FP2級過去問題 2022年1月学科試験 問2

問2

「個人情報の保護に関する法律」(以下「個人情報保護法」という)に関する次の記述のうち、最も不適切なものはどれか。
  1. 個人情報保護法に定める個人識別符号には、指紋認証データや顔認証データといった個人の身体の一部の特徴をデータに変換した符号が含まれる。
  2. 個人情報取扱事業者は、個人情報データベース等を事業の用に供している者のうち、5,000件超の個人データを取り扱う事業者に限られる。
  3. 個人情報取扱事業者が、本人との契約を通じて契約者本人の個人情報を取得する場合、原則として、契約締結前に、本人に対し、その利用目的を明示しなければならない。
  4. 個人情報取扱事業者が、人の生命、身体または財産の保護のために、本人の病歴や犯罪の経歴などの要配慮個人情報を取得する場合、取得に当たって本人の同意を得ることが困難であるときは、あらかじめ本人の同意を得る必要がない。

正解 2

問題難易度
肢14.5%
肢258.6%
肢32.9%
肢434.0%

解説

  1. 適切。個人識別符号とは、文字、番号、記号その他の組合せで構成される符号のうち、「身体の一部の特徴を電子計算機のために変換した符号」と「サービス利用や書類において対象者ごとに割り振られる符号」であると定義されています。「身体の一部の特徴を電子計算機のために変換した符号」とは、指紋・顔・声紋・DNAなどのデータです。一方、「サービス利用や書類において対象者ごとに割り振られる符号」には、マイナンバー・旅券番号・免許証番号・基礎年金番号などが該当します。
  2. [不適切]。取り扱っている個人情報の数にかかわらず、個人情報データベース等を事業に使っているすべての者が個人情報取扱事業者に該当します。事業の営利・非営利は問われないため、NPO法人や自治会、サークルなども対象です。
    以前は5,000以下の個人情報を取り扱う事業者は対象外でしたが、2017年に施行された改正個人情報保護法により対象者が拡大されました。
  3. 適切。個人情報取扱事業者が、申込書や契約書(電磁的記録を含む)に記載された個人情報を本人から直接取得する場合は、あらかじめ、本人に対し、その利用目的を明示しなければなりません。ただし、取得状況からみて利用目的が明らかな場合や、人の生命、身体又は財産の保護のために緊急に必要がある場合などは通知しなくてもよいとされています。
  4. 適切。個人情報取扱事業者は、あらかじめ本人の同意を得ないで、要配慮個人情報を取得してはなりません。しかし、急病その他の事態が生じたときに、本人の病歴等を医師や看護師が家族から聴取したり、金融犯罪被害の事実に関する情報を関連する犯罪被害の防止のために他の事業者から取得したりなど、人の生命、身体または財産の保護のために必要である場合であって、本人の同意を得ることが困難であるときは、本人の同意は不要とされています。
したがって不適切な記述は[2]です。