サンプル問題

個人情報保護実務検定 サンプル問題

ご覧になりたい項目をクリックしてください。
[課題Ⅰ]個人情報保護の総論[課題Ⅱ]個人情報保護の対策

[課題Ⅰ]個人情報保護の総論

個人情報保護法の理解

問題1.
令和4年4月1日に全面施行された「個人情報の保護に関する法律等の一部を改正する法律」に規定されている漏えい等の報告等に関する以下のアからエまでの記述のうち、誤っているものを1つ選びなさい。
ア.個人情報取扱事業者は、要配慮個人情報が含まれる個人データ(高度な暗号化その他の個人の権利利益を保護するために必要な措置を講じたものを含む。)の漏えい等が発生し、又は発生したおそれがある事態(以下本問において「報告対象事態」という。)を知ったときは、原則として、当該事態が生じた旨を個人情報保護委員会に報告しなければならない。
イ.個人情報取扱事業者は、個人データに係る本人の数が千人を超える漏えい等が発生し、又は発生したおそれがある事態を知ったときは、原則として、当該事態が生じた旨を個人情報保護委員会に報告しなければならない。
ウ.個人情報取扱事業者は、滅失等の報告対象事態を知った場合には、原則として、当該事態が生じた旨を個人情報保護委員会に報告しなければならないが、当該個人情報取扱事業者が行政機関等から当該個人データの取扱いの全部又は一部の委託を受けた場合であって、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を当該行政機関等に通知したときは、この限りでない。
エ.個人情報取扱事業者が、他の個人情報取扱事業者から個人データの取扱いが委託されている場合において、委託先の個人情報取扱事業者が、報告義務を負っている委託元の個人情報取扱事業者に報告対象事態が発生したことを通知したときは、委託先は、個人情報保護委員会への報告義務とともに本人への通知義務も免除される。

解答:ア

ア誤 り。個人情報取扱事業者は、要配慮個人情報が含まれる個人データ(高度な暗号化その他の個人の権利利益を保護するために必要な措置を講じたものを除く。)の漏えい等が発生し、又は発生したおそれがある事態(以下本問において「報告対象事態」という。)を知ったときは、原則として、当該事態が生じた旨を個人情報保護委員会に報告しなければならない(法26条1項、規則7条1項1号)。
イ正しい。個人情報取扱事業者は、個人データに係る本人の数が千人を超える漏えい等が発生し、又は発生したおそれがある事態を知ったときは、原則として、当該事態が生じた旨を個人情報保護委員会に報告しなければならない(法26条1項、規則7条1項4号)。
ウ正しい。個人情報取扱事業者は、滅失等の報告対象事態を知った場合には、原則として、当該事態が生じた旨を個人情報保護委員会に報告しなければならない。ただし、当該個人情報取扱事業者が、他の個人情報取扱事業者又は行政機関等から当該個人データの取扱いの全部又は一部の委託を受けた場合であって、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を当該他の個人情報取扱事業者又は行政機関等に通知したときは、この限りでない(法26条1項ただし書)。
エ正しい。個人データの取扱いが委託されている場合において、委託先が、報告義務を負っている委託元に報告対象事態が発生したことを通知したときは、委託先は、個人情報保護委員会への報告義務とともに本人への通知義務も免除される(法26条1項ただし書、同条2項かっこ書)。

問題2.
令和4年4月1日に全面施行された「個人情報の保護に関する法律等の一部を改正する法律」に規定されている個人関連情報の第三者提供の制限等に関する以下のアからエまでの記述のうち、誤っているものを1つ選びなさい。
ア.個人関連情報とは、生存する個人に関する情報であって、個人情報、仮名加工情報及び匿名加工情報のいずれかに該当するものをいう。
イ.個人関連情報取扱事業者は、提供先の第三者が個人関連情報(個人関連情報データベース等を構成するものに限る。以下本問において同じ。)を個人データとして取得することが想定されるときは、原則として、第三者が個人データとして取得することを認める旨の本人の同意が得られていることをあらかじめ確認しないで、当該個人関連情報を当該第三者に提供してはならない。
ウ.個人関連情報取扱事業者は、提供先の第三者が個人関連情報を個人データとして取得することが想定される場合であって、当該第三者が外国にある第三者であるときは、原則として、一定の情報が本人に提供された上で個人情報保護法が規定する同意が得られていることをあらかじめ確認しないで、当該個人関連情報を当該第三者に提供してはならない。
エ.個人関連情報取扱事業者は、提供先の第三者が個人関連情報を個人データとして取得することが想定される場合には、個人情報保護法の規定による確認を行い、その記録を作成しなければならない。

