第56回試験まで1週間を切りました。全範囲勉強する余裕のない方のために出題テーマの分析をしてみました。
結論としては、過去問で繰り返し問われていることを頭にいれておけば大丈夫でしょう。ただし、情報システムセキュリティの用語問題は過去問だけでは不十分だと思います。苦手な方はテキストを眺めてから試験に臨みましょう。
なお、分析対象としたのは手元に過去問がある分だけです。第55回試験の問題は見ておりません。その点ご了承ください。
表中の数字は問題番号です。
個人情報保護法に関する出題テーマ
| 第49回試験 | 第50回試験 | 第54回試験 | |
| 平成27年改正の背景 | 1 | 1 | |
| OECD8原則 | 2 | 2 | 1 |
| JIS Q 15001 | 3 | 3 | |
| プライバシーマーク | 4 | 4 | 2 |
| ISMS適合評価制度 | 5 | 5 | |
| 個人情報の定義 | 6 | 6 | 3 |
| 個人識別符号 | 7 | 7 | 4 |
| 要配慮個人情報 | 8 | 8 | 5 |
| 個人情報データベース | 9 | 9 | 6 |
| 個人情報取扱事業者 | 10 | 10 | 7 |
| 個人データ/保有個人データ | 11 | 11 | 8 |
| 匿名加工情報 | 12 | 12 | 9 |
| 匿名加工情報取扱事業者の義務 | 30 | 31 | 10 |
| 利用目的の特定・変更 | 13 | 11 | |
| 利用目的による制限 | 13 | 14 | 12 |
| 要配慮個人情報の取得 | 14 | 15 | |
| 利用目的の通知・公表 | 15 | 14、15 | |
| 個人情報の直接取得 | 16 | 16 | |
| 個人情報の適正取得 | 13 | ||
| 個人データ内容の正確性 | 16 | 17 | 17 |
| 安全管理措置 | 17 | 18 | 18 |
| 従業者の監督 | 18 | 19 | 19 |
| 委託先の監督 | 19 | 20 | 20 |
| オプトアウト | 20 | 21 | 22 |
| 個人データの第三者への提供 | 21 | 22 | 21 |
| 個人データの委託および事業承継 | 23 | ||
| 外国にある第三者への個人データの提供 | 22 | 23 | |
| 第三者提供に係る記録の作成 | 23 | 24 | 24 |
| 保有個人データに関する事項公表 | 24 | 25 | 25 |
| 保有個人データの開示 | 25 | 26 | 26 |
| 保有個人データの訂正 | 26 | 27 | 27 |
| 保有個人データの利用停止 | 27 | 28 | 28 |
| 保有個人データに関する請求 | 28 | 29 | 29 |
| 保有個人データに関する請求の手数料 | 30 | 30 | |
| 苦情の処理 | 29 | ||
| 個人情報保護委員会による監督 | 31 | 32 | 31 |
| 認定個人情報保護団体 | 32 | 33 | |
| 個人情報保護方針 | 33 | 34 | |
| 個人情報保護委員会 | 34 | 35 | |
| 域外適用 | 32 | ||
| 適用除外 | 35 | 36 | 33 |
| 罰則 | 34 | ||
| 行政機関個人情報保護法 | 36 | 37 | |
| 外国執行当局への情報提供 | 37 | 38 | |
| 個人情報データベース等提供罪 | 38 | ||
| ガイドライン(通則編) | 39 | 39 | |
| ガイドライン(金融分野) | 40 | 40 | |
| 個人情報保護委員会告示(漏えい事案が発生した場合の対応) | 35 |
2年前(49回、50回)と今年(54回)を比較しても、出題テーマに大きな違いはありません。平成27年改正の背景が聞かれなくなった、くらいでしょうか。
行政機関個人情報保護法、外国執行当局への情報提供の出題もなくなっていますが、捨てても問題ないとは言いにくいです。
マイナンバー法の出題テーマ
| 第49回試験 | 第50回試験 | 第54回試験 | |
| マイナンバー法の概要 | 41 | 41 | |
| マイナンバー法上の定義規定 | 43 | 36 | |
