個人情報保護士 合格証書到着
2008.02.20 Wednesday
71 | イ | セキュリティレベルが高い順に、「高度セキュリティエリア」>「セキュリティエリア」>「オープンエリア」となるはず。例としては、サーバルーム>オフィススペース>打ち合わせコーナーとなる。 |
---|---|---|
72 | イ | 破損したカードは悪用されないように回収する。 |
73 | エ | フラッパーゲートを導入し、伴連れ入室を防ぐ。従来の入退室管理システムとも接続できる。 |
74 | ア | 数字などを入力=パスワード。記録できる情報量が少ない=磁気カード。ICチップを内蔵=非接触カード。 |
75 | ウ | 長時間にわたり席を離れる場合は電源を切っておく。 |
76 | ア | 手順や頻度は定める。 |
77 | エ | 記録帳への記録は従業者まかせにしない。 |
78 | ウ | 漏えいを防ぐために、担当者に配布する。 |
79 | エ | 圧縮には秘匿する機能はないため、暗号化する。 |
80 | イ | 部外者同士の相互監視に任せず、自社社員が監視する。 |
81 | エ | モバイルパソコンは紛失・盗難のおそれがあるため個人情報を保存しない。利用者制限=生体認証。個人情報が読み取られないように暗号化する。 |
82 | エ | 火災・地震などの災害に備え、遠隔地にバックアップデータを保存する。 |
83 | イ | 「過失の場合の除いて」が×。 |
84 | ウ | BCP=Buisiness Continuity Plan=事業継続計画。BCM=Buisiness Continuity Management=事業継続管理=BCPの策定・ 実施・見直しのマネジメントシステム。 |
85 | ウ | 復旧までの時間が短い順に、ミラーサイト・ウォームサイト・コールドサイト。 |
86 | エ | 総当り攻撃=ブルートフォース。時間により変化=トークンコード。利用者が記憶=個人識別番号。 |
87 | ア | 有効期間は設定する。複雑なものを避けない。類似パスワードは認めない。交互に継続して利用させない。 |
88 | エ | 設定したアクセス権限は常に必要最小限のものとする。 |
89 | ア | 平文を暗号にする=暗号化。その逆=復号。一般的に鍵長が長いほど解読されにくく、安全性が高い。 |
90 | イ | 暗号鍵と復号鍵が違う=公開鍵暗号方式。本人は秘密鍵を所有し、相手には公開鍵を渡す。DES=共通鍵方式。 |
91 | ウ | 忘失の危険性=パスワード。破損=スマートカード。個人情報の登録に手間=バイオメトリクス。 |
92 | ア | 「紙媒体に記述して保管」が普通は×。 |
93 | ウ | パターンファイルは常に最新に更新する。 |
94 | ア | 固有情報を無線LANアクセスポイントにあらかじめ登録=MACアドレスフィルタリング。暗号化方式で(c)より弱い=WEP。(b)より強い=WPA |
95 | ウ | 「廃棄業者の規程に従う」が×。 |
96 | エ | 新規帳票の保存方法が不明確=「不正利用・改ざん」ではない。開発用ユーザIDが残っている=「本番データの誤った書き換え」ではない。 |
97 | エ | ストレートカット方式だと復元される場合があるので、クロスカットやパーティクルカットがよい。 |
98 | イ | DMZ=DeMilitarized Zone=非武装地帯。 |
99 | ウ | IDS=Intrusion Detection System=侵入検知システム。 |
100 | ア | VPN=Virtual Private Network=仮想専用線。 |
41 | ア | イ/ぜい弱性の説明。ウ/リスクの説明。エ/物理的資産も情報資産に含む。 |
---|---|---|
42 | ア | ステークホルダーの企業を見る目が厳しくなってきている。監督官庁は規制緩和の一方で検査を重視。情報発信のツールはインターネット。 |