解答:ア

ア誤 り。個人関連情報とは、生存する個人に関する情報であって、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないものをいう(法2条7項)。例えば、ある個人の商品購買履歴・サービス利用履歴、ある個人の位置情報、ある個人の興味・関心を示す情報等である。ただし、これらの情報が個人情報に該当する場合は、個人関連情報に該当しないことになる。例えば、個人に関する位置情報が連続的に蓄積される等して特定の個人を識別することができる場合には、個人情報に該当し、個人関連情報には該当しないことになる。
イ正しい。個人関連情報取扱事業者は、提供先の第三者が個人関連情報(個人関連情報データベース等を構成するものに限る。以下本問において同じ。)を個人データとして取得することが想定されるときは、原則として、個人データとして取得することを認める旨の本人の同意が得られていることをあらかじめ確認しないで、当該個人関連情報を当該第三者に提供してはならない(法31条1項1号)。
ウ正しい。個人関連情報取扱事業者は、提供先の第三者が個人関連情報を個人データとして取得することが想定される場合であって、当該第三者が外国にある第三者であるときは、原則として、一定の情報(当該外国における個人情報の保護に関する制度、当該第三者が講ずる個人情報の保護のための措置その他当該本人に参考となるべき情報)が本人に提供された上で法31条1項1号が規定する本人の同意が得られていることをあらかじめ確認しないで、当該個人関連情報を当該第三者に提供してはならない(同項2号)。
エ正しい。個人関連情報取扱事業者は、法31条1項の規定による確認を行ったときは、原則として、その記録を作成しなければならない(法30条3項、同法31条3項)。
なお、個人関連情報取扱事業者は、作成した記録を個人情報保護委員会規則で定める期間保存しなければならない(法30条4項、同法31条3項)。

問題3.
令和4年4月1日に全面施行された「個人情報の保護に関する法律等の一部を改正する法律」に規定されている仮名加工情報に関する以下のアからエまでの記述のうち、誤っているものを1つ選びなさい。
ア.仮名加工情報とは、個人情報の区分に応じて一定の措置を講じて他の情報と照合しない限り特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報をいう。
イ.仮名加工情報が、「他の情報と容易に照合することができ、それにより特定の個人を識別することができる」状態にある場合は、当該仮名加工情報は個人情報に該当する。
ウ.仮名加工情報を作成したとき、又は仮名加工情報及び当該仮名加工情報に係る削除情報等を取得したときは、削除情報等の安全管理措置を講じなければならない。
エ.個人情報取扱事業者である仮名加工情報取扱事業者は、原則として、仮名加工情報である個人データを第三者に提供することができる。

解答:エ

ア正しい。仮名加工情報とは、次の各号に掲げる個人情報の区分に応じて当該各号に定める措置を講じて他の情報と照合しない限り特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報をいう(法2条5項)。

①法2条1項1号に該当する個人情報 当該個人情報に含まれる記述等の一部を削除すること(当該一部の記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)

②法2条1項2号に該当する個人情報 当該個人情報に含まれる個人識別符号の全部を削除すること(当該個人識別符号を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)

イ正しい。仮名加工情報取扱事業者が、仮名加工情報の作成の元となった個人情報や当該仮名加工情報に係る削除情報等を保有している等により、当該仮名加工情報が、「他の情報と容易に照合することができ、それにより特定の個人を識別することができる」状態にある場合は、当該仮名加工情報は個人情報(法2条1項)に該当する。この場合、当該仮名加工情報取扱事業者は、個人情報である仮名加工情報の取扱いに関する義務を遵守する必要がある。
ウ正しい。仮名加工情報を作成したとき、又は仮名加工情報及び当該仮名加工情報に係る削除情報等を取得したときは、削除情報等の安全管理措置を講じなければならない(法41条2項)。
エ誤 り。個人情報取扱事業者である仮名加工情報取扱事業者は、法令に基づく場合を除くほか、仮名加工情報である個人データを第三者に提供してはならない(法41条6項)。事業者内部における分析に限定するための行為規制である。

問題4.
個人情報に関する以下のアからエまでの記述のうち、誤っているものを1つ選びなさい。
ア.個人の行動履歴は、経時的にデータが積み重ねられる情報となるため、単体で個人情報となる。
イ.SNSのニックネームやユーザIDは、周知である等の事情がない限り、単独では個人情報に該当しない。
ウ.各公共交通機関の利用者割合等の統計情報は、個人との対応関係が排斥されている限りにおいて個人情報に該当しない。
エ.会社における職位又は所属に関する情報を本人の氏名と組み合わせた情報は、個人情報に該当する。

解答:ア

ア誤 り。行動履歴は、他の属性との組み合わせや外部の情報との照合によって個人を特定できる場合は「個人情報」に該当する。単体では個人情報とはならない。
イ正しい。SNSのニックネームやユーザIDは、周知である等の事情がない限り、通常は特定の個人を識別できないため、それ単独では個人情報とはいえないが、当該情報に含まれる他の情報によって特定の個人が識別できる場合には、個人情報に該当する。
ウ正しい。各公共交通機関の利用者割合等の統計情報は、個人との対応関係が排斥されている限りにおいて「個人情報」には該当しない。
エ正しい。生年月日、連絡先(住所・居所・電話番号・メールアドレス)、会社における職位又は所属に関する情報について、それらと本人の氏名を組み合わせた情報。

問題5.
「要配慮個人情報」に関する以下のアからエまでの記述のうち、誤っているものを1つ選びなさい。
ア.医師等により行われた健康診断等の結果が含まれる個人情報は「要配慮個人情報」に該当するが、健康診断等を受診した事実だけでは「要配慮個人情報」に該当しない。
イ.有罪の犯罪を受けこれが確定した事実や犯罪行為を行った事実は「要配慮個人情報」に該当するが、反社会的集団に所属し、関係を有している事実は「要配慮個人情報」に該当しない。
ウ.本人を被疑者又は被告人として刑事事件に関する手続が行われたという事実は「要配慮個人情報」に該当するが、他人を被疑者とする犯罪捜査のために取調べを受けた事実は「要配慮個人情報」に該当しない。
エ.精神障害があることを特定させる情報は「要配慮個人情報」に該当するが、障害福祉サービスを受けているという情報は「要配慮個人情報」に該当しない。

