUに事務所を設置している企業が対象となります。次に、EUの個人に商品やサービスを提供している企業も適用対象です。さらに、EU域内の個人の行動を監視している企業も含まれます。

日本の個人情報保護法と比較すると、GDPRにはいくつかの特徴があります。保護の対象となる範囲が広いことが挙げられます。また、データポータビリティ権など、日本の法律には規定されていない権利が定められています。加えて、データ保護責任者の配置など、日本の法律にはない義務が課せられています。データの国外移転に関しても厳しい制限が設けられています。さらに、違反した場合の制裁金が高額であることも特徴的です。GDPRは、個人情報の保護に関して世界的に大きな影響を与えています。EU域内の企業だけでなく、EU市場に関わる世界中の企業がこの法律を遵守する必要があります。そのため、日本企業であってもEU市場に関わる場合は、GDPRの要件を満たすための対策を講じることが重要となります。

---

キーワード解説

GDPR

AIの活用が進む中で、個人情報の取り扱いに関する規制は重要な課題となっている。特に、EU一般データ保護規則（GDPR）は、個人データの保護に関する包括的な枠組みを提供しており、AIの開発や運用においてもその影響は大きい。GDPRは、個人データの収集、処理、保存、共有に関する厳格な規定を設けている。AIシステムは大量のデータを活用するため、これらの規定を遵守することが求められる。例えば、AIによるプロファイリングや自動化された意思決定は、GDPR第22条で特に規制されており、データ主体の権利や自由に重大な影響を及ぼす可能性がある場合、特別な配慮が必要とされる。また、GDPRはデータ主体に対して、自己のデータにアクセスし、訂正や削除を求める権利を保障している。AIシステムがこれらの権利を侵害しないよう、透明性の確保や説明責任の履行が求められる。さらに、データ保護影響評価（DPIA）の実施も義務付けられており、AIの導入前にリスク評価を行うことが重要である。日本においても、個人情報保護法が改正され、GDPRとの整合性が図られている。企業は、これらの規制を理解し、AIの活用に際して適切なデータ管理と法令遵守を徹底することが求められる。

仮名加工情報

日本の個人情報保護法は、個人情報の適切な取り扱いを定めると同時に、データの有効活用を促進するための枠組みも提供している。その一環として、2022年の改正により「仮名加工情報」という概念が導入された。これは、個人情報を特定の個人を識別できないように加工し、他の情報と照合しない限り個人を特定できない状態にするものである。具体的には、氏名や住所などの直接的な識別子を削除または置き換えることで、データの匿名性を高める。仮名加工情報の導入により、企業や研究機関は、個人情報の利用目的を変更する際の制約が緩和され、本人の同意を得ることなくデータを活用できるようになった。これにより、AIの開発や機械学習の分野で、より多様なデータセットを用いた分析が可能となり、技術の進展が期待されている。ただし、仮名加工情報の取り扱いには、適切な安全管理措置や情報漏洩防止策が求められ、法令やガイドラインに従った運用が必要である。

個人識別符号

個人情報保護法における「個人識別符号」は、特定の個人を識別するための符号を指す。具体的には、指紋や顔認識データ、パスポート番号、運転免許証番号などが該当する。これらの符号は、個人情報として厳格に取り扱われる必要がある。AIの活用が進む中で、個人識別符号の取り扱いは特に重要となる。例えば、顔認識技術を用いたシステムでは、顔画像データが個人識別符号に該当するため、適切な管理が求められる。また、生成AIの利用に際しても、プロンプトに個人識別符号を含める場合、個人情報保護法の規定を遵守する必要がある。個人情報保護委員会は、生成AIサービスの利用に関する注意喚起を行っており、個人情報の適正な取り扱いを求めている。さらに、AI開発者や利用者は、個人識別符号を含むデータの収集や利用に際して、本人の同意を得ることや、データの匿名化・仮名化を検討することが求められる。これにより、プライバシーの保護とAIの活用の両立が図られる。

