<< March 2024 | 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 >>

個人情報保護士 合格証書到着

個人情報保護士の合格証書が到着した。
認定証カードも同封されていた。
個人情報保護士合格証書
ss2004 * 個人情報保護士 * 07:31 * comments(0) * trackbacks(0)

個人情報保護士 合格

昨年12月に受験した個人情報保護士の試験に合格していた。

この試験の合格のポイントは、公式テキスト公式過去問題集で勉強することにつきる。この試験でしか問われない知識があるからだ。
逆に言うと、この独自の知識は試験以外では役立たないと思われるので、勉強はそこそこにしておいた方がよい。
公式テキスト公式過去問題集で、「この試験ではこういう答え」と割り切って覚え、さっさと受かってしまうのが正しい取り組み方だと思った。

>> The sky is the limit! 本のおすすめ
ss2004 * 個人情報保護士 * 22:33 * comments(2) * trackbacks(0)

第9回個人情報保護士認定試験 非公式・私的解説4

あくまで、個人的な見解である。

71セキュリティレベルが高い順に、「高度セキュリティエリア」>「セキュリティエリア」>「オープンエリア」となるはず。例としては、サーバルーム>オフィススペース>打ち合わせコーナーとなる。
72破損したカードは悪用されないように回収する。
73フラッパーゲートを導入し、伴連れ入室を防ぐ。従来の入退室管理システムとも接続できる。
74数字などを入力=パスワード。記録できる情報量が少ない=磁気カード。ICチップを内蔵=非接触カード。
75長時間にわたり席を離れる場合は電源を切っておく。
76手順や頻度は定める。
77記録帳への記録は従業者まかせにしない。
78漏えいを防ぐために、担当者に配布する。
79圧縮には秘匿する機能はないため、暗号化する。
80部外者同士の相互監視に任せず、自社社員が監視する。
81モバイルパソコンは紛失・盗難のおそれがあるため個人情報を保存しない。利用者制限=生体認証。個人情報が読み取られないように暗号化する。
82火災・地震などの災害に備え、遠隔地にバックアップデータを保存する。
83「過失の場合の除いて」が×。
84BCP=Buisiness Continuity Plan=事業継続計画。BCM=Buisiness Continuity Management=事業継続管理=BCPの策定・
実施・見直しのマネジメントシステム。
85復旧までの時間が短い順に、ミラーサイト・ウォームサイト・コールドサイト。
86総当り攻撃=ブルートフォース。時間により変化=トークンコード。利用者が記憶=個人識別番号。
87有効期間は設定する。複雑なものを避けない。類似パスワードは認めない。交互に継続して利用させない。
88設定したアクセス権限は常に必要最小限のものとする。
89平文を暗号にする=暗号化。その逆=復号。一般的に鍵長が長いほど解読されにくく、安全性が高い。
90暗号鍵と復号鍵が違う=公開鍵暗号方式。本人は秘密鍵を所有し、相手には公開鍵を渡す。DES=共通鍵方式。
91忘失の危険性=パスワード。破損=スマートカード。個人情報の登録に手間=バイオメトリクス。
92「紙媒体に記述して保管」が普通は×。
93パターンファイルは常に最新に更新する。
94固有情報を無線LANアクセスポイントにあらかじめ登録=MACアドレスフィルタリング。暗号化方式で(c)より弱い=WEP。(b)より強い=WPA
95「廃棄業者の規程に従う」が×。
96新規帳票の保存方法が不明確=「不正利用・改ざん」ではない。開発用ユーザIDが残っている=「本番データの誤った書き換え」ではない。
97ストレートカット方式だと復元される場合があるので、クロスカットやパーティクルカットがよい。
98DMZ=DeMilitarized Zone=非武装地帯。
99IDS=Intrusion Detection System=侵入検知システム。
100VPN=Virtual Private Network=仮想専用線。

ss2004 * 個人情報保護士 * 21:35 * comments(0) * trackbacks(0)

