個人情報保護の監査に関する次の記述を読んで,設問に答えよ。
A社は,自社商品をオンラインショッピングサイト(以下,ショッピングサイトという)で販売する中規模の会社である。
〔A社が取り扱う情報〕
A社は,利用者がショッピングサイトで会員登録を行う際に,住所,氏名,年齢,性別,電話番号,電子メールアドレスなどの個人情報を収集し,会員サービスの提供などに活用している。また,令和4年4月に全面施行された改正個人情報保護法(以下,改正法という)で新たに定められた“仮名加工情報”及び“個人関連情報"については,マーケティング用のデータ分析に活用している。
〔仮名加工情報及び個人関連情報の活用〕
仮名加工情報は,他の情報と照合しない限り特定の個人を識別できないように個人情報を加工した情報である。特定の個人の識別及び当該個人情報の復元ができないように加工した匿名加工情報に比べ,より元の個人情報に近い内容をもつ。個人情報ではない仮名加工情報であれば,社内で利用する場合には収集時の利用目的に拘束されないことから,A社は,会員情報を基にした仮名加工情報を,会員の特徴を把握するためのプロファイリングに活用している。
個人関連情報は,生存する個人に関する情報であって,個人情報,匿名加工情報及び仮名加工情報のいずれにも該当しない情報である。氏名と直接結び付かない電子メールアドレス,Cookieによる収集情報などが該当する。A社は,スマートフォンからショッピングサイトを利用できるアプリケーションソフトウェアを無償で提供しており,同アプリケーションソフトウェアを利用した場合には,利用時間,閲覧履歴,購買履歴に加え,GPSによる位置情報も行動データの一部として収集される。A社は,行動データに固有の番号を割り当てて特定の会員を識別できないようにし,行動特性分析に活用している。
〔個人情報を取り扱うシステム〕
ショッピングサイトで収集した個人情報は,同サイトと連携してオンラインショッピングシステムを構成する受注管理,出荷管理,顧客管理,広告配信などの各社内システム(以下,バックヤードシステムという)に保存される。これらの個人情報は,受注内容の確認,商品の配送,キャンペーンの通知などに活用されている
また,A社は,会員からの開示請求への適切な対応を重視し,改正法で開示などの対象とされる個人データ(以下,保有個人データという)を開示用にバックヤードシステムから抽出して構成するための開示請求対応システムを構築している。同システムのユーザーマニュアルには,バックヤードシステム内の保有個人データの保存場所,保有個人データの抽出申請手続などが記載されている。また,改正法を受けて,保有個人データ及び同データの第三者提供記録を開示用の電磁的記録(以下,開示データという)として構成する方法が追加されている。
A社は,システム部門と業務部門が共同で,法務部門とも連携し,オンラインショッピングシステム及び開示請求対応システムにおいて改正法に基づく対応を行ってきた。
〔A社オンラインショッピングシステムの概要]〕
バックヤードシステムは,ショッピングサイト経由の注文受付及び会員への広告配信のほか,配送業者との配送情報の相互連携,コールセンターからのオンライン照会に対する回答にも利用されている。
A社オンラインショッピングシステムの概要を図1に示す。
図1 A社オンラインショッピングシステムの概要
〔システム監査の実施〕
内部監査部長は,年度監査計画に基づき,オンラインショッピングシステム及び開示請求対応システムを監査対象として,改正法に基づくシステム対応の状況についてシステム監査を行うよう,システム監査チームに指示した。
〔予備調査の結果〕
システム監査チームは,予備調査を実施し,改正法による影響及びそれに伴って実施されたシステム対応の内容を表1にまとめた。
| 項番 | 改正法による影響 | システム対応の内容 |
| 1 | 会員からの開示請求時に電磁的記録での提供を求められた場合,要求に応じる必要があること | [バ]:保有個人データは,電磁的記録として保存されており,対応不要 [開]:保有個人データを開示データとして構成する機能の追加 [シ]:会員が開示データをダウンロードできるようにする機能の追加 |
| 2 | 会員からの開示請求時に第三者提供記録の提供を求められた場合,要求に応じる必要があること | [バ]:保有個人データの第三者提供記録は,既に機能が実装されており,対応不要 [開]:保有個人データの第三者提供記録を開示データとして構成する機能の追加 |
| 3 | 取得後6か月以内に消去する短期保存データも保有個人データとみなされ,会員への開示データに含める必要があること | [バ]:取得後6か月以内でも a を消去する機能の追加 [開]:短期保存データを開示データとして構成する機能の追加 |
| 注記 表中の[バ]はバックヤードシステム,[開]は開示請求対応システム,[シ]はショッピングサイトである。 | ||
〔本調査の結果〕
システム監査チームは本調査の結果として,指摘事項を次のように整理した。