43 | ウ | 経営者から従業者にわたる全社的なマネジメントが最終目標。 |
44 | エ | 機密性=許可された者だけアクセス。完全性=正確かつ完全。可用性=必要なときに確実にアクセスできる。 |
45 | ウ | 個人情報保護方針に基づく計画に従い、個人情報保護を実施及び運用する。定期的に監査を受けて、代表者による見直しが行われ、方針や計画にフィードバックされる。 |
46 | ウ | 上位規範である方針→基準→手順の順に作成する。 |
47 | ウ | リスクマネジメントパフォーマンス評価・リスクマネジメントシステムの有効性評価を行う。その結果、是正・改善を実施する。最高経営者のレビューを受ける。 |
48 | エ | ア/詳細リスク分析の説明。イ/ベースラインアプローチの説明。ウ/非形式アプローチの説明。 |
49 | ウ | 規程・細則を制定する。情報保護の実施に際し、調査を行う。監視・監査結果の報告を受ける。これに基づき、業務の見直し・教育を指示する。 |
50 | ウ | 「地震・火災」の位置から(a)は頻度、(b)は規模。図法はリスクマップと呼ぶらしい。 |
51 | エ | ID・パスワードの盗用=なりすまし。許可なく書き換える=改ざん。機密情報の不正取得=漏えい。 |
52 | エ | サイトへ誘導=URL。不正プログラムの埋め込み=スパイウェア。DNSを書き換えて誘導=キャッシュ。 |
53 | ア | アンケート回答者に利用目的を伝える必要がある。 |
54 | ア | 同上。 |
55 | イ | 50,000件×0.1%=50件。(100+100+500+290)×50=49,500円。 |
56 | エ | アイウ/事務局(というより委員会)の役割。エ/問い合わせ窓口の役割。 |
57 | ウ | 「専任でなければならず」が×。 |
58 | エ | 個人情報保護委員会の役割。 |
59 | エ | 個人情報を「適正取得」し、本人には、「個人情報保護方針」を示す。特定の者又は第三者と個人情報を「共同利用」する。 |
60 | ウ | 分類体系を決める→整理分類する→台帳を作成する。 |
61 | エ | 個人情報の取得から廃棄=ライフサイクル。取得・入力等の「取扱い内容」に応じて、「安全管理対策」を定める。 |
62 | エ | 内部統制と資金調達は直接関係がない。 |
63 | ウ | 会社案内=公開情報。顧客の個人情報=社内でも関係者のみに公開する。 |
64 | エ | 基本計画書・個別計画書を作成し、予備調査・本調査を行う。評価・結論は監査報告として提出し、被監査主体の対応をフォローアップする。 |
65 | ウ | 被監査主体との独立性が確保されていない。 |
66 | エ | 指摘事項は「重大・軽微」「緊急・通常」と区分し、重要な内容は改善勧告をする。個人情報保護の責任は被監査主体(監査される側)にあるが、監査人はフォローアップをする必要がある。 |
67 | イ | プライバシーマークの基準=JIS Q 15001。セキュリティ監査の基準=情報セキュリティ監査基準。監査人の行為規範=システム監査基準。 |
68 | ア | 個人情報を取り扱う情報システムにアクセスする可能性のある者も非開示契約の対象。 |
69 | ア | 「事務局の承認のもと、個人情報保護委員会が計画し実施」が×。 |
70 | ア | 引き渡す個人情報の項目は、委託業務を遂行する上での必要最小限とする。 |
21 | イ | B/事故発生時の対処も含まれる。 |
---|---|---|
22 | エ | ア/人的。イ/物理的。ウ/人的。エ/組織的。 |
23 | エ | A/モニタリングの欠如。B/従業者の監督不足。 |
24 | イ | 「全部を委託する場合にのみ」が×。 |
25 | ウ | 第三者に提供する旨を利用目的で特定する必要がある。 |
26 | イ | ア/国等への協力。ウエ/法令に基づく場合。 |
27 | ウ | A/委託の場合は第三者提供に当たらない。B/事業承継に伴うものは当たらないが事前提供は当たる。 |
