The Journey to Stars〜未知への探求〜

好奇心の赴くままに。学んだことを中心に書いています。

  当サイトの記事には、広告・プロモーションが含まれています

<情報セキュリティマネジメント試験>H30年春午後問題

f:id:yamaiririy:20210729172235p:plain

情報セキュリティマネジメント試験のH30年春午後問題について書いていきます。

 

 

 

 

問1:個人情報の保護に関する法律への対応

 

 

設問1-1:要配慮個人情報と個人情報の取り扱い

アレルギー情報はどのような情報にあたるかを答えた上で、その情報の取り扱いについて問う問題。

アレルギー情報は、病歴につながる情報が書かれている可能性があるので、

「要配慮個人情報」にあたります。

 

個人情報の取得の際は、その利用目的を利用者に明示する

必要がありますが、要配慮個人情報はさらに、同意も必要になります。

 

設問2-3:個人情報漏えいがあった場合の対応

どのようなインシデントがあった時に、国の個人情報保護委員会などに報告をすべきか問う問題。

 

(i)宛名及び送信者名だけの個人データが含まれている文書を,相手先のファックス番号を間違えて,他の会社に送信した場合

X(個人の特定は特定は宛名と送信者名だけではできないので、報告は不要)
(ii)火災に遭い,顧客情報DBを格納したサーバのハードディスクが焼損し,顧客情報DBがバックアップも含め全て滅失した場合

→X(外部への漏えいは無いので報告は不要)
(iii)顧客情報DBのデータ全てを印刷した顧客リストを紛失し,漏えいは確認できていないものの,そのおそれがある場合

→◯(報告が必要)
(vi)高度な暗号化を施した顧客情報DBのデータを,委託先である印刷会社に送信しようとしたが,誤って別の会社に送信した場合

→X(高度な暗号化が施されており、漏えいの可能性は低いので不要)
(v)システムへの登録前の顧客情報登録用シートを,顧客の氏名の五十音順に重ねて置いていて盗難に遭った場合

→◯(報告が必要)

 

設問3-2:匿名加工情報の取り扱いについて

個人が特定できないように加工した匿名加工情報の取り扱いについて、どのような時に匿名加工情報取扱事業者の義務違反になる可能性があるかを問う問題。

 

(i)複数の会社(W社及びW社以外の会社)から受領した匿名加工情報と気象情報との相関を取って,新たな統計情報として作成し,販売した。

→◯(問題なし)
(ii)複数の会社(W社及びW社以外の会社)から受領した匿名加工情報へのアクセス権の設定などの安全管理措置を講じたにもかかわらず,その措置の公表を正当な理由なく1年を超えて怠った。

→◯(問題なし)
(iii)元の本人を識別するために,W社から受領した匿名加工情報と,他の会社から受領した情報との照合を行ったところ,数百件程度,識別に成功した。

→X(他の情報との称号を行う行為はNG)
(vi)元の本人を識別するために,W社から受領した匿名加工情報と,他の会社から受領した情報との照合を試みたが,結果は全て失敗した。

→X(他の情報との称号を行う行為はNG)
(v)元の本人を匿名加工情報から識別するために,書面での秘密保持契約を交わした上で,W社が用いた加工方法を,W社から有償で取得した。

→X(加工方法に関する情報を取得するのはNG)
(vi)元の本人を匿名加工情報から識別するために,書面での秘密保持契約を交わすことなく,口頭での合意の上で,W社が用いた加工方法を,W社から無償で取得した。

→X(加工方法に関する情報を取得するのはNG)

 

問2:内部不正事案への対応

設問2-2:内部不正の原因

内部不正が起きたことの、基本方針・人的管理・職場環境観点での原因を選ぶ問題。

 

ア営業所ごとの個別の情報セキュリティリーダの任命・配置が未実施

→セキュリティ体制の構築の不備=基本方針の不備
イ営業所長が多忙で,不在なときが多く,営業所内のコミュニケーションが不十分

→職場環境の不備
ウ社外送信メールの記録と保存が不十分

→該当しない(メールの対策は実施済み)
エ社内の懲戒処分を含めた内部規程及びメール利用ルールなどの周知,教育が不十分

→人的管理の不備
オ従業員退職時の点検手続及びチェックが不十分

→該当しない(定められた手続きで対応していた)
カ内部不正事案発生時の報告体制及び調査のための備えが不十分

→該当しない(不正が判明してすぐに報告をしていた)
キ本社において,情報セキュリティ責任者及び情報セキュリティリーダが不足

→該当しない(本社の体制は十分)

 

問3:企業統合における情報セキュリティガバナンス

設問1:個人情報取り扱い事業者に該当する理由

なぜ合併後、扱う個人情報が3,800件なのに、個人情報保護取り扱い事業者にあたるか?を問う問題。

理由は、2015年の個人情報保護法改正で、

保有する個人情報が5,000件以下の事業者は個人情報取扱事業者から除く」という規定が削除されたためなので、

正解は

 

 

設問3-3:データの漏えい・消失のリスク対策

業務PCを持ち出し可能にするにあたり、

データの漏えい・消失のリスクへの対策になるものを選ぶ問題。

 

(i)BIOSのパスワードに,他人に推測されにくい文字列を設定

→◯対策になる
(ii)OSとアプリケーションのファイルを除く,ハードディスク中の全てのファイルに対し,ファイルごとに異なるパスワードを用いて手動で暗号化

→全てのファイルの暗号化は手間がかかるので、業務効率化を目指す社長の方針と異なる
(iii)OSのパスワードに,他人に推測されにくい文字列を設定

→◯対策になる
(vi)機密性が高い情報を会社貸与のノート型のPCに格納することを原則として禁止し,営業成績を上げられる見込みがある場合に限り,営業員の判断でその情報をそのノート型のPCに格納可能とすることという条文を旧X社のポリシに追加

→該当しない
(v)旧X社のポリシに則したパスワードを用いてハードディスク全体を暗号化

→◯対策になる
(vi)社外で漏えい・消失が発生した場合の対応フローを策定

→◯対策になる
(vii)ディスプレイにのぞき見防止フィルタを装着

→◯対策になる

 

 

ちなみに、BIOSパスワードは、OSの起動を許可するパスワード。

パソコンにログインするパスワードと2重になるので、

セキュリティが強化され第三者に不正に利用されるリスクが下がります。

 

e-words.jp


図解

問3

f:id:yamaiririy:20210727231602j:image

 

 

※本記事に記載している過去問はIPAの配布サイトより引用しています。一部表現を変えている場合があります。