Protection of Individual Information Person
個人情報保護のエキスパートを認定

個人情報保護士認定試験

Partner for you
一般財団法人 全日本情報学習振興協会

参考問題

[課題Ⅰ]個人情報保護の総論

個人情報保護法の理解

問題.
「要配慮個人情報」に関する以下のアからエまでの記述のうち、誤っているものを1つ選びなさい。
ア.身体的被害、精神的被害及び金銭的被害の別を問わず、犯罪の被害を受けた事実は、要配慮個人情報にいう「犯罪により害を被った事実」に含まれる。
イ.特定の個人が統合失調症を患っている等、特定の病歴を示した部分は、要配慮個人情報にいう「病歴」に含まれる。
ウ.前科、すなわち有罪の判決を受けこれが確定した事実は、要配慮個人情報にいう「犯罪の経歴」に含まれる。
エ.国籍や「外国人」という情報、肌の色は、要配慮個人情報にいう「人種」に含まれる。

解答:エ

ア正しい。「要配慮個人情報」にいう「犯罪により害を被った事実」とは、身体的被害、精神的被害及び金銭的被害の別を問わず、犯罪の被害を受けた事実を意味する。具体的には、刑罰法令に規定される構成要件に該当し得る行為のうち、刑事事件に関する手続に着手されたものが該当する。従って、本記述は正しい。
イ正しい。「要配慮個人情報」にいう「病歴」とは、病気に罹患した経歴を意味するもので、特定の病歴を示した部分(例:特定の個人ががんに罹患している、統合失調症を患っている等)が該当する。従って、本記述は正しい。
ウ正しい。「要配慮個人情報」にいう「犯罪の経歴」とは、前科、すなわち有罪の判決を受けこれが確定した事実が該当する。従って、本記述は正しい。
エ誤 り。「要配慮個人情報」にいう「人種」とは、人種、世系又は民族的若しくは種族的出身を広く意味する。もっとも、国籍や「外国人」という情報は法的地位であり、それだけでは「人種」に含まれない。また、肌の色は、人種を推知させる情報にすぎないため、「人種」には含まれない。従って、本記述は誤っている。

問題.
個人情報の利用目的による制限に関する以下のアからエまでの記述のうち、誤っているものを1つ選びなさい。
ア.個人情報取扱事業者は、あらかじめ本人の同意を得ないで、特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはならないが、例えば、本人による同意する旨のタッチパネルへのタッチがあれば、本人の同意を得ているといえる。
イ.個人情報取扱事業者が、利用目的の達成に必要な範囲を超えて個人情報を取り扱うに当たり、本人の同意を得るために個人情報を利用して電話をかけることは、当初特定した利用目的として記載されていない場合でも、目的外利用には該当しない。
ウ.個人情報取扱事業者が、合併により他の個人情報取扱事業者から事業の承継をすることに伴って個人情報を取得した場合は、当該個人情報を、承継前における当該個人情報の利用目的の達成に必要な範囲を超えて取り扱った場合でも、目的外利用にはならず、本人の同意を得る必要はない。
エ.個人情報取扱事業者が、児童虐待のおそれのある家庭情報を、児童相談所、警察、学校、病院等で共有する必要がある場合は、あらかじめ本人の同意を得る必要はない。

解答:ウ

ア正しい。個人情報取扱事業者は、あらかじめ本人の同意を得ないで、特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはならない(16条1項)。例えば、本人による同意する旨のタッチパネルへのタッチがあれば、本人の同意を得ているといえる。従って、本記述は正しい。
イ正しい。個人情報取扱事業者が、利用目的の達成に必要な範囲を超えて個人情報を取り扱うに当たり、本人の同意を得るために個人情報を利用すること(メールの送付をすることや電話をかけること等)は、当初の利用目的として記載されていない場合でも、目的外利用には該当しないとされている。従って、本記述は正しい。
ウ誤 り。個人情報取扱事業者は、合併その他の事由により他の個人情報取扱事業者から事業を承継することに伴って個人情報を取得した場合は、あらかじめ本人の同意を得ないで、承継前における当該個人情報の利用目的の達成に必要な範囲を超えて、当該個人情報を取り扱ってはならない(16条2項)。従って、本記述は誤っている。
エ正しい。16条3項各号は、個人情報取扱事業者が、利用目的の達成に必要な範囲を超えて個人情報を取り扱う場合に、例外的にあらかじめ本人の同意を得なくてもよい場合を定めている。このうち、3号は、例外的にあらかじめ本人の同意を得なくてもよい場合として、「公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき」を挙げている。このため、個人情報取扱事業者が、児童虐待のおそれのある家庭情報を、児童相談所、警察、学校、病院等で共有する必要がある場合は、あらかじめ本人の同意を得る必要はない。従って、本記述は正しい。

