問題
A社は保有する顧客の個人データを漏えいする事故を起こした。個人データの漏えい等への対応に関する次の記述のうち、最も適切なものはどれか。
選択肢
- 1要配慮個人情報(人種・信条・病歴等)であっても、通常の個人情報と全く同様に、本人の同意なく自由に取得することができる。
- 2一定の類型の個人データの漏えい等が生じた場合、個人情報取扱事業者は原則として個人情報保護委員会への報告および本人への通知を行わなければならない。
- 3個人データの漏えいが生じても、個人情報保護委員会への報告や本人への通知は法律上一切義務付けられていない。
- 4個人データを第三者に提供する場合、提供者・受領者ともに記録を作成・保存する義務はなく、口頭の合意のみで足りる。
正解
2. 一定の類型の個人データの漏えい等が生じた場合、個人情報取扱事業者は原則として個人情報保護委員会への報告および本人への通知を行わなければならない。
詳しい解説を見る解説を閉じる
解説
令和2年改正により、要配慮個人情報の漏えいや不正アクセスによる漏えい、1,000人を超える漏えい等、一定の類型の漏えい等が生じた場合には、個人情報取扱事業者は原則として個人情報保護委員会への報告および本人への通知を行うことが義務付けられた(個人情報保護法26条)。よって、一定の類型の漏えい等が生じた場合に原則として委員会への報告および本人への通知を行わなければならないとする記述が正解で、報告・通知が一切義務付けられていないとする記述は誤り。個人データの第三者提供では、提供者・受領者の双方に確認・記録の作成保存義務がある(29条・30条)から、記録の作成保存義務はなく口頭の合意のみで足りるとする記述は誤り。要配慮個人情報は機微性が高く、取得には原則としてあらかじめ本人の同意が必要である(20条2項)ため、要配慮個人情報も通常の個人情報と同様に本人の同意なく自由に取得できるとする記述も誤り。漏えい時対応と要配慮個人情報の特則は近年の頻出論点である。
一問一答
全400問を繰り返し学習