解答:エ

ア正しい。本人に対して医師その他医療に関連する職務に従事する者(医師等)により行われた疾病の予防及び早期発見のための健康診断その他の検査(健康診断等)の結果は、「要配慮個人情報」に該当する(施行令2条2号)。これに対して、健康診断等を受診した事実だけでは「要配慮個人情報」に該当しない。
イ正しい。犯罪の履歴が含まれる個人情報は、「要配慮個人情報」に該当する(法2条3項)。これに対して、反社会的集団に所属し、関係を有している事実は「要配慮個人情報」に該当しない。
ウ正しい。本人を被疑者又は被告人として、逮捕、捜索、差押え、勾留、公訴の提訴その他の刑事事件に関する手続きが行われたという事実が含まれる個人情報は、「要配慮個人情報」に該当する(法2条3項、施行令2条4号)。これに対して、他人を被疑者とする犯罪捜査のために取調べを受けた事実は「要配慮個人情報」に該当しない。
エ誤 り。精神障害があることを特定させる情報は、「要配慮個人情報」に該当する(法2条3項、施行令2条1号)。また、障害福祉サービスを受けているという情報も「要配慮個人情報」に該当する。従って、本記述は誤っている。

問題6.
「匿名加工情報」に関する以下のアからエまでの記述のうち、正しいものを1つ選びなさい。
ア.匿名加工情報を作成するために個人情報を加工する作業を行っている途上であるものは、加工が不十分である場合、特定の個人を識別することができ、又は元の個人情報が復元できる状態にある可能性があることから、原則としてプライバシー情報として取り扱うことが適当であるとされている。
イ.個人情報を安全管理措置の一環のためにマスキング等によって匿名化した場合、「匿名加工情報」に該当する。
ウ.個人識別符号が含まれる個人情報の場合、当該個人識別符号の一部のみを削除等することにより、特定の個人を識別することができないようにすることが、「匿名加工情報」の要件の1つであるとされている。
エ.要配慮個人情報を含む個人情報を加工して「匿名加工情報」を作成することは禁止されていない。

解答:エ

ア誤 り。匿名加工情報を作成するために個人情報を加工する作業を行っている途上であるものは、加工が不十分である場合には、特定の個人を識別することができる、又は元の個人情報が復元できる状態にある可能性があることから、原則として個人情報として取り扱うことが適当であるとされている。適当であるとされているのは個人情報であってプライバシー情報ではない。
イ誤 り。匿名加工情報を作成するためには、匿名加工情報作成の意図を持って、法43条1項に基づき、施行規則34条各号で定める基準に従い加工する必要がある。したがって、匿名加工情報作成基準に基づかずに、個人情報を安全管理措置の一環等のためにマスキング等によって匿名化した場合には、匿名加工情報に該当しない。
ウ誤 り。法2条1項2号に該当する「個人識別符号が含まれるもの」である個人情報の場合には、「当該個人情報に含まれる個人識別符号の全部を削除すること(当該個人識別符号を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。」という措置を講じて、「特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報であって、当該個人情報を復元することができないようにしたもの」であることが「匿名加工情報」の要件となる(法2条6項2号)。個人識別符号が含まれる個人情報の場合、当該個人情報に含まれる個人識別符号の「全部」を削除等することにより、特定の個人を識別することができないようにしたものでなければならないとされている。
エ正しい。要配慮個人情報を含む個人情報を加工して匿名加工情報を作成することも可能とされているため、禁止されていない。

問題7.
個人情報の利用目的の特定及び変更に関する以下のアからエまでの記述のうち、誤っているものを1つ選びなさい。
ア.個人情報取扱事業者は、個人情報を取り扱うに当たっては、その利用の目的(以下「利用目的」という。)をできる限り特定しなければならないが、ここでいう「個人情報を取り扱うに当たっては」とは、個人情報を取得後、当該個人情報を利用する前までにという意味である。
イ.個人情報取扱事業者は、個人情報を取り扱うに当たっては、その利用目的をできる限り特定しなければならないが、単に「提供するサービス向上のため」というだけでは利用目的を特定したとはいえない。
ウ.個人情報取扱事業者は、利用目的を変更する場合には、変更前の利用目的と関連性を有すると合理的に認められる範囲を超えて行ってはならないが、個人情報の第三者提供が利用目的に入っていない場合で、利用目的に第三者提供を追加する場合は、関連性を有するとは認められない。
エ.個人情報取扱事業者は、利用目的を変更する場合には、変更前の利用目的と関連性を有すると合理的に認められる範囲を超えて行ってはならないが、フィットネス事業者が、「顧客の食事メニューの指導を行うサービスを提供するため」という利用目的に「当該食事メニューに関する食品の販売サービスのため」を追加した場合、関連性を有すると合理的に認められる。

解答:ア

ア誤 り。法17条1項で規定されている「個人情報を取り扱うに当たっては」とは、個人情報の取得時までにという意味である。
イ正しい。単に「提供するサービス向上のため」というだけでは利用目的を特定したとはいえない。
ウ正しい。個人情報の第三者提供が利用目的に入っていない場合で利用目的に第三者提供を追加する場合は、関連性を有するとは認められない。
エ正しい。フィットネス事業者が、「顧客の食事メニューの指導を行うサービスを提供するため」という利用目的に「当該食事メニューに関する食品の販売サービスのため」を追加した場合、関連性を有すると合理的に認められる。

