ITパスポート 2016年 秋期 問33
問題文
個人情報保護法における、個人情報取扱事業者の義務はどれか。
選択肢
ア:個人情報の安全管理が図られるよう、業務委託先を監督する。(正解)
イ:個人情報の安全管理を図るため、行政によるシステム監査を受ける。
ウ:個人情報の利用に関して、監督官庁に届出を行う。
エ:プライバシーマークを取得する。
🔒 解説は解答すると表示されます
個人情報取扱事業者の義務はどれか【ITパスポート 解説】
正解の理由
選択肢ア「個人情報の安全管理が図られるよう、業務委託先を監督する。」が正解です。
ここでいう「個人情報取扱事業者」とは、顧客や利用者の氏名・連絡先などの個人情報を事業で扱う企業や団体のことです。個人情報保護法は、こうした事業者に対して「個人情報の漏えいや不正利用を防ぐために必要な措置を講じなさい」と求めています。その一つに、業務を外部に委託(業務委託:業務を他社に任せること)した場合、その委託先も含めて安全管理が図られるように監督する義務があります。つまり、自分で管理していない部分でも、適切な管理がされるようチェックや契約で求める責任があるのです。
ここでいう「個人情報取扱事業者」とは、顧客や利用者の氏名・連絡先などの個人情報を事業で扱う企業や団体のことです。個人情報保護法は、こうした事業者に対して「個人情報の漏えいや不正利用を防ぐために必要な措置を講じなさい」と求めています。その一つに、業務を外部に委託(業務委託:業務を他社に任せること)した場合、その委託先も含めて安全管理が図られるように監督する義務があります。つまり、自分で管理していない部分でも、適切な管理がされるようチェックや契約で求める責任があるのです。
解法ステップ
- 問題の主語を確認する:「個人情報取扱事業者の義務」=個人情報保護法に定められた事業者側の義務を問う問題。
- 個人情報保護法の基本を思い出す:事業者は「安全管理措置(個人情報を守るための対策)」を講じる必要がある。
- 初出用語説明:安全管理措置(個人情報を安全に扱うための具体的な対策。アクセス制限や暗号化、委託先監督など)
- 各選択肢と法の要求を照らし合わせる:
- 業務委託した先の監督は安全管理の一部 → 当てはまる(正解)。
- 行政によるシステム監査の受入れ、届出、認証取得は一般義務ではない → 不正解。
- 最も法律で明確に義務付けられているものを選ぶ(業務委託先の監督)。
選択肢別の誤答解説
-
ア:正しい。個人情報取扱事業者は、自社で管理していない部分(外部委託先)も含めて、個人情報が適切に扱われるよう監督・管理する義務がある。委託契約や監査、記録の確認などが具体的対策にあたる。
-
イ:誤り。個人情報保護法は事業者に「行政が行うシステム監査を受ける」ことを一般的に義務付けてはいません。監督機関(個人情報保護委員会など)による調査や命令はあり得ますが、日常的に行政監査を受けることが法律上の義務ではありません。自社での点検や外部監査の実施は事業者の責務であり、必須だが「行政監査受入れ」とは内容が異なります。
-
ウ:誤り。個人情報の「利用」に関して常時監督官庁に届出を行う義務は原則ありません。特定の業種や特別なデータ(例:医療・マイナンバーなど)では別の規定や届出が必要な場合がありますが、一般的な個人情報の利用で届出が必要という規定はないため、この選択肢は不適切です。
-
エ:誤り。プライバシーマークは、一般財団法人日本情報経済社会推進協会(JIPDEC)が運用する第三者認証制度で、個人情報保護の体制が一定水準にあることを示す認証です。取得は事業者の任意(ボランタリー)であり、法律で義務づけられているものではありません。
よくある誤解
-
「プライバシーマークを持っていない会社は違法」
→ 誤り。プライバシーマークは任意の認証です。持っていないこと自体が法律違反にはなりません。ただし、保護対策は法律で求められます。 -
「行政が毎年システム監査するから受けなければならない」
→ 誤り。行政の監査は恒常的に行われるものではなく、通常は事業者自身による安全管理(内部管理や契約上の監督)が求められます。 -
「個人情報を外部に委託したら責任は委託先に全部移る」
→ 誤り。委託しても、個人情報取扱事業者(委託元)が最終的な責任を負います。だから監督が必要です。
補足コラム
業務委託先を監督する際の具体的な手段(実務上よく使われる例):
- 委託契約で守るべき事項を明記する(目的外利用禁止、再委託の制限、事故発生時の対応など)。
- 委託先に対する監査・点検を定期的に行う。
- アクセス権の最小化やログ管理、暗号化など技術的対策の実施確認。
- 委託先に情報管理の研修を実施させる、あるいは受託者の体制確認(組織図や担当者)を行う。
これらは法で求められる「安全管理のための措置」を具体化した行動です。
FAQ
Q. すべての会社が「個人情報取扱事業者」なのですか?
A. 顧客の氏名や連絡先、購買履歴などを業務で扱う会社は該当します。単に名簿を一時的に扱うだけのケースなど、具体的状況によって扱いは変わりますが、多くの事業で該当すると考えてよいです。
A. 顧客の氏名や連絡先、購買履歴などを業務で扱う会社は該当します。単に名簿を一時的に扱うだけのケースなど、具体的状況によって扱いは変わりますが、多くの事業で該当すると考えてよいです。
Q. 委託先の管理はどの程度まで必要ですか?
A. 委託先の規模や扱うデータの重要性に応じて適切な監督が必要です。重大な個人情報を扱うなら厳格な契約条項や定期監査が求められます。
A. 委託先の規模や扱うデータの重要性に応じて適切な監督が必要です。重大な個人情報を扱うなら厳格な契約条項や定期監査が求められます。
Q. 個人情報漏えいが起きたらどうすればいいですか?
A. まず被害拡大を止めること。必要に応じて関係者への通知や監督機関への報告が法律上求められる場合があります。事前に対応手順(インシデント対応計画)を準備しておくことが重要です。
A. まず被害拡大を止めること。必要に応じて関係者への通知や監督機関への報告が法律上求められる場合があります。事前に対応手順(インシデント対応計画)を準備しておくことが重要です。
関連キーワード: 個人情報保護法、個人情報取扱事業者、業務委託、監督、安全管理措置、プライバシーマーク、届出、監査、漏えい報告、個人情報管理

\ せっかくなら /
ITパスポートを
クイズ形式で学習しませんか?
クイズ画面へ遷移する→
すぐに利用可能!

