【問題 43】
金融分野における個人情報保護に関するガイドラインに規定する個人情報の安全管理対策に関する次の①〜④の記述のうち、その内容が適切なものを1つだけ選び、解答欄にその番号をマークしなさい。
① 金融分野における個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又はき損の防止その他の個人データの安全管理のため、個人データの取得、利用又は保管等の各段階に応じた「組織的安全管理措置」「人的安全管理措置」又は「技術的安全管理措置」のいずれかを講じなければならない。
② 金融分野における個人情報取扱事業者は、「組織的安全管理措置」として、取得・入力、利用・加工、保管・保存、及び消去・廃棄の各段階における個人データの取扱規程を整備しなければならないが、個人データの漏えい事案等に関しては、個々の事案に応じて柔軟な対応が必要であるため、取扱規程を整備することを要しない。
③ 金融分野における個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、個人情報の保護に関する法律(以下、本問において「個人情報保護法」という)第22条(委託先の監督)に従い、委託を受けた者に対する必要かつ適切な監督を行わなければならない。
④ 金融分野における個人情報取扱事業者は、個人情報保護法第21 条(従業者の監督)に従い、個人データの安全管理が図られるよう、当該事業者と雇用関係にない取締役、監査役及び派遣社員等を除き、当該事業者と雇用関係にある正社員、パート社員及びアルバイト社員等の従業者に対する必要かつ適切な監督を行わなければならない。
【正解】 ③
①(×)金融分野における個人情報取扱事業者は、個人データの安全管理に係る実施体制の整備として、「組織的安全管理措置」、「人的安全管理措置」及び「技術的安全管理措置」を講じなければならない。
②(×)漏えい事案等への対応の段階における取扱規程は、組織的安全管理措置として必要な規定である。
③(○)金融分野における個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、法第22 条に従い、委託を受けた者に対する必要かつ適切な監督を行わなければならない。
④(×)金融分野における個人情報取扱事業者は、法第21 条に従い、個人データの安全管理が図られるよう、適切な内部管理体制を構築し、その従業者に対する必要かつ適切な監督を行わなければならない。