問題8.
個人情報取扱事業者による個人情報の適正取得に関する以下のアからエまでの記述のうち、誤っているものを1つ選びなさい。
ア.不正の手段で個人情報が取得されたことを知らなくても、容易に知ることができた状況で個人情報を取得した場合には、不正の手段による個人情報の取得に該当する。
イ.本人の同意を得ずに第三者提供されていることを知らずに個人情報を取得した場合には、不正の手段による個人情報の取得に該当する。
ウ.個人であっても個人情報取扱事業者に該当し得るため、偽りその他不正の行為により個人情報を取得した場合は、個人情報の適正取得に違反する。
エ.インターネット等で公表されている個人情報を閲覧するに過ぎず、転記などを行わない場合、個人情報の取得には該当しない。

解答:イ

ア正しい。不正の手段で個人情報が取得されたことを知り、又は容易に知ることができるにもかかわらず、当該個人情報を取得した場合、個人情報の不正な取得に該当する。
イ誤 り。本人の同意を得ずに第三者提供されていることを知りながら取得する場合は、不正の手段による個人情報の取得に該当するが、第三者的提供されていることを知らずに個人情報を取得した場合には個人情報の不正な取得に該当しない。
ウ正しい。個人であっても個人事業取扱事業者(法16条2項)に該当し、偽りその他不正の行為により個人情報を取得した場合は、個人情報の適正取得に違反する。
エ正しい。インターネット等で公表されている個人情報を閲覧するに過ぎず、転記などを行わない場合、個人情報の取得には該当しない。

問題9.
オプトアウトによる第三者提供に関する以下のアからエまでの記述のうち、誤っているものを1つ選びなさい。
ア.個人情報取扱事業者は、オプトアウトによる方法で個人データを第三者に提供を行う際、第三者提供を行うために必要な所定の事項を、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置かなければならないが、この措置は、第三者に提供される個人データによって識別される本人が当該提供の停止を求めるのに必要な期間を置かなければならない。
イ.個人データを、オプトアウトによる第三者提供を行うために必要な所定の事項を本人に通知し、又は本人が容易に知り得る状態に置く時期と個人情報保護委員会の届け出る時期は、必ずしも同時である必要はない。
ウ.個人情報取扱事業者は、オプトアウトによる方法で個人データを第三者に提供を行う場合、オプトアウト事項を個人情報保護委員会に届け出なければならないが、代理人による届出の方法は定められていない。
エ.個人情報取扱事業者は、オプトアウトによる方法で個人データを第三者に提供を行う場合、オプトアウト事項を個人情報保護委員会に届け出なければならないが、届け出たときは、その内容を自らもインターネットの利用その他の適切な方法により公表するものとされている。

解答:ウ

ア正しい。個人情報取扱事業者は、オプトアウトによる方法で第三者に提供を行う際、第三者提供を行うために必要な所定の事項を、あらかじめ、本人に通知し、又は本人が知り得る状態に置かなければならない(法27条2項)。また、この措置は、第三者に提供される個人データによって識別される本人が当該提供の停止を求めるのに必要な期間を置かなければならない(施行規則11条1項1号)。
イ正しい。本人に通知し、又は本人が知り得る状態に置く時期と個人情報保護委員会に届け出る時期は、必ずしも同時である必要はない。なお、同時でない場合は本人が通知又は容易に知り得る状態に置いた後、速やかに個人情報保護委員会に届け出ることが望ましいとされている。
ウ誤 り。オプトアウト事項の届出は、施行規則11条2項で定めるところにより、個人情報保護委員会に届け出なければならないが、代理人による届け出の方法も施行規則で定められている(施行規則11条3項、同規則12条)。
エ正しい。個人情報取扱事業者は、法27条2項により必要な事項を個人情報保護員会に届け出たときは、その内容を自らもインターネットの利用その他の適切な方法により公表するものとされている(施行規則14条)。

問題10.
個人データの委託及び事業の承継に関する以下のアからエまでの記述のうち、誤っているものを1つ選びなさい。
ア.百貨店が注文を受けた商品の発送のために宅配業者に個人データを渡す場合、個人データの委託に該当し、百貨店は宅配業者の監督義務を負う。
イ.個人情報取扱事業者から個人データの取扱いの委託を受けている者が、提供された個人データを委託の内容と関係のない自社の営業活動等のために利用する場合、個人データの委託に該当しない。
ウ.データの打ち込み等、情報処理を委託するために個人データを提供する場合は、個人データの委託に該当しない。
エ.営業譲渡により事業が承継され、それに伴い個人データが譲渡される場合は、承継者は第三者に該当せず、承継者は個人データが譲渡される前の利用目的の範囲内で利用しなければならない。

解答:ウ

ア正しい。百貨店が注文を受けた商品の発送のために宅配業者に個人データを渡す場合、個人データの委託に該当し、百貨店は宅配業者の監督義務を負う。
イ正しい。個人情報取扱事業者から個人データの取扱いの委託を受けている者が、提供された個人データを委託の内容と関係のない自社の営業活動等のために利用する場合、個人データの委託に該当しない。
ウ誤 り。データの打ち込み等、情報処理を委託するために個人データを提供する場合は、個人データの委託に該当する。
エ正しい。営業譲渡により事業が承継され、それに伴い個人データが譲渡される場合は、承継者は第三者に該当しない(法27条5項2号)。また、承継者は個人データが譲渡される前の利用目的の範囲内で利用しなければならない(法18条2項)。