個人データ

日本の個人情報保護法では、「個人データ」を「個人情報データベース等」を構成する個人情報と定義している。具体的には、氏名や生年月日など、特定の個人を識別できる情報を体系的に整理し、容易に検索可能な状態にしたものが該当する。AIの活用においては、大量のデータを処理し、分析することが求められる。その際、個人データの適切な取り扱いが不可欠である。例えば、医療分野でAIを用いて診断支援を行う場合、患者の診療記録や検査結果といった個人データを活用することになる。これらのデータは、個人情報保護法の規定に従い、適切に管理されなければならない。さらに、AIの学習データとして個人データを使用する際には、匿名化や仮名化といった手法を用いて、個人の特定を防ぐ措置が求められる。これにより、プライバシーの保護とデータの有用性の両立が図られる。また、個人データの第三者提供に際しては、本人の同意を得ることや、適切な安全管理措置を講じることが必要である。

個人情報

日本の個人情報保護法における「個人情報」とは、生存する個人に関する情報であり、特定の個人を識別できるものを指す。具体的には、氏名、住所、生年月日、電話番号、メールアドレスなどが該当する。AIの活用が進む現代において、個人情報の取り扱いは一層重要性を増している。AIは大量のデータを処理し、学習することで高精度な予測や分析を行うが、そのデータに個人情報が含まれる場合、適切な管理が求められる。例えば、生成系AIに個人情報を含むプロンプトを入力する際、利用目的の達成に必要な範囲内であることを確認する必要がある。また、第三者提供に該当する場合、本人の同意を得ることが求められる。さらに、AIが生成する出力結果に個人情報が含まれる場合、その取り扱いにも注意が必要である。個人情報保護法では、個人情報の利用目的をできる限り特定し、本人に通知または公表することが求められている。AIの活用においても、これらの規定を遵守し、個人情報の適切な管理を行うことが重要である。

第三者提供

個人情報保護法では、個人情報取扱事業者が個人データを他者に渡す際、原則として本人の同意が必要とされている。ただし、利用目的の達成に必要な範囲での委託など、一定の条件下では例外が認められている。AIの開発や運用において、個人情報を含むデータを外部のAIサービスに入力する場合、その行為が「第三者提供」に該当するかが問題となる。例えば、生成AIサービスに個人情報を含むプロンプトを入力する際、当該サービス提供者がその情報を学習データとして使用する場合、個人情報の第三者提供に該当し、本人の同意が求められる可能性がある。一方、サービス提供者が入力された個人情報を学習目的で使用しないと明確にしている場合、第三者提供に該当しないと解釈されることもある。さらに、AIサービス提供者が海外に拠点を置く場合、個人情報の国外提供に関する規制も考慮する必要がある。この場合、提供先の国や地域が個人情報保護委員会の定める基準を満たしているか、または本人の同意を得ているかを確認することが求められる。

匿名加工情報

日本の個人情報保護法では、個人情報を特定の個人が識別できないように加工し、元の情報に復元できないようにした「匿名加工情報」という概念が導入されている。匿名加工情報は、個人情報から氏名や個人識別符号などの特定の個人を識別できる情報を削除または置換し、他の情報と照合しない限り個人を特定できないように加工された情報を指す。この加工により、元の個人情報に復元できないことが求められる。AIの開発や運用において、匿名加工情報の活用はデータの利活用と個人のプライバシー保護の両立を図る手段として注目されている。例えば、医療分野では患者の診療情報を匿名加工情報として処理し、AIを用いた診断支援システムの開発に利用することで、個人情報の漏洩リスクを低減しつつ、医療の質の向上が期待されている。しかし、匿名加工情報の作成や利用には注意が必要である。適切な加工が行われていない場合、個人が再識別されるリスクが残るため、法令に定められた適切な加工方法を遵守することが求められる。また、匿名加工情報を第三者に提供する際には、提供先が適切に情報を取り扱うことを確認する必要がある。さらに、AIの学習データとして匿名加工情報を利用する際には、データの品質や偏りに留意することが重要である。不適切なデータを使用すると、AIの判断に偏りが生じる可能性があるため、データの選定や前処理に慎重を期す必要がある。