28 | エ | A/「主要なもの」という限定はない。B/公表されている場合は通知しなくてよい。 |
29 | エ | 法第25条第3項。 |
30 | エ | 「評価」は訂正する必要がない。 |
31 | ウ | B/正確性が確保されていない場合に消去を求めることはできない。 |
32 | ア | 利用停止には手数料を徴収できない。 |
33 | ア | A/法第25条第2項。B/法第27条第3項。 |
34 | イ | A/法第31条。B/漏えい事故に限らない。 |
35 | イ | A/助言に従わなくてもただちに刑罰は科されない。BC/刑罰を科せられる場合がある。 |
36 | ウ | アイ/報道目的でないため義務規定は適用になる。エ/報道目的なら適用されない。 |
37 | エ | 名誉回復の措置も命じられることがある。 |
38 | ア | A/不正競争防止法第21条。B/刑法第134条。 |
39 | エ | 認定個人情報保護団体等の事業者団体による個人情報保護推進を期待しており、ガイドラインの作成も含まれる。 |
40 | ウ | 総務省作成のガイドラインがある。 |
1 | イ | B/既に社会問題化している。 |
---|---|---|
2 | ウ | 日本の個人情報保護法制定時点で既に大半の国で個人情報保護法が制定されていた。 |
3 | ウ | JIS Q 15001には、個人情報保護法より厳格な義務を課す項目がある。 |
4 | エ | A/国際的な運用はなされていない。B/3か月に一度の審査はない(取消し・勧告等の措置がある)。 |
5 | ア | いずれの事例もあるらしい。 |
6 | イ | イーバンク銀行が取得している。 |
7 | エ | 紛失の時点で公表する例は多い。 |
8 | ア | A/法第1条。B/法第3条。 |
9 | エ | ア/「及び死者に」が×。B/秘匿化しても個人情報。C/個人が特定できれば個人情報。 |
10 | ウ | A/目次や索引のない紙情報は非該当。 |
11 | ア | 独立行政法人は個人情報取扱事業者でない(「独立行政法人等の保有する個人情報の保護に関する法律」で規制されるから)。 |
12 | エ | 政令第3条第1号で除外されている内容。 |
13 | イ | A/法第7条。B/法第14条。 |
14 | ウ | A/認定個人情報保護団体に関する義務を定めている。 B/認定個人情報保護団体の報告忌避・虚偽報告について罰則がある。 |
15 | ア | A/法第15条第1項。法第15条第2項。 |
16 | ウ | 「人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき」に当たる。 |
17 | エ | A/未成年者からの取得は不適正。B/利用目的を偽れば不適正。 |
18 | ウ | ア/あらかじめ利用目的を公表している場合は通知・公表は不要。イ/本人から書面で取得する場合にはあらかじめ明示が必要。エ/事業者の権利・利益を害するおそれがある場合には通知・公表は不要 |
19 | イ | 「倫理的」が×。 |
20 | ア | A/「アクセスできる状態を放置」がいけない。BC/安全管理措置を怠っていたとはいえない。 |
第57条 第32条又は第46条の規定による報告をせず、又は虚偽の報告をした者は、30万円以下の罰金に処する。
第46条 主務大臣は、この節の規定の施行に必要な限度において、認定個人情報保護団体に対し、認定業務に関し報告をさせることができる。
個人情報保護士の試験が終了した。
俺の解答
1〜10 イウウイイイエアエウ
11〜20 アエエエアウエウイア
21〜30 イエエイウイウウエエ
31〜40 ウアアイイウエイエウ
41〜50 エアウエウウウエアエ
51〜60 エエアアイエウエエウ
61〜70 エエウエウイイアアア
71〜80 イイエアウアエウエイ
81〜90 エエイウウエアエアイ
91〜100ウアウアウエエイウア