【問434】貸金業務取扱主任者 練習問題|組織的安全管理措置
資金需要者等の保護 問14/84難易度B(標準)
問題文
個人情報保護法における個人データの組織的安全管理措置に関する次の記述のうち、その内容が適切なものを1つ選びなさい。
- 1.組織的安全管理措置として、個人データの取扱いに関する規程類を整備することが求められるが、取扱状況の確認や点検は義務付けられていない。
- 2.個人情報取扱事業者は、個人データを取り扱う従業者を明確にし、当該従業者が取り扱う個人データの範囲を明確にすることが組織的安全管理措置の一環として求められる。
- 3.個人データの漏えい等の事案が発生した場合に備えた体制整備は、大企業にのみ求められる組織的安全管理措置であり、中小企業は対象外である。
- 4.組織的安全管理措置は、個人情報保護委員会の認定を受けた事業者のみが実施義務を負うものであり、認定を受けていない事業者には義務がない。
解説
正解
正解は選択肢2です。従業者の明確化と取扱範囲の特定は、個人情報保護法ガイドラインが定める組織的安全管理措置の基本的な要素です。
各選択肢の解説
選択肢1「点検は義務付けられていない」→ ❌誤り
個人情報保護委員会のガイドライン(通則編)では、組織的安全管理措置として、個人データの取扱状況の把握と安全管理措置の見直し・改善が求められています。規程の整備だけでなく、定期的な点検や監査の実施も重要な要素です。
選択肢2「従業者の明確化と取扱範囲の特定」→ ✅正解
個人情報保護委員会ガイドラインは、組織的安全管理措置として「個人データの取扱いに関する責任者・担当者の明確化」と「従業者が取り扱う個人データの範囲の特定」を求めています。これにより不必要なデータへのアクセスを防止します。
選択肢3「中小企業は対象外」→ ❌誤り
組織的安全管理措置の義務は企業規模を問わず、すべての個人情報取扱事業者に課されます。ただし、中小規模事業者(従業員100人以下等)については、より簡易な対応が認められる場合があります(ガイドライン通則編別添)。対象外ということはありません。
選択肢4「認定事業者のみに義務」→ ❌誤り
組織的安全管理措置は個人情報保護法第23条に基づくすべての個人情報取扱事業者の義務であり、個人情報保護委員会の認定の有無とは無関係です。そのような認定制度は存在しません。
背景知識
組織的安全管理措置の主な内容(個人情報保護委員会ガイドライン通則編より):
- 個人データの取扱いに関する規程の整備
- 責任者・担当者の明確化と取扱範囲の特定
- 取扱状況の確認手段の整備(台帳等)
- 漏えい等の事案が発生した場合の体制整備
- 取扱状況の点検・監査
学習アドバイス
組織的安全管理措置は「規程整備」「責任者設置」「点検・監査」「事案対応体制」の4点が核心です。企業規模を問わず全事業者に義務があることも重要なポイントです。
まとめ
- 組織的安全管理措置は規程整備だけでなく定期的な点検・監査も含む
- 従業者が取り扱う個人データの範囲を明確にすることが求められる
- 企業規模に関わらず全個人情報取扱事業者に義務が課される