| 個人番号 | 43 | 37 | |
| 個人番号の変更 | 44 | 38 | |
| 個人情報保護法とマイナンバー法の関係 | 42 | 42 | |
| 特定個人情報の利用目的 | 45 | 46 | 39 |
| 再委託、委託先の監督 | 46 | 47 | 40 |
| 国・地方公共団体・事業者の責務 | 44 | ||
| 個人番号の生成 | 45 | ||
| 個人番号の提供の要求 | 48 | 48 | 41、42 |
| 本人確認の措置 | 50 | 49 | 43 |
| 代理人による個人番号の提供 | 49 | 50 | 44 |
| 通知カード | 47 | 51 | 45 |
| 個人番号カード | 51 | 51 | 45 |
| 特定個人情報の提供制限 | 52 | 52、53 | 46 |
| 特定個人情報の収集の制限 | 47 | ||
| 特定個人情報の第三者提供の制限 | 53 | ||
| 特定個人情報の収集・保管 | 54 | 54 | |
| マイナポータル | 55 | 55 | |
| 情報提供ネットワークシステム | 56 | 56 | |
| 特定個人情報ファイル | 57 | 48 | |
| 特定個人情報保護評価 | 57 | ||
| 法人番号 | 58 | 58 | 49 |
| 罰則 | 59 | 59 | 50 |
| ガイドライン | 60 | 60 |
問題数削減の影響で実務に直結する知識に出題が絞られているように見受けられます。提供制限や本人確認措置は必ず出題されるものと思って確実に抑えましょう。
脅威と対策のテーマ
|
|
第49回試験 | 第50回試験 | 第54回試験 |
| 個人情報の保護に関する基本方針 | 61 | ||
| マネジメントシステム | 61 | 51 | |
|
JIS Q 27000:2014 |
52 | ||
| 情報のCIA | 62 | 62 | 53 |
| 著作権法 | 63 | 54 | |
| 不正アクセス禁止法 | 63 | 55 | |
| 不正競争防止法 | 64 | ||
| JIS Q 15001:2017 | 65 | ||
| PMS(個人情報保護マネジメントシステム) | 64 | 68 | 57 |
| 個人情報保護評価 | 65 | ||
| 組織における業務の適正確保、会社法 | 66 | 66 | 56 |
| 個人情報保護法、マイナンバー法の罰則 | 67 | ||
| リスクマネジメントプロセス | 67 | 58 | |
| リスクアセスメント | 68 | 69 | 59 |
| 脅威の分類 | 69 | ||
| STRIDEモデル | 70 | 70 | 60 |
| リスク評価手法 | 73 | 71 | 61 |
| リスク対応 | 74 | 72 | |
| 脅威と脆弱性 | 71 | 73、75 | 63 |
| 損失額算出考慮要素 | 72 | ||
| 漏洩個人情報の価値 | 74 | ||
| 内部不正防止の基本原則 | 75 | 62 |
出題傾向に変化なし。リスクとは、脅威とは、マネジメントシステムとは、等。基本的な理解がしっかりしていれば大丈夫です。
組織的・人的セキュリティの出題テーマ
| 第49回試験 | 第50回試験 | 第54回試験 | |
| 組織的安全管理措置の内容 | 76 | 64 | |
| 台帳管理 | 76 | 65 | |
| 個人情報保護方針 | 77 | 77、78 | 66 |
| 規程文書の体系 | 78 | 79 | |
| 情報セキュリティ基本方針 | 67 | ||
| 管理者・管理委員会の役割 | 79、81 | 80 | 68 |
| 従業者の役割 | 80 | 69 | |
| 個人情報保護監査、監査人の役割 | 82、83 | 81、82 | 70 |
| 非開示契約 | 84 | 83 | 71 |
| 従業者のモニタリング | 85 | 86 | |
| 派遣社員のモニタリング | 84 | ||
| 教育による不正防止 | 85 | 72 | |
| 業務委託、再委託 | 86、87 | 87、88 | 73 |
