令和5年度18ストラテジ系

ITパスポート 令和5年度 問18:corporate_legalに関する問題

EUの一般データ保護規則(GDPR)に関する記述として,適切なものだけを全て挙げたものはどれか。a EU域内に拠点がある事業者が,EU域内に対してデータやサービスを提供している場合は,適用の対象となる。b EU域内に拠点がある事業者が,アジアや米国などEU域外に対してデータやサービスを提供している場合は,適用の対象とならない。c EU域内に拠点がない事業者が,アジアや米国などEU域外に対してだけデータやサービスを提供している場合は,適用の対象とならない。d EU域内に拠点がない事業者が,アジアや米国などから EU域内に対してデータやサービスを提供している場合は,適用の対象とならない。

  • aa
  • ba, b, c
  • ca, c正答
  • da, c, d
正答:Ca, c

AI解説(初心者・標準・上級)

理解度に合わせて3レベルの解説を無料で読めます。

初心者向けまずはここから。やさしく要点を解説

答えは c「a, c」 です。

GDPRは「EU(ヨーロッパ)の人の個人データを守るための厳しいルール」です。ポイントは“EUの人のデータを扱うなら、会社がどこにあっても関係する”ということ。

  • a EU内の会社がEU内に提供→当然GDPRの対象○
  • c EU外の会社が、EU外だけにサービス提供→EUの人のデータを扱っていないので対象外(この文は正しい)○
  • b・d は説明が間違っています(EUの人のデータを扱うのに「対象外」と言っているのでバツ)。

👉 覚え方:「EUの人のデータに触れるなら、世界中どこの会社でもGDPRがついてくる」。

だから正しい説明は a と c で、答えは c。

標準試験対策の基準レベル

なぜこれが正解か

正解は c(a, c)。GDPR(EU一般データ保護規則)は、EU域内の個人データを扱う場合、事業者の所在地を問わず適用される(域外適用)。問われているのは「適用についての記述として適切なもの」。

  • a EU域内の事業者がEU域内に提供=適用対象。記述として正しい。
  • c EU域外の事業者がEU域外だけに提供=EU域内の個人データを扱わないので適用対象外。記述として正しい。

誤りの選択肢

  • b EU域内の事業者がEU域外に提供する場合「対象とならない」とあるが、域内拠点の処理は対象になり得るため誤り。
  • d EU域外の事業者がEU域内に提供する場合「対象とならない」とあるが、域内の人にサービス提供すれば域外適用で対象になるため誤り。

覚え方・ひっかけ注意

判断軸は「EU域内の個人のデータを扱うか」。会社の所在地ではなく“データ主体(個人)がEUにいるか”で決まる。b・dは「対象外」と断じている点が引っかけ。

上級誤答論破・背景理論まで深掘り

理論的背景

GDPR(General Data Protection Regulation:EU一般データ保護規則)は2018年5月に施行されたEU/EEAにおける個人データ保護の包括的規則で、従来のEUデータ保護指令(1995年)を大幅に強化したものだ。適用範囲の決定には二つの軸がある。拠点主義(第3条1項):EU域内に拠点(establishment)を持つ管理者・処理者が行う個人データ処理には、処理が行われる場所を問わず適用される。域外適用(第3条2項):EU域内に拠点がない事業者であっても、①EU域内のデータ主体に商品・サービスを提供する場合、または②EU域内でのデータ主体の行動をモニタリングする場合は適用される。本問の各選択肢の判定:a(EU域内拠点・EU域内提供)=拠点主義で適用→正しい。b(EU域内拠点・EU域外提供)=拠点の処理は適用対象になり得るため「対象とならない」は誤り。c(EU域外拠点・EU域外のみ提供)=EU域内のデータ主体に関与しないため適用外→正しい。d(EU域外拠点・EU域内提供)=域外適用で適用対象→「対象とならない」は誤り。

実務での使われ方

GDPRの実務的な影響は日本企業にも及ぶ。EU域内に拠点があるまたはEU向けにサービスを提供する日本企業は、GDPRに基づくデータ主体の権利(アクセス権・訂正権・消去権=忘れられる権利・ポータビリティ権・プロファイリング拒否権等)への対応、プライバシーポリシーの充実、データ保護責任者(DPO)の設置(一定条件下で義務)、データ処理記録の管理、データ侵害時の72時間以内の監督機関通知が義務となる。違反した場合は最大で全世界年間売上高の4%または2,000万ユーロのいずれか高い方という高額の制裁金が科される(2022年にMetaが約580億円の制裁金を受けた事例がある)。日本は2019年に欧州委員会から「十分性認定」を取得し、EU─日本間の個人データ越境移転が標準的契約条項(SCC)なしに可能になった。

試験での位置づけ

ITパスポートのストラテジ系(法務・コンプライアンス・個人情報保護)でGDPRは近年頻出テーマとなっており、特に「域外適用の有無の判断」が出題の核心だ。本問のようにa〜dの各記述の正誤を判定する問題形式では、「事業者の所在地ではなくデータ主体(個人)がEU域内にいるかが基準」という原則の理解が必要だ。関連する日本の法制として個人情報保護法(個人情報保護委員会による監督・越境移転の規制)、番号法(マイナンバー)があり、GDPRとの比較対照も頻出だ。基本情報技術者ではプライバシーバイデザイン・データ最小化・仮名加工情報・匿名加工情報(日本の個人情報保護法の概念)まで踏み込む。

選択肢の発展補足

選択肢bの誤り(EU域内拠点・EU域外提供):「EU域内に拠点があれば、提供先がEU域外でも適用対象になり得る」のが正しい理解だ。例えばEUに事務所を持つ日本企業が、その事務所でEU従業員の個人データを処理する場合はGDPRが適用される。「EU域外に提供するから対象外」という解釈は誤りで、拠点の存在自体が適用の根拠になる。選択肢dの誤り(EU域外拠点・EU域内提供):域外適用の典型ケースで、日本に拠点しかない企業がEU市民向けにECサイトを運営する場合、EU市民の個人データを処理することになりGDPRが適用される。この規定が多くの日本企業のGDPR対応を必要とした根拠で、「所在地がEU外なら関係ない」という誤解が最も危険なリスクだ。選択肢cが正しい理由の確認:「EU域外拠点・EU域外のみ提供」は域外適用の条件(EU域内のデータ主体へのサービス提供またはモニタリング)を満たさないため、GDPRは適用されない。これは日本企業が日本国内でのみ事業を行い、日本の顧客だけにサービスを提供している場合に相当する。

出典・引用について

出典:IPA(情報処理推進機構)公式 ITパスポート試験 令和5年度18/ 公的機関配布資料につき出典明記の上引用。解説は合格ナビによる独自AI解説です。

ストラテジ系の他の過去問

1
corporate_legal
2
corporate_legal
3
business_strategy
4
business_strategy
5
corporate_legal

あなたの弱点を診断して、合格までの最短ルートを

この分野を連続演習し、AIがあなたの弱点を分析。合格ナビならITパスポートの過去問を解きながら学べます。