問題
個人情報の取扱いの委託および第三者提供に関する次の記述のうち、最も適切でないものはどれか。
選択肢
- 1個人データを外国にある第三者に提供する場合には、原則として本人の同意を得るなど、国内の第三者提供とは異なる追加的な対応が必要となる。
- 2一定の事項をあらかじめ本人に通知等した上で本人の求めに応じて提供を停止する仕組み(オプトアウト)により、本人の個別の同意なく第三者へ提供できる場合がある。
- 3個人データの取扱いを外部に委託した場合、委託先で生じた漏えい等について委託元は一切責任を負わず、すべて委託先の責任となる。
- 4利用目的の達成に必要な範囲内で個人データの取扱いを委託する場合、委託に伴う提供は第三者提供に該当せず本人の同意は不要であるが、委託元は委託先に対する必要かつ適切な監督義務を負う。
正解
3. 個人データの取扱いを外部に委託した場合、委託先で生じた漏えい等について委託元は一切責任を負わず、すべて委託先の責任となる。
詳しい解説を見る解説を閉じる
解説
個人データの取扱いを委託する場合、委託元は委託先に対し、取り扱う個人データの安全管理が図られるよう必要かつ適切な監督を行う義務を負う(個人情報保護法25条)。委託先の選定や契約による管理を怠り委託先で漏えいが生じれば委託元も監督義務違反等の責任を問われ得るから、委託先で生じた漏えい等について委託元は一切責任を負わずすべて委託先の責任となるとする記述が誤り。委託に伴う提供は第三者提供に当たらず本人同意は不要だが監督義務を負う(委託に伴う提供は第三者提供に該当せず本人の同意は不要だが委託元は監督義務を負うとする記述は適切)。外国にある第三者への提供は原則として本人の同意取得等の追加対応が必要である(28条、外国にある第三者への提供には国内とは異なる追加的な対応が必要とする記述は適切)。一定の要件下でオプトアウトによる第三者提供も認められる(27条2項、オプトアウトにより本人の個別の同意なく第三者へ提供できる場合があるとする記述は適切。ただし要配慮個人情報等は対象外)。委託監督責任は実務上重要である。
一問一答
全400問を繰り返し学習