【問34】個人情報保護士 練習問題|個人情報取扱事業者の定義と義務の概要
個人情報保護法 問34/170難易度B(標準)
問題文
個人情報取扱事業者の安全管理措置に関する次の記述のうち、最も適切なものはどれか。
- 1.安全管理措置は、組織的措置のみを講じれば法律上の義務を果たしたことになる。
- 2.安全管理措置には、組織的・人的・物理的・技術的安全管理措置が含まれる。
- 3.従業員が10名未満の事業者には、安全管理措置の義務は適用されない。
- 4.安全管理措置の具体的内容は法律で詳細に規定されており、ガイドラインは参考に過ぎない。
解説
正解
正解は選択肢2です。
各選択肢の解説
選択肢1 → ❌誤り
安全管理措置は組織的措置だけでは不十分です。個人情報保護委員会のガイドラインでは、組織的・人的・物理的・技術的の4つの観点から安全管理措置を講じることが求められています。
選択肢2 → ✅正解
法第23条に基づく安全管理措置は、個人情報保護委員会のガイドラインにおいて、組織的安全管理措置、人的安全管理措置、物理的安全管理措置、技術的安全管理措置の4つの観点から講じることが求められています。令和4年改正対応のガイドラインでもこの枠組みは維持されています。
選択肢3 → ❌誤り
従業員数による適用除外はありません。すべての個人情報取扱事業者に安全管理措置の義務が課されます。ただし、中小規模事業者については手法の例示において配慮がなされています。
選択肢4 → ❌誤り
法律では「必要かつ適切な措置」と抽象的に規定されており、具体的な内容は個人情報保護委員会のガイドラインで示されています。ガイドラインは事実上の実務基準として重要な意味を持ちます。
背景知識
安全管理措置は個人情報取扱事業者の中核的義務の一つです。組織的安全管理措置(組織体制の整備、規程の策定等)、人的安全管理措置(従業者の教育・訓練等)、物理的安全管理措置(入退室管理、機器の盗難防止等)、技術的安全管理措置(アクセス制御、暗号化等)の4分類で整理されます。令和4年改正では、漏えい等報告の義務化に伴い、安全管理措置の重要性がさらに高まっています。
学習アドバイス
安全管理措置の4分類(組織的・人的・物理的・技術的)は必ず覚えましょう。それぞれの具体例も2~3個ずつ挙げられるようにしておくと、応用問題にも対応できます。
まとめ
- 安全管理措置は組織的・人的・物理的・技術的の4つの観点で講じる
- 従業員数等による適用除外はない
- 具体的内容はガイドラインで示されている