FP1級過去問題 2024年5月学科試験 問24

問24

個人情報の保護に関する法律および個人情報保護に関するガイドラインに関する次の記述のうち、最も不適切なものはどれか。
  1. 個人情報取扱事業者は、本人から当該本人が識別される保有個人データの開示の請求を受けた場合、原則として、遅滞なく、当該保有個人データを無償で開示しなければならない。
  2. 個人情報取扱事業者は、利用目的の達成に必要な範囲内において、個人データを正確かつ最新の内容に保つとともに、利用する必要がなくなったときは、当該個人データを遅滞なく消去するよう努めなければならない。
  3. 個人情報取扱事業者は、要配慮個人情報が含まれる個人データの漏えいが発生したことを知ったときは、原則として、個人情報保護委員会に速やかに報告しなければならず、さらに確定した事項を30日以内に報告しなければならない。
  4. 金融分野における個人情報取扱事業者が、与信事業に際して個人情報を取得する場合、利用目的について本人の同意を得ることとし、契約書等における利用目的は他の契約条項等と明確に分離して記載することとされている。

正解 1

問題難易度
肢159.8%
肢26.2%
肢325.0%
肢49.0%

解説

  1. [不適切]。個人情報取扱事業者は、本人から保有個人データの開示請求を受けた場合、遅滞なく該当するデータを開示する必要がありますが、その実施に関して合理的であると認められる範囲内において開示請求手数料を徴収することが認められています(個人情報保護法33条)。
    個人情報取扱事業者は、本人から当該本人が識別される保有個人データの開示の請求を受けた場合、原則として、遅滞なく、当該保有個人データを開示しなければならないが、その実施に関して手数料を徴収することができる。2020.9-24-4
  2. 適切。個人情報取扱事業者は取得した個人データを、利用目的の達成に必要な範囲内において、正確かつ最新の内容に保たなければなりません。また、利用する必要がなくなったときは、当該データを遅滞なく消去するよう努めなければなりません(個人情報保護法19条)。
    個人情報取扱事業者は、利用目的の達成に必要な範囲内において、個人データを正確かつ最新の内容に保つとともに、利用する必要がなくなったときは、当該個人データを遅滞なく消去するよう努めなければならない。2020.9-24-3
  3. 適切。個人情報取扱事業者は、取り扱う個人データの漏えい等のうち次に挙げる報告対象事態が発生したときは、速やか(事態を知った日から概ね3~5日以内)に速報を、知った日から30日以内に確報を、それぞれ個人情報保護委員会に報告しなければなりません。要配慮個人情報の漏えいは報告対象事態のひとつとされています(個人情報保護法規則7条・8条)。
    1. 要配慮個人情報が含まれる個人データの漏えい等の発生
    2. 不正利用により財産的被害が生じるおそれのある個人データの漏えい等の発生
    3. 個人データの不正取得による漏えい等の発生
    4. 1,000人分を超える個人データの漏えい等の発生
    金融分野における個人情報取扱事業者は、不正に利用されることにより財産的被害が生じるおそれがある個人データの漏えい等が発生したことを知ったときは、個人情報保護委員会に速やかに報告しなければならず、さらに20日以内に確定した事項を報告しなければならない。2023.1-23-3
  4. 適切。金融分野では、個人情報保護法の適用において独自のガイドラインが制定されています。一般的には、個人情報を取得するときは利用目的を本人に通知し、またはあらかじめ公表することで足りますが、金融分野における個人情報取扱事業者が、与信事業(信用取引、金銭の貸付け、保証委託等)に際して個人情報を取得する場合は、利用目的について本人の同意を得ることとされています。また、契約書面で個人情報を取得する際に必要となる利用目的の明示は、他の契約条項と明確に分離して記載しなければなりません。
    金融分野における個人情報取扱事業者が、与信事業に際して個人情報を取得する場合、利用目的について本人の同意を得ることとし、契約書等における利用目的は他の契約条項等と明確に分離して記載することとされている。2023.1-23-1
    金融分野における個人情報取扱事業者が個人情報を取得した場合、あらかじめその利用目的を公表しているときであっても、その利用目的を、本人に対して書面により通知しなければならない。2023.1-23-2
    個人情報取扱事業者は、原則として、個人情報を取り扱うにあたって、その利用の目的をできる限り特定しなければならず、あらかじめ本人の同意を得ないで、その特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはならない。2020.9-24-2
したがって不適切な記述は[1]です。