【問題 43】
個人データの安全管理措置に関する次の①〜④の記述のうち、金融分野における個人情報保護に関するガイドラインによれば、その内容が適切なものを1つだけ選び、解答欄にその番号をマークしなさい。
① 金融分野における個人情報取扱事業者(以下、本問において「個人情報取扱事業者」という。)が、不特定多数者が書店で随時に購入可能な名簿で個人情報取扱事業者において全く加工をしていないものを処分するために文書細断機等による処理を行わずに廃棄し、又は廃品回収に出した場合には、個人情報取扱事業者の安全管理措置の義務違反となる。
② 個人情報取扱事業者が、個人データの安全管理に係る実施体制の整備として講ずべき組織的安全管理措置には、従業者による個人データ管理手続きの遵守状況の確認がある。
③ 個人情報取扱事業者が、個人データの安全管理に係る実施体制の整備として講ずべき技術的安全管理措置には、個人データを取り扱う情報システムの稼働状況の記録及び分析がある。
④ 個人情報取扱事業者が、個人データの安全管理に係る実施体制の整備として講ずべき人的安全管理措置には、個人データの取扱状況を確認できる手段の整備がある。
【正解】 3
①(×)不特定多数者が書店で随時に購入可能な名簿で、事業者において全く加工をしていないものについては、個人の権利利益を侵害する恐れは低いと考えられることから、それを処分するために文書裁断機等による処理を行わずに廃棄し、又は廃品回収に出したとしても、事業者の安全管理措置の義務違反にはならない(ガイドライン10条1項)。
②(×)「従業者による個人データ管理手続きの遵守状況の確認」は、人的安全管理措置である。
③(○)技術的安全管理措置として挙げられているのは下記の通り。
1)個人データの利用者の識別及ぼ認証
2)個人データの管理区分の設定およびアクセス制御
3)個人データへのアクセス権限の管理
4)個人データの漏えい・毀損等防止策
5)個人データへのアクセスの記録及び分析
6)個人データを取り扱う情報システムの稼働状況の記録及び分析
7)個人データを取り扱う情報システムの監視及び監査
④(×)「個人データの取扱状況を確認できる手段の整備」は、組織的安全管理措置である。