資格問題ドリル個人情報保護士 対策
ホーム個人情報保護士章別対策>第3
個人情報保護法・第3

安全管理措置と委託・従業者の監督の問題(15問)

論点 14目安 約30組合せ 15
この章を解く(15問)→

この章で扱う論点14論点

認定個人情報保護団体2安全管理措置と従業者の監督委託先の監督安全管理措置の対象従業者・委託先の監督義務の所在安全管理措置と委託先監督の関係データ内容の正確性の確保等漏えい等の報告・本人通知個人データの管理に関する義務苦情の処理個人番号利用事務等の再委託特定個人情報の委託先の監督認定個人情報保護団体の対象事業者の公表地方公共団体による委員会への求め

各選択肢に根拠条文(e-Gov法令データ照合済み)と、正誤の理由・覚え方のコツをつけています。

問題と解説を読む15

通読・復習用に、この章の全問題と解説を掲載しています。1問ずつ解きながら進めたい場合は「この章を解く」からどうぞ。

1安全管理措置と従業者の監督

個人データの管理に関する次のア・イの記述について、その正誤の組み合わせとして最も適切なものを1つ選びなさい。

  • 個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失または毀損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。
  • 個人情報取扱事業者は、その従業者に個人データを取り扱わせるに当たっては、安全管理が図られるよう、当該従業者に対する必要かつ適切な監督を行わなければならない。
  1. アー正、イー正
  2. アー正、イー誤
  3. アー誤、イー正
  4. アー誤、イー誤
解答・解説を見る

正解:1(アー正、イー正)

正しい
漏えい等の防止義務(根拠:個人情報保護法第23条
正しい
従業者監督義務(根拠:個人情報保護法第24条

安全管理は『仕組み』だけでなく『人』の監督も含みます。

個人情報取扱事業者は、取り扱う個人データの漏えい・滅失・毀損を防ぐなど、安全管理のために必要かつ適切な措置を講じなければならない(個人情報保護法23条)。具体的には組織的・人的・技術的・物理的な安全管理措置が想定される。さらに、実際にデータを扱うのは従業者なので、従業者に個人データを取り扱わせるに当たっては、安全管理が図られるよう従業者に対する必要かつ適切な監督を行う義務がある(同24条)。仕組みの整備と人の監督は、いずれも欠かせない。

2委託先の監督

個人データの取扱いの委託に関する次のア・イの記述について、その正誤の組み合わせとして最も適切なものを1つ選びなさい。

  • 個人情報取扱事業者は、個人データの取扱いの全部または一部を委託する場合は、委託を受けた者に対する必要かつ適切な監督を行わなければならない。
  • 個人データの取扱いを委託した場合、委託先の監督義務は委託元にはなく、委託先のみが責任を負う。
  1. アー正、イー正
  2. アー正、イー誤
  3. アー誤、イー正
  4. アー誤、イー誤
解答・解説を見る

正解:2(アー正、イー誤)

正しい
委託先監督義務(根拠:個人情報保護法第25条
誤り
丸投げは許されない(根拠:個人情報保護法第25条

「委託すれば責任も移る」と考えると、イで誤ります。

個人データの取扱いを外部に委託する場合でも、委託元の責任は消えない。個人情報取扱事業者は、委託した個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない(個人情報保護法25条)。具体的には、適切な委託先の選定、安全管理に関する委託契約の締結、委託先における取扱状況の把握などが求められる。『委託=丸投げで免責』ではなく、委託元が監督責任を負い続ける点が重要である。

3安全管理措置の対象(個人データ)

安全管理措置に関する次のア・イの記述について、その正誤の組み合わせとして最も適切なものを1つ選びなさい。

  • 安全管理措置を講ずべき義務の対象は、データベース等を構成しない散在情報も含めた、事業者が取り扱うすべての個人情報である。
  • 個人情報取扱事業者は、従業者に個人データを取り扱わせる場合、当該従業者に対する必要かつ適切な監督を行わなければならない。
  1. アー正、イー正
  2. アー正、イー誤
  3. アー誤、イー正
  4. アー誤、イー誤
解答・解説を見る

