【問題 43】
金融分野における個人情報保護に関するガイドラインに規定する安全管理措置等に関する次のa〜dの記述について、その内容が適切なものを「正」とし、適切でないものを「誤」とした場合、その正誤の組み合わせとして適切なものを①〜④の中から1つだけ選び、解答欄にその番号をマークしなさい。
a 金融分野における個人情報取扱事業者が、個人データの安全管理に係る実施体制の整備として講じなければならない「技術的安全管理措置」は、個人データの利用者の識別及び認証、個人データの管理区分の設定及びアクセス制御、個人データへのアクセス権限の管理、個人データの漏えい・き損等防止策、個人データへのアクセスの記録及び分析、個人データを取り扱う情報システムの稼働状況の記録及び分析、並びに個人データを取り扱う情報システムの監視及び監査、である。
b 金融分野における個人情報取扱事業者が、個人データの安全管理に係る実施体制の整備として講じなければならない「人的安全管理措置」は、個人データの管理責任者等の設置、就業規則等における安全管理措置の整備、個人データの安全管理に係る取扱規程に従った運用、個人データの取扱状況を確認できる手段の整備、個人データの取扱状況の点検及び監査体制の整備と実施、並びに漏えい事案等に対応する体制の整備、である。
c 金融分野における個人情報取扱事業者が、個人データの安全管理に係る実施体制の整備として講じなければならない「組織的安全管理措置」は、従業者との個人データの非開示契約等の締結、従業者の役割・責任等の明確化、従業者への安全管理措置の周知徹底、教育及び訓練、並びに従業者による個人データ管理手続の遵守状況の確認、である。
d 金融分野における個人情報取扱事業者は、個人情報の保護に関する法律第21 条(従業者の監督)に従い、個人データの安全管理が図られるよう、適切な内部管理体制を構築し、その従業者に対する必要かつ適切な監督を行わなければならない。当該監督は、個人データが漏えい、滅失又はき損等をした場合に本人が被る権利利益の侵害の大きさを考慮し、事業の性質及び個人データの取扱状況等に起因するリスクに応じたものとする。
① a-正 b-正 c-正 d-正
② a-正 b-誤 c-誤 d-正
③ a-誤 b-正 c-正 d-誤
④ a-誤 b-誤 c-誤 d-誤
【正解】 ②
a(○)(技術的安全管理措置)
① 個人データの利用者の識別及び認証
② 個人データの管理区分の設定およびアクセス制御
③ 個人データへのアクセス権限の管理
④ 個人データの漏えい・毀損等防止策
⑤ 個人データへのアクセスの記録及び分析
⑥ 個人データを取り扱う情報システムの稼働状況の記録及び分析
⑦ 個人データを取り扱う情報システムの監視及び監査
b(×)(人的安全管理措置)
① 従業者との個人データの非開示契約等の締結
② 従業者の役割・責任等の明確化
③ 従業者への安全管理措置の周知徹底・教育及び訓練
④ 従業者による個人データ管理手続きの遵守状況の確認
c(×)(組織的安全管理措置)
① 個人データの管理責任者等の設置
② 就業規則等における安全管理措置の整備
③ 個人データの安全管理に係る取扱規程に従った運用
④ 個人データの取扱状況を確認できる手段の整備
⑤ 個人データの取扱状況の点検及び監査体制の整備と実施
⑥ 漏えい事案等に対応する体制の整備
d(○)(従業者の監督)
金融分野における個人情報取扱事業者は、個人情報の保護に関する法律第21 条(従業者の監督)に従い、個人データの安全管理が図られるよう、適切な内部管理体制を構築し、その従業者に対する必要かつ適切な監督を行わなければならない。当該監督は、個人データが漏えい、滅失又はき損等をした場合に本人が被る権利利益の侵害の大きさを考慮し、事業の性質及び個人データの取扱状況等に起因するリスクに応じたものとする。