※平成17年10月2日開催の第1回個人情報保護士認定試験の試験問題一部抜粋です。
※実際の試験問題数は【課題T.個人情報保護の総論】60問、【課題U.個人情報保護の対策】60問。 試験時間は課題TとU合わせて150分です。
U.個人情報保護の対策
リスク分析
| 問題41. | 以下の文章を読み、誤っているものを1つ選びなさい。 |
|---|
| ア. | リスク分析の初期段階では、保有する情報資産を調査し、重要性の分類を行い、要求されるセキュリティの水準を定める。 |
| イ. | 適切なリスク管理とは、リスクの大きさがセキュリティ要求水準と同等になるように対策基準を策定する。 |
| ウ. | 一般的にリスクの大きさは、脅威の発生頻度と発生した際の損害の規模から評価することができる。 |
| エ. | リスクの評価において、脅威の発生頻度を情報資産のぜい弱性に、発生した際の損害の規模を情報資産の重要性に、それぞれを置き換えて評価する方法もある。 |
| 問題42. | 以下の文章を読み、正しいものを1つ選びなさい。 |
|---|
| ア. | 情報資産に変更があったときや情報資産に対するリスクに変化が生じたときには、関係する情報資産についてリスク分析を再度行い、必要に応じてポリシーの見直しを行うべきである。 |
| イ. | 定期的なポリシーの評価および見直しは、いかなる場合でもリスクマネジメント方針の策定から再検討することが必要である。 |
| ウ. | リスク分析を行った際に情報資産のぜい弱性が発見された場合、早急に対応する必要のあるものであっても、定期開催のリスクマネジメント委員会を待って、再検討しなければならない。 |
| エ. | リスク分析を行った結果の資料は、情報資産のぜい弱性の分析が記されているため、ポリシー策定の基礎資料になりえない。 |
組織的・人的セキュリティ
| 問題57. | 以下の文章を読み、誤っているものを1つ選びなさい。 |
|---|
| ア. | 委託先に対して個人データを提供する場合、第三者提供について本人の同意を得たうえで提供した場合は、委託元は、委託先の監督責任を負う。 |
| イ. | 委託は、本来自己の業務である個人データの取扱いを他者に依頼することなので、本人の同意を得たからといって、委託元は、委託先の監督責任を免れるわけではない。 |
| ウ. | オフィスの清掃を請け負う会社で、清掃員はコンピュータのあるオフィスに立ち入ることはあるが、それらを触ることはない場合、個人データの非開示契約の締結は必要ない。 |
| エ. | 宅配業者に委託して、個人データが記録されているディスクを配送する場合、通常は送付物の中に個人情報が含まれているかどうかを認識することなく個人情報を取扱っているので、個人情報保護に関する契約の義務はない。 |
| 問題58. | 以下の文章を読み、誤っているものを1つ選びなさい。 |
|---|
| ア. | 個人情報の取扱いをA社から外部のB社に委託する際、B社がさらに別の委託先C社に再委託することを、A社は拒否することができる。 |
| イ. | 事業者の内部における責任体制を確保するための仕組みとして、個人情報保護管理者の設置、内部関係者のアクセス管理や持ち出し防止など、個人情報の安全管理についての対策が重要である。 |
| ウ. | 個人情報の取扱いを外部に委託する際には、個人情報の流出防止をはじめとする個人情報保護のための措置が委託先において確保されるよう、委託契約の中において、委託元ではなく委託先の責任を明確に定めることが重要である。 |
| エ. | 事業者において、個人情報の漏えいの防止をはじめ、取扱う個人情報の適切な保護を確保するために、教育研修の実施を通じて、従業者の個人情報の保護意識を高めることが重要である。 |
オフィスセキュリティ
| 問題73. | 以下の文章を読み、誤っているものを1つ選びなさい。 |
|---|
| ア. | 情報システム部が管理しているパソコン以外の利用は、原則として禁止することが望ましいが、個人が所有しているパソコンは管理しなくてもよい。 |
| イ. | ハードディスクから個人情報が削除されている場合でも、デスクトップ型やノート型などの種類に関わらず、パソコンの持ち出しを原則として禁止することが望ましい。 |
| ウ. | ノートパソコンについては、盗難防止などのために、未使用時にはキャビネットに保管して施錠するのが望ましい。 |
| エ. | ノートパソコンには盗難防止用のスロット(差し込み口)があり、それに対応するワイヤーやチェーンで机に固定しておくことが望ましい。 |
| 問題74. | 以下の文章を読み、誤っているものを1つ選びなさい。 |
|---|
| ア. | 個人情報は、特定の保管場所に施錠して管理することが望ましく、鍵の場所は誰でもわかるように目立つところに設置することが望ましい。 |
| イ. | 外部へ不正に文書の持ち出しが行われないように、出入口付近にFAXやプリンタ、コピー機などを設置しないことが望ましい。 |
| ウ. | 個人情報を取扱うエリアでは、身分を証明するIDカードの着用を義務付け、来訪者が入室する場合は、所定の手続きを行ったうえでゲストカードの着用を義務付ける。 |
| エ. | サーバルームや役員室など、重要度が高い情報が取扱われているエリアについては、高セキュリティエリアとして、厳重な入退管理が必要である。 |
情報システムセキュリティ
| 問題86. | 以下の文章を読み、誤っているものを1つ選びなさい。 |
|---|
| ア. | モニタリング実施にあたっては、あらかじめ社内規定案を策定し、事前に従業員に周知することが望ましい。 |
| イ. | 従業者監督の一環として、従業者のモニタリングを行う場合には、厚生労働省の指針などを参考に、適正に行うことが望ましい。 |
| ウ. | モニタリングの実施に関しては、実施する責任者とその権限を明確にし、あらかじめ利用目的を特定することが必要である。 |
| エ. | モニタリングの実施状況については、適正に行われているかを監査または確認を行い、取得した内容は責任者の管理下において公表することが望ましい。 |
| 問題87. | 以下の文章を読み、正しいものを1つ選びなさい。 |
|---|
| ア. | アクセス制限において、一般的にはIDとパスワードによる認証が利用されているが、IDとパスワードにおいては、両者ともに同等に厳格に個人管理すべきである。 |
| イ. | パスワードは求められるセキュリティレベルによって異なるが、最小文字数の制限を指定すべきであり、一般的に6文字以上が採用されている。 |
| ウ. | パスワードは複雑になりすぎると利用者の負担が大きくなるため、利用者が覚えやすい意味のある単語を採用すべきである。 |
| エ. | IDが複雑なものであれば、パスワードはIDと同じものを採用してもよい。 |
