プライバシーマーク|情報処理安全確保支援士試験 令和2年 秋期午前Ⅱ試験 問25
出典:令和2年秋期 午前Ⅱ 問25
分野:システム監査(中分類) / システム監査(小分類)
プライバシーマークを取得しているA社は,個人情報管理台帳の取扱いについて内部監査を行った。判明した状況のうち,監査人が指摘事項として監査報告書に記載すべきものはどれか。
- ア:個人情報管理台帳に,概数でしかつかめない個人情報の保有件数は概数だけで記載している。
- イ:個人情報管理台帳に,ほかの項目に加えて,個人情報の保管場所,保管方法,保管期限を記載している。
- ウ:個人情報管理台帳の機密性を守るための保護措置を講じている。
- エ:個人情報管理台帳の見直しは,新たな個人情報の取得があった場合にだけ行っている。
TSUNAGARU-ADVICE
まず押さえたいこと
個人情報管理台帳は、保有する個人情報の内容や管理状況を把握し、適切に見直すためのものです。新たな個人情報を取得した場合だけでなく、利用目的・保管場所・取扱方法・委託状況などに変更があれば見直す必要があるため、見直しの機会を限定しすぎている運用は指摘事項になります。
迷ったときの判断軸
保有件数が概数でしか把握できない場合に概数で記載することや、保管場所・保管方法・保管期限を記載すること、台帳自体に保護措置を講じることは、管理上望ましい対応です。一方で、個人情報管理台帳は継続的に実態と一致させる必要があるため、新規取得時だけ見直すという運用は不十分と判断できます。
科目Bにつなげるために
科目Bでは、個人情報の管理台帳・利用目的・保管期限・委託先・アクセス権限などが実態に合っているかを問われることがあります。台帳は作って終わりではなく、取扱いの変更や定期的な確認によって更新する管理資料として整理しておきましょう。
個人情報管理台帳は、保有している個人情報の内容や取扱い状況を把握し、適切に管理するための台帳です。
個人情報の取得・利用・保管・廃棄などの状況は変化するため、台帳は必要に応じて見直すだけでなく、定期的にも確認することが重要です。新たな個人情報の取得があった場合にだけ見直していると、利用目的の変更・保管期限の経過・委託先の変更などを反映できないおそれがあります。
したがって、エが適切です。
❌他選択肢が誤りの理由ア:個人情報管理台帳に,概数でしかつかめない個人情報の保有件数は概数だけで記載している。
⇒保有件数を正確に把握できない場合に、概数で管理すること自体は直ちに不適切とはいえません。個人情報の取扱状況を把握し、管理に必要な情報として台帳に記載しているため、指摘事項としてはエの方が適切です。
イ:個人情報管理台帳に,ほかの項目に加えて,個人情報の保管場所,保管方法,保管期限を記載している。
⇒個人情報の保管場所、保管方法、保管期限を台帳に記載することは、個人情報の適切な管理に役立つ取組みです。管理すべき情報を具体的に把握できるため、指摘事項には該当しません。
ウ:個人情報管理台帳の機密性を守るための保護措置を講じている。
⇒個人情報管理台帳には、個人情報の種類や保管場所など重要な管理情報が含まれます。そのため、台帳自体の機密性を守る保護措置を講じることは適切であり、監査報告書に指摘事項として記載すべき状況ではありません。