IT PASSPORT
ITパスポートの問題解説
問題
個人情報取扱事業者が、利用目的をあらかじめ「商品の配送のため」と本人に通知して取得した住所などの個人情報を、後から新たに別の目的で利用したい場合の対応として、最も適切なものはどれか。
- ア 取得時に通知していれば、その後はどんな目的に使っても本人への対応は一切不要である。
- イ 社内で利用する限りは、利用目的を超えても本人の同意はまったく必要ない。
- ウ 当初の利用目的の範囲を超えて利用する場合は、原則としてあらかじめ本人の同意を得る必要がある。
- エ 個人情報はいったん取得すれば事業者の所有物となり、本人の意向に関わらず自由に利用できる。
出典:オリジナル問題|参考範囲:IPA ITパスポート試験シラバス(最新版)、情報処理技術者試験の基礎知識
正解と解説
正解:当初の利用目的の範囲を超えて利用する場合は、原則としてあらかじめ本人の同意を得る必要がある。
解説:個人情報保護法は、事業者に対して利用目的をできる限り特定し、それを本人に通知または公表することを求めています。そのうえで、特定した目的の範囲内でしか個人情報を扱えないのが基本ルールです。たとえば配送のために取得した住所を、本人に何も告げずに新商品のダイレクトメール送付に転用するような行為は、目的外利用にあたります。こうした目的外利用を行うには、原則として事前に本人の同意を取り直す必要があります。社内利用か社外提供かといった区別ではなく、当初示した目的の範囲を超えるかどうかが判断の軸になります。
覚え方:「目的を決める→本人に伝える→その範囲内で使う」の順番をセットで押さえましょう。範囲をはみ出すなら、もう一度本人の同意を取り直す、と覚えると混乱しません。
他の選択肢はなぜ違う?
- ア取得時に通知していれば、その後はどんな目的に使っても本人への対応は一切不要だという記述は誤りです。取得時の通知は当初示した利用目的の範囲内で使える根拠になるにすぎず、範囲を超える利用には別途本人の同意が必要です。
- イ社内で利用する限りは利用目的を超えても本人の同意がまったく必要ないという記述は誤りです。社内利用であっても、当初の利用目的を超える取扱いには原則として本人の同意が必要であり、社内なら不要という限定は法の趣旨に反します。
- エ個人情報はいったん取得すれば事業者の所有物となり自由に利用できるという記述は誤りです。個人情報は本人に関する情報であって、取得しても事業者が自由に処分できる所有物になるわけではありません。
この問題について
IPAのITパスポート試験シラバスとIT基礎知識を参考に、Sikaku Master向けに独自作成した問題です。公式試験問題・過去問題の転載ではありません。
IPAの過去問題の転載ではなく、シラバス・公開情報に基づく独自問題として作成しています。