問題11.
保有個人データの利用停止等及び第三者提供の停止に関する以下のアからエまでの記述のうち、誤っているものを1つ選びなさい。
ア.個人情報取扱事業者は、本人から、当該本人が識別される保有個人データが、個人情報保護法の規定に違反して本人の同意なく目的外利用されているという理由によって、利用停止等の請求を受けた場合であって、その請求に理由があることが判明したときは、原則として、違反を是正するために必要な限度で、遅滞なく、利用停止等を行わなければならない。
イ.個人情報取扱事業者は、本人から、当該本人が識別される保有個人データが、個人情報保護法の規定に違反して取得されたものであるという理由によって、利用停止等の請求を受けた場合であって、その請求に理由があることが判明したときであっても、当該保有個人データの利用停止等を行うことが困難である場合は、利用停止等その他何等の措置をとる必要はない。
ウ.個人情報取扱事業者は、本人から、当該本人が識別される保有個人データが、個人情報保護法の規定に違反して本人の同意なく第三者に提供されているという理由によって、第三者提供の停止の請求を受けた場合であって、その請求に理由があることが判明したときは、原則として、遅滞なく、第三者提供の停止を行わなければならない。
エ.個人情報取扱事業者は、個人情報保護法の規定による請求に係る保有個人データの全部について第三者への提供を停止したときは、本人に対し、遅滞なく、その旨を通知しなければならない。

解答:イ

ア正しい。個人情報取扱事業者は、本人から、当該本人が識別される保有個人データが、法18条の規定に違反して本人の同意なく目的外利用されているという理由によって、利用停止等の請求を受けた場合であって、その請求に理由があることが判明したときは、原則として、違反を是正するために必要な限度で、遅滞なく、利用停止等を行わなければならない(法35条2項)。
イ誤 り。個人情報取扱事業者は、本人から、当該本人が識別される保有個人データが、法20条の規定に違反して取得されたものであるという理由によって、利用停止等の請求を受けた場合であって、その請求に理由があることが判明したときであっても、当該保有個人データの利用停止等を行うことが困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、利用停止等を行わなくてよい(法35条2項ただし書)。代替措置をとることが必要である。
ウ正しい。個人情報取扱事業者は、本人から、当該本人が識別される保有個人データが、法27条1項又は法28条の規定に違反して本人の同意なく第三者に提供されているという理由によって、第三者提供の停止の請求を受けた場合であって、その請求に理由があることが判明したときは、原則として、遅滞なく、第三者提供の停止を行わなければならない(法35条4項)。
エ正しい。個人情報取扱事業者は、法35条3項の規定による請求に係る保有個人データの全部について第三者への提供を停止したときは、本人に対し、遅滞なく、その旨を通知しなければならない(法35条7項)。本人が自分の請求の結果について知ることができるようにするためである。

問題12.
域外適用等及び外国執行当局への情報提供に関する以下のアからエまでの記述のうち、誤っているものを1つ選びなさい。
ア.令和4年4月1日に全面施行された「個人情報の保護に関する法律等の一部を改正する法律」により、個人情報取扱事業者等が個人情報保護委員会の命令に違反した場合には、個人情報保護委員会がその旨を公表することができることとなった。この公表によって、内国事業者に対する命令の実効性は担保されるが、外国事業者に対する命令の実効性が担保されることにはならない。
イ.令和4年4月1日に全面施行された「個人情報の保護に関する法律等の一部を改正する法律」により、域外適用の対象範囲が拡大され、日本国内にある者に係る個人情報等を取り扱う外国事業者は、罰則によって担保された報告徴収・命令の対象となった。
ウ.個人情報保護委員会は、外国執行当局に対し、その職務(個人情報保護法に規定する委員会の職務に相当するものに限る。)の遂行に資すると認める情報の提供を行うことができる。
エ.外国執行当局への情報提供については、当該情報が当該外国執行当局の職務の遂行以外に使用されず、かつ、個人情報保護法の規定による個人情報保護委員会の同意がなければ外国の刑事事件の捜査等に使用されないよう適切な措置がとられなければならない。

解答:ア

ア誤 り。令和4年4月1日に全面施行された「個人情報の保護に関する法律等の一部を改正する法律」により、個人情報取扱事業者等が個人情報保護委員会の命令に違反した場合には、個人情報保護委員会がその旨を公表することができることとなり(法145条4項)、この公表によって外国事業者に対する命令の実効性を担保することとしている。
イ正しい。令和4年4月1日に全面施行された「個人情報の保護に関する法律等の一部を改正する法律」により、域外適用の対象範囲が拡大され、日本国内にある者に係る個人情報等を取り扱う外国事業者は、罰則によって担保された報告徴収・命令の対象となった(法166条)。改正前においては、個人情報保護委員会の権限が限定されていたため、外国における漏えい等の事案に対して、同委員会が適切に対処できないおそれがあり、また、法の規定が適用される者が限定されていたため、国内の事業者と外国の事業者との間で公平に法が適用されないという問題があった。そこで、令和2年の改正により、域外適用の対象範囲が拡大された。
ウ正しい。個人情報保護委員会は、外国執行当局に対し、その職務(個人情報保護法に規定する委員会の職務に相当するものに限る。)の遂行に資すると認める情報の提供を行うことができる(法167条1項)。この執行協力により委員会の監督の実効性を確保することも期待されている。
エ正しい。外国執行当局への情報提供については、当該情報が当該外国執行当局の職務の遂行以外に使用されず、かつ、法167条3項の規定による委員会の同意がなければ外国の刑事事件の捜査等に使用されないよう適切な措置がとられなければならない(法167条2項)。

