システム監査
GDPR(EU一般データ保護規則)の要件に基づく「データ保護影響評価(DPIA:Data Protection Impact Assessment)」を実施しなければならないケースとして、最も適切なものはどれか。
ア.高リスクな個人データ処理(大規模な特別カテゴリデータの処理・大規模な組織的な人物監視・新技術を用いた処理等)を開始する前。正解
イ.社内の IT 資産台帳をスプレッドシートで管理するシステムを更新するとき。
ウ.従業員 100 名以下の中小企業が新製品のパンフレットをデザインするとき。
エ.DPIA は任意の自主取り組みであり、GDPR は特定の場合に実施を義務付けていない。
解説
DPIA は「高リスクな個人データ処理の事前レントゲン検査」。プライバシーに深刻な影響を与えかねない処理を始める前に、リスクを評価して対策を打つ——後からでは遅いケースへの義務。
なぜ ア が正解か
アが正解。GDPR 第 35 条は以下の場合に DPIA を義務付ける:①自動的な大規模プロファイリング②特別カテゴリデータ(健康・生体・宗教等)の大規模処理③公共空間の大規模かつ組織的な監視④新技術を使った処理でリスクが高い場合。監督機関(各国 DPA)が高リスクリスト(ブラックリスト)を公表し、該当する処理には DPIA が必須。
出典: AI生成問題(学習用)