問題
問33
個人情報保護法における、個人情報取扱事業者の義務はどれか。
- 個人情報の安全管理が図られるよう、業務委託先を監督する。
- 個人情報の安全管理を図るため、行政によるシステム監査を受ける。
- 個人情報の利用に関して、監督官庁に届出を行う。
- プライバシーマークを取得する。
[出典:ITパスポート試験 平成28年度秋期 問33]
正解
正解は「ア」です。
解説
個人情報保護法では、個人情報取扱事業者が個人情報の安全管理を徹底することが義務付けられています。この安全管理義務には、個人情報の取扱いを外部の業者(業務委託先)に任せる場合、その委託先が適切に個人情報を扱っているかを監督する責任も含まれます。
例えば、顧客情報リストのデータ入力業務を外部の会社に委託する際、委託先が適切なセキュリティ対策を講じているか、情報漏えいのリスクがないかなどを確認し、必要に応じて指導することが求められます。もし監督を怠り、委託先から情報が漏えいした場合、最終的な責任は個人情報取扱事業者である元の会社が負うことになります。このため、選択肢アは個人情報保護法における個人情報取扱事業者の重要な義務の一つであり、正しい記述です。
イ(個人情報の安全管理を図るため、行政によるシステム監査を受ける。):
個人情報取扱事業者が行政によるシステム監査を義務付けられているわけではありません。自主的な監査や第三者機関による監査はありますが、行政による監査は義務ではありません。
ウ(個人情報の利用に関して、監督官庁に届出を行う。):
個人情報保護法において、個人情報の利用目的を本人に通知・公表する義務はありますが、監督官庁への利用に関する事前の届出は原則として義務付けられていません。
エ(プライバシーマークを取得する。):
プライバシーマークの取得は、個人情報保護体制が一定の基準を満たしていることを示す制度ですが、これは企業の任意であり、法律上の義務ではありません。
難易度
この問題の難易度は、個人情報保護法に関する基本的な知識が問われるため、比較的易しいと言えます。法律の内容は複雑に感じられがちですが、個人情報取扱事業者の主要な義務について、どれが「必須の義務」で、どれが「任意の取り組み」なのかを理解していれば、正解を導き出すことは難しくないでしょう。特に、企業が外部に業務を委託する際の責任範囲は、ITパスポート試験でも頻出のテーマです。
用語補足
個人情報保護法:
個人情報を取り扱うすべての事業者に、個人情報の適正な取扱いを義務付ける日本の法律です。個人情報の漏えいや不正利用を防ぎ、個人の権利利益を保護することを目的としています。例えば、あるお店が顧客の氏名や住所を収集する場合、この法律に従って適切に管理しなければなりません。
個人情報取扱事業者:
個人情報保護法において、個人情報データベース等を事業の用に供している者を指します。特定の例外を除き、この法律の義務の対象となります。例えば、顧客リストをデータベースで管理している通販会社は、個人情報取扱事業者にあたります。
業務委託先:
企業が自社の業務の一部を外部の別の企業や個人に任せる(委託する)場合の、その外部の企業や個人のことです。例えば、アンケートのデータ入力作業を専門のデータ入力業者に依頼した場合、そのデータ入力業者が業務委託先になります。
プライバシーマーク:
個人情報について適切な保護措置を講ずる体制を整備している事業者に与えられる、日本工業規格(JIS Q 15001)に準拠したマークです。取得は任意で、企業の信頼性向上につながります。このマークがあれば、その企業は個人情報保護に真剣に取り組んでいる証拠になります。
対策
個人情報保護法に関する問題では、まず「義務」と「任意」を区別して理解することが重要です。特に、安全管理措置や利用目的の明確化などは義務ですが、プライバシーマークの取得や行政による監査は義務ではありません。また、業務委託に関する監督責任は、情報セキュリティの観点からも重要なポイントなので、しっかりと押さえておきましょう。過去問を繰り返し解き、法律の基本的な考え方や、具体的な場面での適用例を学ぶことで、本番で迷うことなく正解を選べるようになります。
