第50回試験の感想と教訓

易化していないような。。。

第49回で合格基準点引き下げ措置があったので易化するだろうと予想しましたが、難易度は全然変わってないように感じました。

以下、次回以降の受験生のために感想と教訓を残しておこうと思います。

やっぱり過去問

おおざっぱに言うと、過去に何度も問われている事柄を再び出題している即答すべき問題が80問くらい、過去問を一ひねりしていたり少し踏み込んでいてちょっと迷う問題が30問くらい、初お目見えで過去問をつぶしていただけでは対応できないかなという問題が10問くらいでした。

仮に、「即答すべき問題」を確実に得点すれば残りの問題は正答率25%くらいでいいわけです。4肢択一形式の問題が多いので、25%はあてずっぽと同じです。過去問をしっかりつぶして即答すべき問題を確実に得点するのが合格の必要条件かと思います。

平成27年改正事項は丁寧に勉強しましょう

個人識別符号、要配慮個人情報、匿名加工情報といった改正事項はよく出題されます。

しかし、改正法施行後に実施された試験はまだ4回しかありません。つまり、過去問で出題されつくしているとは言えないわけです。

過去問とは違った角度から聞いてみたり、少し踏み込んで出題してみたりという可能性がありますので、そいういう問題に対処できるように丁寧に勉強しておくことをお勧めします。

「公認テキスト」は必読

公式テキストのオフィスセキュリティの項にRAIDの解説はありません。これが第49回試験で出題されて驚いたのですが、第50回試験ではさらに詳しく聞かれました。

しかし、公認テキストには1ページ割いて説明があります。公認テキストで勉強していた人はできましたね。

同様に、第49回試験で(おそらく)初登場のキャッシュポイズニングが第50回試験でも繰り返し出題されました。これまた公式テキストには記載がありません。しかし、公認テキストには(たったの5行ですが)説明があります。

改めて公認テキストをながめると課題IIの問題は公認テキストをもとに作っていることが想像できます。

不正アクセス禁止法、ボットハーダー、PKI、CA、ARP、VLANなど、他のテキストには書かれていないことが書かれていて、しかも試験の問題文はほぼ公認テキストそのままです。

第51回試験も公認テキストを下敷きにして出題されるかは分かりませんが、公認テキストを使わないわけにはいかなくなったと思います。

こちらです。

 

 

第49回試験解説:情報システムセキュリティ

第49回個人情報保護士試験の解答・解説です。

問題101 正答:エ

公開鍵暗号化方式に関する問題です。

送信者は、受信者の公開鍵で暗号化します。したがって、空欄(a)には受信者である「y」が、空欄(b)には「公開鍵」が入り、これだけで正答はエとなります。

受信者は、自身の秘密鍵で復号します。したがって、空欄(c)、(d)にはそれぞれ、「y」「秘密鍵」と入ります。

 問題102 正答:イ

デジタル署名に関する問題です。

  • 「電子文書の作成者を示すために行われたものであること」は「本人認証」に関する記述なので、空欄(a)には「本人認証」が入ります。
  • 「作成された電子文書に対する改ざんが行われていないことを確認できるものであること」は「メッセージ認証」に関する記述なので、空欄(b)には「メッセージ認証」が入ります。
  • デジタル署名は「公開鍵暗号方式」の応用ですので、空欄(c)には「公開鍵暗号方式」が入ります。
  • 「与えられた入力値から規則性のない固定長の値を生成する演算手法」は「ハッシュ関数」のことです。したがって、空欄(d)には「ハッシュ関数」が入ります。

以上より、正答はイとなります。

問題103 正答:ウ

ワンタイムパスワード導入のメリットに関する問題です。

  • ワンタイムパスワードは利用の都度パスワードを発行するものですから、「同じパスワードを継続して利用」できるとする選択肢アは不適切です。
  • ワンタイムパスワードで使用するパスワードの文字数が少ないとは限りませんので選択肢イも不適切です。
  • ユーザ自身でパスワードを設定することはできませんので選択肢エも不適切です。
  • 適切なのは選択肢ウです。パスワードが窃取されてしまっても、第三者がそのパスワードを使用しようとしてもパスワードは変更されている場合が多く、盗用される危険性を低減することができます。

問題104 正答:ウ

ユーザ識別の認証方式に関する問題です。

  • 空欄(a)について。身体的特徴を識別手段として利用する認証方式は「バイオメトリクス認証」です。
  • 空欄(b)について。バイオメトリクス認証において、身体的特徴のほかに識別手段として用いられるのは「行動的特徴」です。
  • 空欄(c)について。利用者が装置に直接触れることなく、手をかざすだけで認証を行うことができるのは「静脈」による認証です。

以上より、正答はウとなります。

問題105 正答:ア

MACアドレスフィルタリングに関する問題です。

  • 問題文Aについて。MACアドレスをシステムポイントなどにあらかじめ登録し、登録されていない機器からの接続を拒否すること、MACアドレスの別名が物理的アドレスであること、記述のとおりです。
  • 問題文Bについて。MACアドレスは偽装が可能なので意図的な不正アクセスに対して効果が薄いこと、他の不正アクセス対策との併用が望ましいこと、記述の通りです。

以上より、いずれの問題文も正しいので正答はアとなります。

問題106 正答:エ

不正アクセス対策の技術に関する問題です。

  • 空欄(a)について。「ヘッダを検査する」という記述から「URLフィルタリング」ではなく「パケットフィルタリング」であると判断できます。
  • 空欄(b)について。「ターミネータ」はSCSI(最近ほとんどみかけません)接続をする周辺機器の末端につける装置です。パケットフィルタリング機能を備えているのは「ルータ」です。
  • 空欄(c)について。セキュリティ強度の高いネットワークを構築するためには、「他のセキュリティ技術を併用する必要がある」といえます。

以上より、正答はエとなります。

問題107 正答:イ

不正アクセス対策の技術に関する問題です。

  • 問題文Aについて。IDSに関する正しい記述となっています。
  • 問題文Bについて。IPSはIDSより検知の精度が低いということはありません。また、処理が高速化されているともいえません。したがって誤りです。

以上より、正答はイとなります。

問題108 正答:ウ

UTMに関する問題です。

  • 選択肢アについて。UTM(Unified Threat Management)は、さまざまな機能を持つソフトや機器を統合(unify)したものです。したがって、対策項目ごとに個別の機器・ソフトウェアを導入する場合よりコストを抑えることが可能です。したがって、正しい記述です。
  • 選択肢イについて。選択肢アと同じ理由により導入や設定・管理が簡素化されます。したがって、正しい記述です。
  • 選択肢エについて。UTMはルータ(インターネットへの出入口)とサーバーやパソコンなどの間に設置しますので、これが故障してしまうとインターネット接続自体ができなくなることがあります。したがって、正しい記述です。
  • 選択肢ウについて。個別の機器・ソフトウェアを導入する場合と比べて性能や拡張性が高くなるということはありません。むしろ個別の機器の方が専門特化している分高性能であると考えられます。したがって、誤っており正答はウとなります。

問題109 正答:ウ

セキュアなプロトコルに関する問題です。

SSH(Secure SHell)、SSL(Secure Sockets Layer)/TLS(Transport Layer Security)、IPSEC(IP SECurity architecture)の概要を知っているかが問われています。

SSL/TLSは「Webブラウザ・サーバ間の通信で、情報を暗号化して送受信するために用いられるプロトコル」ですので、空欄(b)にSSL/TLSが入るとわかり、選択肢アとウに絞れます。

「IPパケットレベルでの認証、暗号化などに用いられる」はIPSECですから空欄(c)にはIPSECが入るとわかり、正答はウとなります。

問題110 正答:ア

無線LANのセキュリティに関する問題です。

  • 空欄(a)について。不正利用可能な無線LANアクセスポイントを探して、オフィス街を車で走り回ることを「ウォードライビング」といいます。
  • 空欄(b)について。不特定端末からの接続を禁止するのは「ANY接続拒否」です。
  • 空欄(c)について。アクセスポイントの存在を知らせない機能は「ESSIDステルス」です。