問題13.
個人情報保護法の罰則に関する以下のアからエまでの記述のうち、誤っているものを1つ選びなさい。
ア.個人情報データベース等の不正提供を行った場合、行為者は、1年以下の懲役又は50万円以下の罰金に処せられ、両罰規定により、法人等に対しては、1億円以下の罰金に処せられる。
イ.個人情報保護委員会からの命令に違反した場合、行為者は、1年以下の懲役又は100万円以下の罰金に処せられ、両罰規定により、法人等に対しては、1億円以下の罰金に処せられる。
ウ.個人情報保護委員会からの報告徴収や立入検査に対し、虚偽の報告や虚偽の資料提出をした場合、行為者は、50万円以下の罰金に処せられ、両罰規定により、法人等に対しては、100万円以下の罰金に処せられる。
エ.認定個人情報保護団体でない者が、認定個人情報保護団体又は紛らわしい名称を用いた場合、10万円以下の過料に処せられる。

解答:ウ

ア正しい。個人情報データベース等の不正提供を行った場合、行為者は、1年以下の懲役又は50万円以下の罰金に処せられる(法174条)。また、両罰規定により、法人等に対しては、1億円以下の罰金刑が科される(法179条1号)。
イ正しい。個人情報保護委員会からの命令に違反した場合、行為者は、1年以下の懲役又は100万円以下の罰金に処せられる(法173条)。また、両罰規定により、法人等に対しては、1億円以下の罰金に処せられる(法179条1号)。
ウ誤 り。個人情報保護委員会からの報告徴収や立入検査に対し、虚偽の報告や虚偽の資料提出をした場合、行為者は、50万円以下の罰金に処せられる(法177条2号)。また、両罰規定により、法人等に対しては、法177条2号と同じ50万円以下の罰金に処せられる(法179条2号)。
エ正しい。認定個人情報保護団体でない者が、認定個人情報保護団体又は紛らわしい名称を用いた場合(法56条)、10万円以下の過料に処せられる(法180条)。また、本規定は、両罰規定の対象ではない。

[課題Ⅱ]個人情報保護の対策

脅威と対策

問題1.
以下のアからエまでのうち、リスクマネジメントに関する次の文章中の(  )に入る最も適切な語句の組合せを1つ選びなさい。
( a )とは、リスク対応を行っても解決ができないリスクのことである。(a)は、リスク評価の過程で設定したリスクの( b )必要がある。なお、リスクの許容水準の設定、及び(a)の承認は、( c )の判断において行うべきで、( d )の判断によるべきではない。そして、定期的なリスク分析を実施する際、(a)の変動状況についても、調査・検討し、必要があれば、許容水準自体の見直しを行う場合もある。
ア.a.残存リスクb.許容水準以下に抑えるc.経営者d.現場担当者
イ.a.残存リスクb.許容水準以上に保つc.現場担当者d.経営者
ウ.a.デフォルトリスクb.許容水準以下に抑えるc.現場担当者d.経営者
エ.a.デフォルトリスクb.許容水準以上に保つc.経営者d.現場担当者

解答:ア

残存リスクとは、リスク対応を行っても解決ができないリスクのことである。残存リスクは、リスク評価の過程で設定したリスクの許容水準以下に抑える必要がある。なお、リスクの許容水準の設定、及び残存リスクの承認は、経営者の判断において行うべきで、現場担当者の判断によるべきではない。そして、定期的なリスク分析を実施する際、残存リスクの変動状況についても、調査・検討し、必要があれば、許容水準自体の見直しを行う場合もある。

問題2.
以下のアからエまでのリスク対応の具体例のうち、「リスク低減」に該当しないものを1つ選びなさい。
ア.サーバルームの入退室管理を行って、不正入室の対策を実施する。
イ.社内の情報システムの運用を、ネットワークの専門の会社に委託する。
ウ.従業者に対して、情報セキュリティに関する教育を実施する。
エ.マルウェアの感染を防止するため、セキュリティソフトを導入する。

解答:イ

リスク対応は、回避、低減(最適化)、共有(移転)、保有(受容)に分類することができる。
これらのうち、リスク低減とは、ぜい弱性への対応を講じて、脅威が発生する可能性を低減する対応である。その事例として、次のようなことが挙げられる。
 ・サーバルームの入退室管理を行って、不正入室の対策を実施すること
 ・従業者に対して、情報セキュリティに関する教育を実施すること
 ・マルウェアの感染を防止するため、セキュリティソフトを導入すること
なお、社内の情報システムの運用を、ネットワークの専門の会社に委託することは、リスク移転の事例である。

組織的・人的セキュリティ

問題3.
個人情報管理規程及び手順書や業務マニュアルなどに関する以下のアからエまでの記述のうち、不適切なものを1つ選びなさい。
ア.個人情報管理規程は、個人情報保護に関して組織全体に共通する基本ルールであり、個人情報保護対策のPDCAサイクルに沿って項目を定義する。具体的には、個人情報保護方針をブレイクダウンする形で策定する。
イ.個人情報管理規程は、業務実態とかけ離れた無理なルールにならないように、策定作業の前に現場への調査を実施し、実情をよく把握して調整する必要がある。
ウ.手順書や業務マニュアル、台帳、様式は、個人情報管理規程を基準として、実務上の手順や書式を具体的に定めるようにする。
エ.手順書や業務マニュアルは、個人情報管理規程の項目に沿って対象を洗い出して作成する。その際、規定の例外が発生しないようにするため、具体的な表現を避け、ケース事例などは記載してはならない。