問題.
個人データ内容の正確性の確保等に関する【問題文A】から【問題文C】について、以下のアからエまでのうち正しいものを1つ選びなさい。
【問題文A】個人情報取扱事業者が個人データを正確かつ最新の内容に保つための手段として、個人情報データベース等への個人情報の入力時の照合・確認の手続の整備が挙げられる。
【問題文B】個人情報取扱事業者は、保有する個人データについて利用する必要がなくなったときは、法令の定めにより保存期間等が定められている場合であっても、当該個人データを遅滞なく消去するよう努めなければならない。
【問題文C】個人情報取扱事業者は、利用目的が達成され当該目的との関係では当該個人データを保有する合理的な理由が存在しなくなった場合は、当該個人データを遅滞なく消去するよう努めなければならない。
ア.Aのみ誤っている。
イ.Bのみ誤っている。
ウ.Cのみ誤っている。
エ.すべて正しい。

解答:イ

A正しい。個人情報取扱事業者は、利用目的の達成に必要な範囲内において、個人データを正確かつ最新の内容に保つよう努めなければならないが、その手段として、個人情報データベース等への個人情報の入力時の照合・確認の手続の整備が挙げられる。従って、本記述は正しい。
B誤 り。個人情報取扱事業者は、保有する個人データについて利用する必要がなくなったとき、すなわち、利用目的が達成され当該目的との関係では当該個人データを保有する合理的な理由が存在しなくなった場合や、利用目的が達成されなかったものの当該目的の前提となる事業自体が中止となった場合等は、当該個人データを遅滞なく消去するよう努めなければならない(19条)。しかし、法令の定めにより保存期間等が定められている場合は、この限りではない。従って、本記述は誤っている。
C正しい。個人情報取扱事業者は、利用目的の達成に必要な範囲内において、個人データを正確かつ最新の内容に保つとともに、利用する必要がなくなったときは、当該個人データを遅滞なく消去するよう努めなければならない(19条)。「利用する必要がなくなったとき」には、利用目的が達成され当該目的との関係では当該個人データを保有する合理的な理由が存在しなくなった場合が含まれる。従って、本記述は正しい。

問題.
個人情報取扱事業者の委託先の監督に関する【問題文A】から【問題文C】について、以下のアからエまでのうち正しいものを1つ選びなさい。
【問題文A】個人情報取扱事業者は、個人データの取扱いを委託する委託契約に、当該個人データの取扱いに関する必要かつ適切な安全管理措置として、委託元、委託先双方が同意した内容とともに、委託先における委託された個人データの取扱状況を委託元が合理的に把握することを盛り込むことが望ましい。
【問題文B】個人情報取扱事業者は、再委託の条件に関する指示を委託先に行わず、かつ委託先の個人データの取扱状況の確認を怠り、委託先が個人データの処理を再委託し、その結果、再委託先が個人データを漏えいした場合は、委託を受けた者に対して必要かつ適切な監督を行っていたといえない。
【問題文C】個人情報取扱事業者は、委託先における委託された個人データの取扱状況を把握するためには、定期的に監査を行う等により、委託契約で盛り込んだ内容の実施の程度を調査した上で、委託の内容等の見直しを検討することを含め、適切に評価することが望ましい。
ア.Aのみ誤っている。
イ.Bのみ誤っている。
ウ.Cのみ誤っている。
エ.すべて正しい。

解答:エ

A正しい。委託契約には、当該個人データの取扱いに関する必要かつ適切な安全管理措置として、委託元、委託先双方が同意した内容とともに、委託先における委託された個人データの取扱状況を委託元が合理的に把握することを盛り込むことが望ましいとされている。従って、本記述は正しい。
B正しい。個人情報取扱事業者は、再委託の条件に関する指示を委託先に行わず、かつ委託先の個人データの取扱状況の確認を怠り、委託先が個人データの処理を再委託し、その結果、再委託先が個人データを漏えいした場合は、委託を受けた者に対して必要かつ適切な監督を行っていたといえない。従って、本記述は正しい。
C正しい。個人情報取扱事業者は、委託先における委託された個人データの取扱状況を把握するためには、定期的に監査を行う等により、委託契約で盛り込んだ内容の実施の程度を調査した上で、委託の内容等の見直しを検討することを含め、適切に評価することが望ましい。従って、本記述は正しい。

