【問題】
01. 事業者は、個人データの漏洩や滅失、毀損の防止等の安全管理に必要・適切な措置を講じなければならない。
02. 個人情報の利用目的を特定して本人に通知している場合、事業者は安全管理措置を講じなくともよい。
03. 事業者は、個人データが漏洩等した場合に本人が被る権利や利益の侵害の大きさを考慮し、事業の性質等に起因するリスクに応じて、必要・適切な措置を講じなければならない。
04. 事業者は、個人データが漏洩等した場合に本人が被る権利や利益の侵害の大きさを考慮し、個人データの取り扱い状況等に起因するリスクに応じて、必要・適切な措置を講じなければならない。
05. 事業者は、個人データが漏洩等した場合に本人が被る権利や利益の侵害の大きさを考慮し、個人データを記録した媒体の性質等に起因するリスクに応じて、必要・適切な内容としなければならない。
06. 公開を前提としていない個人データが事業者のWeb画面上で不特定多数に公開されている状態を放置している場合、事業者は必要・適切な安全管理措置を講じているとはいえない。
07. 組織変更によって個人データへのアクセスが不要になった従業者が個人データにアクセス可能な状態を放置していて、従業者が個人データを漏洩した場合、事業者は必要・適切な安全管理措置を講じているとはいえない。
08. 本人がサービスを継続的に受けるため登録していた個人データがシステム障害で破損したが、採取したつもりのバックアップも破損していて、個人データを復旧できずに滅失・毀損し、本人がサービスの提供を受けられなくなった場合、事業者は必要・適切な安全管理措置を講じているとはいえない。
09. 個人データをバックアップした媒体が持ち出しを許可されていない者によって持ち出し可能な状態になっていて、その媒体が持ち出されてしまった場合、事業者は必要・適切な安全管理措置を講じているとはいえない。
10. 個人情報が内容物に含まれない荷物等の宅配や郵送を委託したところ、誤配によって宛て名に記載された個人データが第三者に開示された場合、事業者は必要・適切な安全管理措置を講じているとはいえない。
11. 誰もが書店で容易に入手可能な市販名簿を処分するため、シュレッダ等で処理せずに廃棄、または廃品回収に出した場合、事業者は必要・適切な安全管理措置を講じているとはいえない。
12. 事業者が講ずべき安全管理措置の1つは、公的安全管理措置である。
13. 事業者が講ずべき安全管理措置の1つは、人的安全管理措置である。
14. 事業者が講ずべき安全管理措置の1つは、技術的安全管理措置である。
15. 事業者が講ずべき安全管理措置の1つは、組織的安全管理措置である。
16. 事業者が講ずべき安全管理措置の1つは、物理的安全管理措置である。
【解答】
01. ○: 個情法23条(安全管理措置)
02. ×
03. ○: ガイドライン(通則編)10「講ずべき安全管理措置の内容」
04. ○: ガイドライン(通則編)10「講ずべき安全管理措置の内容」
05. ○: ガイドライン(通則編)10「講ずべき安全管理措置の内容」
06. ○: 旧経産分野ガイドライン 2-2-3-2.「安全管理措置」【必要かつ適切な安全管理措置を講じているとはいえない場合】 事例1)
07. ○: 旧経産分野ガイドライン 2-2-3-2.「安全管理措置」【必要かつ適切な安全管理措置を講じているとはいえない場合】 事例2)
08. ○: 旧経産分野ガイドライン 2-2-3-2.「安全管理措置」【必要かつ適切な安全管理措置を講じているとはいえない場合】 事例3)
09. ○: 旧経産分野ガイドライン 2-2-3-2.「安全管理措置」【必要かつ適切な安全管理措置を講じているとはいえない場合】 事例5)
10. ×: 旧経産分野ガイドライン 2-2-3-2.「安全管理措置」【安全管理措置の義務違反とはならない場合】事例1)
11. ×: 旧経産分野ガイドライン 2-2-3-2.「安全管理措置」【安全管理措置の義務違反とはならない場合】事例2)
12. ×
13. ○: ガイドライン(通則編)10-4「人的安全管理措置」
14. ○: ガイドライン(通則編)10-6「技術的安全管理措置」
15. ○: ガイドライン(通則編)10-3「組織的安全管理措置」
16. ○: ガイドライン(通則編)10-5「物理的安全管理措置」
【参考】
個人情報の保護に関する法律 - Wikipedia
01. 事業者は、個人データの漏洩や滅失、毀損の防止等の安全管理に必要・適切な措置を講じなければならない。