第9回個人情報保護士認定試験 非公式・私的解説3

あくまで、個人的な見解である。

41イ/ぜい弱性の説明。ウ/リスクの説明。エ/物理的資産も情報資産に含む。
42ステークホルダーの企業を見る目が厳しくなってきている。監督官庁は規制緩和の一方で検査を重視。情報発信のツールはインターネット。
43経営者から従業者にわたる全社的なマネジメントが最終目標。
44機密性=許可された者だけアクセス。完全性=正確かつ完全。可用性=必要なときに確実にアクセスできる。
45個人情報保護方針に基づく計画に従い、個人情報保護を実施及び運用する。定期的に監査を受けて、代表者による見直しが行われ、方針や計画にフィードバックされる。
46上位規範である方針→基準→手順の順に作成する。
47リスクマネジメントパフォーマンス評価・リスクマネジメントシステムの有効性評価を行う。その結果、是正・改善を実施する。最高経営者のレビューを受ける。
48ア/詳細リスク分析の説明。イ/ベースラインアプローチの説明。ウ/非形式アプローチの説明。
49規程・細則を制定する。情報保護の実施に際し、調査を行う。監視・監査結果の報告を受ける。これに基づき、業務の見直し・教育を指示する。
50「地震・火災」の位置から(a)は頻度、(b)は規模。図法はリスクマップと呼ぶらしい。
51ID・パスワードの盗用=なりすまし。許可なく書き換える=改ざん。機密情報の不正取得=漏えい。
52サイトへ誘導=URL。不正プログラムの埋め込み=スパイウェア。DNSを書き換えて誘導=キャッシュ。
53アンケート回答者に利用目的を伝える必要がある。
54同上。
5550,000件×0.1%=50件。(100+100+500+290)×50=49,500円。
56アイウ/事務局(というより委員会)の役割。エ/問い合わせ窓口の役割。
57「専任でなければならず」が×。
58個人情報保護委員会の役割。
59個人情報を「適正取得」し、本人には、「個人情報保護方針」を示す。特定の者又は第三者と個人情報を「共同利用」する。
60分類体系を決める→整理分類する→台帳を作成する。
61個人情報の取得から廃棄=ライフサイクル。取得・入力等の「取扱い内容」に応じて、「安全管理対策」を定める。
62内部統制と資金調達は直接関係がない。
63会社案内=公開情報。顧客の個人情報=社内でも関係者のみに公開する。
64基本計画書・個別計画書を作成し、予備調査・本調査を行う。評価・結論は監査報告として提出し、被監査主体の対応をフォローアップする。
65被監査主体との独立性が確保されていない。
66指摘事項は「重大・軽微」「緊急・通常」と区分し、重要な内容は改善勧告をする。個人情報保護の責任は被監査主体(監査される側)にあるが、監査人はフォローアップをする必要がある。
67プライバシーマークの基準=JIS Q 15001。セキュリティ監査の基準=情報セキュリティ監査基準。監査人の行為規範=システム監査基準。
68個人情報を取り扱う情報システムにアクセスする可能性のある者も非開示契約の対象。
69「事務局の承認のもと、個人情報保護委員会が計画し実施」が×。
70引き渡す個人情報の項目は、委託業務を遂行する上での必要最小限とする。

問題41、「脅威=偶発事故の原因」は、どう考えてもおかしいが公式テキストには書いてある。
ss2004 * 個人情報保護士 * 20:50 * comments(0) * trackbacks(0)

