【個人情報保護の法制度】
本問は、日本及び世界の個人情報保護をめぐる法制度についての理解を問うものである。

ア　正しい。
個人情報保護に関する法制度は、１９７０年代から個人情報のコンピュータ処理の広まりにともない、米国やドイツ、フランスなどの先進国で整備されるようになった。しかし、各国の法制度の内容がそれぞれ異なっており、当時本格化していた国際データ通信に対応するため各国の法制度を調和させる必要があった。そこで、１９８０年９月にＯＥＣＤ（経済協力開発機構）の理事会勧告が出された（いわゆるＯＥＣＤ８原則）。このＯＥＣＤ８原則は、個人情報の適正な取扱いに関する基本的な考え方を示したものであり、その後の各国の法制度の基礎となった。２００３年に制定された我が国の個人情報保護法においても、ＯＥＣＤ８原則が反映されている。

イ　正しい。
１９９５年１０月に出されたＥＵによる個人データ保護指令（個人データの処理に係る個人の保護及びその自由な流通に関する欧州議会及びＥＵ理事会指令）では、ＥＵ加盟各国に対して、第三国が十分なレベルの保護措置を確保している場合に限って個人データの第三国への移転を行うことができるよう国内法制度の整備を求める第三国移転制限条項が設けられた。当時、我が国では、民間分野を包括的に規制する個人情報保護法制が存在しなかったことから、早急な対応が求められた。

ウ　正しい。
我が国においても情報化が急速に進んでいたこと、及びアの解説で述べたように、ＯＥＣＤ８原則が示されたことを受け、１９８１年に行政管理庁（当時）で「プライバシー保護研究会」が開催され、個人情報保護に関する法制度の検討作業が開始した。従って、個人情報保護法制定の契機となったといえる。

エ　誤　り。
１９９９年、国会において、住民基本台帳法を一部改正し、全国の市区町村の住民基本台帳をネットワーク化して、全国共通の本人確認を可能とする住民基本台帳ネットワークシステムを導入することが提案された。しかし、民間部門への流出事故が発生した場合、民間部門を規制する個人情報保護法が未整備のままでは対処できない点が憂慮され、個人情報保護法の検討が始められた。以上からすると、住民基本台帳ネットワーク制度の導入が個人情報保護法の制定を検討する契機となったといえる。従って、本記述は誤っている。

【ＯＥＣＤ８原則】
本問は、日本の個人情報保護法にも反映されているＯＥＣＤ８原則についての理解を問うものである。

ア　正しい。
目的特定の原則（目的明確化の原則・目的明細化の原則）とは、収集目的は収集時より遅くない時期において、明確化されなければならず、その後における利用は当初の収集目的に矛盾することなく、かつ明確化されたものに制限するべきであるとの原則をいう。個人情報保護法１５条１項は、このような原則と対応している。従って、本記述は正しい。

イ　正しい。
データ内容の原則とは、個人データは、その利用目的に沿ったものであるべきであり、かつ、利用目的に必要な範囲で正確、完全であり最新のものに保たなければならないとの原則をいう。１９条は、このような原則と対応している。従って、本記述は正しい。

ウ　正しい。
収集制限の原則とは、個人データの収集には制限を設けるべきであり、いかなる個人データも、適法かつ公正な手段によって、かつ、適当な場合には、データ主体に知らしめ又は同意を得た上で収集されるべきであるとの原則をいう。１７条は、このような原則と対応している。従って、本記述は正しい。

エ　誤　り。
安全保護の原則とは、個人データは、その紛失若しくは不当なアクセス・破壊・使用・修正・開示等の危険に対し、合理的な安全保護措置により保護されなければならないとの原則をいう。この原則に対応する個人情報保護法の規定は、法２０条（安全管理措置）、法２１条（従業員の監督）、法２２条（委託先の監督）などである。他方、法３１条１項は「個人情報取扱事業者」は苦情処理を適切かつ迅速に処理しなければならないとするものであり、データ管理者は、諸原則を実施する責任を負うという責任の原則に対応し、安全保護の原則とは対応しない。従って、本記述は誤っている。

【個人情報保護法制定の社会的背景】
本問は、日本における個人情報保護法の整備の一因ともなった、個人情報保護をめぐる社会的背景についての理解を問うものである。

ア　正しい。
近年、個人情報漏えい事件はマスコミに取り上げられ、社会的注目を集め、また、事件発覚後、漏えい企業の株価が急落するなど、個人情報漏えい事件が企業の社会的信用を失墜させるという波及効果が明らかになっている。従って、本記述は正しい。

