結論からいうと
情報・法規は「法律名と規制内容の対応を問う」選択問題が中心です。出題される法律は限定されており、個人情報保護法・サイバーセキュリティ基本法・不正アクセス禁止法・マイナンバー法の4本柱を整理すれば対応できます。特に個人情報保護法は2022年改正の追加項目がそのまま出題されるため、改正ポイントを把握しておくことが重要です。
1. 個人情報保護法
個人情報の定義
個人情報とは、「生存する個人に関する情報で、特定の個人を識別できるもの」です。
- 氏名・住所・電話番号・メールアドレス
- 顔写真・指紋(それだけで個人が特定できる)
- 他の情報と組み合わせて個人を特定できる情報(例:社員番号+社名)
重要:「死者の情報」は原則として個人情報に該当しません(試験の引っかけ)。
要配慮個人情報
通常の個人情報より厳格に取り扱うべき、特に慎重な管理が必要な情報です。
取得するには原則として本人の同意が必要であり、オプトアウト(本人の同意なしに第三者提供できる手続き)が使えません。
主な種類:人種・民族・信条・病歴・犯罪歴・障害・性生活
事業者の主な義務
flowchart TD
A[個人情報の取得] --> B[利用目的を明示する義務]
B --> C[安全管理措置を講じる義務\n漏洩防止・不正アクセス対策]
C --> D{第三者提供する場合}
D -->|原則| E[本人の同意を得る]
D -->|例外| F[法令に基づく場合\n生命・財産保護のため\n公益目的など]
C --> G[本人からの開示請求への対応\n開示・訂正・削除・利用停止]
本人の権利
個人情報の本人は事業者に対して以下を請求できます。
| 権利 | 内容 |
|---|---|
| 開示請求 | 自分のどんな個人情報が保有されているか教えてもらう |
| 訂正・追加・削除請求 | 誤った情報を正しく直してもらう |
| 利用停止・消去請求 | 違法に取得・利用されている場合に停止を求める |
| 第三者提供の停止請求 | 不適正な第三者提供の停止を求める |
2022年(令和4年)改正の主なポイント
要最新確認:以下は2022年4月施行の改正内容です。法改正は継続するため、受験年度の最新情報を確認してください。
| 改正項目 | 内容 |
|---|---|
| 漏えい等の報告義務 | 個人の権利利益を害するおそれのある漏洩が発生した場合、個人情報保護委員会への報告(速報:3〜5日以内、確報:30日以内)と本人への通知が義務化 |
| 外国への第三者提供の規制強化 | 外国の第三者に個人データを提供する際、提供先の国名・保護レベルに関する情報提供が義務化 |
| Cookie等による個人関連情報 | CookieなどのIDを使って他のデータと照合すると個人を識別できる場合、第三者提供に本人同意が必要 |
| 不適正利用の禁止 | 違法・不当な行為を助長する目的での個人情報利用を禁止 |
| 保有個人データの開示方法 | 電磁的記録による開示請求に対応する義務を追加 |
2. サイバーセキュリティ基本法
概要
2014年に制定(2015年施行)。サイバーセキュリティに関する国の施策を総合的・効果的に推進することを目的とした基本法です。
主な内容
| 項目 | 内容 |
|---|---|
| 目的 | サイバーセキュリティの確保による国民の安全・安心の確保と社会経済活動の支援 |
| 基本理念 | サイバーセキュリティは積極的に情報共有し連携して対処する、との考え方 |
| 国の責務 | 総合的なサイバーセキュリティ政策の策定・実施 |
| 地方公共団体の責務 | 国の施策に準じた施策の策定・実施 |
| サイバーセキュリティ戦略本部 | 内閣に設置。戦略の策定・推進を担う |
試験ポイント:この法律は「何を規制するか」ではなく「誰が何の責務を負うか」という義務・責務の定めが中心です。具体的な行為の禁止は不正アクセス禁止法が担います。
3. 不正アクセス禁止法
規制内容
正式名称:不正アクセス行為の禁止等に関する法律(1999年制定)
不正アクセス行為とは、他人のID・パスワードを無断使用したり、セキュリティの脆弱性を突いてコンピュータに不正に侵入する行為です。
