個人情報保護法 - G検定無料問題集｜解説付きでたくさん練習できる「G検定の森」

個人情報保護法 (APPI)

個人情報保護法（正式名称：個人情報の保護に関する法律）は、個人の権利利益を守りつつ、データを有効活用するためのルールを定めた法律です。

AI開発には大量のデータが不可欠ですが、「勝手に学習に使っていいのか？」「他社に提供していいのか？」といった判断は、すべてこの法律に基づいて行われます。

保護の対象となるのは「生存する個人」に関する情報であって、以下のいずれかに該当するものを指します。

特定の個人を識別できるもの：
氏名、生年月日、住所などにより、誰のことか分かる情報。
（※他の情報と「容易に照合」でき、それによって特定できる場合も含まれます）
個人識別符号が含まれるもの：
そのデータ単体で個人を特定できる符号。
- 生体情報：DNA、指紋、虹彩、顔認証データなど。
- 公的な番号：マイナンバー、運転免許証番号、旅券番号など。
  （※携帯電話番号やクレジットカード番号は、単体では個人識別符号ではありません）

個人情報の中でも、本人の不当な差別や偏見につながる恐れがあるため、特に慎重な取り扱いが求められる情報を「要配慮個人情報」と呼びます。

該当する情報の例：人種、信条（宗教や政治的見解）、社会的身分、病歴、犯罪の経歴、犯罪被害に遭った事実、身体障害・知的障害など。
取り扱いのルール：通常の個人情報とは異なり、原則として「取得する前に本人の同意が必要（事前同意）」となります。また、オプトアウト（本人の反対がない限り第三者提供を認める方式）による第三者提供も禁止されています。

データをどこまで加工したかによって、できること（社内利用か、外部販売か）が変わります。特に2020年改正で新設された「仮名加工情報」は、AIの学習用データを社内で回すための切り札です。

区分	定義・加工レベル	主な用途と特徴	第三者への提供
① 個人情報	特定の個人を識別できる状態。（加工なし、または不十分）	顧客管理や配送など。利用目的の変更には厳しい制限がある。	原則として本人の同意が必要
② 仮名加工情報 (2020年新設)	他の情報（対応表など）と照合しない限り特定できないように加工。（氏名をIDに置き換えるなど）	社内でのAI学習・分析用途。漏洩時の報告義務がなく、利用目的も後から変更しやすい。	原則禁止 (※委託・共同利用は例外としてOK)
③ 匿名加工情報	特定の個人を識別できず、絶対に復元できないように加工。（不可逆的な加工）	外部へのデータ販売や、オープンデータ化。	同意なしで自由に提供可能

法律の境界線に関して、非常によく誤解されるポイントです。

罠1：「法人の情報」は保護対象か？
→ 対象外です。個人情報保護法はあくまで「個人の情報」を守る法律なので、企業の売上データや法人格の情報は個人情報ではありません（※ただし、法人の「役員の氏名」などは個人情報になります）。
罠2：「亡くなった人」のデータは保護されるか？
→ 対象外です。法律の定義が「生存する個人」であるため、歴史上の人物や死者の情報は原則として個人情報ではありません（※遺族の個人情報とみなされる場合を除く）。
罠3：「AI学習なら、Webの個人情報を勝手に収集（スクレイピング）してもよい？」
→ 誤りです。「著作権法（第30条の4）」ではAI学習のためのデータ収集が広く認められていますが、それと「個人情報保護法」は全く別の法律です。収集したデータの中に個人情報が含まれている場合、著作権法でOKでも個人情報保護法には違反する（利用目的の公表などが必要）という二重のハードルがある点に注意が必要です。

GDPR（EU一般データ保護規則）は、EU（欧州連合）における個人情報保護の枠組みで、日本の法律よりも極めて規制が厳しく、制裁金が巨額（数百億円規模になることも）であることが特徴です。

× 要配慮個人情報は、本人が拒否しない限り（オプトアウト）第三者へ提供できる
（解説）誤りです。要配慮個人情報はオプトアウト方式での提供が法律で禁止されています。必ず本人の同意が必要です。
× 仮名加工情報は、本人に利用目的を通知する必要がある
（解説）誤りです。仮名加工情報は社内での分析に特化しているため、本人への個別の「通知」義務は免除されています（※Webサイト等での「公表」義務はあります）。
× AIのモデル開発目的であれば、著作権法により個人情報も自由に無断で利用できる
（解説）誤りです。著作権法の例外規定（第30条の4）と、個人情報保護法のルールは別々にクリアする必要があります。