問題.
保有個人データの開示に関する以下のアからエまでの記述のうち、誤っているものを1つ選びなさい。
ア.個人情報取扱事業者は、個人情報保護法の規定に基づき、本人から求められた保有個人データの利用目的を通知しない旨の決定をしたときは、本人に対し、遅滞なく、その旨を通知しなければならない。
イ.保有個人データの開示に関し、他の法令の規定により、別途開示の手続が定められている場合には、当該別途の開示の手続が優先されることとなる。
ウ.個人情報取扱事業者は、本人から、当該本人が識別される保有個人データの開示の請求を受けた場合であっても、同一の本人から複雑な対応を要する同一内容について繰り返し開示の請求があり、事実上問合せ窓口が占有されることによって他の問合せ対応業務が立ち行かなくなる等、業務上著しい支障を及ぼすおそれがあるときは、その全部又は一部を開示しないことができる。
エ.個人情報取扱事業者は、本人からの開示の請求に応じて保有個人データの開示を行う場合、書面の交付による方法によらなければならず、本人が同意している場合でも、電子メール、電話等の方法によることはできない。

解答:エ

ア正しい。個人情報取扱事業者は、27条2項の規定に基づき、本人から求められた保有個人データの利用目的を通知しない旨の決定をしたときは、本人に対し、遅滞なく、その旨を通知しなければならない(27条3項)。従って、本記述は正しい。
イ正しい。保有個人データの開示に関し、個人情報保護法とは異なる法令の規定により、別途開示の手続が定められている場合には、当該別途の開示の手続が優先されることとなる(28条4項)。従って、本記述は正しい。
ウ正しい。個人情報取扱事業者は、本人から、当該本人が識別される保有個人データの開示の請求を受けた場合であっても、例外的にその全部又は一部を開示しないことができる場合を定めている(28条2項各号)。このうち28条2項2号は、「当該個人情報取扱事業者の業務の適正な実施に著しい支障を及ぼすおそれがある場合」を挙げている。同一の本人から複雑な対応を要する同一内容について繰り返し開示の請求があり、事実上問合せ窓口が占有されることによって他の問合せ対応業務が立ち行かなくなる等、業務上著しい支障を及ぼすおそれがあるときは、これに当たり、その全部又は一部を開示しないことができる。従って、本記述は正しい。
エ誤 り。個人情報取扱事業者は、本人から、当該本人が識別される保有個人データの開示の請求(28条1項)を受けたときは、本人に対し、政令で定める方法により、遅滞なく、当該保有個人データを開示しなければならない(28条2項)。これを受けて、個人情報の保護に関する法律施行令9条は、28条2項の政令で定める方法は、書面の交付による方法(開示の請求を行った者が同意した方法があるときは、当該方法)としている。よって、本人が同意している場合には、電子メール、電話等の方法によることができる。従って、本記述は誤っている。

問題.
以下のアからエまでのうち、保有個人データの訂正等に関する【問題文A】から【問題文C】の内容として正しいものを1つ選びなさい。
【問題文A】個人情報取扱事業者は、本人から、当該本人が識別される保有個人データの内容が事実でないという理由によって当該保有個人データの内容の訂正等の請求を受けた場合、調査の結果、その内容が事実でない旨の指摘が正しくないことが判明したときは、訂正等を行う必要はない。
【問題文B】個人情報取扱事業者は、本人から、当該本人が識別される保有個人データの内容が事実でないという理由によって当該保有個人データの内容の訂正等の請求を受けた場合、利用目的からみて訂正等が必要でないときは、訂正等を行う必要はなく、この場合には、訂正等を行わない旨を本人に通知する必要もない。
【問題文C】個人情報取扱事業者は、本人から、当該本人が識別される保有個人データの内容の訂正等の請求を受けた場合、訂正等の対象が事実でなく評価に関する情報であるときは、個人情報保護法に基づく訂正等の義務は生じない。
ア.Aのみ誤っている。
イ.Bのみ誤っている。
ウ.Cのみ誤っている。
エ.すべて正しい。

解答:イ

A正しい。個人情報取扱事業者は、本人から、当該本人が識別される保有個人データの内容が事実でないという理由によって当該保有個人データの内容の訂正等の請求(29条1項)を受けた場合、調査の結果、その内容が事実でない旨の指摘が正しくないことが判明したときは、訂正等を行う必要はない。従って、本記述は正しい。なお、その場合には、遅滞なく、訂正等を行わない旨を本人に通知しなければならない(29条3項)。
B誤 り。個人情報取扱事業者は、本人から、当該本人が識別される保有個人データの内容が事実でないという理由によって当該保有個人データの内容の訂正等の請求(29条1項)を受けた場合、利用目的からみて訂正等が必要でないときは、訂正等を行う必要はない。ただし、その場合には、遅滞なく、訂正等を行わない旨を本人に通知しなければならない(29条3項)。従って、本記述は誤っている。
C正しい。個人情報取扱事業者が、本人から、当該本人が識別される保有個人データの内容の訂正等の請求を受けた場合、個人情報保護法の規定に基づく訂正等の義務を負うのは、「事実」に関するものである。このため、「評価」に関する内容の訂正等の請求を受けた場合には、個人情報保護法に基づく訂正等の義務は生じない。従って、本記述は正しい。

