ITパスポート過去問 令和5年度(2023年)問18
EUの一般データ保護規則(GDPR)に関する記述として,適切なものだけを全て挙げたものはどれか。
- a EU域内に拠点がある事業者が,EU域内に対してデータやサービスを提供している場合は,適用の対象となる。
- b EU域内に拠点がある事業者が,アジアや米国などEU域外に対してデータやサービスを提供している場合は,適用の対象とならない。
- c EU域内に拠点がない事業者が,アジアや米国などEU域外に対してだけデータやサービスを提供している場合は,適用の対象とならない。
- d EU域内に拠点がない事業者が,アジアや米国などからEU域内に対してデータやサービスを提供している場合は,適用の対象とならない。
選択肢
- ア:a
- イ:a,b,c
- ウ:a,c
- エ:a,c,d
- ア
- イ
- ウ
- エ
正解と解き方・学習ポイント(AI解説)
GDPRは、EU域内拠点がある場合は(拠点に関連する処理として)原則適用されます。また、EU域内に拠点がない事業者でも、EU域内の個人に対してデータやサービスを提供する場合などは適用対象になります。これらから、aは適切、cは適切、bとdは不適切となるため、正しい記述はaとcです。
Point
この問題は、GDPRの適用範囲を、EU域内拠点の有無と、提供先がEU域内かEU域外かの組合せで判定できるかを確認することがねらいです。特に、EU域外の事業者であってもEU域内向けの提供で適用対象になり得る点を押さえることが目的です。
解くために必要な知識
この問題を解くには、GDPRの適用対象の考え方(拠点の所在とEU域内の個人への関係)を理解している必要があります。
用語の整理
| 用語名 | 意味 |
|---|---|
| GDPR(一般データ保護規則) | EUが定めた個人データ保護の規則です。一定の条件で、EU域内外の事業者に適用されます。 |
| 個人データ | 氏名、メールアドレスなど、個人を識別できる情報です。 |
GDPRの適用対象の基本
EU域内に拠点がある場合
EU域内に拠点(establishment)がある事業者は、原則としてGDPRの適用対象として扱われます。
EU域内に拠点がない場合
EU域内に拠点がなくても、次のようにEU域内の個人に関係する場合は適用対象として扱われます。
-
EU域内の個人に対して、データやサービスを提供する場合
-
EU域内の個人の行動を監視する場合(例:行動追跡など)
問題の解法手順
各記述を判定する手順
1. EU域内に拠点があるかを確認します
EU域内に拠点がある場合は、原則としてGDPRの適用対象として扱われます。
2. EU域内に拠点がない場合は、提供先がEU域内かを確認します
EU域内に拠点がなくても、EU域内の個人に対してデータやサービスを提供する場合は、GDPRの適用対象として扱われます。
各記述の整理
| 記述 | 拠点の所在 | データ・サービスの提供先 | 適用対象か | 正誤 |
|---|---|---|---|---|
| a | EU域内にある | EU域内 | 対象となる | 正しい |
| b | EU域内にある | EU域外 | 対象となる | 誤り |
| c | EU域内にない | EU域外のみ | 対象とならない | 正しい |
| d | EU域内にない | EU域内 | 対象となる | 誤り |
選択肢ごとの解説
- ア:不正解
「a」だけを挙げていますが、「c」も適切です。問題は適切なものを全て挙げる必要があるため、「ア」は不正解です。
- イ:不正解
「a」と「c」は適切ですが、「b」は不適切です。EU域内に拠点がある場合、提供先がEU域外でも適用対象になり得るため、「適用の対象とならない」とする点が誤りです。
- ウ:正解
「a」はEU域内に拠点がありEU域内向けの提供なので適用対象になり得て適切です。「c」はEU域内に拠点がなくEU域外にだけ提供しているため、原則として適用対象外で適切です。よって「a」「c」を挙げた「ウ」が正解です。
- エ:不正解
「a」と「c」は適切ですが、「d」は不適切です。EU域内に拠点がなくてもEU域内向けの提供で適用対象になり得るため、「適用の対象とならない」とする点が誤りです。
まとめ
GDPRは、EU域内拠点がある場合は(拠点に関連する処理として)原則適用されます。また、EU域内に拠点がない事業者でも、EU域内の個人に対してデータやサービスを提供する場合などは適用対象になります。これらから、aは適切、cは適切、bとdは不適切となるため、正しい記述はaとcです。
ストラテジ系 > 企業と法務 > 法務
「a」だけを挙げていますが、「c」も適切です。問題は適切なものを全て挙げる必要があるため、「ア」は不正解です。
「a」と「c」は適切ですが、「b」は不適切です。EU域内に拠点がある場合、提供先がEU域外でも適用対象になり得るため、「適用の対象とならない」とする点が誤りです。
「a」はEU域内に拠点がありEU域内向けの提供なので適用対象になり得て適切です。「c」はEU域内に拠点がなくEU域外にだけ提供しているため、原則として適用対象外で適切です。よって「a」「c」を挙げた「ウ」が正解です。
「a」と「c」は適切ですが、「d」は不適切です。EU域内に拠点がなくてもEU域内向けの提供で適用対象になり得るため、「適用の対象とならない」とする点が誤りです。