第48回試験解説:組織的・人的セキュリティ

第48回個人情報保護士試験の解答と解説です。

問題76 正答:ウ

個人情報保護委員会ガイドラインの組織体制整備に関する問題です。

空欄a、b、cについて。組織体制の整備の手法として例示されているのは、個人データの取扱いに関する「責任者の設置及び責任の明確化」、個人データを取り扱う「従業者及びその役割の明確化」です。また、規律違反を把握した場合の「責任者への報告連絡体制」を整備することもあげられています。

空欄dについて。中小規模事業者における手法の例示としては、「個人データを取り扱う従業者が複数いる場合について、責任ある立場の者とその他の者を区分すること」があげられています。

問題77 正答:ウ

組織内に設置すべき役職に関する問題です。

個人情報保護の推進を組織として継続的に取り組むための意思決定機関はウの「個人情報管理委員会」です。

エの「事務局」は組織内の調整機関、イの「内部監査部門」は名前の通り監査機関です。

問題78 正答:イ

規程文書に関する問題です。

問題文Aについて。個別の規程がわかりやすく、かつ全体として整合性がとられている必要があること、個々のルール策定前に文書体系を整理すべきこと、正しいです。

問題文Bについて。多くのマネジメントシステムが採用しているのは「メッシュ型文書体系」ではなく「ピラミッド型文書体系」です。したがって、問題文Bは誤りです。

問題79 正答:エ

個人情報保護方針に関する問題です。

  • 空欄aについて。個人情報保護方針は個人情報保護法や各種ガイドラインの要求事項を満たしたうえで組織の文化や業務内容に沿った自社独自のものを作成すべきです。
  • 空欄bについて。個人情報保護方針は行動規範として遵守されるべきものです。
  • 空欄cについて。個人情報保護法は個人情報保護方針の公開を義務付けてはいません。

問題80 正答:エ

個人情報管理規程等に関する問題です。

手順書は実務上の手順を定めるものですから、記載が具体的であることが必要ですし、ケース事例の多用も望ましいとされます。エは「具体的な表現を避け、ケース事例などは記載してはならない」としているので誤りです。

問題81 正答:ア

個人情報の棚卸しに関する問題です。

  • 問題文Aについて。個人情報管理台帳は、個人情報管理委員会主導で作成すべきものですから、各部門の情報管理責任者が主導して作成するとしている点が誤りです。
  • 問題文Bについて。個人情報の洗い出しはもれなく全社的に管理する必要があること、各部門の情報管理責任者がリーダーシップを発揮し手順書にしたがって個人情報調査票に記入していくこと、いずれも正しい記述です。
  • 問題文Cについて。個人情報管理台帳は最新状態を維持する必要があること、定期的に棚卸しを実施し、実在する個人情報と管理台帳にずれがあれば管理台帳を修正すべきこと、いずれも正しい記述です。

問題82 正答:ウ

個人情報保護監査に関する問題です。

  • イについて。個人情報保護監査責任者が監査を指揮、監査報告書を作成、報告すべきこと、監査の客観性及び公平性を確保すべきこと、いずれも正しい記述です。
  • エについて。監査人が監査報告書の記載事項に対して責任を負うこと、指摘事項が改善されるようフォローアップすべきこと、いずれも正しい記述です。
  • アについて。「個人情報保護監査責任者に監査の実施及び報告を行う責任及び権限を他の責任にかかわりなく与えなければならない」とありますが、「他の責任にかかわりなく」の意味が不明です。単に独立性担保のことをいっているのであれば誤りではありません。
  • ウについて。監査人が監査対象から独立していることが望ましいことは正しいです。ただ、「なお、監査業務を円滑に行う目的があれば、被監査主体と身分上の兼任があっても認可する」とありますが、それではなれあいを助長し不適切です。

問題83 正答:イ

個人情報保護監査の実施に関する問題です。

  • 空欄aについて。監査人が従うべきは「監査手続書」です。
  • 空欄bについて。費用対効果を考えて通常適用されるのは「試査」です。
  • 空欄cについて。監査報告書は「監査意見をまとめた」ものです。被監査主体の要望は含めません。

