情報セキュリティマネジメント平成31年春期 午前問31

問31

JIS Q 15001:2017(個人情報保護マネジメントシステム-要求事項)に関する記述のうち,適切なものはどれか。
  • 開示対象個人情報は,保有個人データとは別に定義されており,保有期間によらず全ての個人情報が該当すると定められている。
  • 規格文書の構成は,JIS Q 27001:2014と異なり,マネジメントシステム規格に共通的に用いられる章立てが採用されていない。
  • 特定の機微な個人情報が定義されており,労働組合への加盟といった情報が例として挙げられている。
  • 本人から書面に記載された個人情報を直接取得する場合には,利用目的などをあらかじめ書面によって本人に明示し,同意を得なければならないと定められている。

分類

ストラテジ系 » 法務 » セキュリティ関連法規

正解

解説

JIS Q 15001は、個人情報保護マネジメントシステムを確立し、実施し、維持し、継続的に改善するための要求事項をまとめたJIS規格です。
  • 旧規格(JIS Q 15001:2006)では開示対象個人情報に関する定めがありましたが、2017年版では旧規格の開示対象個人情報に該当するものは保有個人データと同様に扱うと規定しています。したがって、別に定義されているとする本肢は誤りです。
    ※開示対象個人情報…保有個人データに該当しないが、本人から求められる利用目的の通知、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止の請求などの全てに応じることができる権限を有する個人情報
  • JIS Q 15001:2017には、JIS Q 9001(品質マネジメントシステム)、JIS Q 140001(環境マネジメントシステム)、JIS Q 27001(情報セキュリティマネジメントシステム)といった他のマネジメントシステム規格と共通する構造、章立て、テキスト及び用語が採用されています。これらのマネジメントシステム規格では、0.序文、1.適用範囲、2.引用規格、3.用語及び定義、4.組織の状況、5.リーダーシップ、6.計画、7.支援、8.運用、9.パフォーマンス評価、10.改善という共通の章立てになっています。
  • JIS Q 15001:2017ではなく、前身規格であるJIS Q 15001:2006についての記述です。
    JIS Q 15001:2006には、"特定の機微な個人情報"の取得・利用・提供を制限する規定があり、この"特定の機微な個人情報"の1つとして「勤労者の団結権,団体交渉その他団体行動の行為に関する事項」…つまり労働組合への加盟に関する情報が挙げられていました。しかし、JIS Q 15001:2017への改正により、個人情報保護法に準拠する形で"特定の機微な個人情報"が"要配慮個人情報"に置き換わりました。"要配慮個人情報"の一覧に「労働組合への加盟」は含まれていないので、記述は誤りとなります。
    なお、「金融分野における個人情報保護に関するガイドライン」などのように、機微(センシティブ)情報として「労働組合への加盟」についての取得・利用・提供を独自に制限していることもあります。
  • 正しい。本人から、書面(電子的方式,磁気的方式などで作られる記録を含む。)に記載された個人情報を直接取得する場合には、組織名や利用目的等の事項を、あらかじめ書面によって本人に明示し、書面によって本人の同意を得なければならないと規定されています。
© 2015-2024 情報セキュリティマネジメント試験ドットコム All Rights Reserved.

Pagetop