Categories: 情SG試験

平成30年度・情報セキュリティマネジメント試験午後問題1を解説します~ポイントは個人情報保護法の改正~

非エンジニアでも、文系でも取れるIT系資格の情報セキュリティマネジメント試験。平成30年度春試験の午後問題は、個人情報保護法について問うています。

ね?!プログラミングなんか書けなくても解けるでしょ?!ということで、問題を例に解答のポイントを書いていきます。

平成30年春情報セキュリティマネジメント試験のポイント

平成30年春の情報セキュリティマネジメント試験のポイントは、平成27年に改正された個人情報保護法に関するものです。

平成27年に改正された個人情報保護法は、次のところがポイントです。

平成27年の個人情報保護法改正ポイント
■個人情報の定義が変わった
■要配慮個人情報、匿名加工情報が新たに設けられた
■個人情報を扱う事業者すべてが対象になった

設問1

「a」に入るもの

ポイントは「要配慮個人情報)です。

病歴はその人が持つ不当な差別、偏見などが起こらないように注意して取り扱う個人情報です。このような個人情報のことを要配慮個人情報といいます。

病歴、人種、信条、社会的身分、犯罪の経歴、犯罪被害などが要配慮個人情報にあたります。

「b」に入るもの

個人情報保護法では、個人情報が書かれた書類を本人からもらうときに、その利用目的を明示しなければならいないとしています。よって答えは明示です。

稼働中の人
よくアンケート用紙とかにも『このこと以外個人情報は利用しません』とか書いているよね

「c」に入るもの

個人情報保護法では、要配慮個人情報は、本人から同意をもらって取得する必要があると原則定めています。よって答えは同意です。

「d」に入るもの

会社が従業員に健康診断を実施するように定めている法律があります。それは労働安全衛生法です。

稼働中の人
こんな問題もでるのね、と驚きます

設問2

(1)情報セキュリティに関する対策

はい、出ました。情報セキュリティマネジメント試験お得意の問題文をよく読めば解けてしまう問題です。

設問2の(1)では、「➀営業部員がMPCを携行する際の紛失・盗難そのものを防止するための順守事項」に有効なものを選択します。

ここでのポイントは、紛失・盗難に有効なものを選びます。
紛失・盗難に有効な手立てを選択肢から考えます。
ⅰ.BIOSパスワードを設定する
ⅱ.のぞき見防止フィルタをつける
ⅲ.MPCを携行しているときは、飲み会にいかない
ⅳ.移動中、電車の網棚にMPCを置かない
ⅴ.営業車から離れるときは車両内にMPCをおかない
ⅵ.ハードディスクのデータをリモートで消去できる機能を持つMPCを携行する

ⅰ~ⅵまでで「紛失・盗難」させないように注意する項目を選べばいいわけです。
答えはⅲ、ⅳ、ⅴです。

(2)MPCが紛失・盗難中の情報漏洩の可能性について

(2)の問題は「②MPC内のファイルが読み取られた可能性が低いことを確認できる機能」についてです。

MPCに対して行われた操作をどう残すか、を考えれば解くことができます。ポイントは以下の2つです。

平成27年の個人情報保護法改正ポイント
■SFAツールが迂回された可能性がある。ということはSFAツールに操作ログが残らない
■操作ログを利用者に更新、削除する権限を与えると消されてしまう可能性がある

上記のことを頭に入れて、問題をみてみましょう。

ア:BIOS設定など利用者と管理者権限を持つものとのパラメタを分ける
イ:MPC内のファイルアクセスについてログ取得、参照、変更、消去権限を利用者に付与
ウ:OSログイン時にカメラで写真を撮る。その画像の更新、消去には管理者権限が必要
エ:OSログインの成功・失敗をログに記録。ログの消去には管理者権限が必要
オ:SFAツールへのログイン成否をログに記録。ログの消去には管理者権限が必要

答えはウ、エですね。オと思ってしまうと思いますが、SFAツールは迂回されてしまっているので、OSの操作を誰がしたか考えればよいのですね。

(3)国の個人情報保護委員会に報告するように努めるべき場合は?

報告が必要な場合を問うています。設問を見てみましょう。

ⅰ.宛名と送信者名だけの個人データを間違えてFAXした
ⅱ.火災にあって顧客情報DBを入れたハードディスクが燃えた
ⅲ.顧客情報DBのデータすべてを印刷したリストを紛失。漏洩は確認できていないが、その恐れがある
ⅳ.高度な暗号化をした顧客情報DBのデータを間違えて別の会社に送付した
ⅴ.システム登録前の顧客情報登録シートを50音順に重ねていて盗難にあった

この問題でのポイントは、国の個人情報保護委員会に報告すべき場合を理解している事です。

個人情報保護委員会に報告するケース
■ 個人データが漏洩、滅失、毀損した場合
■ 加工方法等情報が漏洩した場合
■ 上記のおそれがある場合

以下に示すものは報告が不要とされています。

・個人データや加工方法等情報に高度な暗号化が行われている場合
・FAX、メールの誤送信、荷物の誤配のうち軽微なものの場合(宛名や送信者名以外に個人データ、加工方法等情報が含まれていない場合)
稼働中の人
宛名や送信者くらいならまあいいや、のレベルなんですよね。

設問3

(1)匿名加工情報についての問い

設問3の(1)では、匿名加工情報についての問題です。では、問題と設問を見ていきましょう。

「④当社のマーケティングに有効な分析ができる匿名加工情報」について匿名加工情報に加工する適切な方法は?