正解:3(アー誤、イー正)

誤り
対象は個人データ(根拠:個人情報保護法第23条
正しい
従業者監督義務(根拠:個人情報保護法第24条

「すべての個人情報が安全管理措置の対象」と考えると、アで誤ります。

安全管理措置(個人情報保護法23条)の義務の対象は、条文上『個人データ』である。個人データとは個人情報データベース等を構成する個人情報をいう(同16条3項)から、整理されていない散在情報は23条の直接の対象ではない(もっとも実務では散在情報も適切に管理することが望ましい)。あわせて、従業者に個人データを取り扱わせる場合の従業者監督(同24条)も求められる。『何が対象か(個人データ)』を正確に押さえることが、条文問題では重要になる。

4従業者・委託先の監督義務の所在

個人データの取扱いにおける監督義務に関する次のア・イの記述について、その正誤の組み合わせとして最も適切なものを1つ選びなさい。

  • 従業者に個人データを取り扱わせる場合、責任を負うのは従業者本人であり、事業者は従業者を監督する義務を負わない。
  • 個人データの取扱いを委託した場合、委託元は委託先を監督する義務を負わない。
  1. アー正、イー正
  2. アー正、イー誤
  3. アー誤、イー正
  4. アー誤、イー誤
解答・解説を見る

正解:4(アー誤、イー誤)

誤り
事業者に監督義務(根拠:個人情報保護法第24条
誤り
委託元に監督義務(根拠:個人情報保護法第25条

「現場や委託先に任せれば事業者は免責」と考えると、両方で誤ります。

個人データを実際に扱うのは従業者や委託先だが、法は監督責任を事業者(委託元)に課している。従業者に個人データを取り扱わせる場合は事業者が従業者に対する必要かつ適切な監督を行い(個人情報保護法24条)、取扱いを委託する場合は委託元が委託先に対する必要かつ適切な監督を行わなければならない(同25条)。いずれも『扱う人に任せたから事業者は責任を負わない』ということにはならない。監督義務の名宛人は事業者側、と統一的に理解する。

5安全管理措置と委託先監督の関係

個人データの安全管理に関する次のア・イの記述について、その正誤の組み合わせとして最も適切なものを1つ選びなさい。

  • 個人情報取扱事業者は、その取り扱う個人データの安全管理のために必要かつ適切な措置を講じなければならない。
  • 個人データの取扱いを委託する場合は、委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない。
  1. アー正、イー正
  2. アー正、イー誤
  3. アー誤、イー正
  4. アー誤、イー誤
解答・解説を見る

正解:1(アー正、イー正)

正しい
安全管理措置(根拠:個人情報保護法第23条
正しい
委託先監督義務(根拠:個人情報保護法第25条

安全管理は自社内だけの話ではありません。

個人データの安全管理は、自社内と委託先の両面で求められる。まず自社では、取り扱う個人データの漏えい・滅失・毀損の防止など安全管理のために必要かつ適切な措置を講じなければならない(個人情報保護法23条)。そして取扱いを委託する場合は、委託された個人データの安全管理が図られるよう、委託先に対する必要かつ適切な監督を行わなければならない(同25条)。自社の措置だけでなく、外部に出した個人データの管理まで含めて責任を負う点を押さえる。

6データ内容の正確性の確保等

個人データの正確性等に関する次のア・イの記述について、その正誤の組み合わせとして最も適切なものを1つ選びなさい。

  • 個人情報取扱事業者は、保有する個人データを、利用する必要がなくなった後も消去せず保管し続けなければならない。
  • 個人情報取扱事業者は、利用目的の達成に必要な範囲内において、個人データを正確かつ最新の内容に保つよう努めなければならない。
  1. アー正、イー正
  2. アー正、イー誤
  3. アー誤、イー正
  4. アー誤、イー誤
解答・解説を見る