| 漏えい事故発生時の対応 | 88、89 | 89 | 74、75 |
ほとんど同じことが聞かれ続けています。1時間の勉強で満点が狙えます。
オフィスセキュリティの出題テーマ
| 第49回試験 | 第50回試験 | 第54回試験 | |
| ゾーニング | 90 | 90 | 76 |
| 物理的セキュイティ境界 | 91 | ||
| 不正入室対策 | 91 | 77 | |
| バックアップ | 92 | 92 | 78 |
| コンピュータの保護 | 93 | 78 | |
| ストレージの信頼性(RAID) | 93 | 95 | 80 |
| クリアデスク、クリアスクリーン | 79 | ||
| IDカード | 94 | ||
| 本人認証 | 94 | ||
| 訪問者カード | 95 | ||
| USBメモリの利用ルール | 81 | ||
| 個人所有の機器の利用ルール | 96 | ||
| 入室制限 | 96 | ||
| ノートパソコン利用のルール | 97 | ||
| 個人情報の輸送 | 97 | 82 | |
| 災害対策 | 83 | ||
| 装置や媒体の廃棄 | 98 | 98 | |
| システムの二重化 | 99 | 99 | |
| BCP、BCM | 100 | 100 | 84 |
このパートも出題傾向に大きな動きはないようです。
情報システムセキュリティの出題テーマ
| 第49回試験 | 第50回試験 | 第54回試験 | |
| 暗号化方式 | 101 | 85 | |
| 電子署名 | 102 | 101、102 | 86 |
| 本人認証 | 104 | 105 | 87、88 |
| 公開鍵暗号基盤 | 103 | ||
| ワンタイムパスワード | 103 | 104 | |
| MACアドレスフィルタリング | 105 | ||
| ファイアウォールの方式(パケットフィルタリング、アプリケーションゲートウェイ) | 106 | 106 | 89 |
| VLAN | 108 | 90 | |
|
不正アクセス対策(IDS,IPS,DMZ) |
107 | 107 | |
| UTM | 108 | ||
| セキュアなプロトコル | 109 | 109 | |
| ランサムウェア、スパイウェア、ルートキット | 111 | ||
| ウォードライビング | 110 | ||
| ボット、トロイの木馬、ワーム、DDoS攻撃 | 112 | 110 | 91 |
| マルウェア対策 | 92 | ||
| パスワードの不正入手手法(ディレクトリトラバーサル、ブルートフォース、レプレイ攻撃) | 93 | ||
| マルウェア感染時の対応 | 113 | ||
| システムの脆弱性 | 114 | ||
| システムの設定、アカウントの管理 | 115 | ||
| 不正アクセス発覚時の対応 | 116 | ||
| スパイウェア対策 | 111 | ||
| ボット | 112 | ||
| キャッシュポイズニング | 113 | ||
| システム管理者基準 | 114、115 | ||
| アクセスログ | 116 | ||
| 電子メールの利用 | 117 | ||
| 情報システムの動作確認 | 117 | ||
| システムへの攻撃(リプレイ攻撃、キャッシュポイズニング、SQLインジェクション、クロスサイトスクリプティング、バッファオーバーフロー攻撃、 | 118、119、120 | 118、119、120 | |
| Webアプリケーションへの攻撃 | 94 | ||
| システムへの攻撃手法(スネールメール、ドライブバイダウンロード、ゼロデイ攻撃、フットプリンティング) | 95 | ||
| アクセス者の認識 | 96 | ||
| 運用のセキュリティ | 97 | ||
| 技術的脅威(BEC、スケアウェア、Hoax) | 98、99、100 |
暗号技術など基本的な考え方に関する出題は大きく変わっていません。しかし、用語問題はかなり変わっています。用語問題は試験中に考えればどうにかなるというものではなく、知らなければ即失点です。だからと言って手を広げ始めるときりがありませんので、テキストに載っている用語は押さえておきましょう。