イ　誤　り。
京都府宇治市の住民基本台帳データ（個人連番の住民番号、住所、氏名、性別、生年月日など）約２２万人分が、同市が企画した乳幼児健診システムを開発していた再々委託先のアルバイト従業員によって不正流出させられ、これを名簿業者がインターネット上で販売したという事案において、控訴審である大阪高等裁判所は、宇治市に対し、住民に一人当たり１５，０００円（慰謝料１０，０００円、弁護士手数料５，０００円）の損害賠償をするように命じた（大阪高判平１３．１２．２５）。そして、最高裁判所は平成１４年７月１１日に、宇治市の上告を不受理としたことから、前記控訴審判決が確定した。従って、本記述は金銭による法的処理を認めた最高裁判所の判例は出されていないとする点で誤っている。

ウ　正しい。
近年、個人情報が従来の紙媒体から電子ファイル化されていること、ＤＶＤ−ＲＡＭなどの大量記録媒体が開発されたことなどから、膨大な個人情報を持ち出すことが可能となり、個人情報の流出件数が膨大なものとなっている。例えば、あるブロードバンド会社では、約６６０万件もの個人情報が流出する事故が起こっている。従って、本記述は正しい。

エ　正しい。
高度情報通信社会では、膨大な個人情報を高度かつ高速に処理され、しかもネットワークを通じて遠隔地との間でも瞬時にやりとりができる。従って、一度個人情報が不適切な形で取り扱われると、被害者に取り返しのつかない著しい被害を与えるおそれがある。従って、本記述は正しい。

【個人情報保護法総論�@】
本問は、個人情報保護法についての一般的理解を問うものである。

ア　正しい。
法５１条。個人情報の保護に関する法律施行令１１条１項。個人情報取扱事業者が行う事業について、事業法等他の法令で事業者に対する各種監督に係る権限に属する事務の全部又は一部を地方公共団体の長等が行うこととされている場合には、個人情報保護法に基づく主務大臣の権限に属する事務も、その地方公共団体の長等が行うことになる。従って、本記述は正しい。

イ　誤　り。
個人情報保護法は、法２３条に違反した第三者提供がなされても直ちに罰則の適用対象とはせず、主務大臣の命令に違反してはじめて罰則の適用対象とする（法３４条２項及び３項・５６条）。従って、本記述は、個人情報保護法に違反して第三者に個人データを提供した場合、個人情報保護法により直ちに罰則が適用されるとする点で誤っている。

ウ　正しい。
法５８条１項は、法人（法人でない団体で代表者又は管理人の定めのあるものを含む。）の代表者・代理人・使用者その他従業者が、法人の業務に関して、法５６条及び５７条に違反した場合には、行為者を罰するほか、法人に対しても罰金刑を科すると規定している。従って、本記述は正しい。

エ　正しい。
行政機関の保有する個人情報の保護に関する法律５４条、５３条。行政機関から個人情報の取扱いの委託を受けた者が受託した業務を行う場合でも、その者が、その業務に関して知り得た保有個人情報を自己若しくは第三者の不正な利益を図る目的で提供し、又は盗用したときは、行政機関の職員の場合と同様の罰則の対象となる。従って、本記述は正しい。

【個人情報保護法総論�A】
本問は、個人情報保護法についての一般的理解を問うものである。

ア　誤　り。
法１条は、「個人情報の有用性に配慮しつつ、個人の権利利益を保護することを目的とする」としている。従って、本記述は、個人の権利利益を保護することのみが強調され、個人情報の有用性は無視されているとする点で誤っている。

イ　正しい。
政府は、法７条１項の規定に従い、２００４年に「個人情報の保護に関する基本方針」を策定した。これは、個人情報取扱事業者にとって、個人情報の保護のための具体的な取り組みの指針となるものである。その方針の中で、「事業者の個人情報保護に関する考え方や方針に関する宣言（いわゆるプライバシーポリシー、プライバシーステートメント等）の策定・公表により」、事業者が行う措置の対外的明確化を図ることが重要である、と述べられている。従って、本記述は正しい。

ウ　誤　り。
法５６条以下に規定されているように、罰則は、主務大臣の命令に違反してはじめて適用されることになる。従って、本記述は、罰則は個人情報の漏えいした程度に応じて科せられるという規定が主なものであるとする点で誤っている。

エ　誤　り。
個人情報保護法は、その第２章「国及び地方公共団体の責務等」で、国や地方公共団体の責務について規定する。従って、本記述は誤っている。