保有個人データ

日本の個人情報保護法における「保有個人データ」は、個人情報取扱事業者が保有する個人データのうち、本人からの開示、訂正、利用停止などの請求対象となるものを指す。ただし、保存期間が6ヶ月以内のものや、法令に基づき開示が制限されるものは除外される。AIの活用において、保有個人データの取り扱いは重要な課題となる。AIモデルの学習や運用に個人データを使用する際、利用目的を明確にし、本人の同意を得ることが求められる。特に、生成AI（Generative AI）を利用する場合、入力データに個人情報が含まれると、予期せぬ形で個人情報が生成物に含まれる可能性があるため、注意が必要である。個人情報保護委員会も、生成AIサービスの利用に関する注意喚起を行っており、個人情報の適切な取り扱いを求めている。さらに、AIの開発や運用においては、個人情報の匿名化や仮名化といった技術的手法を活用し、個人の特定を防ぐことが推奨される。これにより、プライバシーリスクを低減しつつ、データの有用性を維持することが可能となる。また、AIシステムの透明性や説明可能性を確保し、データの利用に関する情報を本人に提供することも重要である。

要配慮個人情報

日本の個人情報保護法において、「要配慮個人情報」は特に慎重な取り扱いが求められる情報を指す。具体的には、人種、信条、社会的身分、病歴、犯罪歴、被害者となった事実など、個人のプライバシーに深く関わる情報が該当する。これらの情報は、本人の同意なしに取得することが原則として禁止されている。AIの活用が進む中、要配慮個人情報の取り扱いには特段の注意が必要となる。例えば、生成AIサービスを利用する際、プロンプトに要配慮個人情報を含める場合、利用目的が明確であり、かつその範囲内での使用であることを確認する必要がある。また、AIサービス提供者がこれらの情報を学習データとして使用しないことを確実にすることも重要である。個人情報保護委員会は、生成AIサービスの利用に関する注意喚起を行い、要配慮個人情報の適切な取り扱いを求めている。さらに、AIの学習データとして要配慮個人情報を使用する場合、本人の同意を得ることが求められる。同意を得ずにこれらの情報を収集・利用することは、個人情報保護法に違反する可能性がある。したがって、AIの開発や運用においては、要配慮個人情報の取り扱いに関する法的規制を十分に理解し、適切な対応を取ることが求められる。

利用目的

個人情報を収集・利用する際、その目的をできる限り具体的に特定し、本人に通知または公表することが求められている。AIの開発や運用においても、個人情報を取り扱う場合、これらの規定を遵守する必要がある。例えば、AIモデルの学習データとして個人情報を使用する場合、その利用目的を明確にし、本人に適切に伝えることが求められる。また、既に取得した個人情報をAIに入力する際も、当初の利用目的の範囲内での使用であることを確認する必要がある。これらの対応を怠ると、法的な問題が生じる可能性がある。さらに、生成AIサービスを利用する際、プロンプトに個人情報を含める場合、その情報がAIサービス提供者によってどのように扱われるかを確認することが重要である。特に、AIサービス提供者が入力された個人情報を学習データとして使用する場合、第三者提供に該当し、本人の同意が必要となる可能性がある。この点については、個人情報保護委員会も注意喚起を行っている。AIの活用において、個人情報保護法の「利用目的」に関する規定を適切に理解し、遵守することは、法的リスクの回避だけでなく、信頼性の高いAIシステムの構築にもつながる。そのため、AI開発者や運用者は、個人情報の取り扱いに細心の注意を払う必要がある。

委託

企業がAIサービスを利用する際、個人情報を含むデータを外部のAIサービス提供者に預けることが多い。この場合、データの取り扱いを外部に任せる行為は「委託」に該当する。個人情報保護法では、委託元の企業は委託先に対し、適切な監督を行う責任を負う。具体的には、委託先が個人情報を適切に管理し、法令を遵守しているかを確認する必要がある。また、委託先がさらに再委託を行う場合、その再委託先も含めて適切な管理体制が求められる。AIの活用が進む中で、データの取り扱いに関する透明性と信頼性を確保するため、委託に関する規定の理解と適切な運用が求められる。