【問232】個人情報保護士 練習問題|委託先管理
情報セキュリティ 問52/120難易度A(易しい)
問題文
個人データの取扱いを委託する場合の委託先管理として、最も適切なものはどれか。
- 1.委託先の選定は価格のみを基準として行う
- 2.委託先の個人情報保護体制を事前に確認し、契約で安全管理措置の内容を明確にする
- 3.委託後は委託先に一任し、委託元は監督する必要がない
- 4.委託先が再委託する場合、委託元の許可は不要である
解説
正解
正解は選択肢2です。
各選択肢の解説
選択肢1 → ❌誤り
委託先の選定では、価格だけでなく個人情報保護体制、安全管理措置の実施状況、プライバシーマーク等の認証取得状況なども考慮する必要があります。
選択肢2 → ✅正解
委託先の選定にあたっては個人情報保護体制を事前に確認し、委託契約において安全管理措置の内容、秘密保持義務、再委託の制限等を明確に定めることが求められます。
選択肢3 → ❌誤り
個人情報保護法第25条では、委託元は委託先に対する必要かつ適切な監督を行う義務を負っています。委託後も継続的な監督が必要です。
選択肢4 → ❌誤り
再委託については、委託元の許可を必要とすることが一般的であり、ガイドラインでも再委託の制限を契約に盛り込むことが推奨されています。
背景知識
個人情報保護法は、個人データの取扱いを委託する場合、委託先に対する必要かつ適切な監督を行う義務を定めています。具体的には、適切な委託先の選定、委託契約の締結(安全管理措置、秘密保持、再委託の制限、事故時の対応等)、委託先における取扱い状況の把握が求められます。委託先で漏えい事故が発生した場合、委託元にも監督義務違反として責任が問われる可能性があります。
学習アドバイス
委託先管理の三要素(選定・契約・監督)を確実に覚えましょう。委託元の監督義務は法的義務であり、委託後も継続するという点が最も重要なポイントです。
まとめ
- 委託先の選定では保護体制を事前確認する
- 委託契約で安全管理措置や再委託制限を明確にする
- 委託後も継続的な監督が法的義務として求められる