非エンジニアでも、文系でも取れるIT系資格の情報セキュリティマネジメント試験。平成30年度春試験の午後問題は、個人情報保護法について問うています。
ね?!プログラミングなんか書けなくても解けるでしょ?!ということで、問題を例に解答のポイントを書いていきます。
平成30年春の情報セキュリティマネジメント試験のポイントは、平成27年に改正された個人情報保護法に関するものです。
平成27年に改正された個人情報保護法は、次のところがポイントです。
ポイントは「要配慮個人情報)です。
病歴はその人が持つ不当な差別、偏見などが起こらないように注意して取り扱う個人情報です。このような個人情報のことを要配慮個人情報といいます。
病歴、人種、信条、社会的身分、犯罪の経歴、犯罪被害などが要配慮個人情報にあたります。
個人情報保護法では、個人情報が書かれた書類を本人からもらうときに、その利用目的を明示しなければならいないとしています。よって答えは明示です。
個人情報保護法では、要配慮個人情報は、本人から同意をもらって取得する必要があると原則定めています。よって答えは同意です。
会社が従業員に健康診断を実施するように定めている法律があります。それは労働安全衛生法です。
はい、出ました。情報セキュリティマネジメント試験お得意の問題文をよく読めば解けてしまう問題です。
設問2の(1)では、「➀営業部員がMPCを携行する際の紛失・盗難そのものを防止するための順守事項」に有効なものを選択します。
ここでのポイントは、紛失・盗難に有効なものを選びます。
紛失・盗難に有効な手立てを選択肢から考えます。
ⅰ.BIOSパスワードを設定する
ⅱ.のぞき見防止フィルタをつける
ⅲ.MPCを携行しているときは、飲み会にいかない
ⅳ.移動中、電車の網棚にMPCを置かない
ⅴ.営業車から離れるときは車両内にMPCをおかない
ⅵ.ハードディスクのデータをリモートで消去できる機能を持つMPCを携行する
ⅰ~ⅵまでで「紛失・盗難」させないように注意する項目を選べばいいわけです。
答えはⅲ、ⅳ、ⅴです。
(2)の問題は「②MPC内のファイルが読み取られた可能性が低いことを確認できる機能」についてです。
MPCに対して行われた操作をどう残すか、を考えれば解くことができます。ポイントは以下の2つです。
上記のことを頭に入れて、問題をみてみましょう。
ア:BIOS設定など利用者と管理者権限を持つものとのパラメタを分ける
イ:MPC内のファイルアクセスについてログ取得、参照、変更、消去権限を利用者に付与
ウ:OSログイン時にカメラで写真を撮る。その画像の更新、消去には管理者権限が必要
エ:OSログインの成功・失敗をログに記録。ログの消去には管理者権限が必要
オ:SFAツールへのログイン成否をログに記録。ログの消去には管理者権限が必要
答えはウ、エですね。オと思ってしまうと思いますが、SFAツールは迂回されてしまっているので、OSの操作を誰がしたか考えればよいのですね。
報告が必要な場合を問うています。設問を見てみましょう。
ⅰ.宛名と送信者名だけの個人データを間違えてFAXした
ⅱ.火災にあって顧客情報DBを入れたハードディスクが燃えた
ⅲ.顧客情報DBのデータすべてを印刷したリストを紛失。漏洩は確認できていないが、その恐れがある
ⅳ.高度な暗号化をした顧客情報DBのデータを間違えて別の会社に送付した
ⅴ.システム登録前の顧客情報登録シートを50音順に重ねていて盗難にあった
この問題でのポイントは、国の個人情報保護委員会に報告すべき場合を理解している事です。
以下に示すものは報告が不要とされています。
設問3の(1)では、匿名加工情報についての問題です。では、問題と設問を見ていきましょう。
「④当社のマーケティングに有効な分析ができる匿名加工情報」について匿名加工情報に加工する適切な方法は?
ⅰ.顧客番号について乱数を使う ⅱ.生年月日について、月日を削除して生年だけにす ⅲ.性別を削除す ⅳ.肌質について特異なケースを除外するため、定めたしきい値より該当レコード数がすくない病歴の場合は当該レコードを削除する ⅴ.販売年月日について日を削除して販売年月だけにする ⅵ.販売番号について1の位を四捨五入する
設問3(1)のポイントは、匿名加工情報です。匿名加工情報とは、読んで字のごとく個人情報を加工して得られる情報のことです。
個人情報を加工するときには、個人情報に含まれる一部を削除する、ほかのものに置き換えるように個人情報保護法で定められています。
上記の匿名加工情報の定義とポイントを踏まえると、答えはわかりますね。ⅰ、ⅱ、ⅳが答えになります。
設問3の(2)では、匿名加工情報を取扱う業者の「義務規定」について問うています。問題では、Z社が匿名加工情報を取り扱う業者として読み取れます。
Z社が行うべき匿名加工情報の取り扱い方を選べばよいですね。
それでは、設問を見てみましょう。
ⅰ.複数の会社から受領した匿名加工情報と気象情報との相関関係をとって、新たな統計情報として作成・販売
ⅱ.複数の会社から受領した匿名加工情報へのアクセス権の設定など、安全管理措置を講じたが、その措置の公表を1年以上超えた
ⅲ.元の本人を識別するため、W社から匿名加工情報と他会社から得た情報との照合を行い、数百件程度の識別に成功した
ⅳ.元の本人を識別するために、W社から受領した匿名加工情報と他会社から得た情報との照合を試みたが失敗した
ⅴ.匿名加工情報から識別するため、書面で秘密保持契約を交わしたうえで、加工方法を有償で得た
ⅵ.元の本人を匿名加工情報から識別するため、書面で秘密保持契約を交わさず口頭で合意したうえ、W社が使った加工方法を無償で得た
(2)は、匿名加工情報取扱事業者について問うています。匿名加工情報取扱事業者は、次の3点の義務規定があります。
むー。この匿名加工情報取扱事業者に関する規定がなかなか難しいです。簡単に言うと、こういうことですかね?
・匿名加工情報を人にあげるときは、どの項目をあげるのか、どうやってあげるのかちゃんと皆に言うんだよ
・匿名加工情報を勝手に何かと突き合わせて個人を特定しちゃだめよ。
・匿名加工情報にするときの加工方法(関数とか削除の方法とか?)を知ろうとしちゃだめよ
・匿名加工情報を取り扱っているんだから、ちゃんと管理してね
上記のことを踏まえると、答えはⅲ、ⅳ、ⅴ、ⅵです。
平成30年度春の情報セキュリティマネジメント試験のポイントは、個人情報保護法改正のことでした。
改めて個人情報保護法改正についてまとめます。ポイントは4つです。
以上、個人情報保護法の改正をもとに作られた情報セキュリティマネジメント試験です。ITテクノロジーよりも会社のこととか、法律のこととかがよく出ることがわかります。
午前問題で知識を積んで、問題をよく読めば解けるものばかりです。落ち着いてやりましょう!
世の中ローコード、とかノーコー…
■要配慮個人情報、匿名加工情報が新たに設けられた
■個人情報を扱う事業者すべてが対象になった