正解:3(アー誤、イー正)

誤り
消去の努力義務(根拠:個人情報保護法第22条
正しい
正確性の確保(根拠:個人情報保護法第22条

「いつまでも保管しておけばよい」わけではありません。

個人情報取扱事業者は、利用目的の達成に必要な範囲内において、個人データを正確かつ最新の内容に保つとともに、利用する必要がなくなったときは、当該個人データを遅滞なく消去するよう努めなければならない(個人情報保護法22条)。これは努力義務だが、不要になった個人データを漫然と保管し続けることは、漏えい時のリスクを高めるため望ましくない。『正確・最新に保つ』と『不要なら消去する』をセットで押さえる。

7漏えい等の報告・本人通知

個人データの漏えい等への対応に関する次のア・イの記述について、その正誤の組み合わせとして最も適切なものを1つ選びなさい。

  • 個人の権利利益を害するおそれが大きい一定の漏えい等の事態が生じたときは、個人情報取扱事業者は、個人情報保護委員会に報告しなければならない。
  • 一定の漏えい等の事態が生じた場合、個人情報取扱事業者は、原則として本人に対してもその事態が生じた旨を通知しなければならない。
  1. アー正、イー正
  2. アー正、イー誤
  3. アー誤、イー正
  4. アー誤、イー誤
解答・解説を見る

正解:1(アー正、イー正)

正しい
委員会への報告(根拠:個人情報保護法第26条第1項
正しい
本人通知(根拠:個人情報保護法第26条第2項

重大な漏えいは『報告』と『通知』の両方が要ります。

個人情報取扱事業者は、その取り扱う個人データについて、個人の権利利益を害するおそれが大きいものとして規則で定める漏えい・滅失・毀損等の事態が生じたときは、個人情報保護委員会に報告しなければならない(個人情報保護法26条1項)。さらに、その事態が生じた場合には、原則として本人に対しても当該事態が生じた旨を通知しなければならない(同26条2項)。重大な漏えい等では『委員会への報告』と『本人への通知』が原則セットで求められる。

8個人データの管理に関する義務(総合)

個人データの管理に関する次のア・イの記述について、その正誤の組み合わせとして最も適切なものを1つ選びなさい。

  • 個人情報取扱事業者は、保有する個人データを利用する必要がなくなっても、これを消去するよう努める義務はない。
  • 重大な漏えい等の事態が生じても、個人情報取扱事業者が個人情報保護委員会に報告する義務はない。
  1. アー正、イー正
  2. アー正、イー誤
  3. アー誤、イー正
  4. アー誤、イー誤
解答・解説を見る

正解:4(アー誤、イー誤)

誤り
消去の努力義務(根拠:個人情報保護法第22条
誤り
報告義務(根拠:個人情報保護法第26条第1項

「消さなくてよい」「報告しなくてよい」とどちらも誤りです。

個人データの管理には、平常時の義務と有事の義務がある。平常時には、利用する必要がなくなった個人データを遅滞なく消去するよう努めなければならない(個人情報保護法22条)。有事、すなわち個人の権利利益を害するおそれが大きい一定の漏えい・滅失・毀損等の事態が生じたときには、個人情報保護委員会に報告し(同26条1項)、原則として本人にも通知する(同26条2項)。不要データの放置や、重大漏えいの不報告は、いずれも義務違反となる。

9苦情の処理

個人情報の取扱いに関する苦情処理についての次のア・イの記述について、その正誤の組み合わせとして最も適切なものを1つ選びなさい。

  • 個人情報取扱事業者は、個人情報の取扱いに関する苦情の適切かつ迅速な処理に努めなければならない。
  • 個人情報取扱事業者は、苦情処理の目的を達成するために必要な体制の整備に努めなければならない。
  1. アー正、イー正
  2. アー正、イー誤
  3. アー誤、イー正
  4. アー誤、イー誤
解答・解説を見る

正解:1(アー正、イー正)

