平成31年春期試験午前問題 問31

JIS Q 15001:2017(個人情報保護マネジメントシステム-要求事項)に関する記述のうち,適切なものはどれか。

  • 開示対象個人情報は,保有個人データとは別に定義されており,保有期間によらず全ての個人情報が該当すると定められている。
  • 規格文書の構成は,JIS Q 27001:2014と異なり,マネジメントシステム規格に共通的に用いられる章立てが採用されていない。
  • 特定の機微な個人情報が定義されており,労働組合への加盟といった情報が例として挙げられている。
  • 本人から書面に記載された個人情報を直接取得する場合には,利用目的などをあらかじめ書面によって本人に明示し,同意を得なければならないと定められている。
正解 問題へ
分野:ストラテジ系
中分類:法務
小分類:セキュリティ関連法規
JIS Q 15001は、個人情報保護マネジメントシステムを確立し、実施し、維持し、継続的に改善するための要求事項をまとめたJIS規格です。
  • 旧規格(JIS Q 15001:2006)では開示対象個人情報に関する定めがありましたが、2017年版では旧規格の開示対象個人情報に該当するものは保有個人データと同様に扱うと規定しています。また個人情報保護法では、個人データのうち6カ月以内に消去するものに関しては保有個人データに該当しないと規定しているため「保有期間によらず全ての」とする本肢は誤りです。
    ※開示対象個人情報…保有個人データに該当しないが、本人から求められる利用目的の通知、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供
    の停止の請求などの全てに応じることができる権限を有する個人情報
  • JIS Q 15001:2017には、JIS Q 9001(品質マネジメントシステム)、JIS Q 140001(環境マネジメントシステム)、JIS Q 27001(情報セキュリティマネジメントシステム)といった他のマネジメントシステム規格と共通する構造、章立て、テキスト及び用語が採用されています。これらのマネジメントシステム規格では、0.序文、1.適用範囲、2.引用規格、3.用語及び定義、4.組織の状況、5.リーダーシップ、6.計画、7.支援、8.運用、9.パフォーマンス評価、10.改善という共通の章立てになっています。
  • 金融分野における個人情報保護に関するガイドラインの説明です。「機微(センシティブ)情報」は、上記ガイドラインに記載されている個人情報の区別です。機微情報は、個人情報保護法及び同法施行令で規定される要配慮個人情報に、金融分野で特別注意を要する個人情報を加えたものになっています。機微情報の例として挙げられている"労働組合への加盟"は要配慮情報には含まれません。JIS Q 15001:2017は、個人情報保護法をベースにしているため機微情報ではなく要配慮個人情報の取り扱いが定義されています。
  • 正しい。本人から、書面(電子的方式,磁気的方式などで作られる記録を含む。)に記載された個人情報を直接取得する場合には、組織名や利用目的等の事項を、あらかじめ書面によって本人に明示し、書面によって本人の同意を得なければならない、と規定されています。

Pagetop