以上より、正答はアとなります。

問題111 正答:ウ

マルウェアに関する出題です。

  • 空欄(a)について。身代金を要求するプログラムは「ランサムウェア」です。
  • 空欄(b)について。個人情報やアクセス履歴などを不正に取得して、外部に送信するプログラムは「スパイウェア」です。
  • 空欄(c)について。コンピュータに不正侵入後利用するのは「ルートキット」です。

以上より、正答はウとなります。

問題112 正答:イ

マルウェアの特徴に関する問題です。

  • 空欄(a)について。コンピュータに感染し、ネットワークを介して、そのコンピュータを外部から操ることを目的として作成されたプログラムを「ボット」といいます。
  • 空欄(b)について。自己増殖して感染拡大するのは「ワーム」の特徴です。
  • 空欄(c)について。バックドアを作成するのは「トロイの木馬」の特徴です。
  • 空欄(d)について。分散型サービス拒否攻撃は「DDoS攻撃」です。

以上より、正答はイとなります。

問題113 正答:ウ

マルウェア感染確認後の対処に関する問題です。

  • 選択肢アについて。感染後にウイルス定義ファイルを更新しても手遅れです。さらなる感染を防ぐ意味はありますが、最も早い段階で行うべきことではありません。
  • 選択肢イについて。ソフトウェアのぜい弱性の修正もアと同様に適切ではありません。
  • 選択肢エについて。感染ルートの事実調査も必要ですが、調査をしている間に被害が拡大するかもしれず、最も早い段階で行うべきこととしては不適切です。
  • 選択肢ウについて。機器の抜線、システム全体のネットワークの遮断は原因判明を待たずに感染拡大を防ぐ方法として適切です。

以上より、正答はウとなります。

問題114 正答:ウ

システムの脆弱性に関する問題です。

  • 空欄(a)について。情報セキュリティ上の欠陥を「セキュリティホール」といいます。
  • 空欄(b)について。放置されたセキュリティホールは「ハッキングに利用されたり」する危険があります。
  • 空欄(c)について。プログラムが確保したメモリ領域を超えてデータが入力された場合にプログラムが暴走してしまうセキュリティホールは「バッファオーバーフロー」と呼ばれています。

以上より正答はウとなります。

問題115 正答:ウ

アカウント管理に関する問題です。

  • 問題文Aについて。コンピュータやサーバなどの設定において、「システムはデフォルトの設定を維持しなければならない。」という部分が誤りです。容易に侵入を許すことになりかねません。
  • 問題文Bについて。ユーザIDやパスワードなどの識別情報の管理・保管に関する適切な内容の文章です。

以上より、問題文Aは誤りで問題文Bは正しいので、正答はウとなります。

問題116 正答:ウ

ユーザID・パスワードの設定・利用に関する問題です。

  • 複数のIDを利用する場合に同一または類似のパスワードの再利用を許すと、IDごとに権限を付与して管理することの意味がなくなるので不適切です。したがって、問題文b)は不適切なルールです。
  • 不正アクセスの事実が発覚した場合、速やかにパスワードを変更させることは、被害拡大を防ぐ意味がありますので適切です。したがって、問題文a)は適切なルールです。

b)が含まれている選択肢アとエを除外し、さらにa)が含まれていない選択肢イを除外すると正答はウとなります。

問題117 正答:ウ

個人データを取り扱う情報システムの動作確認時の対策に関する問題です。

選択肢ウについて。テスト環境ではなく本番環境で動作確認をすると、問題が発生した場合に本番環境に悪影響が及ぶ可能性があり不適切です。

したがって、正答はウとなります。

問題118〜120 正答:順にエ、イ、ア

技術的脅威に関する問題です。

問題118(リプレイ攻撃)について。

パスワードや暗号鍵などを盗聴し、それを再利用(リプレイ)することでユーザになりすます攻撃手法(選択肢エ)です。

問題文119(クロスサイトリクエストフォージェリ攻撃)について。

Webサイトにログイン中にユーザのスクリプトを操ることで、ユーザに意図しない処理を行わせる攻撃手法(選択肢イ)です。フォージェリ(forgery)とは偽装するという意味です。ログインしたユーザの正当なリクエスト(要求、操作)であるかのように装って意図しない処理(例えば非公開設定を公開に変更)をさせます。ログイン中にわなが仕掛けられた別のサイト(cross site)を閲覧したときに攻撃されるので、クロスサイトリクエストフォージェリ攻撃と呼ばれています。

問題文120(キャッシュポイズニング)について。

DNSサーバに偽りの情報を記憶させる攻撃手法(選択肢ア)です。DNSサーバは処理時間短縮のため、処理の途中で得られた情報を一時保存します。この一時保存された情報のことをキャッシュといい、キャッシュが改変される(毒に侵される poisoning)のでキャッシュポイズニング攻撃と呼ばれます。

第49回試験解説:オフィスセキュリティ

第49回個人情報保護士試験の解答・解説です。

問題90 正答:イ

ゾーニングに関する問題です。

選択肢中、一般的に安全領域に設置すべきものは、「社内用会議室」(選択肢イ)です。

来客用打合せコーナー(選択肢ア)は一般領域、役員室(選択肢ウ)と重要書類保管室(選択肢エ)は機密領域に置きます。

問題91 正答:ア

不正入室への対策に関する問題です。

選択肢中、不正入室を検出して防止する機能としてふさわしいのは、選択肢アの「アンチパスバック」であり、正答はアとなります。

アンチパスバックとは、入室記録のない人の退室を許さない仕組みのことです。

問題92 正答:イ

バックアップの方法に関する問題です。

差分バックアップや増分バックアップはフルバックアップと比較してバックアップ作業にかかる時間が短いです。しかし、リストアにかかる操作がフルバックアップの場合と比較して容易であるとか、短時間で済むということはありません。

問題文Bはリストアも容易としていますが、この点が誤りです。

したがって、Bのみ不適切なので正答はイとなります。

問題93 正答:ア

ストレージの信頼性向上に関する問題です。

まず、空欄(b)を埋めます。ストライピングとは、複数台のハードディスクに同時にデータを書き込むことをいいます。データの書き込み速度は向上しますが、ストレージの信頼性とは関係ありません。したがって、空欄(b)に入るのは「ストライピング」ではなく「ミラーリング」です。

次に、空欄(a)を埋めます。「RAID」の「R」はRedundancy(冗長性)の「R」です。RAID0とは冗長性が0ということですからミラーリングを表すものはRAID0ではないと判断できます。したがって、空欄(a)に入るのは「RAID0」ではなく「RAID1」です。

以上より、正答はアとなります。

念のため空欄(c)もみますと、ミラーリングにより「信頼性は向上するが、高速化せず」と正しい文になっていますので確信をもってアとマークできます。

問題94 正答:ウ

入退室管理に用いるIDカードの発行管理に関する問題です。

選択肢ウの「フリーエリアカード」という用語がそもそも意味不明です。指定された地域内で自由に乗降できる切符のことをそのように言うようですが、入退室管理とは関係ありません。フリーエリアカードを「誰でも使えるようにしておく」というのも入退室管理として不適切と判断できます。

したがって、選択肢ウが不適切であり正答はウとなります。

問題95 正答:ウ

訪問者の入退室管理に関する問題です。

  • 訪問者の安全領域への入室を許可する際に記入させるのは「個人情報管理台帳」ではなく、「訪問者カード」です。空欄(a)には「訪問者カード」が入ります。
  • 訪問者カードは「単票形式」のものを用いるのが望ましいとされています。訪問者カードの記載自体が個人情報なので、単票形式でないと個人情報が不特定の人の目に触れることになってしまうからです。したがって、空欄(b)には「単票形式」が入ります。
  • 入退室記録帳や訪問者カードは「責任者が保管」します。「担当者が確認した後に廃棄」してしまっては後に情報漏えいなどの問題が発覚したときに役にたちません。したがって空欄(c)には「責任者が保管」が入ります。

以上より、正答はウとなります。

問題96 正答:ア

個人所有の危機の利用などのルールに関する問題です。

利便性が高いからと言って、個人で持ち込んだ業務目的のソフトウェアを業務用のパソコンにインストールすることを認めるのは不適切です。そのソフトウェア自体の安全性が確認できていませんし、そのソフトウェアをインストールすることが利用している機器の動作に悪影響をもたらすかもしれないからです。

