情報セキュリティマネジメント試験には、セキュリティに関する法律や刑法のことが試験に出ます。よく出る法律や刑法、どういった内容が法に触れるのかその内容を抑えておきましょう!
2014年に制定された法律で、国のサイバーセキュリティについて基本理念や、国の責任を明らかにしているものです。
サイバーセキュリティ基本法に対する国民の姿勢は、努力義務になります
不正アクセス禁止法では、ネットワークに勝手に入ること、アクセス制御されているモノや情報を不正にアクセスするために、情報を提供すること処罰の対象としています。
不正アクセス禁止法では、実際に不正に情報にアクセスするだけでなく、不正アクセスをした、不正アクセスする人を助けた、こういったものも処罰の対象になります。
不正アクセスして、情報をゲットしなくても、「しようとした人」「するのを助けた人」「しようと情報を集めた人」も処罰の対象です!
アクセス制御を超えて権限のないコンピュータ、情報にアクセスすることです。
個人情報保護法では、何が個人情報になるかがポイントです。 個人情報保護法での個人情報の定義を押さえておきましょう。
名前、住所、メールアドレスなどそれ単体、または組み合わせることで個人がわかってしまうもの
※※生きている人に限定されます!※※
国内では、JIS Q 15001で個人情報保護に関するガイドラインが定められています。ガイドラインで定められていることは次のような内容です。
国際的なものには、OECDプライバシーガイドラインがあり、OECD8原則が定められています。
このOECD8原則が情報セキュリティマネジメント試験に出ます!
個人情報保護法は、2003年に成立し、2016年に改正されました。この改正時に個人情報を扱う事業者についての取り決めが行われました。
組織は経済活動を行う上で個人情報を扱います。個人情報を取り扱う事業者のことを個人情報事業者といいます。
個人情報事業者は、大切な個人情報を扱うので、義務がいろいろと課せられてますよ。これが試験に出る!
個人情報事業者は、個人情報を勝手に集めたり、第3者に提供したりしてはいけません。本人の意思を汲んで個人情報を取り扱う必要があります。
「人種」「病歴」「信条」などは要配慮個人情報と言われ、オプトアウトでは提供できません。
電子メールで広告メールを送信する場合、許可をとってから送る「オプトイン方式」が原則です。
個人情報データを扱う際、個人を特定できないようにするため削除、加工を行うことがあります。以下はその際に使われる匿名化の手法です。
もとのデータから一定の割合でランダムにデータを抽出する
同じ保護属性の組み合わせをもつレコードがk個あるようにデータを加工する 匿名化手法を使って作られたデータのことを「匿名加工情報」といいます。
1987年、刑法の中にコンピュータ犯罪防止法が加えられました。次のことをしたら刑法にふれ、処罰の対象です。
情報セキュリティマネジメント試験は「セキュリティ」に関する試験です。当然不正アクセス禁止法や、刑法が出てきます。情報を勝手に盗むこと、コンピューターや情報を破壊することは法に触れます。どういった行為が悪いのか、その行為はどの法律や刑法に触れるのかしっかり理解しておきましょう。
世の中ローコード、とかノーコー…