問題.
匿名加工情報取扱事業者の義務に関する【問題文A】及び【問題文B】の正誤の組合せとして正しいものを1つ選びなさい。
【問題文A】匿名加工情報取扱事業者は、匿名加工情報(自ら個人情報を加工して作成したものを除く。)の適正な取扱いを確保するため、安全管理措置、苦情の処理などの措置を自主的に講じて、その内容を公表するよう努めなければならない。
【問題文B】匿名加工情報取扱事業者は、匿名加工情報(自ら個人情報を加工して作成したものを除く。)を利用するときは、元の個人情報に係る本人を識別する目的で、当該個人情報から削除された記述等若しくは個人識別符号若しくは匿名加工情報の加工の方法に関する情報を取得し、又は当該匿名加工情報を他の情報と照合してはならない。
ア.A=○ B=○
イ.A=○ B=×
ウ.A=× B=○
エ.A=× B=×

解答:ア

A正しい。匿名加工情報取扱事業者は、匿名加工情報(自ら個人情報を加工して作成したものを除く。)の安全管理のために必要かつ適切な措置、匿名加工情報の取扱いに関する苦情の処理その他の匿名加工情報の適正な取扱いを確保するために必要な措置を自ら講じ、かつ、当該措置の内容を公表するよう努めなければならない(39条)。従って、本記述は正しい。
B正しい。匿名加工情報取扱事業者は、匿名加工情報(自ら個人情報を加工して作成したものを除く。)を取り扱うに当たっては、当該匿名加工情報の作成に用いられた個人情報に係る本人を識別するために、当該個人情報から削除された記述等若しくは個人識別符号若しくは36条1項、行政機関の保有する個人情報の保護に関する法律44条の10第1項(同条2項において準用する場合を含む。)若しくは独立行政法人等の保有する個人情報の保護に関する法律44条の10第1項(同条2項において準用する場合を含む。)の規定により行われた加工の方法に関する情報を取得し、又は当該匿名加工情報を他の情報と照合してはならない(38条)。従って、本記述は正しい。

マイナンバー法の理解

問題.
個人番号の提供の要求に関する以下のアからエまでの記述のうち、誤っているものを1つ選びなさい。
ア.個人番号関係事務実施者である事業者は、社会保障や税における扶養親族に該当しない者の個人番号であっても、従業員の家族であれば、念のために個人番号の提供を求めておくことができる。
イ.個人番号関係事務実施者である事業者は、従業員に対して、給与の源泉徴収事務等のため、雇用契約の締結時点で個人番号の提供を求めることができる。
ウ.人材派遣会社は、本人確認をした上で個人番号の提供を求める機会が登録時にしかなく、実際に雇用する際の給与支給条件等を決める等、近い将来雇用契約が成立する蓋然性が高いと認められる場合には、登録時点で個人番号の提供を求めることができる。
エ.年の途中に不動産の賃貸借契約を締結したことから、契約した年は不動産の使用料等の支払調書の提出が不要であるが、翌年は支払調書の提出が必要とされることが明らかな場合、不動産の賃貸借契約締結時点で翌年の支払調書作成・提出事務のために個人番号の提供を求めておくことができる。

解答:ア

ア誤 り。個人番号関係事務実施者である事業者は、従業員等と同一の世帯に属する者であっても、社会保障や税における扶養親族に該当しない者の個人番号については、事業者として個人番号関係事務を処理する必要がないことから、提供を求めることはできない。従って、本記述は誤っている。
イ正しい。個人番号関係事務実施者である事業者は、従業員に対して、給与の源泉徴収事務等のため、雇用契約の締結時点で個人番号の提供を求めることができる。従って、本記述は正しい。
ウ正しい。人材派遣会社は、本人確認をした上で個人番号の提供を求める機会が登録時にしかなく、実際に雇用する際の給与支給条件等を決める等、近い将来雇用契約が成立する蓋然性が高いと認められる場合には、雇用契約が成立した場合に準じて、登録時点で個人番号の提供を求めることができる。従って、本記述は正しい。
エ正しい。不動産の使用料等の支払調書の提出範囲は、同一人に対するその年中の支払金額の合計が所得税法の定める一定の金額を超えるものとなっているが、年の途中に不動産の賃貸借契約を締結したことから、その年は支払調書の提出が不要であっても、翌年は支払調書の提出が必要とされる場合には、翌年の支払調書作成・提出事務のために、契約締結時点で当該個人番号の提供を求めることができると考えられる。従って、本記述は正しい。

