第48回個人情報保護士試験の解答と解説です。
問題61 正答:イ
個人情報取扱事業者の義務規定と対象となる情報の関係に関する問題です。
埋めやすいところから埋めていきます。
「開示・削除請求などへの対応」は自ら開示・訂正・利用停止などの権限を持っていなければできません。そういった権限を持っている情報を保有個人データと呼びます。したがって、dは「保有個人データ」です。これで、選択肢はイとエに絞られます。
「適切な取得・取扱い」は個人情報全体にかかる義務です。したがって、「個人情報」に矢印がつながっているaは「適切な取得・取扱い」となりますのでイが正解となります。
問題62 正答:イ
PDCAサイクルに関する問題です。
- 問題文Aの規定の策定はPlanで行うべき内容です。
- 問題文Bの教育の実施はDoで行うべき内容です。
- 問題文Cの運用状況の確認はCheckで行うべき内容です。
以上より、BのみDoステップでの実施内容なので、イが正答となります。
問題63 正答:ア
マネジメントシステム規格に関する問題です。
問題文Aについて。JIS Q 31000:2010がリスクマネジメントに関する原則等を示すものであること、組織の存在期間全体を通して、かつ広範囲にわたる活動に対して適用できるものであること、正しいです。
問題文Bについて。JIS Q 27001:2014が情報セキュリティマネジメントシステムのための規格ですし、第三者認証制度もあるので外部関係者が評価するためにも用いることができますので、記述内容は正しいです。
以上よりいずれの問題文も正しいので正答はアとなります。
問題64 正答:ウ
「機密性」に関する問題です。
機密性とは、許可されたものだけが情報にアクセスできることをいい、選択肢ウが該当します。
- 選択肢イ、必要なときにいつでも情報を利用できるようにすることは可用性の記述です。
- 選択肢エ、情報システムが勝手に変更されることがないようにすることは完全性の記述です。
- 選択肢アは、情報の作成等が誰によって行われたかを明確にすることとあり、完全性に関連する記述となっています。
問題65 正答:エ
情報セキュリティ対策の流れに関する問題です。
- 空欄aについて。まずなされるべきは「情報セキュリティ基本方針の策定」ですからウとエに絞られます。
- 空欄bについて。次になすべきは「リスク分析・評価・対策の検討」ですから正答はエとなります。
- 空欄cについて。検討の結果を受けて情報セキュリティ対策基準を策定しますのでエが正しいことが確認できます。
問題66 正答:ウ
リスクマジメントに関する問題です。
- 問題文Aについて。情報セキュリティが対象とするのは主に純粋リスクであって投機的リスクではありませんので誤りです。
- 問題文Bについて。物理的な事故やケアレスミスは、人為的・偶発的脅威に分類されます。人為的・意図的脅威ではありませんので誤りです。
- 問題文Cについて。ぜい弱性とは情報資産のもつ弱点であること、脅威を誘引する可能性のないものについてはリスク評価の対象とする必要はないこと、いずれも正しいので問題文Cは正しいです。
以上より、Cのみ適切ですので正答はウとなります。
問題67 正答:イ
リスク分析手法に関する問題です。
組み合わせアプローチは、重要な情報資産については定量的リスク分析を適用し、それ以外にはベースラインアプローチを適用するものです。
イの記述はそれぞれの分析手法を適用すべき情報資産が逆になっているので不適切です。
問題68 正答:ウ
情報セキュリティリスクの算出方法に関する問題です。
リスクの大きさ=情報資産×脅威×ぜい弱性(計算式A)
あるいは、
リスクの大きさ=被害の大きさ×発生頻度(計算式D)
で表されます。BとCは誤っているので正答はウとなります。
問題69 正答:エ
リスク対応の分類に関する問題です。
- 空欄aについて。リスクが発生する状況に巻き込まれないように意思決定することを「リスクの回避」といいます。
- 空欄bについて。対策を実施してリスク発生の可能性を低減することは「リスクの修正」です。
- 空欄cについて。リスク発生時の損失負担などを他者に分散または他者と共有することは「リスクの移転」です。
問題70 正答:エ
リスク対応の用語問題です。
リスク対応として、コストに見合う資金供給を用意することを「リスクファイナンス」といいます。
問題71 正答:ア
リスク対応の用語問題です。
- 空欄aについて。リスク対応を行っても解決ができないリスクのことを「残存リスク」といいます。
- 空欄bについて。残存リスクはリスク評価の過程で設定したリスクの「許容水準以下に抑える」必要があります。
- 空欄c及びdについて。残存リスクの承認は「経営者」の判断によるべきで、「現場担当者」の判断によるべきではありません。
問題72 正答:ウ
技術的脅威に関する問題です。
- 空欄aについて。技術的脅威の分類手法に「STRIDE」モデルがあります。「COCOMO」はソフトウェア開発の工数計算のモデルです。
- 空欄bについて。他人のユーザIDやパスワードを盗用して情報を盗み出すことを「なりすまし」といいます。「特権の昇格」は不正に管理者IDなどに格上げして本来アクセスが許されていない情報にアクセスすることをいいます。
- 空欄cについて。管理者を装ってパスワードを聞き出すことは「ソーシャル・エンジニアリング」の一例です。「コンカレント・エンジニアリング」は開発期間の短縮化を図る手法のことです。
問題73 正答:エ
NPO 日本ネットワークセキュリティ協会作成の情報漏えい被害の大きさの分類モデルに関する問題です。
- アについて。決済機能付きのサイトの顧客登録情報は、経済的損失レベルは高いものの、精神的苦痛レベルは低いと考えられ、Aにプロットされます。したがって、アは正しいです。
- イについて。与信ブラックリストは経済的損失レベルも精神的苦痛レベルも高いと考えられ、Bにプロットされます。したがって、イは正しいです。
- ウについて。ISPアカウント名は経済的損失レベルも精神的損失レベルも低いと考えられ、Cにプロットされます。したがって、ウは正しいです。
- エについて。住民票コードはウ同様Cにプロットされます。したがってDにプロットされるとするエは誤りです。
問題74 正答:ウ
ぜい弱性と脅威の事例問題です。
ぜい弱性とは弱点のことです。脅威とはリスク要因のことであると説明されますが、「事象」と言った方がわかりやすいと思います。
ぜい弱性について。顧客対応にあたった社員が顧客情報をミニブログに「軽い気持ちで投稿した」とありますので、ぜい弱性は「セキュリティ意識の欠如」です。
脅威について。「顧客情報の一部がSNS上に流出した」とありますので脅威は「情報漏えい」です。
問題75 正答:ア
情報セキュリティ関連用語に関する問題です。
- 空欄aについて。企業がその業務を適正かつ効率的に遂行するために、社内に構築され運用されるプロセスを「内部統制」といいます。
- 空欄bについて。情報システムに関する企画、導入、運営、活用にあたり活動等を適正に統制することを「ITガバナンス」といいます。
- 空欄cについて。法制度をはじめ、企業理念や企業倫理などを含めた企業内のルールを遵守することを「コンプライアンス」といいます。