【問題 46】
個人情報の保護に関する法律についてのガイドライン(通則編)に関する次の①~④の記述のうち、その内容が適切でないものを 1 つだけ選び、解答欄にその番号をマークしなさい。
① 個人情報取扱事業者は、物理的安全管理措置として、個人データを取り扱う機器、電子媒体及び書類等の盗難又は紛失等を防止するために、適切な管理を行わなければならない。
② 個人情報取扱事業者は、人的安全管理措置として、従業者に、個人データの適切な取扱いを周知徹底するとともに適切な教育を行わなければならない。
③ 個人情報取扱事業者は、組織的安全管理措置として、個人データの取扱いに係る規律に従った運用、担当者及び取り扱う個人情報データベース等の範囲を限定するための適切なアクセス制御を行わなければならない。
④ 個人情報取扱事業者は、情報システム(パソコン等の機器を含む。)を使用して個人データを取り扱う場合(インターネット等を通じて外部と送受信等する場合を含む。)、技術的安全管理措置として、個人データを取り扱う情報システムを使用する従業者が正当なアクセス権を有する者であることを、識別した結果に基づき認証しなければならない。
【正解】 ③
①(〇)個人情報取扱事業者は、物理的安全管理措置として、次に掲げる措置を講じなければならない。
(1)個人データを取り扱う区域の管理
個人情報データベース等を取り扱うサーバやメインコンピュータ等の重要な情報システムを管理する区域(以下「管理区域」という。)及びその他の個人データを取り扱う事務を実施する区域(以下「取扱区域」という。)について、それぞれ適切な管理を行わなければならない。
(2)機器及び電子媒体等の盗難等の防止
個人データを取り扱う機器、電子媒体及び書類等の盗難又は紛失等を防止するために、適切な管理を行わなければならない。
(3)電子媒体等を持ち運ぶ場合の漏えい等の防止
個人データが記録された電子媒体又は書類等を持ち運ぶ場合、容易に個人データが判明しないよう、安全な方策を講じなければならない。なお、「持ち運ぶ」とは、個人データを管理区域又は取扱区域から外へ移動させること又は当該区域の外から当該区域へ移動させることをいい、事業所内の移動等であっても、個人データの紛失・盗難等に留意する必要がある。
(4)個人データの削除及び機器、電子媒体等の廃棄
個人データを削除し又は個人データが記録された機器、電子媒体等を廃棄する場合は、復元不可能な手段で行わなければならない。また、個人データを削除した場合、又は、個人データが記録された機器、電子媒体等を廃棄した場合には、削除又は廃棄した記録を保存することや、それらの作業を委託する場合には、委託先が確実に削除又は廃棄したことについて証明書等により確認することも重要である。
②(〇)個人情報取扱事業者は、人的安全管理措置として、次に掲げる措置を講じなければならない。また、個人情報取扱事業者は、従業者に個人データを取り扱わせるに当たっては、法第 21 条に基づき従業者に対する監督をしなければならない。
○従業者の教育
従業者に、個人データの適正な取扱いを周知徹底するとともに適切な教育を行わなければならない。
③(×)アクセス制御は「技術的安全管理措置」の記述である。
④(〇)個人情報取扱事業者は、情報システム(パソコン等の機器を含む。)を使用して個人データを取り扱う場合(インターネット等を通じて外部と送受信等する場合を含む。)、技術的安全管理措置として、次に掲げる措置を講じなければならない。
(1)アクセス制御
担当者及び取り扱う個人情報データベース等の範囲を限定するために、適切なアクセス制御を行わなければならない。
(2)アクセス者の識別と認証
個人データを取り扱う情報システムを使用する従業者が正当なアクセス権を有する者であることを、識別した結果に基づき認証しなければならない。
(3)外部からの不正アクセス等の防止
個人データを取り扱う情報システムを外部からの不正アクセス又は不正ソフトウェアから保護する仕組みを導入し、適切に運用しなければならない。
(4)情報システムの使用に伴う漏えい等の防止
情報システムの使用に伴う個人データの漏えい等を防止するための措置を講じ、適切に運用しなければならない。