正しい
苦情処理(根拠:個人情報保護法第40条第1項
正しい
体制整備(根拠:個人情報保護法第40条第2項

苦情への対応も事業者の努力義務です。

個人情報取扱事業者は、個人情報の取扱いに関する苦情の適切かつ迅速な処理に努めなければならず(個人情報保護法40条1項)、その目的を達成するために必要な体制の整備に努めなければならない(同条2項)。本人の不満や疑問に事業者自身が一次的に対応することで、トラブルの早期解決と信頼の維持を図る趣旨である。なお、認定個人情報保護団体による苦情処理の仕組みもある。

10個人番号利用事務等の再委託

個人番号利用事務等の再委託に関する次のア・イの記述について、その正誤の組み合わせとして最も適切なものを1つ選びなさい。

  • 個人番号利用事務等の委託を受けた者は、委託をした者の許諾を得なくても、自由にその全部又は一部を再委託することができる。
  • 個人番号利用事務等の委託を受けた者は、委託をした者の許諾を得た場合に限り、その全部又は一部を再委託することができる。
  1. アー正、イー正
  2. アー正、イー誤
  3. アー誤、イー正
  4. アー誤、イー誤
解答・解説を見る

正解:3(アー誤、イー正)

誤り
再委託の制限(根拠:マイナンバー法第10条第1項
正しい
許諾の要否(根拠:マイナンバー法第10条第1項

マイナンバー事務の再委託は『勝手にできない』のが原則です。

個人番号は厳格に管理されるため、委託の連鎖も制限される。個人番号利用事務又は個人番号関係事務(個人番号利用事務等)の委託を受けた者は、その委託をした者の許諾を得た場合に限り、その全部又は一部を再委託することができる(マイナンバー法10条1項)。委託先が許諾なく勝手に再委託することは認められない。再委託を受けた者は、最初の委託を受けた者とみなされ、同様の規律に服する。

11特定個人情報の委託先の監督

個人番号利用事務等の委託先の監督に関する次のア・イの記述について、その正誤の組み合わせとして最も適切なものを1つ選びなさい。

  • 個人番号利用事務等を委託する者は、委託先に対する監督義務を負わない。
  • 委託に係る特定個人情報の安全管理は委託先のみの責任であり、委託元は一切関与しない。
  1. アー正、イー正
  2. アー正、イー誤
  3. アー誤、イー正
  4. アー誤、イー誤
解答・解説を見る

正解:4(アー誤、イー誤)

誤り
委託先監督(根拠:マイナンバー法第11条
誤り
委託元の責任(根拠:マイナンバー法第11条

マイナンバー事務でも『丸投げ免責』はありません。

個人番号利用事務等の全部又は一部を委託する者は、その委託に係る個人番号利用事務等において取り扱う特定個人情報の安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない(マイナンバー法11条)。個人情報保護法における委託先監督(25条)と同様に、委託しても委託元の責任は消えない。再委託の制限(10条)と合わせ、委託の連鎖全体で安全管理を確保する仕組みである。

12認定個人情報保護団体

認定個人情報保護団体に関する次のア・イの記述について、その正誤の組み合わせとして最も適切なものを1つ選びなさい。

  • 個人情報等の適正な取扱いの確保を目的として一定の業務を行おうとする法人は、個人情報保護委員会の認定を受けることができる。
  • 認定個人情報保護団体は、認定業務の対象となることについて同意を得た個人情報取扱事業者等を、対象事業者としなければならない。
  1. アー正、イー正
  2. アー正、イー誤
  3. アー誤、イー正
  4. アー誤、イー誤
解答・解説を見る

正解:1(アー正、イー正)

正しい
認定団体(根拠:個人情報保護法第47条第1項
正しい
対象事業者(根拠:個人情報保護法第52条第1項

業界団体などが自主規制の担い手になる仕組みです。

認定個人情報保護団体は、個人情報等の適正な取扱いの確保を目的として、対象事業者の苦情処理や情報提供等の業務を行う民間団体である。これらの業務を行おうとする法人は、個人情報保護委員会の認定を受けることができる(個人情報保護法47条1項)。認定団体は、認定業務の対象となることに同意を得た個人情報取扱事業者等を対象事業者としなければならず(同52条1項)、その氏名等を公表する(同条2項)。業界の自主規制を促す仕組みである。

