【問433】貸金業務取扱主任者 練習問題|個人データの安全管理措置(基礎)
資金需要者等の保護 問13/84難易度A(易しい)
問題文
個人情報の保護に関する法律(以下「個人情報保護法」という。)における個人情報取扱事業者の安全管理措置に関する次の記述のうち、その内容が適切なものを1つ選びなさい。
- 1.個人情報取扱事業者は、個人データの漏えい、滅失又は毀損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じる義務を負うが、この義務は努力義務であり、違反しても直ちに罰則は適用されない。
- 2.個人情報取扱事業者は、個人データを取り扱う従業者に対して必要かつ適切な監督を行わなければならないが、従業者が個人データを不正に持ち出した場合であっても、事業者が監督義務を果たしていれば個人情報保護委員会から指導を受けることはない。
- 3.個人情報取扱事業者は、個人データの安全管理のために必要かつ適切な措置を講じなければならないが、取り扱う個人データの数が少量であれば、この義務は免除される。
- 4.個人情報取扱事業者は、個人データの漏えい、滅失又は毀損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならず、これには技術的安全管理措置や組織的安全管理措置が含まれる。
解説
正解
正解は選択肢4です。個人情報保護法第23条は、個人情報取扱事業者に対し、技術的・組織的安全管理措置を含む必要かつ適切な措置を義務付けています。
各選択肢の解説
選択肢1「安全管理措置は努力義務」→ ❌誤り
個人情報保護法第23条は、安全管理措置を「講じなければならない」と定めており、努力義務ではなく法的義務です。個人情報保護委員会は違反事業者に対して指導・勧告・命令を行うことができ、命令違反には罰則(1年以下の懲役又は100万円以下の罰金)が適用されます。
選択肢2「監督義務を果たしていれば指導なし」→ ❌誤り
事業者が適切な監督義務を果たしていても、実際に漏えい等が発生した場合、個人情報保護委員会は状況に応じて報告を求めたり指導を行うことがあります。監督義務の履行は行政処分の判断要素となりますが、指導を一切受けないとは限りません(個人情報保護法第24条)。
選択肢3「少量であれば義務免除」→ ❌誤り
個人情報保護法に「取り扱う個人データの数が少量であれば安全管理措置が免除される」という規定はありません。かつての「5000件以下除外規定」は平成27年改正で廃止されており、現行法では件数に関わらず義務が適用されます。
選択肢4「技術的・組織的安全管理措置を含む」→ ✅正解
個人情報保護法第23条に基づき、個人情報取扱事業者は漏えい・滅失・毀損の防止のため必要かつ適切な措置を講じる義務があります。この措置には、組織的・人的・物理的・技術的の4種類の安全管理措置が含まれます。
背景知識
個人情報保護法が求める安全管理措置は以下の4種類に分類されます。
| 措置の種類 | 主な内容 |
|---|---|
| 組織的安全管理措置 | 責任者の設置、取扱規程の整備、点検・監査 |
| 人的安全管理措置 | 従業者への教育・訓練、誓約書の取得 |
| 物理的安全管理措置 | 入退室管理、機器の施錠、持ち出し制限 |
| 技術的安全管理措置 | アクセス制御、ログ管理、暗号化 |
学習アドバイス
安全管理措置は「義務」であることを必ず覚えてください。かつての5000件除外規定は廃止済みです。4種類の措置の名称と内容をセットで整理しておきましょう。
まとめ
- 安全管理措置は努力義務ではなく法的義務(個人情報保護法第23条)
- 5000件以下の除外規定は廃止されており件数に関わらず義務あり
- 措置の種類:組織的・人的・物理的・技術的の4種類