ⅰ.顧客番号について乱数を使う ⅱ.生年月日について、月日を削除して生年だけにす ⅲ.性別を削除す ⅳ.肌質について特異なケースを除外するため、定めたしきい値より該当レコード数がすくない病歴の場合は当該レコードを削除する ⅴ.販売年月日について日を削除して販売年月だけにする ⅵ.販売番号について1の位を四捨五入する

設問3(1)のポイントは、匿名加工情報です。匿名加工情報とは、読んで字のごとく個人情報を加工して得られる情報のことです。

匿名加工情報
■特定の個人を識別できないようになっている
■匿名加工情報から、個人情報を復元できないこと

個人情報を加工するときには、個人情報に含まれる一部を削除する、ほかのものに置き換えるように個人情報保護法で定められています。

上記の匿名加工情報の定義とポイントを踏まえると、答えはわかりますね。ⅰ、ⅱ、ⅳが答えになります。

稼働中の人
性別を削除、とあるけど、問題文の中に「商品ごとの性別と年間販売数量との相関関係の分析」をする、と書いてあるので、不適切だとわかります。

(2)保護法の「義務規定」についての問い

設問3の(2)では、匿名加工情報を取扱う業者の「義務規定」について問うています。問題では、Z社が匿名加工情報を取り扱う業者として読み取れます。

Z社が行うべき匿名加工情報の取り扱い方を選べばよいですね。

それでは、設問を見てみましょう。

ⅰ.複数の会社から受領した匿名加工情報と気象情報との相関関係をとって、新たな統計情報として作成・販売
ⅱ.複数の会社から受領した匿名加工情報へのアクセス権の設定など、安全管理措置を講じたが、その措置の公表を1年以上超えた
ⅲ.元の本人を識別するため、W社から匿名加工情報と他会社から得た情報との照合を行い、数百件程度の識別に成功した
ⅳ.元の本人を識別するために、W社から受領した匿名加工情報と他会社から得た情報との照合を試みたが失敗した
ⅴ.匿名加工情報から識別するため、書面で秘密保持契約を交わしたうえで、加工方法を有償で得た
ⅵ.元の本人を匿名加工情報から識別するため、書面で秘密保持契約を交わさず口頭で合意したうえ、W社が使った加工方法を無償で得た

(2)は、匿名加工情報取扱事業者について問うています。匿名加工情報取扱事業者は、次の3点の義務規定があります。

匿名加工情報取扱事業者への義務規定
■匿名加工情報を第三者に提供するときは、その個人に関する項目と提供方法を公表する。また、提供する情報が匿名加工情報であると明示する
■匿名加工情報を他の情報と照合してはいけない
■匿名加工情報にするときに使った加工方法を取得してはいけない
■匿名加工情報を適切に取り扱うため、必要な措置をして、その措置の内容を公表する

むー。この匿名加工情報取扱事業者に関する規定がなかなか難しいです。簡単に言うと、こういうことですかね?

・匿名加工情報を人にあげるときは、どの項目をあげるのか、どうやってあげるのかちゃんと皆に言うんだよ
・匿名加工情報を勝手に何かと突き合わせて個人を特定しちゃだめよ。
・匿名加工情報にするときの加工方法(関数とか削除の方法とか?)を知ろうとしちゃだめよ
・匿名加工情報を取り扱っているんだから、ちゃんと管理してね

上記のことを踏まえると、答えはⅲ、ⅳ、ⅴ、ⅵです。

稼働中の人
口頭で約束、なんて論外だから「ⅵ」が含まれる解答を消去法で消していくのも良いよね

まとめ・個人情報保護法改正

平成30年度春の情報セキュリティマネジメント試験のポイントは、個人情報保護法改正のことでした。

改めて個人情報保護法改正についてまとめます。ポイントは4つです。

明確な定義と適用の変更
■要配慮個人情報について定められた
■取り扱う個人情報が5000件以下の小規模取扱事業者にしても個人情報保護法が適用されることになった
個人情報を有効に使えるようになった
■匿名加工情報を使ってよいよ、使うときは注意してね、というルールを定めた
義務・罪についての規定
■個人情報を第三者に提供するときは、確認・記録するように義務化された
■データベース提供罪がつくられた
その他
■個人情報保護委員会が内閣府の外局に新設された
■外国の人が個人情報を受け取ったときにも、日本の個人情報保護法を適用すること
■外国の第三者へ個人情報を提供するときには、制限をもうけること

以上、個人情報保護法の改正をもとに作られた情報セキュリティマネジメント試験です。ITテクノロジーよりも会社のこととか、法律のこととかがよく出ることがわかります。

午前問題で知識を積んで、問題をよく読めば解けるものばかりです。落ち着いてやりましょう!

KadochuKadochu