したがって、問題文Cは不適切なので、正答はアとなります。

問題97 正答:ア

個人情報を輸送・送信する場合の漏えい防止対策などに関する問題です。

持ち運ぶデータに加えるべきは、「暗号化やパスワード」による保護であって、「非可逆圧縮やファイル名の変更」ではありません。ファイルサイズを小さくしてもしかたありません。したがって、空欄(a)には「暗号化やパスワード」が入ります。

やむを得ず、秘密情報をメールやFAXにより行うときは「責任者の承認を得る」べきです。「送信するデータ量に制限を設ける」ようにしても漏えい防止対策にはなりません。したがって、空欄(c)には「責任者の承認を得る」が入ります。

個人情報を郵送する場合に「簡易書留」にするか「郵便書留」にするか(空欄(b))はどちらでもいいのではないでしょうか。簡易書留でも郵送が完了したかどうかは確認できるので簡易書留で十分かと思います。空欄(a)と空欄(c)が正しく埋まれば正答に影響しませんし。

以上より、正答はアとなります。

問題98 正答:ウ

装置や媒体の廃棄に関する問題です。

外部記憶媒体を処分する場合、ハードディスクの初期化では不十分とされています。技術を持った人ならデータを復元できてしまうからです。したがって、「ハードディスクの初期化を行い、すべてのデータを削除する」としている選択肢ウは不適切です。

よって、正答はウとなります。

問題99 正答:ア

システムの二重化に関する問題です。

  • 現用系と待機系を用意するのは「デュプレックスシステム」(空欄(a))です。
  • 待機系にオンライン処理プログラムをロードして待機させておくのは「ホットスタンバイ」(空欄(b))です。
  • 障害発生時に自動的に待機系に切り替えて処理を続行することを「フェールオーバー」(空欄(c))といいます。

以上より、正答はアとなります。

問題100 正答:イ

事業継続の取り組みについて経営者に求められる事項に関する問題です。

BCMは、経営者の責任において策定すべきものですので、「BCMに関する議論、調整、改善などへの関与は最小限にとどめ、現場担当者の意見を優先させ」るのは適切ではありません。

したがって、選択肢イが不適切なので正答はイとなります。

第49回試験解説:組織的・人的セキュリティ

第49回個人情報保護士試験の解答・解説です。

問題76 正答:イ

個人情報の台帳管理に関する問題です。

  • 個人情報の重要性や漏えい事故による影響の大きさなどを考慮した管理レベルを設定すべきこと(問題文A)は正しいです。
  • しかし、ラベリングの表記方法は全社的に統一すべきなので、「部門ごとに独自に設定」するとする問題文Bは誤りです。

したがって、問題文Aは正しく問題文Bは誤りですので正答はイとなります。

問題77 正答:イ

個人情報保護方針に関する問題です。

個人情報保護方針を対外的に公表することは、社会の信頼確保につながります。問題文Bは適切といえます。

問題文Bが適切となると正当はイとなります。

問題78 正答:ア

規程文書のピラミッド型文書体系に関する問題です。

規程文書のピラミッド体系とは、規程文書をその内容の具体性により整理・体系化するものです。方針を頂点に、方針をブレイクダウンした対策基準、対策基準を現場の使用に耐えるようさらに具体化した実施手順に整理します。

空欄(a)および(b)には対策基準の具体例が入ります。適切なのは「就業規則」や「管理規程」です。空欄(c)には実施手順の具体例が入ります。選択肢中ふさわしいのは「マニュアル」です。

以上より、正答はアとなります。

問題79 正答:ウ

組織内に設置する役職や機関に関する問題です。

個人情報保護管理者と会社法上の監査役を兼任させるのは不適切です。監査役は個人情報管理者の業務も監査すべき立場にあり、自己監査になってしまうからです。したがって、問題文Aは不適切です。

問題文Bの個人情報保護委員会の説明は適切です。

以上より、問題文Aは不適切で問題文Bは適切なので正答はウとなります。

問題80 正答:エ

従業者の役割の明確化・限定に関する問題です。

情報管理責任者は、個人情報の取扱いを管理・監督すべき立場にありますので作業責任者が就任するとする選択肢エは適切ではありません。

よって、正答はエとなります。

問題81 正答:ウ

個人情報の保護に関する法律についてのガイドライン(通則編)における安全管理措置に関する問題です。

  • 漏えい事案発生時の報告相手として適切なのは(空欄(a))は、「主務大臣」ではなく「個人情報保護委員会」です。
  • 漏えい事案発生時に公表すべき(空欄(b))は、「当事者と責任者の氏名」ではなく「再発防止策」です。
  • 中小規模事業者が整備すべき管理体制として、従業者が報告連絡すべき相手(空欄(c))は、「個人情報の本人」ではなく「責任ある立場の者」です。

以上より、正答はウとなります。

問題82 正答:イ

個人情報保護監査に関する問題です。

  • 内部監査部門は、代表者の「直轄部門」(空欄(a))とすべきです。
  • 監査人は常に「客観的に」(空欄(b))監査の判断をしなければなりません。
  • 個人情報保護の責任自体は「被監査主体」(空欄(c))に帰属しますが、「監査人」(空欄(d))はフォローアップすることが要求されます。

以上より、正答はイとなります。

問題83 正答:エ

個人情報保護監査の実施に関する問題です。

  • 監査実施の際に収集するのは(空欄(a))「監査要点」ではなく「監査証跡」です。
  • 監査証跡は「時系列に」(空欄(b))記録します。
  • セキュリティの観点から、「アクセスした情報そのもの」(空欄(c))を監査証跡に含めてはいけません。アクセスした情報そのものは個人情報に該当するからです。

以上より、正答はエとなります。

問題84 正答:イ

秘密保持の誓約書に関する問題です。

不適切なのは、個人情報を「退職後も厳重に管理」(b)するとしている点と、契約の終期を「退職する日まで」(c)としている点です。

退職時には、個人情報を保管した記録媒体を返却すべきですし、秘密は退職後も保持すべきだからです。

以上より、正答はイとなります。

問題85 正答:エ

従業者のモニタリングに関する問題です。

「モニタリングの実施方法」(選択肢ア)、「モニタリングの責任者」(選択肢イ)、「実施の開始時期」(選択肢ウ)は責任の明確化や従業者のプライバシー確保の観点から公表すべきです。したがって選択肢ア、ウは不適切です。

以上より選択肢中最も適切なのは、モニタリング実施状況を監査・確認すること(選択肢エ)なので、正答はエとなります。

問題86 正答:エ

委託先の監督に関する問題です。

委託にあたってはリスクに応じた必要かつ適切な措置を講ずべきこと(問題文A)、委託先の選定に当たっては安全管理措置が確実に実施されることについてあらかじめ確認すべきこと(問題文B)、委託先における個人データの取扱い状況を合理的な方法により把握すべきこと(問題文C)、いずれも適切です。

したがって、問題文はすべて適切ですので正答はエとなります。

問題87 正答:イ

再委託に関する問題です。

  • 委託先の監督が必要かつ適切でない場合、再委託先の不適切な取扱いは、不適切な再委託を許してしまった元の委託元の責任と判断されます。問題文Aは正しいです。
  • 委託先が再委託を行おうとする場合、委託元への事前の報告をさせるべきです。事後でも構わないとする問題文Bは誤りです。

以上より、問題文Aは正しく、問題文Bは誤りですので、正答はイとなります。

問題88 正答:ア

漏えい事故発生時の報告・公表に関する問題です。

  • 認定個人情報保護団体の対象事業者において、事故発生時に認定個人情報保護団体に報告をすべきはもちろんであり、非対象団体であっても所属する業界団体関係機関に報告することは望ましいとされています。個人情報漏えい事故対応は業界全体の問題でもあるからです。したがって、問題文Aは正しいです。
  • 個人情報保護委員会は、告示で「実質的に個人データが外部に漏えいしていないと判断される場合」は個人情報保護委員会への報告を要しないとしていますが、この場合でも事実関係及び再発防止等の公表は望ましいとしています。したがって、省略しても構わないとする問題文Bは誤りです。