| 禁止行為 | 内容 |
|---|---|
| 不正アクセス行為 | 他人のID・パスワードを使ったアクセス、セキュリティホールを突いた侵入 |
| 不正アクセスを助長する行為 | 他人のID・パスワードを無断で第三者に提供すること |
| フィッシング行為 | IDやパスワードを騙し取るためのWebページ設置や電子メール送信 |
罰則
- 不正アクセス行為:3年以下の懲役または100万円以下の罰金(要最新確認)
- 不正アクセスを助長する行為:1年以下の懲役または50万円以下の罰金(要最新確認)
試験ポイント:「ネットワークを通じたコンピュータへの無断侵入」を規制する法律=不正アクセス禁止法、と対応付けて覚えましょう。
4. マイナンバー法(番号法)
正式名称:行政手続における特定の個人を識別するための番号の利用等に関する法律(2013年制定)
基本的な規制内容
| 項目 | 内容 |
|---|---|
| 利用範囲の限定 | マイナンバーは社会保障・税・災害対策の3分野に限定。目的外利用は禁止 |
| 特定個人情報 | マイナンバーを含む個人情報を「特定個人情報」と呼び、通常の個人情報より厳格に管理 |
| 第三者提供の禁止 | 法定の場合を除いて特定個人情報の第三者提供は原則禁止 |
| 安全管理措置 | 特定個人情報の漏洩防止のための厳格な管理が義務付けられる |
5. 主要4法規の関係マップ
graph TD
A[情報・法規の4本柱] --> B[個人情報保護法\n個人情報の収集・管理・利用・提供\nを規制]
A --> C[サイバーセキュリティ基本法\n国・自治体・事業者の責務・体制を規定\n具体的行為の禁止ではない]
A --> D[不正アクセス禁止法\nネットワーク経由の不正侵入・\n助長行為・フィッシングを禁止]
A --> E[マイナンバー法\nマイナンバーの利用範囲限定\n特定個人情報の厳格管理]
B --> F[改正2022年:漏えい報告義務・\nCookie規制・外国提供規制]
E --> G[個人情報保護法の特別法\nマイナンバーに関しては\n番号法が優先]
よくある疑問
Q. 個人情報保護法とマイナンバー法はどちらが優先されるか
マイナンバーを含む情報(特定個人情報)については、マイナンバー法が個人情報保護法の特別法として優先適用されます。「特別法は一般法に優先する」という法律の原則通りです。
Q. 死亡した人の情報は個人情報に該当するか
原則として該当しません。個人情報保護法は「生存する個人に関する情報」を対象とするからです。ただし、遺族の個人情報(「Aさんの遺族」という形で特定の生存者につながる情報)は保護対象になります。試験では「生存する個人」という定義の文言が引っかけに使われます。
Q. オプトアウトとは何か
本人の同意を事前に得ずに、第三者提供をデフォルトで可能にし、本人が「提供を停止してほしい」と申し出た場合のみ停止する仕組みです。要配慮個人情報にはオプトアウトが使えません(同意が必須)。
Q. 不正アクセス禁止法で「不正アクセスを助長する行為」が禁止されているのはなぜか
実際に侵入した者だけでなく、ID・パスワードをリストとして売買・提供する行為も取り締まることで、不正アクセスのエコシステム全体を規制するためです。試験では「第三者に他人のIDを提供する行為は〇〇法に違反する」という形で問われます。
まとめ
| 法律 | 規制の核心 | 試験での問われ方 |
|---|---|---|
| 個人情報保護法 | 個人情報の収集・管理・提供・本人の権利 | 定義・義務・改正ポイントの選択 |
| サイバーセキュリティ基本法 | 国・自治体・事業者の責務の枠組み | 法律の目的・誰が何の責務を持つか |
| 不正アクセス禁止法 | ネットワーク経由の不正侵入の禁止 | どの行為が禁止されるか |
| マイナンバー法 | マイナンバーの利用範囲限定・厳格管理 | 利用可能な3分野・特定個人情報の定義 |
法規分野は「法律名と規制内容の正確な対応付け」が全てです。各法律が「何を・誰に・どう規制するか」を整理し、混同しないよう注意して覚えましょう。