問題.
個人番号利用事務等実施者が、本人又は本人の代理人から個人番号の提供を受ける場合における本人確認の措置(16条)に関する以下のアからエまでの記述のうち、誤っているものを1つ選びなさい。
ア.個人番号利用事務等実施者が、本人から個人番号の提供を受ける場合、本人確認の措置として、個人番号カードの提示を受けただけで足りる。
イ.個人番号利用事務等実施者が、本人から個人番号の提供を受ける場合、写真表示のない身元確認書類(例えば、写真のない社員証)の1種類のみの提示を受けただけで、「本人の身元確認」をすることができる。
ウ.個人番号利用事務等実施者が、本人から個人番号の提供を受ける場合、個人番号の提供を行う者と雇用関係にあること等の事情を勘案し、人違いでないことが明らかであると個人番号利用事務実施者が認めるときは、「本人の身元確認」は不要となるが、「本人の番号確認」は必要となる。
エ.個人番号利用事務等実施者が、本人の代理人から個人番号の提供を受ける場合、「代理権の確認」書類が必要であるが、法定代理人以外の者である場合、原則として「委任状」が必要となる。

解答:イ

ア正しい。個人番号利用事務等実施者が、本人から個人番号の提供を受ける場合、本人確認の措置としては、「本人の番号確認」及び「本人の身元確認」が必要である。個人番号カードの提示により「本人の番号確認」及び「本人の身元確認」をすることができるため、他に身元確認書類等は必要ない。従って、本記述は正しい。
イ誤 り。写真表示のない身元確認書類の場合には、原則として2種類以上の提示を受けなければ、個人番号利用事務等実施者は「本人の身元確認」をすることができない(16条、番号利用法施行規則(平成26年内閣府・総務省令第3号)1条1項3号、3条2項)。よって、写真表示のない身元確認書類の1種類のみの提示では、「本人の身元確認」をすることはできない。従って、本記述は誤っている。
ウ正しい。個人番号の提供を行う者と雇用関係にあること等の事情を勘案し、人違いでないことが明らかであると個人番号利用事務実施者が認めるときは、「本人の身元確認」は要しない(番号利用法施行規則(平成26年内閣府・総務省令第3号)3条5項)。よって、「本人の身元確認」は不要となるが、「本人の番号確認」は必要となる。従って、本記述は正しい。
エ正しい。個人番号利用事務等実施者が、本人の代理人から個人番号の提供を受ける場合(番号利用法施行令(平成26年政令第155号)12条2項)、「代理権の確認」(1号)、「代理人の身元確認」(2号)、「本人の番号確認」(3号)が、いずれも必要となる。そして、「代理権の確認」書類は、法定代理人以外の者である場合には、原則として、「委任状」であるとされている(番号利用法施行規則(平成26年内閣府・総務省令第3号)6条1項2号)。従って、本記述は正しい。

問題.
特定個人情報の提供制限及び第三者提供の停止に関する【問題文A】から【問題文C】について、以下のアからエまでのうち正しいものを1つ選びなさい。
【問題文A】特定個人情報の個人番号部分を復元できない程度にマスキング又は削除すれば、番号利用法及び個人情報保護法による提供制限は受けなくなる。
【問題文B】保有個人データである特定個人情報が、番号利用法に違反して違法に第三者に提供されているという理由により、本人から第三者への当該特定個人情報の提供の停止を求められた場合であって、その求めに理由があることが判明したときであっても、番号利用法には特定個人情報の第三者提供の停止に関する規定がないため、特定個人情報の第三者提供の停止に応じる法律上の義務はない。
【問題文C】特定個人情報の提供制限の規定に違反する行為については、個人情報保護委員会による勧告の対象とはならない。
ア.Aのみ正しい。
イ.Bのみ正しい。
ウ.Cのみ正しい。
エ.すべて誤っている。

