第49回試験解説：脅威と対策

第49回個人情報保護士試験の解答・解説です。

問題61　正答：エ

個人情報保護におけるマネジメントシステムに関する問題です。

情報セキュリティの組織的なマネジメントが必要であり、そのためのマネジメントシステムとしてISMSがあること（問題文A)、個人情報保護法への対応も情報セキュリティ対応の一部であり、個人情報保護法への対応として個人情報保護管理体系（PMS）の理解と実践が求められること（問題文B）、ISMSとPMSは矛盾するものではないこと（問題文C）、いずれも正しい記述です。

したがって、問題文はすべて適切ですので正答はエとなります。

PMSとはPersonal Information Protection Management Systemの略称です。

問題62　正答：ア

情報セキュリティの要素に関する問題です。

• 情報セキュリティとは情報の機密性、完全性、可用性を維持することです。機密性と可用性は問題文中に出ていますので、空欄(a)には「完全性」が入ります。
• 「アクセスを認可された者以外の者には情報にアクセスさせないこと」は「機密性」の説明ですので、空欄(b)には「機密性」が入ります。

この時点で正答はアと分かります。

ちなみに、機密性が損なわれた場合の例として適切なもの（空欄(c)）は「情報の不正流出」です。

問題63　正答：ウ

なんと著作権法に関する問題です。著作権法に関する問題が出たのは初めてではないでしょうか？

同一性保持権とは、著作者の意に反して著作物を変更しないことをいいます。選択肢ウは、これを「著作物を公表するときに、著作者名を表示するかしないか、表示するとすれば実名か変名かを決める権利」としており誤りです。これは「氏名表示権」の内容です。

したがって、正答はウとなります。

著作権が知的財産権の一つであること（選択肢ア）、情報通信技術の進歩に伴い著作権法の適用範囲が拡大されていること（選択肢イ）、著作物を著作者の許諾なしに公表することは著作権侵害となること（選択肢エ）がいずれも正しいことは、いわば常識でわかると思うので正答することは難しくなかったと思います。

公益社団法人著作権情報センターのサイトが非常にわかりやすかったのでご参照をお勧めします。

問題64　正答：ウ

個人情報保護マネジメントシステムのモデルに関する問題です。

• 空欄（a）は計画段階でするべきことですので「管理策の有効性測定」ではなく、「リスクアセスメント」です。
• 空欄（b）は、実施及び運用段階でするべきことですので「従業者の教育」が入ります。「適用宣言書作成」は計画段階でします。
• 「運用の確認」「監査」は「点検」（空欄（c））、是正処置及び予防処置の具体例は「代表者による見直し」（空欄（d））です。

以上より、正答はウとなります。

問題65　正答：エ

個人情報保護評価に関する問題です。

• 個人情報の収集を伴う情報システムの導入にあたり、プライバシーへの影響を評価するプロセス（空欄（a））を「PIA」といいます。PIAとは Privacy Impact Assessmentの略です。
• PIAは「システム運用と並行して」ではなく、「事前に」行います（空欄（b））。
• PIAに関するJIS規格はまだありませんが、国際規格として「ISO22307」（空欄（c））があります。ISO9001は品質マネジメントシステムです。

問題66　正答：イ

組織における業務の適性確保の仕組みに関する問題です。

• 業務の有効性及び効率性や財務報告の信頼性等を達成するために業務に組み込まれ遂行されるプロセス（空欄（a））は、「ITガバナンス」ではなく「内部統制」です。
• 大会社において内部統制システムの整備を義務付けているのは（空欄（b））「会社法」であり「不正競争防止法」ではなりません。
• 大会社ではない会社であっても、内部統制システムの構築は取締役の「善管注意義務」（空欄（c））の一環とされています。「努力義務」ではありません。

問題67　正答：イ

JIS Q 31000におけるリスクマネジメントプロセスに関する問題です。

リスクマネジメントの流れは「リスク特定」（空欄（a））→「リスク分析」（空欄（b））→「リスク評価」（空欄（c））です。

したがって、正答はイとなります。

問題68　正答：イ

リスクアセスメントの用語に関する問題です。

• 損失だけではなく利益を生む可能性がある事象（空欄（a））は、「純粋リスク」ではなく「投機的リスク」です。
• 情報セキュリティマネジメントにおけるリスク（空欄（b））は、「投機的リスク」ではなく「純粋リスク」です。
• 情報セキュリティにおけるリスクは「ある「脅威」（空欄（c））が、資産または資産グループの「ぜい弱性」（空欄（d））につけこみ、そのことによって組織に損害を与える可能性」と定義されています。

以上より、正答はイとなります。

問題69　正答：ウ

脅威の分類に関する問題です。

問題文中、「人為的・偶発的脅威」に分類されるものは、「ネットワーク構成要素の技術的障害」（空欄（a））と「セキュリティパッチの適用漏れ」（空欄（c））です。

したがって、正答はウとなります。

問題70　正答：イ

STRIDEモデルに関する問題です。

「サービス拒否」（Denial of Service）、「なりすまし」（Spoofing Identity）、「否認」（Repudiation）はいずれもSTRIDEモデルにあります。

ないのは選択肢イの「情報の詐取」です。したがって、正答はイとなります。

問題71　正答：ウ

脅威とぜい弱性の事例問題です。

インターネットに接続しているパソコンが異常な動作をした。調査したところウイルスに感染していた、古いバージョンのソフトが使用されていたことが判明したという事例におけるぜい弱性は「ソフトウェアの更新の不徹底」であり、脅威は「マルウェアの侵入・感染」です。

したがって、正答はウとなります。

問題72　正答：ア

リスクアセスメントにおける想定損失額算出の考慮要素の分類に関する問題です。

• 直接損失の具体例（空欄（a））は、「罰金を科される」ではなく「事故による人的損失」です。
• 間接損失の具体例（空欄（b））は、「復旧のための費用」ではなく「罰金を科される」です。
• 対応費用の具体例（空欄（c））は、「罰金を科される」ではなく「復旧のための費用」です。

以上より、正答はアとなります。

問題73　正答：イ

リスク分析手法に関する問題です。

非形式的アプローチは、手間がかからない反面分析者の能力に依存するという問題があるとする問題文Aは正しいです。

組合せアプローチは、組織全体についてベースラインアプローチ、重要な情報資産については詳細リスク分析を行うものです。問題文Bは採用する手法が組織全体についてのものと重要な情報資産についてのものが逆になっており誤りです。

以上より、正答はイとなります。

問題74　正答：イ

リスク対応に関する問題です。

社内の情報システムの運用を、ネットワークの専門の会社に委託すること（選択肢（イ））は「リスク移転」であって「リスク低減」ではありません。

したがって、リスク低減に該当しないのはイですので、正答はイとなります。

問題75　正答：エ

内部不正防止の基本原則に関する問題です。

動機（不正をする理由がある）と機会（不正をするチャンスがある）と正当化（不正をしても許されると考える）という条件がそろうと内部不正がおこるという考え方を基礎にしています。

e）の「犯罪の弁明の場を与える」は正当化を助長しますので適当ではありません。したがって、e）を含む選択肢イと選択肢ウを除外できます。

b）の「捕まるリスクを高める」は不正の機会を減らすことになりますので適切です。したがって、b）を含まない選択肢アも適当ではありません。

以上より、正答はエとなります。