システム監査平成13年問14
人事情報システムで使用している社員情報の取扱いのうち、プライ
バシ保護の観点から、適切なものはどれか。
ア ある社員の社員情報を収集する過程で、必要以上の個人情報も
入手したが、一応保管することにした。
イ 社員情報の一部である経歴情報について、退職予定の社員から
事実と異なる箇所の訂正を求められたが、応じなかった。
ウ 社員情報のデータ管理者を選任し、社員情報管理の徹底を図る
ことにした。
エ 所轄の官庁から、特定社員の情報提出要求があったので、用途
を確認せずに提供した。
解答
ウ 社員情報のデータ管理者を選任し、社員情報管理の徹底を図る
ことにした。
個人情報保護に関しては、OECD8原則を基本として押え、
・プライバシーマーク制度
・JISQ15001
・個人情報保護法
の3つの柱で考えていくといいでしょう。
◇OECD8原則 とは。。。
1980年に経済協力開発機構(OECD)が採択した
「プライバシー保護と個人データの国際流通についてのガイドライン」
の中に記述されている8つの原則です。
この8つの原則は、個人情報保護の考え方の基礎になっています。
表.OECD8原則
┌────────┬───────────────────────────┐
│目的明確化の原則│収集目的を明確にし、データ利用は収集目的に │
│ │合致するべき │
├────────┼───────────────────────────┤
│利用制限の原則 │データ主体の同意がある場合、法律の規定による場合以外は│
│ │目的以外に利用使用してはならない │
├────────┼───────────────────────────┤
│収集制限の原則 │適法・公正な手段により、かつ情報主体に通知 │
│ │又は同意を得て収集されるべき │
├────────┼───────────────────────────┤
│データ内容の原則│利用目的に沿ったもので、かつ、正確、完全、最新である │
│ │べき │
├────────┼───────────────────────────┤
│安全保護の原則 │合理的安全保護措置により、紛失・破壊・使用・修正・開示│
│ │等から保護するべき │
├────────┼───────────────────────────┤
│公開の原則 │データ収集の実施方針等を公開し、データの存在、 │
│ │利用目的、管理者等を明示するべき │
├────────┼───────────────────────────┤
│個人参加の原則 │自己に関するデータの所在及び内容を確認させ、 │
│ │又は意義申立を保証するべき │
├────────┼───────────────────────────┤
│責任の原則 │管理者は諸原則実施の責任を有する │
│ │ │
└────────┴───────────────────────────┘
> ア ある社員の社員情報を収集する過程で、必要以上の個人情報も
> 入手したが、一応保管することにした。
誤った記述です。
目的明確化の原則、利用制限の原則、利用制限の原則に反した取扱
いです。
収集目的を明確にし、情報主体の同意のもと個人情報を収集しなけ
ればなりません。
> イ 社員情報の一部である経歴情報について、退職予定の社員から
> 事実と異なる箇所の訂正を求められたが、応じなかった。
誤った記述です。
データ内容の原則、個人参加の原則に反した取扱いです。
収集した個人情報は、利用目的に沿ったもので、かつ、正確、完全、
最新である必要があります。
誤った情報があり、情報主体から、訂正または削除を求められた場
合は、合理的な期間内に応じ、処理しなければなりません。
> ウ 社員情報のデータ管理者を選任し、社員情報管理の徹底を図る
> ことにした。
正しい記述です。
個人情報の取扱いは、慎重に行わなければなりません。
データ管理者を選任し、管理を徹底を図ることは、適切な管理とな
ります。
JIS Q 15001によれば、「事業者の代表者は、この規格の内容を理解
し実践する能力のある関しりゃを事業者の内部から指名し、コンプ
ライアンス・プログラムの実施及び運用に関する責任及び権限を他
の責任に関わりなく与え、業務を行わせなければならない」と記述
されています。
◇JISQ15001 とは。。。
日本工業規格(JISQ15001:1999)
「個人情報保護に関するコンプライアンス・プログラムの要求事項」
のことです。
通商産業省(現:経済産業省)が平成9年に告示した
「民間部門における電子計算機処理に係る個人情報の保護に関す
るガイドライン」に基づき、JIS Q 15001としてJIS規格化されま
した。
> エ 所轄の官庁から、特定社員の情報提出要求があったので、用途
> を確認せずに提供した。
誤った記述です。
利用制限の原則、安全保護の原則に反した取扱いです。
利用制限の原則に従い、個人情報は、収集目的の範囲外で利用、提
供を行う場合は、情報主体に通知し、事前に同意を得なければなり
