ホーム > 情報処理安全確保支援士試験 > 2020年 秋期
情報処理安全確保支援士試験 2020年 秋期 午前2 問25
プライバシーマークを取得している A 社は個人情報管理台帳の取扱いについて内部監査を行った。判明した状況のうち,監査人が指摘事項として監査報告書に記載すべきものはどれか。
ア:個人情報管理台帳に, 概数でしかつかめない個人情報の保有件数は概数だけで記載している。
イ:個人情報管理台帳に,ほかの項目に加えて、個人情報の保管場所,保管方法, 保管期限を記載している。
ウ:個人情報管理台帳の機密性を守るための保護措置を講じている。
エ:個人情報管理台帳の見直しは、新たな個人情報の取得があった場合にだけ行っている。(正解)
解説
プライバシーマーク個人情報管理台帳の取扱い【午前2 解説】
要点まとめ
- 結論:個人情報管理台帳は定期的に見直す必要があり、新たな取得時のみの見直しは不十分です。
- 根拠:プライバシーマーク制度では、個人情報の適切な管理を継続的に確保するため、台帳の定期的な更新が求められています。
- 差がつくポイント:監査では「見直しの頻度やタイミング」が重要視され、単に新規取得時だけの更新は指摘対象となります。
正解の理由
選択肢エは「個人情報管理台帳の見直しは、新たな個人情報の取得があった場合にだけ行っている」とあります。プライバシーマークの規定では、個人情報管理台帳は新規取得時だけでなく、定期的に見直しを行い、情報の正確性や管理状況を継続的に確認することが求められています。したがって、見直しが新規取得時のみに限定されているのは管理体制として不十分であり、監査人が指摘すべき事項です。
よくある誤解
個人情報管理台帳は新規取得時に更新すれば十分と考えがちですが、定期的な見直しが義務付けられているため、継続的な管理が必要です。
解法ステップ
- 問題文から「監査人が指摘すべき事項」を探す。
- 各選択肢の内容をプライバシーマークの管理基準と照合する。
- 個人情報管理台帳の更新・見直しに関する規定を確認。
- 見直しが新規取得時のみかどうかを判断。
- 見直しが限定的であれば指摘事項として正解とする。
選択肢別の誤答解説
- ア: 概数で保有件数を記載している点は、正確性に欠けるが概数記載自体は許容される場合もあり、必ずしも指摘事項とは限りません。
- イ: 保管場所・方法・期限を記載しているのは適切な管理の一環であり、指摘事項ではありません。
- ウ: 機密性を守るための保護措置を講じているのは適切な対応であり、指摘事項にはなりません。
- エ: 見直しが新規取得時のみに限定されているため、継続的な管理が不十分で指摘事項となります。
補足コラム
プライバシーマーク制度では、個人情報の適切な管理を保証するために、個人情報管理台帳の内容を常に最新の状態に保つことが求められています。これには新規取得時だけでなく、定期的な見直しや変更があった場合の更新も含まれます。監査ではこれらの運用状況を厳しくチェックします。
FAQ
Q: 個人情報管理台帳はどのくらいの頻度で見直すべきですか?
A: 規定に明確な頻度はありませんが、少なくとも定期的(例:年1回)に見直しを行い、情報の正確性を保つことが推奨されています。
A: 規定に明確な頻度はありませんが、少なくとも定期的(例:年1回)に見直しを行い、情報の正確性を保つことが推奨されています。
Q: 概数で個人情報の保有件数を記載しても問題ありませんか?
A: 正確な件数が望ましいですが、概数での記載が許容される場合もあります。ただし、管理の透明性を高めるためにできるだけ正確な記録が推奨されます。
A: 正確な件数が望ましいですが、概数での記載が許容される場合もあります。ただし、管理の透明性を高めるためにできるだけ正確な記録が推奨されます。
関連キーワード: プライバシーマーク, 個人情報管理台帳, 内部監査, 個人情報保護, 監査報告書