02. 個人情報の利用目的を特定して本人に通知している場合、事業者は安全管理措置を講じなくともよい。
03. 事業者は、個人データが漏洩等した場合に本人が被る権利や利益の侵害の大きさを考慮し、事業の性質等に起因するリスクに応じて、必要・適切な措置を講じなければならない。
04. 事業者は、個人データが漏洩等した場合に本人が被る権利や利益の侵害の大きさを考慮し、個人データの取り扱い状況等に起因するリスクに応じて、必要・適切な措置を講じなければならない。
05. 事業者は、個人データが漏洩等した場合に本人が被る権利や利益の侵害の大きさを考慮し、個人データを記録した媒体の性質等に起因するリスクに応じて、必要・適切な内容としなければならない。
06. 公開を前提としていない個人データが事業者のWeb画面上で不特定多数に公開されている状態を放置している場合、事業者は必要・適切な安全管理措置を講じているとはいえない。
07. 組織変更によって個人データへのアクセスが不要になった従業者が個人データにアクセス可能な状態を放置していて、従業者が個人データを漏洩した場合、事業者は必要・適切な安全管理措置を講じているとはいえない。
08. 本人がサービスを継続的に受けるため登録していた個人データがシステム障害で破損したが、採取したつもりのバックアップも破損していて、個人データを復旧できずに滅失・毀損し、本人がサービスの提供を受けられなくなった場合、事業者は必要・適切な安全管理措置を講じているとはいえない。
09. 個人データをバックアップした媒体が持ち出しを許可されていない者によって持ち出し可能な状態になっていて、その媒体が持ち出されてしまった場合、事業者は必要・適切な安全管理措置を講じているとはいえない。
10. 個人情報が内容物に含まれない荷物等の宅配や郵送を委託したところ、誤配によって宛て名に記載された個人データが第三者に開示された場合、事業者は必要・適切な安全管理措置を講じているとはいえない。
11. 誰もが書店で容易に入手可能な市販名簿を処分するため、シュレッダ等で処理せずに廃棄、または廃品回収に出した場合、事業者は必要・適切な安全管理措置を講じているとはいえない。
12. 事業者が講ずべき安全管理措置の1つは、公的安全管理措置である。
13. 事業者が講ずべき安全管理措置の1つは、人的安全管理措置である。
14. 事業者が講ずべき安全管理措置の1つは、技術的安全管理措置である。
15. 事業者が講ずべき安全管理措置の1つは、組織的安全管理措置である。
16. 事業者が講ずべき安全管理措置の1つは、物理的安全管理措置である。
【解答】
01. ○: 個情法23条(安全管理措置)
02. ×
03. ○: ガイドライン(通則編)10「講ずべき安全管理措置の内容」
04. ○: ガイドライン(通則編)10「講ずべき安全管理措置の内容」
05. ○: ガイドライン(通則編)10「講ずべき安全管理措置の内容」
06. ○: 旧経産分野ガイドライン 2-2-3-2.「安全管理措置」【必要かつ適切な安全管理措置を講じているとはいえない場合】 事例1)
07. ○: 旧経産分野ガイドライン 2-2-3-2.「安全管理措置」【必要かつ適切な安全管理措置を講じているとはいえない場合】 事例2)
08. ○: 旧経産分野ガイドライン 2-2-3-2.「安全管理措置」【必要かつ適切な安全管理措置を講じているとはいえない場合】 事例3)
09. ○: 旧経産分野ガイドライン 2-2-3-2.「安全管理措置」【必要かつ適切な安全管理措置を講じているとはいえない場合】 事例5)
10. ×: 旧経産分野ガイドライン 2-2-3-2.「安全管理措置」【安全管理措置の義務違反とはならない場合】事例1)
内容物に個人情報が含まれない荷物等の宅配又は郵送を委託したところ、誤配によって宛名に記載された個人データが第三者に開示された場合
11. ×: 旧経産分野ガイドライン 2-2-3-2.「安全管理措置」【安全管理措置の義務違反とはならない場合】事例2)
書店で誰もが容易に入手できる市販名簿を処分するため、シュレッダー等による処理を行わずに廃棄し、又は、廃品回収に出した場合
12. ×
13. ○: ガイドライン(通則編)10-4「人的安全管理措置」
14. ○: ガイドライン(通則編)10-6「技術的安全管理措置」
15. ○: ガイドライン(通則編)10-3「組織的安全管理措置」
16. ○: ガイドライン(通則編)10-5「物理的安全管理措置」
【参考】
個人情報の保護に関する法律 - Wikipedia