令和2年秋期試験午前問題 午前Ⅱ 問25

午前Ⅱ 問25解説へ
プライバシーマークを取得しているA社は,個人情報管理台帳の取扱いについて内部監査を行った。判明した状況のうち,監査人が指摘事項として監査報告書に記載すべきものはどれか。

  • 個人情報管理台帳に,概数でしかつかめない個人情報の保有件数は概数だけで記載している。
  • 個人情報管理台帳に,ほかの項目に加えて,個人情報の保管場所,保管方法,保管期限を記載している。
  • 個人情報管理台帳の機密性を守るための保護措置を講じている。
  • 個人情報管理台帳の見直しは,新たな個人情報の取得があった場合にだけ行っている。
正解 問題へ
分野:マネジメント系
中分類:システム監査
小分類:システム監査
A社はプライバシーマークを取得しているので、プライバシーマーク制度への適合性を確認するため、JIS Q 15001:2017および一般財団法人日本情報経済社会推進協会(JIPDEC)のプライバシーマーク付与適格性審査基準に基づいて、適正な状況かどうかを判断します。
  • 台帳管理の主旨は、1件残らず漏れなく管理していることの証明ではなく、事業者内での個人情報の取扱状況を把握することであるため、個人情報管理台帳に件数を含める場合、概数でよいとされています。したがって適切な状況であると判断できます。
  • 個人情報管理台帳には、個人情報の項目、利用目的、保管場所保管方法、アクセス権を管理する者、利用期限、保管期限が少なくとも含まれていることとされています。したがって、保管場所、保管方法、保管期限が記載されているのは適切な状況であると判断できます。
  • 文書化した情報は、機密性の喪失、不適切な使用および完全性の喪失から十分に保護されていることが求められます。したがって、個人情報管理台帳に機密性保護措置を講じているのは適切な状況であると判断できます。
  • 正しい。個人情報管理台帳の内容を少なくとも年一回、適宜に確認し、最新の状態で維持していることとされています。新たな取得がなくても台帳を定期的に見直す必要があるので、指摘事項に該当します。

Pagetop