以上より、問題文Aは正しく、問題文Bは誤りなので正答はイとなります。

問題89 正答:ウ

苦情対応のプロセスに関する問題です。

二次対応にあたるべきは、「個人情報取扱い部門」(選択肢ウ)ですので、正当はウとなります。

第49回試験解説:脅威と対策

第49回個人情報保護士試験の解答・解説です。

問題61 正答:エ

個人情報保護におけるマネジメントシステムに関する問題です。

情報セキュリティの組織的なマネジメントが必要であり、そのためのマネジメントシステムとしてISMSがあること(問題文A)、個人情報保護法への対応も情報セキュリティ対応の一部であり、個人情報保護法への対応として個人情報保護管理体系(PMS)の理解と実践が求められること(問題文B)、ISMSとPMSは矛盾するものではないこと(問題文C)、いずれも正しい記述です。

したがって、問題文はすべて適切ですので正答はエとなります。

PMSとはPersonal Information Protection Management Systemの略称です。

問題62 正答:ア

情報セキュリティの要素に関する問題です。

  • 情報セキュリティとは情報の機密性、完全性、可用性を維持することです。機密性と可用性は問題文中に出ていますので、空欄(a)には「完全性」が入ります。
  • 「アクセスを認可された者以外の者には情報にアクセスさせないこと」は「機密性」の説明ですので、空欄(b)には「機密性」が入ります。

この時点で正答はアと分かります。

ちなみに、機密性が損なわれた場合の例として適切なもの(空欄(c))は「情報の不正流出」です。

問題63 正答:ウ

なんと著作権法に関する問題です。著作権法に関する問題が出たのは初めてではないでしょうか?

同一性保持権とは、著作者の意に反して著作物を変更しないことをいいます。選択肢ウは、これを「著作物を公表するときに、著作者名を表示するかしないか、表示するとすれば実名か変名かを決める権利」としており誤りです。これは「氏名表示権」の内容です。

したがって、正答はウとなります。

著作権が知的財産権の一つであること(選択肢ア)、情報通信技術の進歩に伴い著作権法の適用範囲が拡大されていること(選択肢イ)、著作物を著作者の許諾なしに公表することは著作権侵害となること(選択肢エ)がいずれも正しいことは、いわば常識でわかると思うので正答することは難しくなかったと思います。

公益社団法人著作権情報センターのサイトが非常にわかりやすかったのでご参照をお勧めします。

問題64 正答:ウ

個人情報保護マネジメントシステムのモデルに関する問題です。

  • 空欄(a)は計画段階でするべきことですので「管理策の有効性測定」ではなく、「リスクアセスメント」です。
  • 空欄(b)は、実施及び運用段階でするべきことですので「従業者の教育」が入ります。「適用宣言書作成」は計画段階でします。
  • 「運用の確認」「監査」は「点検」(空欄(c))、是正処置及び予防処置の具体例は「代表者による見直し」(空欄(d))です。

以上より、正答はウとなります。

問題65 正答:エ

個人情報保護評価に関する問題です。

  • 個人情報の収集を伴う情報システムの導入にあたり、プライバシーへの影響を評価するプロセス(空欄(a))を「PIA」といいます。PIAとは Privacy Impact Assessmentの略です。
  • PIAは「システム運用と並行して」ではなく、「事前に」行います(空欄(b))。
  • PIAに関するJIS規格はまだありませんが、国際規格として「ISO22307」(空欄(c))があります。ISO9001は品質マネジメントシステムです。

問題66 正答:イ

組織における業務の適性確保の仕組みに関する問題です。

  • 業務の有効性及び効率性や財務報告の信頼性等を達成するために業務に組み込まれ遂行されるプロセス(空欄(a))は、「ITガバナンス」ではなく「内部統制」です。
  • 大会社において内部統制システムの整備を義務付けているのは(空欄(b))「会社法」であり「不正競争防止法」ではなりません。
  • 大会社ではない会社であっても、内部統制システムの構築は取締役の「善管注意義務」(空欄(c))の一環とされています。「努力義務」ではありません。

問題67 正答:イ

JIS Q 31000におけるリスクマネジメントプロセスに関する問題です。

リスクマネジメントの流れは「リスク特定」(空欄(a))→「リスク分析」(空欄(b))→「リスク評価」(空欄(c))です。

したがって、正答はイとなります。

問題68 正答:イ

リスクアセスメントの用語に関する問題です。

  • 損失だけではなく利益を生む可能性がある事象(空欄(a))は、「純粋リスク」ではなく「投機的リスク」です。
  • 情報セキュリティマネジメントにおけるリスク(空欄(b))は、「投機的リスク」ではなく「純粋リスク」です。
  • 情報セキュリティにおけるリスクは「ある「脅威」(空欄(c))が、資産または資産グループの「ぜい弱性」(空欄(d))につけこみ、そのことによって組織に損害を与える可能性」と定義されています。

以上より、正答はイとなります。

問題69 正答:ウ

脅威の分類に関する問題です。

問題文中、「人為的・偶発的脅威」に分類されるものは、「ネットワーク構成要素の技術的障害」(空欄(a))と「セキュリティパッチの適用漏れ」(空欄(c))です。

したがって、正答はウとなります。

問題70 正答:イ

STRIDEモデルに関する問題です。

「サービス拒否」(Denial of Service)、「なりすまし」(Spoofing Identity)、「否認」(Repudiation)はいずれもSTRIDEモデルにあります。

ないのは選択肢イの「情報の詐取」です。したがって、正答はイとなります。

問題71 正答:ウ

脅威とぜい弱性の事例問題です。

インターネットに接続しているパソコンが異常な動作をした。調査したところウイルスに感染していた、古いバージョンのソフトが使用されていたことが判明したという事例におけるぜい弱性は「ソフトウェアの更新の不徹底」であり、脅威は「マルウェアの侵入・感染」です。

したがって、正答はウとなります。

問題72 正答:ア

リスクアセスメントにおける想定損失額算出の考慮要素の分類に関する問題です。

  • 直接損失の具体例(空欄(a))は、「罰金を科される」ではなく「事故による人的損失」です。
  • 間接損失の具体例(空欄(b))は、「復旧のための費用」ではなく「罰金を科される」です。
  • 対応費用の具体例(空欄(c))は、「罰金を科される」ではなく「復旧のための費用」です。

以上より、正答はアとなります。

問題73 正答:イ

リスク分析手法に関する問題です。

非形式的アプローチは、手間がかからない反面分析者の能力に依存するという問題があるとする問題文Aは正しいです。

組合せアプローチは、組織全体についてベースラインアプローチ、重要な情報資産については詳細リスク分析を行うものです。問題文Bは採用する手法が組織全体についてのものと重要な情報資産についてのものが逆になっており誤りです。

以上より、正答はイとなります。

問題74 正答:イ

リスク対応に関する問題です。

社内の情報システムの運用を、ネットワークの専門の会社に委託すること(選択肢(イ))は「リスク移転」であって「リスク低減」ではありません。

したがって、リスク低減に該当しないのはイですので、正答はイとなります。

問題75 正答:エ

内部不正防止の基本原則に関する問題です。

動機(不正をする理由がある)と機会(不正をするチャンスがある)と正当化(不正をしても許されると考える)という条件がそろうと内部不正がおこるという考え方を基礎にしています。

e)の「犯罪の弁明の場を与える」は正当化を助長しますので適当ではありません。したがって、e)を含む選択肢イと選択肢ウを除外できます。

b)の「捕まるリスクを高める」は不正の機会を減らすことになりますので適切です。したがって、b)を含まない選択肢アも適当ではありません。

以上より、正答はエとなります。

第49回試験解説:マイナンバー法の理解

第49回個人情報保護士試験の解答・解説です。

問題41 正答:エ

番号利用法の概要及び個人番号に関する問題です。

個人情報保護法の「個人情報」は死者の情報を含みませんが(個人情報保護法第2条第1項参照)、番号利用法の「個人番号」の定義規定には死者のものを除外する規定はありません。したがって、死者の個人番号についても利用制限、安全管理措置等の規定が適用されるとする選択肢エは正しいです。

問題42 正答:イ

個人情報保護法と番号利用法の規定に関する問題です。

特定個人情報の取扱いについて、個人情報保護法の「利用目的による制限」(第16条第1項)や、「第三者提供の制限」(第23条)は適用されません。これに対して、「利用目的の通知」(個人情報保護法第18条)は適用されます。したがって、適用が除外されているとするイは誤りです。