解答:エ

A誤 り。特定個人情報のうち、個人番号部分を復元できない程度にマスキング又は削除すれば、特定個人情報の提供制限に関する番号利用法19条による規制は受けなくなるが、個人情報保護法における個人情報となるので、個人情報の第三者提供の制限に関する個人情報保護法23条による規制は受けることになる。従って、本記述は誤っている。
B誤 り。保有個人データである特定個人情報が、番号利用法19条に違反して違法に第三者に提供されているという理由により、本人から第三者への当該特定個人情報の提供の停止を求められた場合(30条3項により読み替えて適用される個人情報保護法30条3項)であって、その求めに理由があることが判明したときには、原則として、遅滞なく、当該特定個人情報の第三者への提供を停止しなければならない(個人情報保護法30条4項)。従って、本記述は誤っている。
C誤 り。特定個人情報の提供制限の規定(19条)に違反する行為については、個人情報保護委員会による勧告の対象となる(34条1項)。従って、本記述は誤っている。

[[課題Ⅱ]個人情報保護の対策

脅威と対策

問題.
以下のアからエまでのうち、リスクマネジメントに関する次の文章中の(  )に入る最も適切な語句の組合せを1つ選びなさい。
( a )とは、リスク対応を行っても解決ができないリスクのことである。(a)は、リスク評価の過程で設定したリスクの( b )必要がある。なお、リスクの許容水準の設定、及び(a)の承認は、( c )の判断において行うべきで、( d )の判断によるべきではない。そして、定期的なリスク分析を実施する際、(a)の変動状況についても、調査・検討し、必要があれば、許容水準自体の見直しを行う場合もある。
ア.a.残存リスクb.許容水準以下に抑えるc.経営者d.現場担当者
イ.a.残存リスクb.許容水準以上に保つc.現場担当者d.経営者
ウ.a.デフォルトリスクb.許容水準以下に抑えるc.現場担当者d.経営者
エ.a.デフォルトリスクb.許容水準以上に保つc.経営者d.現場担当者

解答:ア

残存リスクとは、リスク対応を行っても解決ができないリスクのことである。残存リスクは、リスク評価の過程で設定したリスクの許容水準以下に抑える必要がある。なお、リスクの許容水準の設定、及び残存リスクの承認は、経営者の判断において行うべきで、現場担当者の判断によるべきではない。そして、定期的なリスク分析を実施する際、残存リスクの変動状況についても、調査・検討し、必要があれば、許容水準自体の見直しを行う場合もある。

問題.
以下のアからエまでのリスク対応の具体例のうち、「リスク低減」に該当しないものを1つ選びなさい。
ア.サーバルームの入退室管理を行って、不正入室の対策を実施する。
イ.社内の情報システムの運用を、ネットワークの専門の会社に委託する。
ウ.従業者に対して、情報セキュリティに関する教育を実施する。
エ.マルウェアの感染を防止するため、セキュリティソフトを導入する。

解答:イ

リスク対応は、回避、低減(最適化)、共有(移転)、保有(受容)に分類することができる。
これらのうち、リスク低減とは、ぜい弱性への対応を講じて、脅威が発生する可能性を低減する対応である。その事例として、次のようなことが挙げられる。
 ・サーバルームの入退室管理を行って、不正入室の対策を実施すること
 ・従業者に対して、情報セキュリティに関する教育を実施すること
 ・マルウェアの感染を防止するため、セキュリティソフトを導入すること
なお、社内の情報システムの運用を、ネットワークの専門の会社に委託することは、リスク移転の事例である。

組織的・人的セキュリティ

問題.
個人情報管理規程及び手順書や業務マニュアルなどに関する以下のアからエまでの記述のうち、不適切なものを1つ選びなさい。
ア.個人情報管理規程は、個人情報保護に関して組織全体に共通する基本ルールであり、個人情報保護対策のPDCAサイクルに沿って項目を定義する。具体的には、個人情報保護方針をブレイクダウンする形で策定する。
イ.個人情報管理規程は、業務実態とかけ離れた無理なルールにならないように、策定作業の前に現場への調査を実施し、実情をよく把握して調整する必要がある。
ウ.手順書や業務マニュアル、台帳、様式は、個人情報管理規程を基準として、実務上の手順や書式を具体的に定めるようにする。
エ.手順書や業務マニュアルは、個人情報管理規程の項目に沿って対象を洗い出して作成する。その際、規定の例外が発生しないようにするため、具体的な表現を避け、ケース事例などは記載してはならない。

解答:エ

ア適切。個人情報管理規程は、個人情報保護に関して組織全体に共通する基本ルールであり、個人情報保護対策のPDCAサイクルに沿って項目を定義する。具体的には、個人情報保護方針をブレイクダウンする形で策定する。
イ適切。個人情報管理規程は、業務実態とかけ離れた無理なルールにならないように、策定作業の前に現場への調査を実施し、実情をよく把握して調整する必要がある。
ウ適切。手順書や業務マニュアル、台帳、様式は、個人情報管理規程を基準として、実務上の手順や書式を具体的に定めるようにする。
エ不適切。手順書や業務マニュアルは、個人情報管理規程の項目に沿って対象を洗い出して作成する。その際、従業者からみてわかりやすくなるように、ケース事例を多く入れることが望まれる。

