まずはこの試験を概観してみましょう。
どんな試験?
個人情報保護士認定試験は、一般社団法人全日本情報学習振興協会が実施する個人情報のエキスパートを認定する試験です。年に4回実施され、合格者は累計で6万人を超えています。
出題は正誤判断と適語補充のマークシート式、2時間30分で解答します。
個人情報保護法、マイナンバー法の法律知識が問われる課題I「個人情報保護の総論」と個人情報保護の取り組みに必要な知識が問われる課題II「個人情報保護の対策と情報セキュリティ」があり、出題数はそれぞれ50問です。
第55回試験まではマイナンバー実務検定試験合格者に対する問題の一部が免除される措置をとっていましたが、第56回試験からはマイナンバー実務検定試験合格者に申請により加点をする方式に変更されました。
合格基準点は「原則」各課題70%以上
合格基準点は各課題70%以上です。
しかし、この合格基準点はあくまでも原則であり、問題の難易度により合格基準の切り下げがされることがあります。
実際、第49回、第50回試験では合格基準点の切り下げが行われました。
受験中に「難しい。70%は無理かも。」と感じても、そのように感じているのはあなただけではないかもしれません。合格基準の切り下げの可能性もありますので、本番中は一喜一憂せずに淡々と解答するのがおすすめです。
合格率は低くないがとにかくスピードが大事
合格率は35%~40%程度とそれほど難しい試験ではありません。
単純に知識の有無を問う試験なのでウンウンうなって考える必要はないのですが、1問あたり1分半で処理するスピードと2時間30分注意を持続する集中力が必要です。
課題 | 出題内容 | 問題数 | 制限時間 | 合格ライン |
---|---|---|---|---|
課題1 個人情報保護の総論 |
個人情報保護法の理解 | 40問 | 2時間30分 | 70%以上 |
マイナンバー法の理解 | 10問 | |||
課題2 個人情報保護の対策と情報セキュリティ |
脅威と対策 | 50問 | 70%以上 | |
組織的・人的セキュリティ | ||||
オフィスセキュリティ | ||||
情報システムセキュリティ |
どんな事が聞かれるのか
もう少し具体的にどんな知識を身につける必要があるのかみていきましょう。
課題I 「個人情報保護の総論」
「個人情報保護法の理解」が40問、「マイナンバー法の理解」が10問出題されます。
それぞれの法律にどのようなことが規定されているのかという知識を中心に成立経緯や遵守すべきガイドラインなど、周辺知識が出題されます。
例題を出します。次の記述の正誤を判断してください。
- プライバシーマークの有効期間は3年間である。
- データベースのバックアップは「個人データ」に該当しない。
- 個人情報取扱事業者は、あらゆる個人情報について第三者提供におけるオプトアウトができる。
- 個人番号は13桁である。
- 個人番号カードに有効期限はない。
おわかりになりますか?
答えはすべて「誤り」です。
「個人データ」とは?「オプトアウト」とは?といった知識があれば一瞬で答えが出ます。知識がなければ勘に頼るしかありません。
課題IIは「個人情報保護の対策と情報セキュリティ」
具体的に個人情報保護の取り組みをするのに必要な知識が問われます。
課題IIは「脅威と対策」「組織的・人的セキュリティ」「オフィスセキュリティ」「情報性ステムセキュリティ」の各単元から出題されます。
「脅威と対策」
- リスク分析手法にはどのようなものがあるのか?
- 発生頻度は高くないが発生した際の損害が大きいリスクにはどのような対応をするべきか?
- リスクファイナンスとはなにか?
といったリスクマネジメントの基本知識が問われます。
日本語の意味から類推して正答を導ける問題もありますが、一通り勉強しておかないと70%の正答は難しいと思います。ただし、専門的な内容は出題されませんのでおおよそどのようなものなのか理解していれば大丈夫です。
「組織的・人的セキュリティ」
- CPOの担う役割は?
- 規定はどのように整備する?
- 委託先との契約内容は?
といった組織体制や規定の知識が問われます。
お仕事で規定作りなどを担当されている方には当たり前の常識で特に試験対策をしなくても正答できてしまうかもしれません。ただし、あくまで「標準的にはどのようにすべきとされているか」が正解とされますので、勤務先での取扱いとギャップがある場合、知識や経験を頼りにすると足下をすくわれるおそれがあります。
「オフィスセキュリティ」
部外者の侵入や盗難を防ぐためにはどうすべきかが問われます。
IDカードの使い回しはいけない、とかサーバールームにスマホと持ち込ませないとか(実践されているかは別として)当たり前のことがほとんどです。
過去問で頻出事項を確認すれば70%の正答は難しくありません。
「情報システムセキュリティ」
通信の暗号化や不正プログラムの種類など、情報システムに対する脅威とその対策についての知識が問われます。
おそらく個人情報保護士試験の最大の鬼門はここかと思われます。
例えば、メールの添付ファイルの拡張子が「.sys」など実行型ファイルになっていたらウイルスであることを疑うべきだ、という知識が出題されたことがあります。
パソコンに強い人には当たり前のことかもしれませんが、苦手な方はそもそも「拡張子」って何?で躓きますよね。課題Iなどと比べると出題範囲が不明確でどこまで勉強すれば安心できるのか見極めが難しいです。
また、IDSとかDMZなどというように用語がアルファベットの略語のまま出題されるので、日本語の意味から推測するという手も使えません。
苦手な方は出題実績のある知識に勉強の範囲を限定して50%~60%の正答をめざし、不足する分は他の分野で補うという戦略をとるのも一案かと思います。