問題本文
個人情報保護法では個人情報取扱事業者に対して安全管理措置を講じることを求めている。経済産業分野のガイドラインでは,安全管理措置は技術的安全管理措置,組織的安全管理措置,人的安全管理措置,物理的安全管理措置に分類している。このうち,人的安全管理措置の具体例として,適切なものはどれか。
選択肢
- ア.安全管理に対する規程と従業員による体制の整備
- イ.安全管理に対する従業員の役割及び責任についての周知や教育の実施
- ウ.個人データを取り扱う情報システムへの従業員ごとのアクセス制御
- エ.従業員の入退出管理や個人データを記録した媒体の施錠管理
正解
イ. 安全管理に対する従業員の役割及び責任についての周知や教育の実施
解説
個人情報保護法に基づく安全管理措置の4分類を問う問題. 経済産業分野ガイドライン(現在は個人情報保護委員会ガイドラインに統合)では,安全管理措置を(1)組織的安全管理措置(規程整備・体制構築・点検),(2)人的安全管理措置(従業者教育・誓約書取得),(3)物理的安全管理措置(入退室管理・媒体施錠保管),(4)技術的安全管理措置(アクセス制御・暗号化・ログ取得)の4つに分類する. 本問は「人的」に該当するものを選ぶ問題で,従業者の役割・責任の周知や教育の実施が該当する. 各分類の典型例と境界を押さえることが正答の鍵となる.
選択肢ごとの解説
- ア.誤り(組織的安全管理措置の例). 安全管理に対する規程整備と従業者による体制整備は組織的安全管理措置に分類される. 規程類と運用体制という組織レベルの整備項目であり,人的(人の教育・意識付け)とは別カテゴリ. 4分類の区別を細かく押さえる必要がある.
- イ.正解. 安全管理に対する従業者の役割・責任の周知や教育の実施は,まさに人的安全管理措置の代表例. 個人情報を取り扱う従業者一人ひとりの意識付け・知識習得を通じて漏えいリスクを下げる施策であり,「人」に対する措置として明確に分類される項目となる.
- ウ.誤り(技術的安全管理措置の例). 個人データを扱う情報システムへの従業者ごとのアクセス制御は技術的安全管理措置に分類される. システム機能による権限管理という技術的な仕組みであり,従業者教育の人的措置とは区別される. アクセス制御=技術的が典型対応関係.
- エ.誤り(物理的安全管理措置の例). 従業者の入退出管理や個人データ記録媒体の施錠管理は物理的安全管理措置に分類される. 建物・部屋・媒体という物理的な対象への対策で,人の教育を行う人的措置とは別カテゴリ. 4分類のうち物理的に該当する代表例である.
ITパスポート 2015年 (平成27年 秋期) の過去問一覧へ戻る・問24