ません。
バシ保護の観点から、適切なものはどれか。
ア ある社員の社員情報を収集する過程で、必要以上の個人情報も
入手したが、一応保管することにした。
イ 社員情報の一部である経歴情報について、退職予定の社員から
事実と異なる箇所の訂正を求められたが、応じなかった。
ウ 社員情報のデータ管理者を選任し、社員情報管理の徹底を図る
ことにした。
エ 所轄の官庁から、特定社員の情報提出要求があったので、用途
を確認せずに提供した。
解説
難易度 ★★解答
ウ 社員情報のデータ管理者を選任し、社員情報管理の徹底を図る
ことにした。
個人情報保護に関しては、OECD8原則を基本として押え、
・プライバシーマーク制度
・JISQ15001
・個人情報保護法
の3つの柱で考えていくといいでしょう。
◇OECD8原則 とは。。。
1980年に経済協力開発機構(OECD)が採択した
「プライバシー保護と個人データの国際流通についてのガイドライン」
の中に記述されている8つの原則です。
この8つの原則は、個人情報保護の考え方の基礎になっています。
表.OECD8原則
┌────────┬───────────────────────────┐
│目的明確化の原則│収集目的を明確にし、データ利用は収集目的に │
│ │合致するべき │
├────────┼───────────────────────────┤
│利用制限の原則 │データ主体の同意がある場合、法律の規定による場合以外は│
│ │目的以外に利用使用してはならない │
├────────┼───────────────────────────┤
│収集制限の原則 │適法・公正な手段により、かつ情報主体に通知 │
│ │又は同意を得て収集されるべき │
├────────┼───────────────────────────┤
│データ内容の原則│利用目的に沿ったもので、かつ、正確、完全、最新である │
│ │べき │
├────────┼───────────────────────────┤
│安全保護の原則 │合理的安全保護措置により、紛失・破壊・使用・修正・開示│
│ │等から保護するべき │
├────────┼───────────────────────────┤
│公開の原則 │データ収集の実施方針等を公開し、データの存在、 │
│ │利用目的、管理者等を明示するべき │
├────────┼───────────────────────────┤
│個人参加の原則 │自己に関するデータの所在及び内容を確認させ、 │
│ │又は意義申立を保証するべき │
├────────┼───────────────────────────┤
│責任の原則 │管理者は諸原則実施の責任を有する │
│ │ │
└────────┴───────────────────────────┘
> ア ある社員の社員情報を収集する過程で、必要以上の個人情報も
> 入手したが、一応保管することにした。
誤った記述です。
目的明確化の原則、利用制限の原則、利用制限の原則に反した取扱
いです。
収集目的を明確にし、情報主体の同意のもと個人情報を収集しなけ
ればなりません。
> イ 社員情報の一部である経歴情報について、退職予定の社員から
> 事実と異なる箇所の訂正を求められたが、応じなかった。
誤った記述です。
データ内容の原則、個人参加の原則に反した取扱いです。
収集した個人情報は、利用目的に沿ったもので、かつ、正確、完全、
最新である必要があります。
誤った情報があり、情報主体から、訂正または削除を求められた場
合は、合理的な期間内に応じ、処理しなければなりません。
> ウ 社員情報のデータ管理者を選任し、社員情報管理の徹底を図る
> ことにした。
正しい記述です。
個人情報の取扱いは、慎重に行わなければなりません。
データ管理者を選任し、管理を徹底を図ることは、適切な管理とな
ります。
JIS Q 15001によれば、「事業者の代表者は、この規格の内容を理解
し実践する能力のある関しりゃを事業者の内部から指名し、コンプ
ライアンス・プログラムの実施及び運用に関する責任及び権限を他
の責任に関わりなく与え、業務を行わせなければならない」と記述
されています。
◇JISQ15001 とは。。。
日本工業規格(JISQ15001:1999)
「個人情報保護に関するコンプライアンス・プログラムの要求事項」
のことです。
通商産業省(現:経済産業省)が平成9年に告示した
「民間部門における電子計算機処理に係る個人情報の保護に関す
るガイドライン」に基づき、JIS Q 15001としてJIS規格化されま
した。
> エ 所轄の官庁から、特定社員の情報提出要求があったので、用途
> を確認せずに提供した。
誤った記述です。
利用制限の原則、安全保護の原則に反した取扱いです。
利用制限の原則に従い、個人情報は、収集目的の範囲外で利用、提
供を行う場合は、情報主体に通知し、事前に同意を得なければなり
ません。