平成30年度 春期 ITパスポート試験 公開問題 問14 解説 個人情報の管理

個人情報保護法における適切な管理のポイントは、安全管理措置が講じられているか、そして業務上の必要最小限の範囲で取り扱われているかの2点です。

aは、物理的な施錠管理を行っており適切です。 bは、管理規程を定めずに個人情報を配布している点が不適切です。組織的な安全管理措置として、ルールの策定と周知が必須です。 cは、市販の名簿であっても個人情報には変わりありませんが、不要になった際の廃棄方法として溶解処理を採用しており、情報の復元が不可能な状態で処分しているため適切です。 dは、配送業務に関係のない顧客の個人情報まで委託先に渡しています。個人情報の提供は、利用目的の達成に必要な範囲内に限定しなければならないため不適切です。

個人情報保護法では、事業者は組織的、人的、物理的、技術的な安全管理措置を講じることが義務付けられています。

組織的な安全管理措置とは、個人情報を取り扱うルール（規程）を整備し、それに従って取り扱う体制を構築することを指します。bのように規程を定めないことは、情報漏洩が発生した際の責任の所在も不明確になり、組織としての管理体制が欠如しているとみなされます。

また、利用目的の制限と必要最小限の提供も重要な原則です。dのように委託先の業務に直接関係のない顧客データまで渡すことは、万が一の漏洩リスクを不当に高める行為であり、法令上の「利用目的による制限」に抵触します。

この類の問題は、ITパスポート試験において「安全管理措置」と「個人情報の取扱いルール」という文脈で頻出します。以下の判断基準を持つと解きやすくなります。

・物理的な管理：施錠、入退室制限、機密書類のシュレッダーや溶解処理は適切。 ・組織的な管理：規程の策定、教育の実施、監査の実施は適切。規程がない、教育していない、目的外利用は不適切。 ・委託先の管理：委託先に対する監督義務がある。必要以上の情報を渡すことは不適切。

実際のビジネス現場でも、名簿の購入やデータの外部委託は日常的に行われます。その際、「誰が」「何のために」「どの範囲で」利用するのかを常に意識し、必要最小限の範囲に絞り込むことが、法的なリスクヘッジと信頼維持に直結します。

個人情報の保護に関する法律（個人情報保護委員会） 個人情報保護法について（政府広報オンライン） ITパスポート試験ドットコム（過去問解説）