問題.
次の文章は、雇用契約時に交わす秘密保持に対する誓約書の例の一部を示したものである。以下の下線部aからdまでについて、誓約書の内容として不適切なものの組合せを、アからエの中から1つ選びなさい。
ア.aとbイ.bとcウ.cとdエ.aとd

解答:イ

a適切。職務上知り得た「個人情報及び個人番号」は、不正な第三者提供、漏えい、滅失または毀損をしてはならない。
b不適切。「退職後も継続して自己の責任のもとで厳重に管理」するのではなく、「退職日までに貴社の指定する方法で返還または廃棄」をする。
c不適切。「退職する日までは」ではなく、「退職した後も」本契約を遵守する。
d適切。契約書の前各条項に違反した場合、社内規程に基づく「懲戒処分及び法的責任」の追及を受ける可能性があることを了承する。

オフィスセキュリティ

問題.
以下のアからエまでのうち、訪問者の入退室管理に関する次の文章中の(  )に入る最も適切な語句の組合せを1つ選びなさい。
訪問者に対し、一般領域から安全領域への入室を許可する場合は、入退室記録帳や( a )などに必要事項を記入させる。その際、入退室記録帳や(a)は、( b )のものを用いることが望ましい。なお、記入が済んだ入退室記録帳や(a)は、さまざまなリスクに備え、( c )することが望ましい。
ア.a.個人情報管理台帳b.単票形式c.担当者が確認した後に廃棄
イ.a.個人情報管理台帳b.帳票形式c.責任者が保管
ウ.a.訪問者カードb.単票形式c.責任者が保管
エ.a.訪問者カードb.帳票形式c.担当者が確認した後に廃棄

解答:ウ

訪問者に対し、一般領域から安全領域への入室を許可する場合は、入退室記録帳や訪問者カードなどに必要事項を記入させる。その際、入退室記録帳や訪問者カードは、単票形式のものを用いることが望ましい。なお、記入が済んだ入退室記録帳や訪問者カードは、さまざまなリスクに備え、責任者が保管することが望ましい。

問題.
クラウドサービス利用のメリットに関する【問題文A】から【問題文C】について、以下のアからエまでのうち正しいものを1つ選びなさい。
【問題文A】クラウドの電子メールサービスを利用する場合、インターネットへの接続が可能であれば、利用する場所の物理的な制限がなく、同じメール環境を利用できるため、仕事の機動性が高まる。また、手元のパソコンやタブレットPCなどにコピーを残さなければ、情報の紛失や漏えいのリスクも軽減できる。
【問題文B】業務用のアプリケーションをクラウドサービスとして利用する場合、専用のサーバや専用の端末が不要となり、利用者側でのアプリケーションのインストールやアップデートが不要となるため、それらの初期投資や維持管理の負担が軽減できる。
【問題文C】クラウドのファイル管理サービスを利用する場合、データを一元管理することにより、管理効率が向上するだけではなく、不正プログラムの感染のリスクがないため、利用者側での不正プログラムへの対策が不要となる。
ア.Aのみ不適切である。
イ.Bのみ不適切である。
ウ.Cのみ不適切である。
エ.すべて適切である。

解答:ウ

A適切。クラウドの電子メールサービスを利用する場合、インターネットへの接続が可能であれば、利用する場所の物理的な制限がなく、同じメール環境を利用できるため、仕事の機動性が高まる。また、手元のパソコンやタブレットPCなどにコピーを残さなければ、情報の紛失や漏えいのリスクも軽減できる。従って、本記述は適切である。
B適切。業務用のアプリケーションをクラウドサービスとして利用する場合、専用のサーバや専用の端末が不要となり、利用者側でのアプリケーションのインストールやアップデートが不要となるため、それらの初期投資や維持管理の負担が軽減できる。従って、本記述は適切である。
C不適切。クラウドのファイル管理サービスを利用する場合、データを一元管理することにより、管理効率が向上する一方で、不正プログラムに感染した場合は被害が大きくなる可能性がある。そのため、クラウドからデータをダウンロードする際は、不正プログラムのチェックを行うようにする。また、クラウドサービス上のデータについては適切に不正プログラムのチェックを行い、アップロード時にも不正プログラムの感染の危険をなくすようにする。従って、本記述は不適切である。

