コンテンツへスキップ
第48回試験解説

第48回試験解説:個人情報保護法の理解(前半)

第48回個人情報保護士試験の解答と解説です。

問題1 正答:エ

平成27年改正の背景に関する問題です。

パーソナルデータの慎重な取り扱いと利活用のルール作りの要請の高まり(問題文A)、縦割り行政の弊害が顕在化してきたこと(問題文B)、国境を越えたデータの流通に対応する必要が生じてきたこと(問題文C)、いずれも正しいです。

問題2 正答:ア

OECD8原則に関する問題です。

「収集制限の原則」は個人情報保護法上の「利用目的の制限」ではなく、適正な取得(第17条)に反映されています。

問題3 正答:エ

JIS Q 15001に関する問題です。

JIS Q 15001は個人情報保護法より早く策定されており、用語の点でも若干の違いがあります。ただ違いといってもあまり大きなものではなく、死者の情報を個人情報として扱うかどうかくらいかと思います。

問題4 正答:イ

プライバシーマークに関する問題です。

プライバシーマークの有効期間は3年ではなく2年です。

問題5 正答:ウ

ISMS適合性評価制度に関する問題です。

業種や組織の規模による制限が設けられているとする問題文Cが誤りです。

問題6 正答:エ

個人情報の定義の問題です。

音声録音情報も特定の個人を識別できるものであれば個人情報に該当します。

問題7 正答:ウ

個人識別符号に関する問題です。

歩行の際の姿勢及び両腕の動作、歩幅その他の歩行の態様から抽出した特徴情報も本人を認証することができるのであれば個人識別符号に該当します。したがって、問題文Cは誤りです。

個人識別符号については講義007でとりあげていますが、動作の特徴情報は例示から割愛してしまいました。政令にあげられているものはすべて出題可能性があるということがわかりましたので引用するよう改めたいと思います。

問題8 正答:イ

要配慮個人情報に関する問題です。

社会的身分とは本人の努力では容易に脱しえないような地位のことをいい、単なる職業的地位は要配慮個人情報にいう「社会的身分」に該当しません。

問題9 正答:エ

個人情報データベースに関する問題です。

分類整理される前の段階にあるアンケートの戻りはがきは個人情報データベースに該当しません。

個人情報データベースについて他より厳しい規制を設けているのは、容易に検索ができるよう体系化されることにより不正利用の際の権利利益におよぼす影響が大きくなるからだ、というリクツを頭に入れておきましょう。

問題10 正答:ア

個人情報取扱事業者に関する問題です。

法人格のない社団も個人情報取扱事業者に該当します。

地方公共団体、独立行政法人についてはそれぞれ行政機関個人情報保護法、独立行政法人等個人情報保護法の適用があるため、個人情報保護法の個人情報取扱事業者には該当しません(イ、エは正しい)。

また、いわゆる5000件要件は平成27年改正で廃止されましたのでウも正しいです。

問題11 正答:ウ

個人データ、保有個人データに関する問題です。

存否が明らかになることにより公益その他の利益が害されるものとして政令で定めるものは保有個人データから除外されています。

そして、家庭内暴力等の被害者を支援する団体が保有している、加害者及び被害者を本人とする個人データの存否が加害者に明らかになると暴力がエスカレートするなどして被害者の利益が害されることが予想されますので、そのような個人データは保有個人データない該当しません。

問題12 正答:ウ

匿名加工情報に関する問題です。

「当該個人情報を復元することができないようにしたもの」とは、あらゆる手法によって復元することができないよう技術的側面からすべての可能性を排除することまでを求めるものではありません。

「一般人及び一般的な事業者の能力、手法等を基準として当該情報を個人情報取扱事業者又は匿名加工情報取扱事業者が通常の方法により特定できないような状態にすることを求めるものである。」との記述がガイドラインにあります。

問題13 正答:イ

個人情報の利用目的による制限に関する問題です。

個人情報取扱事業者は、本人の同意なく利用目的の達成に必要な範囲を超えて個人情報を取り扱うことはできませんが、当該同意を得るために個人情報を利用することは、当初特定した利用目的として記載されていなくても目的外利用には該当しません。

問題14 正答:イ

要配慮個人情報の取得に関する問題です。

要配慮個人情報は一定の除外事由に該当しない限り、あらかじめ本人の同意を得ないで取得することができません。

「本人を目視し、または撮影することにより、その外形上明らかな要配慮個人情報を取得する場合」は施行令7条に適用除外事由として挙げられています。

したがって、防犯カメラに身体の不自由な方が映りこんだとしても、要配慮個人情報取得のために本人の同意を得る必要はありません。

問題15 正答:ア

個人情報の利用目的の通知・公表に関する問題です。

個人情報を直接取得する場合は利用目的を「あらかじめ明示」(第18条第2項)、その他の態様で取得する場合は利用目的を「速やかに、本人に通知し、又は公表」しなければなりません(第18条第1項)。

インターネット上で本人が自発的に公にしている個人情報を取得するケースは上述のその他の態様による取得に該当しますので、利用目的の通知または公表が必要となります。

本人が自発的に公にしていることを理由に利用目的の通知・公表が不要となるとする規定はありません。

問題16 正答:エ

個人データ内容の正確性の確保に関する問題です。

個人情報取扱事業者は、利用目的の達成に必要な範囲において、個人データを正確かつ最新の内容に保つとともに、利用する必要がなくなったときは、当該個人データを遅滞なく消去するよう努めなければなりません(第19条)。したがってアは正しいです。

もっとも、ガイドラインは「保有する個人データを一律に又は常に最新化する必要はなく、それぞれの利用目的に応じて、その必要な範囲内で正確性・最新性を確保すれば足りる。」としていますので、一律に又は常に最新化する必要があるとするエは誤りです。

問題17 正答:ウ

機器および電子媒体等の盗難等の防止は物理的安全管理措置として講じなければならない事項の一例です。

したがって、これを技術的安全管理措置とする問題文Cは誤りとなります。

問題18 正答:ウ

従業者の監督に関する問題です。

従業者とは、個人情報取扱事業者の組織内にあって直接間接に事業者の指揮監督を受けて事業者の業務に従事している者をいい、雇用関係があるものに限られません。

株式会社の取締役は株式会社に雇用されているとは限りませんが、組織内にあって事業者の業務に従事している者には該当しますので、個人情報保護法にいう「従業者」です。

問題19 正答:エ

委託先の監督に関する問題です。

個人情報取扱事業者は、個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行う義務を負います(第22条)。

ここにいう「必要かつ適切な監督」には、委託先が再委託先の適切な監督をするよう監督することが含まれていると解されますので、委託先について必要かつ適切な監督が行われていない場合、再委託先が個人データを不適切に取り扱ったときは元の委託元である個人情報取扱事業者による法違反と判断されえます。

問題20 正答:ア

オプトアウトによる第三者提供に関する問題です。

要配慮個人情報については、オプトアウトによる第三者提供を行うことはできません(第23条第2項のカッコ書き)。

したがって、これをできるとする問題文Aは誤りです。


コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です