メインコンテンツへ
システム監査ITガバナンス

GDPR(EU一般データ保護規則)の要件に基づく「データ保護影響評価(DPIA:Data Protection Impact Assessment)」を実施しなければならないケースとして、最も適切なものはどれか。

ア.高リスクな個人データ処理(大規模な特別カテゴリデータの処理・大規模な組織的な人物監視・新技術を用いた処理等)を開始する前。正解
イ.社内の IT 資産台帳をスプレッドシートで管理するシステムを更新するとき。
ウ.従業員 100 名以下の中小企業が新製品のパンフレットをデザインするとき。
エ.DPIA は任意の自主取り組みであり、GDPR は特定の場合に実施を義務付けていない。

解説

DPIA は「高リスクな個人データ処理の事前レントゲン検査」。プライバシーに深刻な影響を与えかねない処理を始める前に、リスクを評価して対策を打つ——後からでは遅いケースへの義務。

なぜ ア が正解か

アが正解。GDPR 第 35 条は以下の場合に DPIA を義務付ける:①自動的な大規模プロファイリング②特別カテゴリデータ(健康・生体・宗教等)の大規模処理③公共空間の大規模かつ組織的な監視④新技術を使った処理でリスクが高い場合。監督機関(各国 DPA)が高リスクリスト(ブラックリスト)を公表し、該当する処理には DPIA が必須。

なぜ イ は間違いか

IT 資産台帳の更新は個人情報の大規模処理にあたらず、DPIA の一般的なトリガーに該当しない。

なぜ ウ は間違いか

パンフレットデザインは個人データ処理を伴わない作業であり DPIA の対象外。

なぜ エ は間違いか

GDPR 第 35 条は高リスクな処理に対して DPIA を義務付けている。任意ではなく法的義務。

出典: AI生成問題(学習用)