【問435】貸金業務取扱主任者 練習問題|技術的安全管理措置
資金需要者等の保護 問15/84難易度B(標準)
問題文
個人情報保護法における個人データの技術的安全管理措置に関する次の記述のうち、その内容が適切なものを1つ選びなさい。
- 1.技術的安全管理措置として、個人データへのアクセス制御を行うことが求められるが、アクセスログの記録・保存については任意であり、義務ではない。
- 2.個人データを電子メールで送信する場合、暗号化やパスワードによる保護等の措置は、あくまで推奨事項であり法的義務ではないため、実施しなくても安全管理措置違反にはならない。
- 3.技術的安全管理措置の一環として、個人データを取り扱う情報システムへのアクセス制御(認証・認可)の実施、不正アクセス防止措置の導入などが求められる。
- 4.技術的安全管理措置は、クラウドサービスを利用して個人データを管理する場合には適用されず、クラウド事業者の責任において対応すれば足りる。
解説
正解
正解は選択肢3です。個人情報保護委員会ガイドラインは、技術的安全管理措置としてアクセス制御・不正アクセス防止等を求めています。
各選択肢の解説
選択肢1「アクセスログの記録は任意」→ ❌誤り
個人情報保護委員会ガイドライン(通則編)は、技術的安全管理措置として「個人データへのアクセスにおける識別・認証」とともに「アクセスログの記録・保存による不正アクセス等の検知」を求めています。アクセスログの記録・保存は任意ではなく、適切な技術的安全管理措置の重要な要素です。
選択肢2「暗号化等は推奨事項のみ」→ ❌誤り
電子メール送信時の暗号化等は、個人データの安全管理のために「必要かつ適切な措置」(個人情報保護法第23条)として求められます。特に要配慮個人情報や大量の個人データを送信する場合は、暗号化等の実施が安全管理措置の観点から不可欠です。単なる推奨事項ではありません。
選択肢3「アクセス制御・不正アクセス防止措置の導入」→ ✅正解
個人情報保護委員会ガイドラインが定める技術的安全管理措置の代表的な内容として、アクセス制御(認証・認可)、不正アクセス防止(ファイアウォール等)、情報システムの監視が挙げられます。これらは個人情報取扱事業者に求められる法的義務です。
選択肢4「クラウド利用時は適用外」→ ❌誤り
クラウドサービスを利用して個人データを管理する場合でも、個人情報取扱事業者(委託元)は安全管理措置の義務を負います。クラウド事業者への委託は「第三者提供」に該当する場合と該当しない場合がありますが、いずれにしても個人情報取扱事業者が最終的な安全管理の責任を負います。
背景知識
技術的安全管理措置の主な内容:
| 措置内容 | 具体例 |
|---|---|
| アクセス制御 | ID・パスワード認証、権限管理 |
| 不正アクセス防止 | ファイアウォール、ウイルス対策 |
| 情報漏えい防止 | 暗号化、DLP(データ損失防止) |
| ログ管理 | アクセスログ、操作ログの保存 |
学習アドバイス
技術的安全管理措置は「アクセス制御」「不正アクセス防止」「ログ管理」「暗号化」が4本柱です。クラウド利用時も委託元の責任が続く点を押さえましょう。
まとめ
- 技術的安全管理措置にはアクセス制御・不正アクセス防止・ログ管理・暗号化が含まれる
- アクセスログの記録・保存は義務的な措置であり任意ではない
- クラウド利用時も個人情報取扱事業者(委託元)の安全管理義務は消えない