行政書士 一般知識 問32:情報通信・個人情報保護
個人情報取扱事業者が負う安全管理措置および委託に関する次のア〜オの記述のうち、**誤っているもの**はどれか。
- ア個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失または毀損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。
- イ個人情報取扱事業者が個人データの取扱いを第三者に委託する場合、委託先において個人データが適切に取り扱われるよう必要かつ適切な監督を行わなければならない。
- ウ個人情報取扱事業者の従業者が個人データを取り扱う場合、事業者は従業者に対して個人データの安全管理のために必要かつ適切な監督を行わなければならない。
- エ個人情報取扱事業者が委託先に個人データの取扱いを委託する場合、当該委託先は個人情報保護法上の「第三者」に該当するため、必ず本人の同意を取得してから委託しなければならない。正答
- オ個人情報取扱事業者は、個人データが漏えいし個人の権利利益を害するおそれが大きいと認める場合には、個人情報保護委員会への報告および本人への通知が義務付けられている。
AI解説(初心者・標準・上級)
理解度に合わせて3レベルの解説を無料で読めます。根拠条文・判例も明記。
正答(誤り)はエです。個人データの取扱いを委託する場合、委託先は個人情報保護法上の「第三者」から除外されるため(27条5項1号)、本人の同意なく委託することができます。ただしその場合、委託先が個人データを適切に取り扱うよう必要かつ適切な監督を行う義務があります(25条)。ア(正):安全管理措置の義務は23条に明記されています。イ(正):委託先の監督義務は25条に定められています。ウ(正):従業者監督義務は24条に定められています。オ(正):2022年改正で漏えい等報告・本人通知が義務化されました(26条1項・2項)。
エが誤りです。委託は27条5項1号により第三者提供の例外とされており、本人同意なく個人データを委託先に提供できます。ただし委託先に対する必要かつ適切な監督義務(25条)が課されます。監督義務の内容としては個人情報保護委員会のガイドラインで、①適切な委託先の選定、②委託契約の締結(安全管理・再委託制限・事故報告等の条項)、③委託先における取扱状況の把握の三段階が示されています。ア(正):安全管理措置(23条)の内容は、①組織的安全管理措置(体制整備・取扱規程策定等)、②人的安全管理措置(従業者教育等)、③物理的安全管理措置(入退室管理等)、④技術的安全管理措置(アクセス制御・ログ管理等)の四類型です。ウ(正):従業者監督(24条)は、特に内部不正による漏えいリスクへの対応として重要です。オ(正):2022年改正による漏えい等報告義務は「高リスク事態」に限定されており、報告先は個人情報保護委員会、かつ本人への通知も義務づけられています(26条)。
【委託と第三者提供の区別の実務的意義】
個人情報保護法において委託が第三者提供の例外とされる根拠は、委託の場合は委託者(個人情報取扱事業者)が委託先の取扱いを支配・監督できるという点にあります。27条5項1号は「個人情報取扱事業者が利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託することに伴って当該個人データが提供される場合」を第三者提供の例外と定めています。この例外の範囲は「利用目的の達成に必要な範囲内」に限定されるため、利用目的を超えた委託は許容されません。実務では業務委託契約(BPO)・クラウドサービス利用・外部システム保守委託等が典型的な場面です。
【安全管理措置の具体的内容と違反の法的効果】
23条の「必要かつ適切な措置」の判断は事業者の規模・個人データの性質・リスクに応じて相対的です。個人情報保護委員会は「個人情報の保護に関する法律についてのガイドライン(通則編)」でA〜Dの四類型の安全管理措置の内容を詳述しています。安全管理措置が不十分で漏えい事故が発生した場合の法的効果として、①個人情報保護委員会による立入検査・指導(143条)、②是正措置の勧告(148条1項)、③命令(148条2項)、④命令違反の罰則(178条:1年以下の拘禁刑または100万円以下の罰金)があります。また民事上の損害賠償責任(民法709条)も生じうるため、企業法務・行政書士実務では安全管理体制の整備支援が重要業務となっています。
【漏えい等報告義務の詳細(2022年改正の核心)】
26条は2022年改正で義務規定に格上げされました。報告義務が生じる「高リスク」の基準は施行規則7条で定められており、①要配慮個人情報の漏えい、②財産的被害が生じるおそれのある漏えい(クレジットカード番号等)、③不正目的によるおそれのある漏えい、④1,000人を超える件数の漏えいです。報告は速報(「速やかに」=委員会の目安としておおむね3〜5日以内)と確報(事態を知った日から30日以内。ただし不正目的による漏えい等のおそれがある場合は60日以内)の二段階です。本人への通知は「本人の権利利益を保護するために必要な場合」が原則ですが、2022年改正で高リスク事態については本人通知が義務化されました。行政書士として企業の個人情報管理体制整備・漏えい事故対応を支援する場面でこの規律は実務的に直結します。
【上位資格・実務への接続】
個人情報保護法の安全管理措置・委託先監督・漏えい報告は、ISO/IEC 27001(情報セキュリティマネジメントシステム)の要求事項と整合しており、企業の情報セキュリティ管理全体と連携します。プライバシー・バイ・デザイン(設計段階からプライバシーを組み込む)という概念も、安全管理措置の先進的実践として参照されます。GDPRとの比較では、EUのデータプロセッサー(processing)に相当する概念が日本法の委託先に対応しており、越境データ移転にも連動します。
【根拠条文】
個人情報の保護に関する法律 第23条(安全管理措置)・第24条(従業者の監督)・第25条(委託先の監督)・第26条(漏えい等の報告等)・第27条第5項第1号(委託は第三者提供の例外)
※条番号は令和3年改正後(2022年4月全面施行)の現行条文に基づく。
【補足】
委託先は「第三者でない」ため同意不要、ただし監督義務あり(25条)。漏えい報告は2022年改正で義務化(26条)。四類型の安全管理措置の内容も整理しておく。
本問は合格ナビが作成したオリジナル問題です(過去問の転載ではありません)。 根拠・出典:根拠: 個人情報の保護に関する法律 第23条(安全管理措置)・第24条(従業者の監督)・第25条(委託先の監督)・第26条(漏えい等の報告等)・第27条第5項第1号(委託は第三者提供の例外) 現行法(2026年度基準)に準拠し、根拠条文・判例を明記しています。