解答:エ

ア適切。個人情報管理規程は、個人情報保護に関して組織全体に共通する基本ルールであり、個人情報保護対策のPDCAサイクルに沿って項目を定義する。具体的には、個人情報保護方針をブレイクダウンする形で策定する。
イ適切。個人情報管理規程は、業務実態とかけ離れた無理なルールにならないように、策定作業の前に現場への調査を実施し、実情をよく把握して調整する必要がある。
ウ適切。手順書や業務マニュアル、台帳、様式は、個人情報管理規程を基準として、実務上の手順や書式を具体的に定めるようにする。
エ不適切。手順書や業務マニュアルは、個人情報管理規程の項目に沿って対象を洗い出して作成する。その際、従業者からみてわかりやすくなるように、ケース事例を多く入れることが望まれる。

問題4.
次の文章は、雇用契約時に交わす秘密保持に対する誓約書の例の一部を示したものである。以下の下線部aからdまでについて、誓約書の内容として不適切なものの組合せを、アからエの中から1つ選びなさい。
ア.aとbイ.bとcウ.cとdエ.aとd

解答:イ

a適切。職務上知り得た「個人情報及び個人番号」は、不正な第三者提供、漏えい、滅失または毀損をしてはならない。
b不適切。「退職後も継続して自己の責任のもとで厳重に管理」するのではなく、「退職日までに貴社の指定する方法で返還または廃棄」をする。
c不適切。「退職する日までは」ではなく、「退職した後も」本契約を遵守する。
d適切。契約書の前各条項に違反した場合、社内規程に基づく「懲戒処分及び法的責任」の追及を受ける可能性があることを了承する。

オフィスセキュリティ

問題5.
以下のアからエまでのうち、訪問者の入退室管理に関する次の文章中の(  )に入る最も適切な語句の組合せを1つ選びなさい。
訪問者に対し、一般領域から安全領域への入室を許可する場合は、入退室記録帳や( a )などに必要事項を記入させる。その際、入退室記録帳や(a)は、( b )のものを用いることが望ましい。なお、記入が済んだ入退室記録帳や(a)は、さまざまなリスクに備え、( c )することが望ましい。
ア.a.個人情報管理台帳b.単票形式c.担当者が確認した後に廃棄
イ.a.個人情報管理台帳b.帳票形式c.責任者が保管
ウ.a.訪問者カードb.単票形式c.責任者が保管
エ.a.訪問者カードb.帳票形式c.担当者が確認した後に廃棄

解答:ウ

訪問者に対し、一般領域から安全領域への入室を許可する場合は、入退室記録帳や訪問者カードなどに必要事項を記入させる。その際、入退室記録帳や訪問者カードは、単票形式のものを用いることが望ましい。なお、記入が済んだ入退室記録帳や訪問者カードは、さまざまなリスクに備え、責任者が保管することが望ましい。

問題6.
クラウドサービス利用のメリットに関する【問題文A】から【問題文C】について、以下のアからエまでのうち正しいものを1つ選びなさい。
【問題文A】クラウドの電子メールサービスを利用する場合、インターネットへの接続が可能であれば、利用する場所の物理的な制限がなく、同じメール環境を利用できるため、仕事の機動性が高まる。また、手元のパソコンやタブレットPCなどにコピーを残さなければ、情報の紛失や漏えいのリスクも軽減できる。
【問題文B】業務用のアプリケーションをクラウドサービスとして利用する場合、専用のサーバや専用の端末が不要となり、利用者側でのアプリケーションのインストールやアップデートが不要となるため、それらの初期投資や維持管理の負担が軽減できる。
【問題文C】クラウドのファイル管理サービスを利用する場合、データを一元管理することにより、管理効率が向上するだけではなく、不正プログラムの感染のリスクがないため、利用者側での不正プログラムへの対策が不要となる。
ア.Aのみ不適切である。
イ.Bのみ不適切である。
ウ.Cのみ不適切である。
エ.すべて適切である。

解答:ウ

A適切。クラウドの電子メールサービスを利用する場合、インターネットへの接続が可能であれば、利用する場所の物理的な制限がなく、同じメール環境を利用できるため、仕事の機動性が高まる。また、手元のパソコンやタブレットPCなどにコピーを残さなければ、情報の紛失や漏えいのリスクも軽減できる。従って、本記述は適切である。
B適切。業務用のアプリケーションをクラウドサービスとして利用する場合、専用のサーバや専用の端末が不要となり、利用者側でのアプリケーションのインストールやアップデートが不要となるため、それらの初期投資や維持管理の負担が軽減できる。従って、本記述は適切である。
C不適切。クラウドのファイル管理サービスを利用する場合、データを一元管理することにより、管理効率が向上する一方で、不正プログラムに感染した場合は被害が大きくなる可能性がある。そのため、クラウドからデータをダウンロードする際は、不正プログラムのチェックを行うようにする。また、クラウドサービス上のデータについては適切に不正プログラムのチェックを行い、アップロード時にも不正プログラムの感染の危険をなくすようにする。従って、本記述は不適切である。

