「ベネッセ個人情報流出事件（改正個人情報保護法）」時事問題で学ぶ行政書士試験

少し前の話になりますが、2014年に、「進研ゼミ」や「こどもちゃれんじ」で有名な通信教育最大手のベネッセコーポレーションから、個人情報が流出した事件がありました。
流出した個人情報は、約3,504万件で、子供や保護者の氏名・住所・電話番号・性別・生年月日・出産予定日などが含まれていました。

この事件は、他社からダイレクトメールが届くようになったことを不審に思った顧客からの問い合わせが多発したことで発覚しました。
調査の結果、グループ会社の派遣社員であるエンジニアが、名簿業者に数百万円で個人情報を販売していたことがわかりました。

ベネッセコーポレーションは、情報が漏えいした顧客に対して、お詫びの品として500円分の電子マネーギフトか図書カードを送り、約200億円を謝罪の対応に充てました。

行政書士受験生 注目ポイント

行政書士受験生が注目すべきポイントは「改正個人情報保護法」です。

今回のベネッセ個人情報流出事件がきっかけとなり、個人情報保護法は時代にあわせて改正されました。
改正個人情報保護法は、2017年5月30日に全面施行され、2018年度の行政書士試験から試験範囲になっています。

改正のポイントはたくさんありますが、今回は「第三者提供」のポイントについて解説します。

まず、個人情報を取得した事業者が使うだけでなく、第三者に提供できるのかというと、個人情報は第三者に提供することができます。
ただし、あらかじめ「本人の同意」が必要です（個人情報保護法23条1項）。

例外的に、本人の同意が不要な場合もあります。
例えば、急病時に血液型情報をお医者さんに提供する場合などです。本人の同意を得ている間に急変してしまう可能性があるので、本人の同意は不要です。
児童虐待の場合も、緊急にいろんな機関で児童や保護者の情報を共有しなければいけないので、本人の同意は不要とされています。

また、そもそも「第三者提供に当たらない」場合も規定されています（23条5項）。

• 委託先に個人情報を提供する場合
• 合併等で個人情報を承継する場合
• グループ内で共同利用する場合

の3つです。「第三者提供に当たらない」ということは、本人の同意は不要です。

第三者提供における改正点は、2つあります。

まず1つめは、「トレーサビリティの確保」です。

トレーサビリティとは情報の追跡可能性のことです。
ベネッセの事件のように、たくさんの事業者が関わっている場合、どこから情報が流出したのか突き止めることはとても大変です。
今回の改正では、どこから個人情報が流出したのか、追跡ができるように、提供者と受領者に義務が課されました。

提供者（第三者提供する側）は、受領者の氏名や提供した年月日等を記録して、一定期間保存しなければいけません（25条）。
受領者（第三者提供を受ける側）は、提供者の氏名や年月日、取得の経緯等を確認し、記録して、一定期間保存しなければいけません（26条）。
こうすることで、第三者提供の経緯が一定期間追跡可能になりました。

そして2つめに、「オプトアウト」のルールが厳しくなりました。

オプトアウトとは、本人が第三者提供をやめてというまでは、同意があったものとして第三者に提供できるというものです。
これに対して、オプトインとは、本人が第三者提供をしていいと同意しなければ、第三者に提供できないという方式です。

第三者提供に関しては、あらかじめ本人の同意が必要（23条1項）とオプトイン方式を原則としていますが、電話帳などは、オプトアウト方式をとっています。

行政書士受験生 注目ポイント まとめ
個人情報の第三者提供について、原則・例外・第三者提供に当たらないパターンを説明できるようにしましょう。 第三者提供の主な改正点として、提供者・受領者に課されることになった義務を覚えましょう。 オプトイン・オプトアウトとは何か説明できるようにしましょう。

改正前の個人情報保護法では、5,000人を超える個人情報を取り扱う事業者が対象とされていましたが、改正で5,000人要件は撤廃されました。つまり、私のような小規模の事業者も改正個人情報保護法の対象です。

様々な義務が課せられ、違反した場合は刑事罰が科せられます。被害者に損害が生じた場合は、ベネッセのように賠償しなければいけなくなることもあります。
合格後も本当に大切な法律です。学習した知識を活かして、しっかり個人情報の管理に努めたいですね。