貸金業務取扱主任者 過去問
令和6年度（2024年）
問46 (資金需要者等の保護に関すること 問4)

個人情報取扱事業者は、不正に利用されることにより財産的被害が生じるおそれがある個人データの漏えい等が発生し、又は発生したおそれがある事態が生じた場合であっても、当該事態が生じた個人データに係る本人の数が1,000人を超えないときは、当該事態が生じた旨を個人情報保護委員会に報告する必要はない。

正しい選択肢です。

内容が適切ではありません。太字部分が誤りです。

個人データの漏えい等に係る事態のうち個人の権利利益を害するおそれが大きいものは、個人情報保護委員会への報告と本人への通知が必要です。

1,000人を超える漏えい等が発生した場合には、個人の権利利益を害するおそれが大きい場合にあたり、速やか(概ね３～５日以内)に個人情報保護委員会への報告を行うこととされています。

もっとも、1000人を超えない場合は報告する必要がないというものではなく、不正に利用されることにより財産的被害が生じるおそれがある個人データの漏えい等が発生し、又は発生したおそれがある事態が生じた場合で報告が必要であると考える場合には、報告をする必要があります。

誤った選択肢です。

適切な内容です。

上記で解説したとおり、原則として、個人データの漏えい等に係る事態のうち個人の権利利益を害するおそれが大きいものは、個人情報保護委員会への報告と本人への通知が必要です。

もっとも、上記報告対象事態に該当する場合であっても、高度な暗号化その他の個人の権利利益を保護するために必要な措置を講じた個人データと、仮名加工情報である個人データについては、個人情報保護委員会への漏えい等報告・本人通知は不要とされています。

誤った選択肢です。

適切な内容です。

原則として、報告対象事態が生じた場合、本人に対し当該事態が生じた旨を通知しなければならないとされています。

しかし、本人への通知が困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、例外的に通知は不要とされています。

本人への通知が困難な場合とは、例えば、保有する個人データの中に本人の連絡先が含まれていない場合や、連絡先が誤っていたり、古いものであるため本人へ連絡できない場合などがあります。

本人の権利利益を保護するため必要なこれに代わるべき措置とは、事案の公表や、問合せ窓口を用意してその連絡先を公表し、本人が自らの個人データが対象となっているか否かを確認できるようにすることが挙げられます。

誤った選択肢です。

適切な内容です。

報告対象事態の報告にあたっては、概要、原因、二次被害又はそのおそれの有無及びその内容、本人への対応の実施状況、再発防止のための措置等について報告をしようとする時点において把握しているものについて行わなければなりません。

また、報告の時期については、当該事態を知った後、速やか(概ね３～５日以内）に報告しなければならないとされています。

誤りです。
個人情報保護法第26条1項では、個人データの漏えいが発生した場合、本人の数が1,000人を超えるときは原則として個人情報保護委員会に報告が必要とされています。
しかし、「1,000人以下の場合は報告不要」というわけではありません。
不正利用されるおそれがある場合や、重大な権利侵害のリスクがある場合は、1,000人以下でも報告が必要になります。
「1,000人を超えない場合は報告不要」としており、例外が考慮されていないため誤りです。

適切です。

個人情報保護委員会のガイドラインにおいても、適切な暗号化などが施されていれば、報告不要となるケースが認められています。

適切です。
個人情報保護法第26条2項では、報告対象事態（個人データの漏えいなど）が発生した場合、事業者は本人に通知しなければならないと定められています。
ただし、通知が困難な場合（例：影響を受けた人数が膨大で個別通知が難しい場合）には、ウェブサイトでの公表などの代替措置を取ることで対応できるとされています。
 

適切です。
個人情報保護法第26条1項では、事業者は個人データの漏えいが発生した際、速やかに個人情報保護委員会に報告しなければならないと規定されています。

報告には、

・漏えいの概要

・原因

・二次被害の有無

・本人への対応状況

・再発防止策

などが含まれますが、報告の時点で把握している情報を速やかに報告し、その後、新たな情報が判明した場合は追加報告を行うことも可能です。