問題43 正答:エ

特定個人情報に関する問題です。

特定個人情報とは個人番号をその内容に含む個人情報をいいます(番号利用法第2条第8項)。ここで「個人番号」とは、個人番号に対応し、当該個人番号に代わって用いられる番号、記号その他の符号であって、住民票コード以外のものを含みます(同カッコ書き)。

したがって、暗号化(他の番号や記号に置き換えること)しても個人番号に該当しなくなるわけではないので問題文Aは誤りです。

また、ある規則にしたがって個人番号をアルファベットに置き換えたものも個人番号に該当しますので問題文Bは誤りです。

個人番号に該当しないのは、「情報提供用個人識別符号」ではなく「住民票コード」ですので、問題文Cも誤りです。

以上より、すべて誤っていますので正答はエとなります。

問題44 正答:イ

個人番号の変更に関する問題です。

個人番号の変更が認められるのは、個人番号が盗まれて個人番号カードが不正に利用される危険性があるとき(問題文B)だけです(番号利用法第7条第2項)。婚姻(問題文A)や住所変更(問題文C)では認められません。

したがって、問題文Bのみが正しいので正答はイとなります。

問題45 正答:ア

特定個人情報の利用目的に関する問題です。

個人情報保護法第15条(利用目的の特定)や第18条の規定(利用目的の通知又は公表)は適用されます。したがって、マイナンバーの取得に際しては、本人がマイナンバーがどのように使われるのか予想できる程度に特定し、通知しなければなりません。

利用目的が「源泉徴収票作成事務のため」となっている場合、本人は税務のためにマイナンバーが利用されると予想できますが、これが厚生年金の事務のためにも利用されるとは予想できません。

したがって、「源泉徴収票作成事務のため」という利用目的で取得した特定個人情報を、本人に通知等を行うことなく、厚生年金保険届出事務に利用することはできません。

よって、これを可とする問題文Aは誤りです。

問題46 正答:イ

再委託、委託先の監督に関する問題です。

委託先の監督の個人情報保護法の規定(第22条)は、外国において個人情報を取り扱う場合についても適用されます(第75条)。

これらの規定はマイナンバーの取扱いについても適用されます。

選択肢イは、国外の事業者に特定個人情報の取扱いを委託する場合は、安全管理措置を講ずるよう求めることができないとしていますが、できますので誤りです。

問題47 正答:エ

通知カードに関する問題です。

個人番号カードの交付を受けるときには通知カードを市町村長に返納することになっていますが(番号利用法第17条第1項)、通知カードを紛失してしまっても個人番号カードの交付を受けることは可能です。

したがって、これを不可とする選択肢エは誤りです。

問題48 正答:イ

個人番号の提供の求めの制限に関する問題です。

個人番号の利用は第19条所定の事由の目的を達成するために必要な限度に限って許されています(番号利用法第9条第5項)。

法人内の移動が提供に該当しないからといって、何らの制限もないというわけではありませんので選択肢イは誤りです。

問題49 正答:イ

個人番号の提供に関する問題です。

個人番号利用事務実施者が個人番号の提供を受けるときは本人確認の措置を取らなければなりません(番号利用法第16条)。

ここでいう本人確認とは他人の番号をかたっていないということと、本人と名乗る人物が実存することです。

個人番号カード裏面のコピーがあれば番号の確認ができますし、表面のコピーがあれば本人の身元確認(実存確認)もできます。したがって、個人番号カード(裏表)のコピーの郵送による提出だけで足りますので、選択肢イは正しいです。

問題50 正答:ア

雇用関係がある場合の個人番号の提供に関する問題です。

問題文Aのとおり、過去に本人であることの確認を行っている場合で、個人番号の提供を行うものが本人であることが明らかな場合は本人の身元確認書類は不要となります。

国税庁告示

したがって、正答はアとなります。

問題51 正答:ウ

個人番号カードの利用に関する問題です。

個人番号カードのICチップに記録される情報は、氏名・住所など本人確認のために必要な事項(カード記録事項)と条例・政令で定めるところにより記録・利用が許された事項です(番号利用法第18条)。

問題文Cは、ICチップに税や年金の情報なども記録されるとしていますが、記録されていませんので誤りです。

したがって、正答はウとなります。

問題52 正答:ウ

特定個人情報の提供制限に関する問題です。

国税連携・地方税連携で、特定個人情報の提供をすることは、特定個人情報の安全を確保するために必要な措置を講じているとき(番号利用法第18条第9号)にも認められており、情報提供ネットワークシステムを使用する場合に限られていません。

したがって、情報提供ネットワークシステムを使用する場合に限り認められるとする選択肢ウは誤りです。

問題53 正答:エ

特定個人情報の提供制限及び第三者提供の停止に関する問題です。

特定個人情報の個人番号部分をマスキングしてもなお個人情報に該当し、個人情報保護法による提供制限は受ける余地があります。したがって、問題文Aは誤りです。

番号利用法には特定個人情報の第三者提供の停止に関する規定はありませんが、一般法である個人情報保護法の第三者提供の停止請求の規定に基づき特定個人情報の第三者提供の停止に応じる法律上の義務が生じます。したがって、問題文Bも誤りです。

特定個人情報の提供制限の規定に違反する行為については、個人情報保護委員会による勧告の対象となります(番号利用法第34条第1項)。したがって、問題文Cも誤りです。

以上より、問題文はすべて誤っていますので正答はエとなります。

問題54 正答:ア

特定個人情報の収集・保管の制限に関する問題です。

「収集」とは、集める意思をもって自己の占有におくことをいい、閲覧するのみでは「収集」に当たりません。したがって、問題文Aは誤っています。

よって、正答はアとなります。

問題55 正答:イ

マイナポータルに関する問題です。

マイナポータルの利用には個人番号カードが必要です。したがって、問題文Bは誤っており、正答はイとなります。

問題56 正答:イ

情報提供ネットワークシステムに関する問題です。

情報提供ネットワークシステムの設置は、総務大臣が個人情報保護委員会と協議しておこないます(番号利用法第21条第1項)。

したがって、問題文Bは正しく、正答はイとなります。

問題57 正答:イ

特定個人情報ファイルに関する問題です。

個人番号利用事務等を処理するために必要な範囲を超えて特定個人情報ファイルを作成することはできません(番号利用法第29条)。

バックアップの作成が「事務を処理するために必要な範囲」に含まれるかどうかが問題となりますが、含まれるそうです。

https://www.ppc.go.jp/legal/policy/answer/

したがって、バックアップファイルを作成することはできないとする選択肢イは誤りです。

問題58 正答:エ

法人番号に関する問題です。

法人番号は登記されている法人に対してしていされ、活動実態のない法人も指定の対象外とはされていません(番号利用法第39条第1項)。したがって、登記記録が閉鎖されていなければ活動実態がなくても法人番号は指定されますので選択肢エは誤りです。

問題59 正答:イ

国外犯処罰規定に関する問題です。

不正手段による個人番号カード等の取得は、国外犯処罰の対象とされていませんので(番号利用法第55条、56条)、問題文Bは誤っています。

したがって、正答はイとなります。

問題60 正答:ウ

特定個人情報の適正な取扱いに関するガイドライン(事業者編)に関する問題です。

ガイドライン中「望ましい」と記述している事項に従わなかったとしても直ちに法令違反と判断されるわけではありません。したがって、法令違反と判断されるとする問題文Bは誤りです。

よって、正答はウとなります。

第49回試験解説:個人情報保護法の理解(後半)

第49回個人情報保護士試験の解答と解説です。

問題21 正答:エ

個人データの第三者への提供の制限に関する問題です。

所定の事項をあらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているときは、個人データを共同利用する者は「第三者」に該当せず、本人の同意なく提供できます(第23条第5項第3号)。

選択肢エは「本人が容易に知り得る状態に置いていないとき」となっていますので、第三者に該当します。したがって誤りです。

問題22 正答:イ

外国にある第三者に個人データを提供する場合に関する問題です。

当該外国が我が国と同水準にある個人情報保護制度を有する場合(選択肢ア)、当該第三者が個人情報保護委員会規則で定める基準に適合する体制を整備している場合(選択肢ウ)は、外国にある第三者に個人データを提供することに対する本人の同意は不要です(第24条)。