13認定個人情報保護団体の対象事業者の公表

認定個人情報保護団体の対象事業者に関する次のア・イの記述について、その正誤の組み合わせとして最も適切なものを1つ選びなさい。

  • 認定個人情報保護団体は、その対象事業者の氏名又は名称を公表しなければならない。
  • 認定個人情報保護団体の対象事業者となるには、その事業者本人の同意は不要である。
  1. アー正、イー正
  2. アー正、イー誤
  3. アー誤、イー正
  4. アー誤、イー誤
解答・解説を見る

正解:2(アー正、イー誤)

正しい
公表(根拠:個人情報保護法第52条第2項
誤り
同意(根拠:個人情報保護法第52条第1項

対象事業者は同意のうえで決まり、公表されます。

認定個人情報保護団体は、認定業務の対象となることについて同意を得た個人情報取扱事業者等を対象事業者としなければならない(個人情報保護法52条1項)。すなわち、事業者の同意を前提に対象事業者となる。そして、認定団体は対象事業者の氏名又は名称を公表しなければならない(同条2項)。利用者から見てどの事業者が認定団体の対象になっているかを分かるようにする趣旨である。

14地方公共団体による委員会への求め

地方公共団体と個人情報保護委員会との関係に関する次のア・イの記述について、その正誤の組み合わせとして最も適切なものを1つ選びなさい。

  • 地方公共団体は、個人情報の適正な取扱いの確保に関し、個人情報保護委員会に対し、必要な情報の提供や技術的な助言を求めることはできない。
  • 地方公共団体は、必要があると認めるときは、委員会に対し、必要な情報の提供又は技術的な助言を求めることができる。
  1. アー正、イー正
  2. アー正、イー誤
  3. アー誤、イー正
  4. アー誤、イー誤
解答・解説を見る

正解:3(アー誤、イー正)

誤り
連携(根拠:個人情報保護法第166条第1項
正しい
求めの制度(根拠:個人情報保護法第166条第1項

国(委員会)と地方は連携して保護を図ります。

個人情報保護法の官民・国地方の一元化に伴い、国の個人情報保護委員会が一元的に監督する体制になった。その下で、地方公共団体は、地方公共団体の機関・地方独立行政法人・事業者等による個人情報の適正な取扱いを確保するために必要があると認めるときは、委員会に対し、必要な情報の提供又は技術的な助言を求めることができる(個人情報保護法166条1項)。委員会はこれに応じて情報提供・助言を行う。国と地方の連携の仕組みである。

15認定個人情報保護団体(総合)

認定個人情報保護団体に関する次のア・イの記述について、その正誤の組み合わせとして最も適切なものを1つ選びなさい。

  • 認定個人情報保護団体になるためには、個人情報保護委員会の認定を受ける必要はない。
  • 認定個人情報保護団体は、その対象事業者の氏名等を公表してはならない。
  1. アー正、イー正
  2. アー正、イー誤
  3. アー誤、イー正
  4. アー誤、イー誤
解答・解説を見る

正解:4(アー誤、イー誤)

誤り
認定(根拠:個人情報保護法第47条第1項
誤り
公表(根拠:個人情報保護法第52条第2項

認定団体は『認定を受け、対象事業者を公表する』のが基本です。

認定個人情報保護団体は、個人情報保護委員会の認定を受けて、対象事業者の苦情処理・情報提供等を行う民間の自主規制団体である(個人情報保護法47条1項)。認定を受けずに認定団体を名乗ることはできない。また、認定団体は対象事業者の氏名又は名称を公表しなければならない(同52条2項)。認定を受けること、対象事業者を公表することが、認定団体の基本的な枠組みである。