情報処理安全確保支援士試験 情報処理安全確保支援士試験 令和2年度 午前Ⅱ 問25: プライバシーマークを取得している A 社が，個人情報管理台帳の取扱いについて内部監査を行った。判明した状況のうち，監査人が指摘事項として監査報告書に記載すべきも

問題本文

プライバシーマークを取得している A 社が，個人情報管理台帳の取扱いについて内部監査を行った。判明した状況のうち，監査人が指摘事項として監査報告書に記載すべきものはどれか。

選択肢

• ア.個人情報管理台帳に，概数でしかつかめない個人情報の保有件数は概数だけで記載している。
• イ.個人情報管理台帳に，ほかの項目に加えて，個人情報の保管場所，保管方法，保管期限を記載している。
• ウ.個人情報管理台帳の機密性を守るための保護措置を講じている。
• エ.個人情報管理台帳の見直しは，新たな個人情報の取得があった場合にだけ行っている。

正解

エ. 個人情報管理台帳の見直しは，新たな個人情報の取得があった場合にだけ行っている。

解説

個人情報管理台帳は最新性を保つ必要があり、取得時だけでなく、利用・保管・廃棄など個人情報の状況変化に応じて定期的に見直すべきもの。エは取得時にしか見直していない不適切な運用で、監査人が指摘事項として記載すべき対象となり正解。実務では台帳の継続的な更新が、保有状況の正確な把握と適切な管理の前提となる。

選択肢ごとの解説

• ア.正確に件数を把握できないものを概数で記載するのは合理的な運用で、指摘事項にはあたらない。
• イ.保管場所・方法・期限を記載するのは台帳として望ましい状態で、指摘すべき問題ではない。
• ウ.個人情報管理台帳の機密性を守るための保護措置を講じているのは適切な運用で、指摘事項ではない。
• エ.新規取得時だけしか台帳を見直さず最新性が保てない運用は不適切で、指摘事項として記載すべき正解。