(1)消去した短期保存データのリストを他の監査証拠と突合したところ,一部のバックヤードシステムで短期保存データが適時に消去されていなかった。バックヤードシステム内に保存されている,短期保存データを含めた全保有個人データのリストは,保有個人データ管理データベースで取得日,保存期限などを付して管理されている。これまで短期保存データは,取得日に基づいて一律に取得後6か月で自動的に消去されていた。改正法によって,短期保存データも保有個人データとみなされることになり,保存期限に応じて適時に消去する機能の追加が行われたが,一部のバックヤードシステムで対応が漏れていたことが原因である。
(2)A社が収集している個人関連情報には,位置情報を含むものがある。それぞれでは特定の個人を識別できないが,蓄積された一連の位置情報に含まれる共通の内容が特定の個人の特徴を示すケースが見られ,氏名と結び付けずに特定の個人を識別できる可能性がある。
(3)バックヤードシステム内の,業務委託先とデータ送受信を行うシステムについては,ログ管理システムによってアクセスログ及び操作ログが取得され,一定期間保存されている。しかし,ログ管理システムがもつ,イベントの監視機能,異常検知時のアラート機能,ログの分析機能,分析結果のレポート機能などのうち,一部の機能の設定が適切に行われておらず,個人情報漏えいの兆候及び発生をすぐに発見できない状態であった。
(4)開示請求対応システムで構成された開示データについては,請求した会員がダウンロードできるように,ショッピングサイト内の同会員専用ページにダウンロードページへのリンクが表示される。しかし,ダウンロードページでアドレスを書き換えることで上位ディレクトリにもアクセスできる状態であった。
また,ダウンロードが正常に終了すると,その記録が保存されるが,ダウンロードページには有効期限の表示がなく,開示データにも消去期限が設定されていなかった。このため,開示済みの開示データが消去されないままの状態であった。
設問1 〔本調査の結果〕(1)について答えよ。
(i)当該指摘を行うに当たり,消去した短期保存データのリストと同時にシステム監査チームが入手したと考えられる監査証拠を,35字以内で答えよ。
(ⅱ)表1中のaに入れる適切な字句を,20字以内で答えよ。
解答・解説
解答例
(i) 全短期保存データのリストから保存期限を過ぎたものを抽出したリスト
(ⅱ)保存期限を迎えた短期保存データ
解説
ー
設問2 〔本調査の結果〕(2)について,システム監査チームは,どのような事項を確認して,特定の個人を識別できる可能性があると考えたか。システム監査チームが確認対象とした監査証拠を15字以内で,確認事項を20字以内で答えよ。
解答・解説
解答例
監査証拠:蓄積された一連の位置情報
確認事項:同じ位置情報が複数存在すること
解説
ー
設問3 〔本調査の結果〕(3)について,システム監査チームが考えた,当該状況を改善するために,ログ管理システムでの対応が必要な機能を二つ答えよ。
解答・解説
解答例
・監視機能
・アラート機能
解説
ー
設問4 〔本調査の結果〕(4)について答えよ。
(i)ダウンロードページ経由で上位ディレクトリにアクセスできることについて,システム監査チームが想定したリスクを,45字以内で答えよ。
(ⅱ)システム監査チームが考えた,開示済みである開示データの最も適切な消去のタイミングを,45字以内で答えよ。
解答・解説
解答例
(i)上位及びその下位ディレクトリに保存されている情報が窃取され,漏えいするリスク
(ⅱ)会員による開示データのダウンロードが正常に終了した記録が保存されたタイミング
解説
ー
IPA公開情報
出題趣旨
令和 4 年 4 月の改正個人情報保護法の施行によって,個人情報の保護に関する国際的動向及び情報通信技術の進展を踏まえ,個人情報を活用した新たな産業の創出及び発展への対応が図られることになった。事業者は,法改正による恩恵を受ける一方で,法改正への適切な対応が必要となる。
本問では,システム監査人に必要な,個人情報の活用に伴って発生するリスクの知識,リスクの程度に応じたコントロールを識別する能力,それらのコントロールの有効性を検証するために必要な監査手続と監査証拠を選択する能力を問う。
採点講評
問 1 では,個人情報保護の監査を題材に,法改正による個人情報の活用に伴って生じるリスク,法改正への適切な対応としてのコントロールの識別,コントロールの適切性を確認するための監査手続及び必要な監査証拠について出題した。全体として正答率は平均的であった。
設問 1(i)は,正答率がやや低かった。消去すべき短期保存データが漏れなく消去されていることを確認するためには,消去済みの短期保存データのリストのほかに,消去対象の全短期保存データのリストがあれば十分であり,全保有個人データのリストは不要であることを理解してほしい。
設問 2 は,“確認事項”について正答率が低かった。入手すべき“監査証拠”は理解できていると思われるので,指摘事項を導くためには,監査証拠を用いてどのような観点で確認すべきかを理解してほしい。設問 4(ⅱ)は,正答率が平均的であった。短期保存データと開示データを混同していると思われる解答が散見された。本文中の各データの定義と利用目的を正確に把握してほしい。
