問題
問14
個人情報取扱事業者における個人情報の管理に関する事例a~dのうち、個人情報保護に関する管理上,適切でないものだけを全て挙げたものはどれか。
- a 営業部門では、許可された者だけが閲覧できるように、顧客リストを施錠管理できるキャビネットに保管している。
- b 総務部門では、住所と氏名が記載された社員リストを、管理規程を定めずに社員に配布している。
- c 販促部門では、書店で市販されている名簿を購入し,不要となったものは溶解処理している。
- d 物流部門では、運送会社に配送作業を委託しており、配送対象とはならない顧客も含む全顧客の住所録をあらかじめ預けている。
- a, b
- b, c
- b, d
- c, d
[出典:ITパスポート試験 平成30年度春期 問14]
正解
正解は「ウ」です。
解説
正解はウの「b, d」です。これは、個人情報保護法に基づいた管理として適切ではない行為を示しています。 事例bでは、社員リストに住所と氏名という個人情報が記載されているにも関わらず、管理規程を定めずに社員に配布しています。個人情報保護法では、個人情報の取得、利用、提供、保管などにおいて、利用目的を明確にし、適切な安全管理措置を講じることが義務付けられています。
管理規程がない状態での配布は、個人情報が不適切に扱われるリスクを高め、情報漏えいや目的外利用の原因となるため、不適切です。 事例dでは、配送業務を運送会社に委託する際に、配送対象ではない顧客の住所録も渡しています。これも個人情報保護法に違反する可能性があります。個人情報を第三者に提供する際は、原則として本人の同意が必要です。
また、業務委託の場合は、委託先の監督義務があり、必要最小限の情報を渡すことが求められます。配送に必要な情報のみを渡すべきであり、配送対象外の顧客情報まで渡すことは、目的外利用や情報漏えいのリスクを増大させるため、不適切と判断されます。 この問題は、個人情報保護法における事業者の責任と、具体的な個人情報管理のあり方を問うものです。
ア(a, b):
事例aは顧客リストを施錠管理しており、適切な安全管理措置であるため適切です。したがって、この選択肢は誤りです。
イ(b, c):
事例cは市販の名簿の購入自体は問題なく、不要になった際の溶解処理も適切な廃棄方法であるため適切です。したがって、この選択肢は誤りです。
エ(c, d):
事例cは適切な管理方法です。したがって、この選択肢は誤りです。
難易度
この問題の難易度は中程度です。個人情報保護法に関する基本的な理解があれば解きやすいですが、個々の事例について、何が適切で何が不適切かを判断するには、法律の具体的な運用について考える必要があります。特に「委託先への情報の提供範囲」や「社内での情報配布ルール」といった、実務で起こりうるシチュエーションを具体的に想像できると、正解にたどり着きやすくなります。初心者の方にとっては、一つ一つの事例を丁寧に読み解く時間が必要かもしれません。
用語補足
個人情報保護法:
個人情報保護法とは、個人情報を取り扱う事業者に対して、個人情報の適正な取り扱いを義務付ける法律です。例えば、氏名、生年月日、住所などの個人情報を企業が扱う際に、その情報が漏れたり、不適切に使われたりしないようにするためのルールを定めています。
個人情報取扱事業者:
個人情報取扱事業者とは、個人情報保護法に基づいて、個人情報を事業活動に利用している企業や団体を指します。顧客情報や社員情報などをデータベースで管理しているお店や会社、オンラインサービスを提供している企業などがこれに該当します。
施錠管理:
施錠管理とは、大切な書類やデータを保管している場所(キャビネットや部屋など)を鍵でロックし、許可された人しかアクセスできないようにする物理的な安全管理措置です。例えば、顧客の契約書が入ったキャビネットに鍵をかけることなどがこれに当たります。
委託:
委託とは、ある業務を外部の企業や団体に任せることです。例えば、自社で商品の配送を行わずに、専門の運送会社に依頼するような場合が該当します。個人情報を含む業務を委託する際には、委託先の選定や監督を適切に行い、個人情報が安全に取り扱われるようにする義務があります。
対策
この問題を解くためのポイントは、個人情報保護法における「安全管理措置」と「第三者提供のルール」を理解することです。特に、個人情報の利用目的の特定、適切な取得、第三者提供時の本人同意の原則、そして委託先の監督義務について把握しているかが問われます。各選択肢の事例が、これらの法的な要件を満たしているか、あるいは違反していないかを冷静に判断することが重要です。実務における個人情報の取り扱いをイメージしながら考えると、より理解が深まります。
