問題
問57
個人情報保護法に関するシステム監査において、個人データの安全管理措置に関する状況を点検した。監査人が指摘事項として監査報告書に記載すべきものはどれか。
- 個人データへのアクセス権限を、業務上必要な担当者に限定して付与している。
- 退職した従業員の個人データへのアクセスアカウントを、削除せずに放置している。
- 個人データの取り扱いに関する社内規程を整備し、従業員に周知している。
- 個人データの情報漏洩が発生した際に、個人情報保護委員会へ報告する手順が定められている。
正解
正解は「イ」です。
解説
正解は「イ」です。個人情報保護法では、事業者は個人データを安全に管理するための措置を講じる義務があります。システム監査では、この安全管理措置が適切に実施されているかをチェックします。「退職した従業員の個人データへのアクセスアカウントを、削除せずに放置している」という状況は、この安全管理措置が不十分であることを示しています。なぜなら、退職後もアカウントが残っていると、そのアカウントが悪用されて不正に個人データへアクセスされるリスクがあるからです。
例えば、退職した人が元同僚の情報をのぞき見したり、外部の攻撃者がそのアカウントを乗っ取って侵入したりする可能性があります。これは、会社を辞めた人にいつまでもオフィスの鍵を渡したままにしているようなもので、非常に危険です。したがって、これは明確な問題点であり、監査人が指摘事項として報告すべき内容です。
ア(個人データへのアクセス権限を…):
アクセス権限を必要最小限に限定するのは、適切な安全管理措置であり、評価されるべき点です。
ウ(個人データの取り扱いに関する…):
社内規程を整備し周知することも、適切な安全管理措置(組織的安全管理措置)の一環です。
エ(個人データの情報漏洩が…):
情報漏洩発生時の報告手順を定めていることも、法令で求められる適切な対応であり、問題ありません。
解法のポイント
この問題も、他の監査問題と同様に、「監査人が指摘すべきこと=ルール違反や危険な状態」という視点で解くことができます。個人情報保護という観点から、各選択肢が「安全な状態」か「危険な状態」かを判断します。ア、ウ、エは、いずれも個人データを守るための「適切な対策が取られている」状況です。一方、イだけが、退職者のアカウントを放置するという「危険な状態」を記述しています。このように、セキュリティ上のリスクや管理の不備を示している選択肢を見つけることが、正解への鍵となります。
用語補足
個人情報保護法:
個人の権利と利益を守るために、個人情報の取り扱いに関するルールを定めた法律です。事業者はこの法律に従って個人情報を適切に管理する義務があります。
安全管理措置:
個人データの漏えい、滅失、き損などを防ぐために事業者が講じなければならない対策のことです。「組織的」「人的」「物理的」「技術的」の4つの側面から対策が求められます。
アクセスアカウント:
システムやサービスを利用するための権利を持つIDとパスワードの組み合わせのことです。利用者を識別し、許可された操作だけを行えるようにするために使われます。
個人情報保護委員会:
個人情報保護法に基づいて設置された国の機関です。法律の監視・監督や、事業者への指導、勧告などを行います。