第9回個人情報保護士認定試験 非公式・私的解説2

あくまで、個人的な見解である。

21B/事故発生時の対処も含まれる。
22ア/人的。イ/物理的。ウ/人的。エ/組織的。
23A/モニタリングの欠如。B/従業者の監督不足。
24「全部を委託する場合にのみ」が×。
25第三者に提供する旨を利用目的で特定する必要がある。
26ア/国等への協力。ウエ/法令に基づく場合。
27A/委託の場合は第三者提供に当たらない。B/事業承継に伴うものは当たらないが事前提供は当たる。
28A/「主要なもの」という限定はない。B/公表されている場合は通知しなくてよい。
29法第25条第3項。
30「評価」は訂正する必要がない。
31B/正確性が確保されていない場合に消去を求めることはできない。
32利用停止には手数料を徴収できない。
33A/法第25条第2項。B/法第27条第3項。
34A/法第31条。B/漏えい事故に限らない。
35A/助言に従わなくてもただちに刑罰は科されない。BC/刑罰を科せられる場合がある。
36アイ/報道目的でないため義務規定は適用になる。エ/報道目的なら適用されない。
37名誉回復の措置も命じられることがある。
38A/不正競争防止法第21条。B/刑法第134条。
39認定個人情報保護団体等の事業者団体による個人情報保護推進を期待しており、ガイドラインの作成も含まれる。
40総務省作成のガイドラインがある。
ss2004 * 個人情報保護士 * 19:58 * comments(0) * trackbacks(0)

第9回個人情報保護士認定試験 非公式・私的解説1

あくまで、個人的な見解である。

1B/既に社会問題化している。
2日本の個人情報保護法制定時点で既に大半の国で個人情報保護法が制定されていた。
3JIS Q 15001には、個人情報保護法より厳格な義務を課す項目がある。
4A/国際的な運用はなされていない。B/3か月に一度の審査はない(取消し・勧告等の措置がある)。
5いずれの事例もあるらしい。
6イーバンク銀行が取得している。
7紛失の時点で公表する例は多い。
8A/法第1条。B/法第3条。
9ア/「及び死者に」が×。B/秘匿化しても個人情報。C/個人が特定できれば個人情報。
10A/目次や索引のない紙情報は非該当。
11独立行政法人は個人情報取扱事業者でない(「独立行政法人等の保有する個人情報の保護に関する法律」で規制されるから)。
12政令第3条第1号で除外されている内容。
13A/法第7条。B/法第14条。
14A/認定個人情報保護団体に関する義務を定めている。
B/認定個人情報保護団体の報告忌避・虚偽報告について罰則がある。
15A/法第15条第1項。法第15条第2項。
16「人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき」に当たる。
17A/未成年者からの取得は不適正。B/利用目的を偽れば不適正。
18ア/あらかじめ利用目的を公表している場合は通知・公表は不要。イ/本人から書面で取得する場合にはあらかじめ明示が必要。エ/事業者の権利・利益を害するおそれがある場合には通知・公表は不要
19「倫理的」が×。
20A/「アクセスできる状態を放置」がいけない。BC/安全管理措置を怠っていたとはいえない。

問題14が意外な結果だが、虚心坦懐に法律を読む限りそうなる。
第57条 第32条又は第46条の規定による報告をせず、又は虚偽の報告をした者は、30万円以下の罰金に処する。

第46条 主務大臣は、この節の規定の施行に必要な限度において、認定個人情報保護団体に対し、認定業務に関し報告をさせることができる。
ss2004 * 個人情報保護士 * 19:28 * comments(0) * trackbacks(0)

個人情報保護士 解答見直し

解答を見直した結果、現時点で間違えたと思うもの(矢印の左側が試験時の答え・右側が今の考え)。


問題4
イ→エ。プライバシーマーク制度は、個人情報保護法よりも国際標準であるOECD8原則に近いのではないかと思ったが、国際的な運用とまでは言えない。
問題5
イ→ア。日本郵政公社が主務官庁から個人情報の取扱が不適切と指摘を受けたことがあったらしい。
問題13
エ→イ。基本方針を定めるのは政府の責務。政府と国を使い分ける理由は、何かあるのだろう。
問題28
ウ→エ。法第24条第2項第2号の方ばかり憶えていて、第1号を忘れていた。常識的には通知する必要がないというのは分かるが、常識と違うからあえて問われてるのだと思った。
問題38
イ→ア。問題文Bの「刑法により」がひっかけだと思った。
問題41
エ→ア。「好ましくない偶発事故」が間違いだと思った。全部間違いだと思ったので、しょうがなくエにした。
問題49
ア→ウ。これは分からなくても良いと思った。
問題50
エ→ウ。リスクマップも、リスクプロファイルも聞いたことがなかった。常識的に考えればリスクマップだが、最後に迷ってエにしてしまった。
問題66
イ→エ。指摘事項より勧告の方が重要だろうと思ってイにしてしまった。文意を取り違えた。


