【問438】貸金業務取扱主任者 練習問題|安全管理措置の総合問題(上級)
問題文
個人情報保護法における個人データの安全管理措置及び漏えい等対応に関する次の記述のうち、その内容が適切なものを1つ選びなさい。
- 1.個人情報取扱事業者は、従業者が退職した場合、当該従業者が在職中に取り扱っていた個人データに関する秘密保持誓約書を取得する義務はなく、退職後の情報漏えいは個人の問題として事業者は責任を負わない。
- 2.個人データが記録された媒体(USBメモリ等)を社外へ持ち出す場合、物理的安全管理措置として適切な保護措置(暗号化、施錠等)を講じることが求められるが、社内での取扱いは物理的安全管理措置の対象外である。
- 3.個人情報取扱事業者は、仮名加工情報に含まれる個人データについても、通常の個人データと同様に、漏えい等が発生した場合の個人情報保護委員会への報告義務を負う。
- 4.個人情報取扱事業者は、個人データの取扱いに関する安全管理措置の実施状況について、定期的に自己点検を行うとともに、必要に応じて外部の専門家によるチェックを受けるなど、継続的な改善を行うことが求められる。
解説
正解
正解は選択肢4です。安全管理措置は一度実施すれば終わりではなく、PDCAサイクルによる継続的な改善が求められます。
各選択肢の解説
選択肢1「退職者の秘密保持誓約は不要」→ ❌誤り
個人情報保護委員会ガイドラインは、人的安全管理措置として「従業者に対する定期的な研修」とともに「退職後も含む秘密保持義務の担保」を求めています。退職時に秘密保持誓約書を取得することは重要な人的安全管理措置の一つです。また、従業者の不正行為について監督義務を怠った事業者は責任を問われる可能性があります。
選択肢2「社内取扱いは物理的安全管理措置の対象外」→ ❌誤り
物理的安全管理措置は社外への持ち出しだけでなく、社内における取扱いも対象です。具体的には、入退室管理、機器・媒体の盗難・紛失防止のための施錠、不要な個人データの廃棄・消去方法なども物理的安全管理措置に含まれます(ガイドライン通則編)。
選択肢3「仮名加工情報の漏えいも報告義務あり」→ ❌誤り
仮名加工情報は、他の情報と照合しない限り特定の個人を識別できないよう加工された情報です。令和4年改正個人情報保護法では、仮名加工情報の漏えい等については個人情報保護委員会への報告義務及び本人通知義務が適用されません(個人情報保護法第41条第9項の準用規定参照)。仮名加工情報に特有の規律が適用されます。
選択肢4「定期的な自己点検と継続的改善」→ ✅正解
個人情報保護委員会ガイドライン(通則編)は、組織的安全管理措置として「個人データの取扱状況の把握及び安全管理措置の見直し」を求めており、定期的な自己点検、必要に応じた外部専門家によるチェック(監査)、そして継続的な改善(PDCAサイクル)の実施が推奨されています。
背景知識
仮名加工情報の主な特例(令和3年改正で創設):
| 項目 | 仮名加工情報 | 通常の個人データ |
|---|---|---|
| 漏えい報告義務 | なし | あり(一定類型) |
| 本人通知義務 | なし | あり(一定類型) |
| 第三者提供 | 原則禁止 | 同意等が必要 |
| 利用目的の変更 | 可能(一定条件) | 関連性の合理的な範囲内 |
学習アドバイス
仮名加工情報は令和3年改正で創設された制度です。通常の個人データとは異なる規律が適用される点(漏えい報告義務の除外など)を整理しておきましょう。安全管理は継続的改善が要点です。
まとめ
- 退職者への秘密保持誓約書取得は重要な人的安全管理措置
- 物理的安全管理措置は社内の取扱いも対象
- 仮名加工情報の漏えいは個人情報保護委員会への報告義務の対象外
- 安全管理措置は継続的なPDCAサイクルによる改善が求められる