【問180】個人情報保護士 練習問題|マイナンバー法の基礎
マイナンバー法 問10/10難易度C(難しい)
問題文
J社は特定個人情報の安全管理措置として「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」に基づき対応を検討している。事業者が講じるべき安全管理措置の体系として、正しいものはどれか。
- 1.技術的安全管理措置のみを講じれば足りる。
- 2.基本方針の策定、取扱規程等の策定、組織的・人的・物理的・技術的安全管理措置の体系で対応する。
- 3.個人情報保護委員会が指定する外部機関に安全管理を委託すれば、自社での措置は不要である。
- 4.従業員10人未満の中小規模事業者は安全管理措置の義務が一切免除される。
解説
正解
正解は選択肢2です。
各選択肢の解説
選択肢1 → ❌誤り
技術的安全管理措置のみでは不十分です。組織的、人的、物理的な措置もあわせて講じる必要があります。
選択肢2 → ✅正解
特定個人情報の適正な取扱いに関するガイドライン(事業者編)では、安全管理措置として、基本方針の策定、取扱規程等の策定、組織的安全管理措置、人的安全管理措置、物理的安全管理措置、技術的安全管理措置の体系で対応することが求められています。
選択肢3 → ❌誤り
安全管理を外部機関に委託しても、自社での措置義務は免除されません。委託先の監督義務も別途課されます。
選択肢4 → ❌誤り
中小規模事業者であっても安全管理措置の義務は免除されません。ただし、ガイドラインにおいて中小規模事業者向けの特例的な対応方法が示されており、一部の措置について簡便な方法が認められています。
背景知識
特定個人情報の安全管理措置は、個人情報保護法に基づく安全管理措置を基本としつつ、マイナンバーの重要性に鑑みてより具体的な措置が求められています。組織的安全管理措置には責任者の設置や取扱記録の整備、人的安全管理措置には従業者への教育・監督、物理的安全管理措置には取扱区域の管理や機器の盗難防止、技術的安全管理措置にはアクセス制御や不正アクセスの防止が含まれます。中小規模事業者には特例的な簡便措置が認められていますが、義務自体は免除されません。
学習アドバイス
安全管理措置の4つの分類(組織的・人的・物理的・技術的)とそれぞれの具体例を覚えましょう。中小規模事業者の特例についても出題されることがあります。
まとめ
- 安全管理措置は組織的・人的・物理的・技術的の4分類で対応
- 基本方針の策定と取扱規程の策定も必要
- 中小規模事業者にも義務はあるが簡便な方法が認められている