選択肢
- ア.個人情報の安全管理が図られるよう,業務委託先を監督する。
- イ.個人情報の安全管理を図るため,行政によるシステム監査を受ける。
- ウ.個人情報の利用に関して,監督官庁に届出を行う。
- エ.プライバシーマークを取得する。
正解
ア. 個人情報の安全管理が図られるよう,業務委託先を監督する。
解説
個人情報保護法は,個人情報取扱事業者に対し,利用目的の特定・通知,安全管理措置の実施,従業者の監督,委託先の監督,第三者提供の制限,本人からの開示・訂正・利用停止請求への対応など複数の義務を課している. 業務を外部に委託する際には,委託先における個人情報の安全管理が確実に行われるよう,委託元として必要かつ適切な監督を行う義務(委託先監督義務)がある. 行政によるシステム監査受審,監督官庁への届出,プライバシーマーク取得などはいずれも個人情報保護法の一般的な法定義務ではなく,事業者が任意で取り組む活動に位置付けられるため,本問では委託先監督が法定義務として唯一適切な選択肢となる.
選択肢ごとの解説
- ア.正しい. 個人情報の業務委託先に対し安全管理が図られるよう監督することは,個人情報保護法が定める個人情報取扱事業者の法定義務(委託先監督義務)のため. 委託元の責任として明確に規定されており,委託先で漏えい等の事故が発生した場合は委託元も責任を問われる重要な義務である.
- イ.誤り. 行政によるシステム監査の受審は個人情報保護法上の義務ではなく,任意の取組みとして位置付けられる. 同法は事業者に対し必要かつ適切な安全管理措置の実施を求めているが,行政監査の受審を要件として規定しているわけではないため,法定義務には該当しない取組みである.
- ウ.誤り. 個人情報の利用に関する監督官庁(個人情報保護委員会)への届出は,通常の事業者に課される一般的な義務ではない. 一部の特殊な分野で個別の届出規定が存在することはあるが,個人情報保護法の一般義務として全事業者に課されているわけではないため,本問の法定義務には該当しない.
- エ.誤り. プライバシーマーク(Pマーク)取得は一般財団法人日本情報経済社会推進協会(JIPDEC)による第三者機関の認定制度で,個人情報保護への取組みを示す任意の認証である. 個人情報取扱事業者全員に課される法定義務ではなく,取得しなくても法令に従えば事業活動には支障がない.
ITパスポート 2016年 (平成28年 秋期) の過去問一覧へ戻る・問33