情報システムセキュリティ

問題7.
ワンタイムパスワード導入のメリットに関する以下のアからエまでの記述のうち、最も適切なものを1つ選びなさい。
ア.パスワードエージングによる制限がないため、同じパスワードを継続して利用することができる。
イ.パスワードに用いる文字数が少なくてすむため、ユーザのパスワードの忘失や誤入力の可能性を低減できる。
ウ.一定時間が経過するごとにパスワードは自動的に変更されるため、第三者に窃取されてしまった場合でも、パスワードを盗用される危険性を低減できる。
エ.ユーザ自身が任意のユーザIDとパスワードを設定することができるため、利便性が向上する。

解答:ウ

ワンタイムパスワードとは、一度のみ使えるパスワードを利用して行う認証のことである。時間によって変化するトークンコード(セキュリティトークン)と、利用者が記憶している個人識別番号の2要素を組み合わせた、より強度の高い認証方法もあり、金融機関のインターネットバンキングサービスなどで利用されている。ワンタイムパスワードは、一定時間が経過するごとにパスワードは自動的に変更されるため、これを導入することにより、第三者に詐取されてしまった場合でも、パスワードを盗用される危険性を低減できるというメリットがある。

問題8.
電子メールシステムのセキュリティ管理に関する以下のアからエまでの記述のうち、不適切なものを1つ選びなさい。
ア.業務の遂行を目的にする場合、または、業務に派生的な個人的目的の場合に限り、電子メールシステムの利用を許可する。ただし、業務に支障を及ぼすような長時間の使用や、コンピュータ資源を不当に独占する使用については、この限りではない。
イ.電子メールの末尾には、シグネチャとして、送信者の名前や所属先、連絡先(メールアドレス)を書き添えるものとする。ただし、住所や電話番号などを含めるときは、必要以上に開示しないように留意する。特に、自宅の住所や電話番号などの個人情報に関する内容については、記載しないことが望ましい。
ウ.参考までに内容を伝えたい人の宛先を指定するTOは、宛先が受信者全員に表示されるため、第三者のメールアドレスが不要な人にまで公開されないよう配慮する必要がある。なお、特定の人物にメールが届けられることを他者に知られたくないときは、その宛先をCCに指定する。
エ.重要な内容の電子メールを受信した場合は、直ちに確認のメールを返信する。また、受信した電子メールを第三者に転送する場合は、メールの内容と転送する宛先に十分に注意し、社外秘文書や顧客の個人情報などを流出させないようにしなければならない。

解答:ウ

ア適切。業務の遂行を目的にする場合、または、業務に派生的な個人的目的の場合に限り、電子メールシステムの利用を許可する。ただし、業務に支障を及ぼすような長時間の使用や、コンピュータ資源を不当に独占する使用については、この限りではない。
イ適切。電子メールの末尾には、シグネチャとして、送信者の名前や所属先、連絡先(メールアドレス)を書き添えるものとする。ただし、住所や電話番号などを含めるときは、必要以上に開示しないように留意する。特に、自宅の住所や電話番号などの個人情報に関する内容については、記載しないことが望ましい。
ウ不適切。参考までに内容を伝えたい人の宛先を指定するCC(Carbon Copy)は、宛先が受信者全員に表示されるため、第三者のメールアドレスが不要な人にまで公開されないよう配慮する必要がある。なお、特定の人物にメールが届けられることを他者に知られたくないときは、その宛先をBCC(Blind Carbon Copy)に指定する。
エ適切。重要な内容の電子メールを受信した場合は、直ちに確認のメールを返信する。また、受信した電子メールを第三者に転送する場合は、メールの内容と転送する宛先に十分に注意し、社外秘文書や顧客の個人情報などを流出させないようにしなければならない。

問題9.
以下のアからエまでのうち、ネットワークを経由した攻撃の名称とその概要を示した次の表の(  )に入る最も適切な語句の組合せを1つ選びなさい。
ア.a.パスワードリスト攻撃b.DoS攻撃c.ゼロデイ攻撃
イ.a.パスワードリスト攻撃b.ゼロデイ攻撃c.DoS攻撃
ウ.a.DoS攻撃b.ゼロデイ攻撃c.パスワードリスト攻撃
エ.a.DoS攻撃b.パスワードリスト攻撃c.ゼロデイ攻撃

解答:ア




第55回 個人情報保護実務検定

連続チャレンジ

キャンペーン

連続して受験すると受験料が10%割り引かれます。また、連続受験では、2回目の合格率が1回目より15%高くなるというデータがあります。
1回で諦めないでください。

申込期限 10月20日(木)

連続して受験すると受験料10%割引

>>お申込みはこちら
個人情報保護実務SMART合格講座

[スマホ講座]

今なら取れる

全情協

SMART合格講座

国家試験

著名検定

どこでも楽々

格安4,800円~

だれでも合格

SPIテスト
個人情報保護士
行政書士
宅建士
FP検定
ビジネス実務法務
マイナンバー実務
セキュリティ管理士・他

会員募集中!!

特典が多数

個人情報保護
実務士会

詳細は
こちら
申請書(個人用)

個人情報保護実務検定の受験料を会社の経費でご負担頂けるケースも多くあるようです。申請用紙のサンプルがダウンロードできますのでご利用下さい。

学生さんページ

就活に有利!学生さんの試験合格体験談を集めました。

>>詳細はこちら

令和4年12月11日開催

第32回

マイナンバー実務検定

お申込みはこちら

PAGE TOP ▲