情報システムセキュリティ

問題.
ワンタイムパスワード導入のメリットに関する以下のアからエまでの記述のうち、最も適切なものを1つ選びなさい。
ア.パスワードエージングによる制限がないため、同じパスワードを継続して利用することができる。
イ.パスワードに用いる文字数が少なくてすむため、ユーザのパスワードの忘失や誤入力の可能性を低減できる。
ウ.一定時間が経過するごとにパスワードは自動的に変更されるため、第三者に窃取されてしまった場合でも、パスワードを盗用される危険性を低減できる。
エ.ユーザ自身が任意のユーザIDとパスワードを設定することができるため、利便性が向上する。

解答:ウ

ワンタイムパスワードとは、一度のみ使えるパスワードを利用して行う認証のことである。時間によって変化するトークンコード(セキュリティトークン)と、利用者が記憶している個人識別番号の2要素を組み合わせた、より強度の高い認証方法もあり、金融機関のインターネットバンキングサービスなどで利用されている。ワンタイムパスワードは、一定時間が経過するごとにパスワードは自動的に変更されるため、これを導入することにより、第三者に詐取されてしまった場合でも、パスワードを盗用される危険性を低減できるというメリットがある。

問題.
電子メールシステムのセキュリティ管理に関する以下のアからエまでの記述のうち、不適切なものを1つ選びなさい。
ア.業務の遂行を目的にする場合、または、業務に派生的な個人的目的の場合に限り、電子メールシステムの利用を許可する。ただし、業務に支障を及ぼすような長時間の使用や、コンピュータ資源を不当に独占する使用については、この限りではない。
イ.電子メールの末尾には、シグネチャとして、送信者の名前や所属先、連絡先(メールアドレス)を書き添えるものとする。ただし、住所や電話番号などを含めるときは、必要以上に開示しないように留意する。特に、自宅の住所や電話番号などの個人情報に関する内容については、記載しないことが望ましい。
ウ.参考までに内容を伝えたい人の宛先を指定するTOは、宛先が受信者全員に表示されるため、第三者のメールアドレスが不要な人にまで公開されないよう配慮する必要がある。なお、特定の人物にメールが届けられることを他者に知られたくないときは、その宛先をCCに指定する。
エ.重要な内容の電子メールを受信した場合は、直ちに確認のメールを返信する。また、受信した電子メールを第三者に転送する場合は、メールの内容と転送する宛先に十分に注意し、社外秘文書や顧客の個人情報などを流出させないようにしなければならない。

解答:ウ

ア適切。業務の遂行を目的にする場合、または、業務に派生的な個人的目的の場合に限り、電子メールシステムの利用を許可する。ただし、業務に支障を及ぼすような長時間の使用や、コンピュータ資源を不当に独占する使用については、この限りではない。
イ適切。電子メールの末尾には、シグネチャとして、送信者の名前や所属先、連絡先(メールアドレス)を書き添えるものとする。ただし、住所や電話番号などを含めるときは、必要以上に開示しないように留意する。特に、自宅の住所や電話番号などの個人情報に関する内容については、記載しないことが望ましい。
ウ不適切。参考までに内容を伝えたい人の宛先を指定するCC(Carbon Copy)は、宛先が受信者全員に表示されるため、第三者のメールアドレスが不要な人にまで公開されないよう配慮する必要がある。なお、特定の人物にメールが届けられることを他者に知られたくないときは、その宛先をBCC(Blind Carbon Copy)に指定する。
エ適切。重要な内容の電子メールを受信した場合は、直ちに確認のメールを返信する。また、受信した電子メールを第三者に転送する場合は、メールの内容と転送する宛先に十分に注意し、社外秘文書や顧客の個人情報などを流出させないようにしなければならない。

問題.
以下のアからエまでのうち、ネットワークを経由した攻撃の名称とその概要を示した次の表の(  )に入る最も適切な語句の組合せを1つ選びなさい。
ア.a.パスワードリスト攻撃b.DoS攻撃c.ゼロデイ攻撃
イ.a.パスワードリスト攻撃b.ゼロデイ攻撃c.DoS攻撃
ウ.a.DoS攻撃b.ゼロデイ攻撃c.パスワードリスト攻撃
エ.a.DoS攻撃b.パスワードリスト攻撃c.ゼロデイ攻撃

解答:ア


試験申込試験申込

学割試験申込

資料請求

協会トップページへ

全情協クオリファイドメンバー

企業担当者様へ

申請書(個人用)

個人情報保護士認定試験の受験料を会社の経費でご負担頂けるケースも多くあるようです。申請用紙のサンプルがダウンロードできますのでご利用下さい。

試験情報
試験対策
合格者の方へ
アップグレード講習会
マイナンバー対応更新講習会 詳細・お申込みはこちら
PAGE TOP ▲