問題84 正答:エ

非開示契約に関する問題です。

雇用契約終了も個人情報開示があってはなりません。したがって、非開示契約は雇用契約終了後も有効であるようにすべきです。よって、「雇用契約終了時まで有効」とするエは不適切です。

問題85 正答:エ

従業者への教育に関する問題です。

  • 問題文Aについて。負担軽減に配慮すべきこと、現場の理解と協力が必要であること、個人情報保護教育を受けることを昇進等の条件とする必要があること、いずれも正しい記述です。
  • 問題文Bについて。教育実施後の理解度確認が必要であること、理解度が不十分である従業者に再教育をしたり担当替えを検討すべきこと、理解したルール遵守の誓約書を提出させることが有効であること、いずれも正しい記述です。
  • 問題文Cについて。教育実施状況の記録が監査証跡にもなること、実施した教育が個人情報安全管理に寄与しているか定期的に評価し問題があれば改善する必要があること、いずれも正しい記述です。

問題86 正答:ウ

従業者管理の具体策に関する問題です。

  • 空欄aについて。規程・手順に従って取り扱っているかどうかを監視するためにおこなうのは「モニタリング」です。
  • 空欄bについて。モニタリングにはルール違反を発見するだけではなく「違反を予防する」目的もあります。
  • 空欄cについて。モニタリングの記録は個人情報を含む場合があるため、取扱いに注意が必要です。

問題87 正答:ウ

派遣社員の受入れに関する問題です。

  • アについて。派遣社員は、派遣先企業ではなく派遣元企業と雇用関係があります。したがって、「派遣先企業と事実上の雇用関係にある」との記述は誤りです。
  • イについて。派遣社員も個人情報にアクセスできるようにしている以上は監視の対象に含めるべきです。したがって、雇用形態が異なるから監視の対象に含めるべきではないとする記述は誤りです。
  • ウについて。派遣社員の連絡先は労働者派遣法が規定する「派遣元が派遣先に通知すべき事項」の範囲を逸脱しているため、契約書等への記入を義務付けるべきではないこと、その通りです。
  • エについて。派遣社員を直接指揮命令するのは派遣先企業です。したがって、「直接指揮命令する関係にはない」とする点が誤りです。

問題88 正答:ア

委託先の管理に関する問題です。

  • 問題文Aについて。委託先の個人情報保護の水準が委託元のそれと同等以上であることを要求すべきとの要請はありません。また、個人に委託する場合は委託先選定基準による選定が不要とする点も不合理です。したがって問題文Aは不適切です。
  • 問題文Bについて。委託先との契約に契約内容が遵守されていることを確認できる事項を規定し、個人情報保護水準を担保すべきこと、その通りです。
  • 問題文Cについて。委託契約に、委託元・委託先双方が同意した内容を盛り込むべきこと、優越的地位にある者が不当な負荷を課すことや権利を不当に制限することがあってはならないこと、その通りです。

問題89 正答:エ

苦情対応プロセスに関する問題です。

苦情を受け付けた場合、まずは苦情相談窓口(ア)が対応し、解決しない場合は個人情報取扱い部門(イ)、事務局(エ)が順次対応するとするのが一般的です。

したがって、三次対応にあたるべきは事務局となりますのでエが正答となります。

問題90 正答:イ

本人からの開示請求に関する問題です。

問題文Aについて。手続きが、事業の性質、保有個人データの取扱い状況等に応じて適切なものになるよう配慮すべきこと、本人に過重な負担を課すことのないよう配慮すべきこと、いずれも正しい記述です。

問題文Bについて。対応手順書や個人情報開示請求書を用意して開示請求に備えるべきこと、問い合わせ方法を案内しておくべきこと、いずれも正しい記述です。ただ、本人確認方法として「マイナンバーカードの裏面の提示」とありますが、これは「表面」の誤りです。裏面にはマイナンバーが記載されていますので本人確認方法として使うことは許されていません。


コメントを残す

メールアドレスが公開されることはありません。