また、23条1項各号に掲げられている事由がある場合も本人の同意は不要であり、感染症の共同研究のために外国の研究機関に患者の情報を提供すること(選択肢エ)は、23条1項2号に該当するため本人の同意は不要となります。

残る外資系企業の日本法人が親会社に個人データを提供する場合(選択肢イ)に本人の同意がいらないとする規定はありませんので本人の同意が必要です。

なお、この事例は「個人情報保護法ガイドライン(外国第三者提供編)」p5に出ています。

問題23 正答:ウ

第三者提供に係る記録の作成に関する問題です。

当該記録の保存期間は原則3年で、作成する記録の種類により1年となる場合があります(規則第14条)。6年とする問題文Cは誤りです。

問題24 正答:ウ

保有個人データに関する問題です。

保有個人データが本人の知り得る状態に置かれ、利用目的が明らかである場合は、本人の求めに応じて利用目的を通知する必要はありません(第27条第2項第1号)。

選択肢ウは、ホームページへの掲載等により利用目的が明らかである場合にも通知をしなければならないとしているので誤りです。

問題25 正答:エ

保有個人データの開示に関する問題です。

開示の方法は書面の交付ですが、開示の請求を行ったものが同意した方法があるときは当該方法とされています(政令第9条)。

したがって、本人が同意している場合でも、電子メール、電話等の方法によることはできないとする選択肢エは誤りです。

政令まで読まないとわからないのでやや細かいなとは思いますが、「個人情報保護法ガイドライン(通則編)」p64に出ていますので、ガイドラインを読み込んでいれば得点できた問題です。

問題26 正答:ア

保有個人データの訂正等に関する問題です。

本人は、保有個人データの内容が事実でないときは、当該保有個人データの内容の訂正、追加又は削除を請求することができます(第29条第1項)。

追加も請求可能であることは条文から明らかですので、追加を行う必要がないとする問題文Aは誤りです。

問題27 正答:ウ

保有個人データの利用停止に関する問題です。

利用停止を請求できるのは16条(利用目的による制限)違反があるときと、17条(適正な取得)違反があるときです(第30条第1項)。

従業者の監督が不適切であっても利用停止請求はできませんので、これを可とする問題文Cは誤りです。

問題28 正答:ウ

保有個人データに関する請求等についての手数料に関する問題です。

訂正の請求に対して手数料を徴収することはできません。訂正の請求が認められるのは内容に誤りがある場合、つまり個人情報取扱事業者に非があるのですから当然です。これを徴収できるとする選択肢アは誤りです。

手数料の額は実費を勘案して合理的であると認められる額を定めなければならないと規定されています(第33条第2項)。そのような規定はないとする選択肢イも誤りです。

手数料の額を定めた場合、これを本人の知り得る状態に置かなければならないと規定されています(第27条第3号)。したがって、そのような規定はないとする選択肢エは誤りです。

利用目的の通知に対して手数料を徴収することはできますので(第33条第1項、第27条第2項)、選択肢ウは正しいということになります。

問題29 正答:ア

苦情の処理に関する問題です。

苦情の処理義務の対象となる苦情は本人の個人情報の取扱いに関するものに限られません。したがって、本人の個人情報の取扱いに関するものに限られるとする問題文Aは誤りです。

第28条(開示)、第29条(訂正)、第30条(利用停止)は「本人は、〇〇できる」と個人の権利利益保護のための措置として規定されているのに対して、第35条(苦情の処理)は、個人情報の取扱いに関する苦情の適切かつ迅速な処理に努める義務(第1項)とそのための体制整備に努める義務(第2項)として規定されていることに注意が必要です。

問題30 正答:ウ

匿名加工情報の作成等に関する問題です。

匿名加工情報取扱事業者が匿名加工情報を第三者に提供するときは、当該第三者に対して、当該提供に係る情報が匿名加工情報である旨を明示しなければなりません(第36条第4項)。

選択肢ウは「明示してはならない」と全く逆の記述になっており誤りです。

問題31 正答:イ

個人情報保護委員会による監督に関する問題です。

個人情報保護委員会には事務所等に立ち入って検査をする権限があります(第40条第1項)。しかし、この権限は犯罪捜査のために認められたものと解釈してはならないと定められています(第40条第3項)。

選択肢イは、犯罪捜査のため、質問や検査をさせることができるとしており誤りです。

問題32 正答:ウ

認定個人情報保護団体に関する問題です。

認定個人情報保護団体は対象事業者の氏名又は名称を公表しなければなりません(第51条第2項)。「公表してはならない」とする問題文Aは誤りです。

認定個人情報保護団体は、苦情の解決について必要があるときは、資料の提出を求めることができます(第52条第2項)。「資料の提出を求めることはできないとする」問題文Bは誤りです。

認定個人情報保護団体が認定業務を廃止しようとするときは、問題文Cのとおり、その旨を個人情報保護委員会に届け出なければならず、個人情報保護委員会は届出があった旨を講じしなければなりません(第50条第1項、第2項))。

したがって、問題文Cのみ正しいので正答はウとなります。

問題33 正答:ア

認定個人情報保護団体には、個人情報保護指針の作成努力義務がありますが(第53条第1項)、個人情報保護方針を作成する際に意見を聞くべき相手は「消費者の意見を代表する者その他の関係者」です。問題文A「個人情報の利用者の意見を代表する者その他の関係者」となっている部分が誤りです。

問題34 正答:ウ

個人情報保護委員会に関する問題です。

個人情報保護委員会の委員長および委員を任命するのは総理大臣です(第63条第3項)。総務大臣が任命するとする選択肢ウは誤りです。

問題35 正答:イ

個人情報保護法の適用除外に関する問題です。

大学等の機関や団体に属さない個人は、個人情報保護法の適用除外となりません(第76条第1項第3号参照)。したがって、適用除外となるとする問題文Bは誤りです。

問題36 正答:イ

行政機関の保有する個人情報の保護に関する法律に関する問題です。

問題文Bは、非識別加工情報の取扱いについて、行政機関により認定された専門委員会が所管することとしているとしていますが、そのような専門委員会はありません。

したがって、問題文Bは誤りであり正答はイとなります。

問題37 正答:エ

外国執行当局への情報提供に関する問題です。

外国執行当局から要請があった場合でも、日本の法令によれば罪とならない行為を対象とする犯罪捜査を目的とする情報提供について、個人情報保護委員会は情報提供の同意をすることができません(第78条第3項第2号)。

選択肢エは、「外国の法令によれば罪に当たるものでないときは」となっており、この点が誤りです。

問題38 正答:ウ

個人情報データベース等提供罪に関する問題です。

問題文Cは、「政治団体が個人情報データベース等を事故の利益を図る目的で提供しても、個人情報データベース提供罪を構成しない」としています。

確かに、政治団体がその業務に関して個人情報を取り扱う場合でも、個人情報保護法第4章の個人情報取扱事業者に課せられている義務についての規定は適用されません(第76条第1項第5号)。

しかし、罰則規定(第7章)の規定まで適用除外とするとの規定はありません。

したがって、問題文Cは誤りです。

問題39 正答:イとウ(正答が二つあります)

個人情報の保護に関する法律についてのガイドライン(通則編)に関する問題です。

ガイドラインp1に「本ガイドラインにおいて記述した具体例は、事業者の理解を助けることを目的として典型的なものを示したものであり、すべての事案を網羅したものでなく、記述した内容に限定する趣旨で記述したものでもない」とあります。

選択肢イは「すべての事案を網羅したものであり」となっており、この点が誤りです。

また、同じページに「「努めなければならない」「望ましい」等と記述している事項については、これらに従わなかったことをもって直ちに法違反と判断されることはない」とありますので、「努力義務の規定に従わなかった場合でも法の規定違反と判断されることになる」とする選択肢ウも誤りです。

問題40 正答:エ

金融分野における個人情報保護に関するガイドラインに関する問題です。

当該ガイドラインp14には、「与信事業に係る個人の返済能力に関する情報を個人信用情報機関へ提供するに当たっては、法第23条第2項を用いないこととし、本条第3項に従い本人の同意を得ることとする。」とあります。つまり、個人の返済能力に関する情報についてはオプトアウトによる第三者提供はしないということです。

