個人情報保護法ではなく、独立行政法人等の保有する個人情報の保護に関する法律が適用されるようです。
http://law.e-gov.go.jp/htmldata/H15/H15HO059.html
独立行政法人等の保有する個人情報の保護に関する法律
(平成十五年五月三十日法律第五十九号)
(目的)
第一条 この法律は、独立行政法人等において個人情報の利用が拡大していることにかんがみ、独立行政法人等における個人情報の取扱いに関する基本的事項を定めることにより、独立行政法人等の事務及び事業の適正かつ円滑な運営を図りつつ、個人の権利利益を保護することを目的とする。
https://twitter.com/bengo4topics/status/570213800793616384
本日午後15時45分に配信した記事『東大が「匿名ツイッターユーザー」を特定・電話で呼び出し――これって問題ないの?』は、記述に誤りがありましたので、非公開にいたしました。関係者ならびに読者のみなさまにお詫び申し上げます。
http://www.bengo4.com/topics/2729/
今回のようなケースで、大学はネット上の発言者を特定するために、自らが持っている「センター試験の得点」の情報を利用しても良いのだろうか。石井邦尚弁護士に聞いた。●公開情報から推理するのはOKだが・・・
「匿名のツイッターユーザーを特定していいのかという問題ですが、『ツイート』など、本人が公開した情報から推理して、結果的に辿り着いたのであれば、法的に問題はないでしょう。ただし、個人を特定するためにヒントとなる情報を、不正な手段で手に入れたとすれば問題です。たとえば、不正アクセスでサーバなどに侵入し、非公開の情報を取得するのは犯罪行為ですので、アウトです」
個人情報保護法の注意点
それでは、大学がユーザーを個人特定するために、「センター試験の点数」の情報を利用するのは、不正にはならないのだろうか?「個人の特定に結びつくような情報は、個人情報として、個人情報保護法により保護されています。
入試のために集めた『センター試験に関する個人情報』を、ツイッターの匿名ユーザーを特定するために利用するのは、『目的外利用』となります。目的外利用は、本人の同意がない限り、許されないのが原則です」
原則ということは、例外がある?
「そうですね。同意のない目的外利用でも、たとえば『人の生命、身体または財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき』には許されます。
詳しくは個人情報保護法16条1項と、16条3項2号を参照ください」