課題1が5問、課題2は4問の間違い。ほかにも間違いがあるとしても合格はいくだろう。
ss2004 * 個人情報保護士 * 20:34 * comments(0) * trackbacks(0)

個人情報保護士 試験終了


個人情報保護士の試験が終了した。

俺の解答
1〜10 イウウイイイエアエウ
11〜20 アエエエアウエウイア
21〜30 イエエイウイウウエエ
31〜40 ウアアイイウエイエウ
41〜50 エアウエウウウエアエ
51〜60 エエアアイエウエエウ
61〜70 エエウエウイイアアア
71〜80 イイエアウアエウエイ
81〜90 エエイウウエアエアイ
91〜100ウアウアウエエイウア


ss2004 * 個人情報保護士 * 12:43 * comments(0) * trackbacks(0)

プライバシーマーク最新動向

プライバシーマーク認定の一時停止の導入

プライバシーマーク認定において、一時停止の制度が導入される(平成19年12月21日から)。
従前、重い順に、
「取消し」、「要請」、「勧告」、「厳重注意」、「文書注意」
であった指導・処分等の措置が、
「取消し」、「一時停止」、「勧告」、「注意」
となる。

「要請」と「取消し」の差がありすぎるための変更だろう。
プライバシーマーク制度は頻出のようだし、この変更自体は知っておいて欲しい事項だろうから、今回か次回の試験で出るかも知れない。
ss2004 * 個人情報保護士 * 20:57 * comments(0) * trackbacks(0)

個人情報保護士21

個人情報保護士公式過去問題集 全問復習

課題1

問11
プライバシーマークの付与は事業者単位。ISMSと違い、部門・事業所単位の認証はない。
問16
問題文C 地方公共団体からの委託なら、個人情報保護条例の適用を受けるのではないか?
問38
目的外利用を行うことについて本人から同意を得るために個人情報(連絡先)を利用することは目的外利用に当たらない。
問83
多額の費用を要するなどの理由により拒否できるのは、利用停止・消去のみ。データの開示、利用目的の通知、訂正は、この理由によっては拒否できない。
問86
個人情報取扱事業者が手数料を徴収することができるのは、利用目的の通知とデータの開示のみ。訂正・利用停止・第三者提供中止・消去は、事業者側の落ち度があるため、本人には負担を求められない。
問88
取得の状況から利用目的が明らかであるときは利用目的通知要求を拒否できるが、取得の状況からデータ内容が明らかであるときにはデータ開示要求を拒否できるという規定はない(拒否できない)。
問98
学術研究に関する適用除外は、学術研究団体に属さない個人には適用されない(報道・著述は個人・団体とも適用除外に該当する)。
問111
選択肢エ「ガイドラインが法の規定より踏み込んだ義務を課す」ことができるのか疑問。ガイドラインで法の解釈基準とみなせない事項があれば、それはあくまでも行政指導ととらえるべきものではないか。問104「厳格な取組を要請」、問117「厳格な対応を求める」あたりの表現が妥当ではないか。


課題2

問89
選択肢ア「個人情報の取扱状況が一覧になっておらず、個人情報が検索できる状態でない場合には、開示要求に応じなくて良い」理由が分からない。法第25条第1項第2号で読むのか。そもそも、法は、個人情報データベース等において特定の個人情報が検索できない事態を想定していないと思うのだが。
ss2004 * 個人情報保護士 * 20:48 * comments(0) * trackbacks(0)
このページの先頭へ