選択肢エは、オプトアウトの方式による第三者提供を行うべきであるとしている点が誤りです。

第49回試験解説:個人情報保護法の理解(前半)

第49回個人情報保護士試験の解答と解説です。

問題1 正答:イ

平成27年9月改正の背景に関する問題です。選択肢イの「行政運営の効率化」等は、マイナンバー制度導入の背景であり、個人情報保護法改正の背景としては不適当です。

したがって、イが誤りとなります。

問題2 正答:ウ

OECD8原則に関する問題です。

選択肢ウの個人参加の原則は、どのようなデータを有しているか確認することができるなど本人に参加の機会を与える、というものです。

この原則が反映されているのは「適正な取得」(17条)ではなく、「保有個人データに関する事項の公表、開示、訂正、利用停止」(27条から30条)です。

したがって、ウは誤りとなります。

問題3 正答:ア

問題文Aは、JIS Q 15001の要求する保護措置のレベルが個人情報保護法で定められているレベルよりも低いとしていますが、逆です。

問題文B、Cは正しいので、Aのみが誤っており、正答はアとなります。

問題4 正答:エ

プライバシーマークに関する問題です。

プライバシーマーク付与事業者同士が合併した場合、プライバシーマーク付与の地位は継続されます。したがって、されないとする選択肢エは誤りです。

このことは公式テキストにも記載されていませんが、他の選択肢の内容が基本的なものなので、是非得点しておきたい問題です。

問題5 正答:イ

ISMS適合性評価制度のサーベイランス審査は毎年行われます。

したがって、これを2年ごととしている問題文は誤りとなり、正答はイとなります。

問題6 正答:ウ

法人そのものに関する情報は個人情報ではなりません。したがって、選択肢アは誤りです。

特定の個人を識別できる情報は個人情報です。したがって、特定の個人を識別できるメールアドレスは個人情報に該当しないとする選択肢イは誤りです。

SNSで公にされているからといって個人情報でなくなるわけではありません。したがって、これを個人情報に該当しないとする選択肢エは誤りです。

問題7 正答:エ

個人識別符号に関する問題です。

顔認識情報(問題文A)、虹彩模様情報(問題文B)、皮下静脈の形状情報(問題文C)などを装置やソフトウェアにより本人を認証することができるようにしたものは、いずれも「個人識別符号」に該当します(政令第1条(1)ロ、ハ、へ)。

問題8 正答:エ

要配慮個人情報に関する問題です。

単純な国籍や外国人という情報は法的地位であり、それだけでは「人種」に含まれません。また、肌の色は人種を推知させる情報にすぎず「人種」に含みません(「個人情報保護法ガイドライン(通則編)」p12)。

したがって、これらを「人種」に含むとする選択肢エは誤りです。

問題9 正答:イ

個人情報データベースとは、特定の個人情報を容易に検索することができるように体系的に構成したものをいいます(第2条第4項第2号)。

したがって、他人には容易に検索できな独自の分類方法により名刺を分類した状態にとどまるのであれば、個人情報データベースには該当しませんので、選択肢イは正しいということになります。

問題10 正答:エ

個人情報取扱事業者に関する問題です。

国の機関や地方独立行政法人は「個人情報取扱事業者」から除外されています(第2条第5項1号、4号)。したがって、国の機関である家庭裁判所(選択肢ア)や地方独立行政法人(選択肢イ)は「個人情報取扱事業者」に該当することはありません。よって選択肢アおよびイは正しいということになります。

次に、「個人情報取扱事業者」とは個人情報データベース等を事業の用に供している者をいいますので(第2条第5項柱書)、個人情報データベース等を事業の用に供していない権利能力なき社団が「個人情報取扱事業者」に該当することはありません。したがって、選択肢ウは正しいと思います。

選択肢エは、過去6か月以内のいずれの日においても5000件を「超える」者が「個人情報取扱事業者」から除かれるのかどうかを問うています。結論としては除かれません。したがって誤りです。公式サイトでは正答はウとなっていますが、正答はエだと思います。

当該事業者はいわゆる5000件要件が削除される前から個人情報取扱事業者から除かれていなかったのであり、改正の知識を問おうとしているのか、受験生の混乱を狙ったものなのか出題意図もよくわかりません。

(公式サイトでは当初正答はウとされていましたが、後にエに訂正されました。)

問題11 正答:エ

「個人データ」「保有個人データ」に関する問題です。

選択肢エは「要人の訪問先やその警備会社が保有している、当該要人を本人とする行動予定等の個人データ」が保有個人データに該当するかどうかを問うています。

このような情報は当該個人データの存否が明らかになることにより、国の安全が害されるおそれ、他国若しくは国際機関との信頼関係が損なわれるおそれ又は他国若しくは国際機関との交渉上不利益を被る恐れがあるもの(政令第4条(3))にあたり、保有個人データから除外されます。

したがって、これを保有個人データに該当するとしている選択肢エは誤りです。

ちなみに、この事例は、「個人情報保護法ガイドライン(通則編)」p20にそのまま出ています。

問題12 正答:イ

匿名加工情報に関する問題です。

「特定の個人を識別することができない」とは、あらゆる手法によって特定することができないよう技術的側面からすべての可能性を排除することを求めるものではありません。問題文Bは誤りです。

問題13 正答:ウ

個人情報の利用目的による制限に関する問題です。

合併等により事業の承継をすることに伴って個人情報を取得した場合でも利用目的の達成に必要な範囲を超えて取り扱う場合には本人の同意が必要です(第16条第2項)。

したがって、選択肢ウは誤りです。

問題14 正答:エ

要配慮個人情報の取得に関する問題です。

要配慮個人情報の取得には本人の同意が必要となるのが原則です。

しかし、人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるときは本人の同意は不要です(17条2項2号)。

不正送金当の金融犯罪被害の事実に関する情報を、関連する犯罪被害の防止のために、他の事業者から取得する場合はこれに該当しますので問題文Aは正しいです。

また、公衆衛生の向上又は児童の健全な育成の推進のために特に必要があって、本人の同意を得ることが困難であるときも本人の同意は不要です(17条2項3号)。

児童生徒の不登校等について関係機関で連携して対応するために、他の関係機関から当該児童生徒の保護事件に関する手続きが行われた情報を取得する場合はこれに該当しますので問題文Bも正しいです。

国の機関が法令の定める事務を遂行することに対して、事業者が協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるときも本人の同意は不要です(第17条第2項第4号)。

警察の任意の求めに応じて要配慮個人情報に該当する個人情報を提出するために、当該個人情報を取得する場合はこれに該当しますので問題文Cも正しいです。

以上より、いずれの問題文も正しいので正答はエとなります。

ちなみに、いずれの事例も「個人情報ガイドライン(通則編)」にそのまんまのっているものです。問題文AおよびBは本人の同意を得ることが困難であるという条件がみたされているかどうか分からないので誤りかも、と思いましたがガイドラインそのまんまですから試験としては正しいとするのでしょう。

問題15 正答:イ

個人情報の利用目的の通知・公表に関する問題です。

個人情報を直接本人から取得する場合、あらかじめ、本人に対し、その利用目的を通知しなければなりません(第18条第2項)。

選択肢イは条文そのままですから正しいです。

商品・サービス等の販売・提供のみを確実に行うために住所・電話番号等の個人情報を取得することは、「取得の状況からみて利用目的が明らかと認められる場合」に該当しますので、選択肢エでは利用目的の明示は不要です(第18条第4項第4号)。

問題16 正答:イ

個人データ内容の正確性の確保に関する問題です。

個人データを利用する必要がなくなったときは、当該個人データを遅滞なく消去するよう努めなければなりません(第19条)。

ただし、法令の定めにより保存期間が定められている場合はこの限りではありません(「個人情報保護法ガイドライン(通則編)」p40)。したがって、「法令の定めにより保存期間等が定められている場合であっても」とする問題文Bは誤りです。

問題17 正答:ア

「移送する個人データについて、パスワード等による保護を行うこと」は物理的安全管理措置ではなく技術的安全管理措置です。したがって問題文Bは誤りです。

「持ち運ぶ個人データの暗号化、パスワードによる保護等を行った上で電子媒体に保存すること」は技術的安全管理措置ではなく物理的安全管理措置です。したがって問題文Cは誤りです。

