問題
個人情報取扱事業者の義務に関する次の記述のうち、最も適切でないものはどれか。
選択肢
- 1個人情報を取り扱うに当たっては、その利用目的をできる限り特定しなければならず、原則としてあらかじめ本人の同意を得ないで利用目的の達成に必要な範囲を超えて取り扱ってはならない。
- 2個人情報を取得した場合は、原則としてあらかじめその利用目的を公表しているときを除き、速やかに本人にその利用目的を通知し、又は公表しなければならない。
- 3個人データを第三者に提供する場合は、原則としてあらかじめ本人の同意を得なければならない。
- 4個人情報取扱事業者は、保有する個人データについて、漏えい等を防止するための安全管理措置を講じる必要はなく、漏えいが生じてから事後的に対応すれば足りる。
正解
4. 個人情報取扱事業者は、保有する個人データについて、漏えい等を防止するための安全管理措置を講じる必要はなく、漏えいが生じてから事後的に対応すれば足りる。
詳しい解説を見る解説を閉じる
解説
個人情報取扱事業者は、取り扱う個人データの漏えい・滅失・毀損の防止その他の安全管理のために必要かつ適切な措置(安全管理措置)を講じなければならず(個人情報保護法23条)、これは事前の体制整備を含む継続的義務である。したがって、安全管理措置を講じる必要はなく漏えいが生じてから事後的に対応すれば足りるとする記述が誤り。事業者は利用目的をできる限り特定し(17条)、本人同意なく目的の達成に必要な範囲を超えて取り扱ってはならず(18条、利用目的をできる限り特定し本人同意なく必要な範囲を超えて取り扱ってはならないとする記述は適切)、取得時には利用目的を通知・公表しなければならない(21条、取得時に利用目的を通知・公表しなければならないとする記述は適切)。個人データの第三者提供には原則として本人の同意が必要である(27条、第三者提供には原則あらかじめ本人の同意を得なければならないとする記述は適切。オプトアウトや委託等の例外あり)。安全管理措置義務違反は委員会の指導・命令の対象ともなり、企業の情報管理体制構築の根幹となる。
一問一答
全400問を繰り返し学習