以上より、正しいのは問題文Aだけですので正答はアとなります。

これらの措置は「個人情報保護法ガイドライン(通則編)」の別添資料にすべて掲げられています。

ガイドラインにいう問題文Bの「移送」は、メールなど情報システムで個人データをやり取りすることを指しているようですが、問題文Cの「持ち運ぶ」の意味にも取れるので受験生は混乱したと思います。

問題18 正答:イ

従業者の監督に関する問題です。

従業者を監督する際、個人データの取扱状況等に起因するリスクに応じて、個人データを取り扱う従業者に対する教育、研修等の内容及び頻度を充実させるなど、必要かつ適切な措置を講ずることが望ましい、とされています(「個人情報保護法ガイドライン(通則編)」p42)。

したがって、「個人データが漏えい、滅失又はき損をした場合に本人が被る権利利益の侵害の大きさは考慮せずに」としている問題文Bは誤りです。

問題19 正答:エ

個人情報取扱事業者の委託先の監督に関する問題です。

委託された個人データの取り扱い状況を委託元が合理的に把握することを盛り込むことは望ましいので問題文Aは正しいです。

再委託の条件に関する指示を行わず、再委託先が個人データを漏えいした場合、必要かつ適切な監督を行っていたとはいえません。したがって、問題文Bも正しいです。

委託先の定期的な監査により委託内容の見直しを検討することを含め適切に評価することは望ましいといえます。したがって問題文Cも正しいです。

以上より、問題文はすべて正しいので正答はエとなります。

問題20 正答:ア

オプトアウトによる第三者提供に関する問題です。

本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止することとしてなければ、オプトアウトによる第三者提供を行うことはできません(第23条第2項柱書)。したがって、問題文Aは正しいです。

要配慮個人情報について、オプトアウトによる第三者提供はできません(第23条第2項カッコ書き)。したがって、問題文Bは誤りです。

「第三者に提供される個人データの項目」等を変更する場合は個人情報保護委員会規則で定めるところにより、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置くとともに個人情報保護委員に届け出なければならないとされています(第23条第3項)。したがって、変更ができないわけではないので問題文Cは誤りです。

以上より、問題文Aのみ正しいこととなりますので正答はアです。

第49回試験の感想と教訓

そんなに簡単ではない。

というのが率直な感想です。

行政機関個人情報保護法上の非識別加工情報の所管はどこか?とか個人情報保護委員会の委員長を任命するのは誰か?とか、短期間の準備では手が回らないだろうと思います。

正直に言えば、「クロスサイトリクエストフォージェリ攻撃」も「アンチパスバック」も初めて聞きました。

だからこそ過去問。

しかし、相変わらず、7割くらいの問題は過去問ほぼそのまんまです。

難問は作ろうと思えばいくらでも作れます。だからといって難問対策として細かい知識を追いかけ始めると準備時間が足りなくなります。

なので、過去問に出た知識は即答できるまでに固め、残りの問題は半分とれればよしとするくらいの作戦の方が勝率は高くなるのでは、と思いました。

試験会場で「ISMS適合評価制度のサーベイランス審査は何年ごとだっけ?」なんてやるのはまずいのです。

条文は読んでおきましょう。

個人情報保護法に規定があるか?という聞かれ方をした問題が出題されました。これは条文を読んでいないとわからないですよね。

なので条文は一通り読みましょう。条文を確認するとテキストで学んだことが整理できるのでおすすめです。

(そもそも法律の試験なので、法律そのものである条文を読んでおくのは当たり前というべきなのかもしれません。)

ガイドラインは出題ネタの宝庫。

もともとガイドラインの知識を正面から聞く問題が2~3問出ます。

今回で言えば、問題39、40、59です。

これらの他にもガイドラインの記載内容をネタにした出題が多数ありました。

例えば、「外資系企業の親会社への個人データ提供に本人の同意がいるか?」というのがそれです。「個人情報保護法ガイドライン(外国第三者提供編)」の5ページに記載があります。

個人情報保護委員会のホームページで読めますので、ガイドラインは一通り見ておいた方がいいですね。

手前味噌ですみません。

そろそろ出るかな?と思って講座に書いておいたことがちょこちょこ出ていました。

第三者提供に係る記録の保存年数(問題23問題文C)、UTM(問題108)です。

特に保存期間は個人情報保護法の本則ではなく施行規則第14条の方に規定されているので、そこまで押さえていた受験生は少ないのではないでしょうか?

手前味噌ですみませんが、読んでいた方が得点できていたら嬉しいです。

7割でいいことになりました。【2018年1月7日追記】

今回の試験は難しかったようで、合格基準点の引き下げが発表されました。

自信あり6割、自信なし2割、あてずっぽ2割くらいの手ごたえで合格ですね。

出題実績のある問題は確実に得点するという戦略でよかったのだと思います。

今後の対策【2018年1月7日追記】

解説記事を書き終えての感想を備忘録として残しておきます。

個人情報保護法

過去問+ガイドライン熟読。これでいけると思います。

マイナンバー

実務的な問題多し。

内閣府や国税庁のQ&Aをみておくといいと思いました。

http://www.cao.go.jp/bangouseido/faq/

https://www.nta.go.jp/mynumberinfo/FAQindex.htm

課題II

用語を知っていればOK。英単語の意味がわかれば解ける問題もありました。

対策としてはとにかく過去問をつぶす。

+αとしては、IPAのホームページが役に立ちそう。

例えば、https://www.ipa.go.jp/security/vuln/vuln_contents/index.html

 

ガイドラインを読みましょう

ガイドラインを読めば得点アップ

市販のテキスト以外でも非常に良い教材があります。個人情報保護委員会などが策定しているガイドラインです。ガイドラインを読んでおくと合格がより確実になります。

おすすめ理由1:丁寧かつわかりやすい

ガイドラインは、事業者が個人情報の適切な取扱いを間違いなく行えるよう個人情報保護法等を理解させる目的で策定されるものです。

具体例が豊富で、法律の抽象的な文言が「要するにこういうことです」とわかりやすく具体的に解説されています。

なので、テキスト等でなんとなくわかったような気になっていることがよりはっきりと理解できることがあります。

おすすめ理由2:試験によく出る

ガイドラインの記述がそのまま試験に出ることがしばしばあります。

例えば、匿名加工情報の「個人情報を復元できないようにした」とは「あらゆる手法によって復元することができないよう技術的側面からすべての可能性を排除することまでを求めるものではない」のかどうかが第48回試験の第12問で問われていますが、これは個人情報保護法ガイドライン(匿名加工情報編)の4ページに記述されています。

「復元できない」とはどういうことかについては、実は公式テキストにも記載がありません。ガイドラインを読んでいなかった受験生は試験会場で考えこむ、読んでいた受験生は即答できる、ということになります。

おすすめ理由3:実務でどのみち必要になる

個人情報保護士試験の受験生は個人情報の取扱い担当者または担当者になろうとする方が多いのではないでしょうか?

前述の通りガイドラインは事業者に向けて書かれたものですから、実務担当者としてはこれを読んでおく必要があります。

必読ガイドライン

私がおすすめするガイドラインは下記です。

個人情報の保護に関する法律についてのガイドライン(通則編)

このガイドラインは、事業者が個人情報を適切に取り扱うことができるように、個人情報保護法全般について解説したものです。

https://www.ppc.go.jp/files/pdf/guidelines01.pdf

特定個人情報の適正な取扱いに関するガイドライン(事業者編)

このガイドラインは、マイナンバー法施行にあたり、事業者が具体的にどのような取り組みをするとよいのかについて解説したものです。

https://www.ppc.go.jp/files/pdf/my_number_guideline_jigyosha.pdf

個人情報の保護に関する法律についてのガイドライン(匿名加工情報編)

匿名加工情報関連はこれを読めばよくわかります。

https://www.ppc.go.jp/files/pdf/guidelines04.pdf

その他のガイドライン

その他のガイドラインは、個人情報保護委員会の以下のページから閲覧することができます。「外国にある第三者への提供編」、「第三者提供時の確認・記録義務編」などがありますので余力があるようでしたらどうぞ。

https://www.ppc.go.jp/personal/legal/