<< January 2018 | 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 >>
<< 第9回個人情報保護士認定試験 非公式・私的解説2 | main | 第9回個人情報保護士認定試験 非公式・私的解説4 >>

第9回個人情報保護士認定試験 非公式・私的解説3

あくまで、個人的な見解である。

41イ/ぜい弱性の説明。ウ/リスクの説明。エ/物理的資産も情報資産に含む。
42ステークホルダーの企業を見る目が厳しくなってきている。監督官庁は規制緩和の一方で検査を重視。情報発信のツールはインターネット。
43経営者から従業者にわたる全社的なマネジメントが最終目標。
44機密性=許可された者だけアクセス。完全性=正確かつ完全。可用性=必要なときに確実にアクセスできる。
45個人情報保護方針に基づく計画に従い、個人情報保護を実施及び運用する。定期的に監査を受けて、代表者による見直しが行われ、方針や計画にフィードバックされる。
46上位規範である方針→基準→手順の順に作成する。
47リスクマネジメントパフォーマンス評価・リスクマネジメントシステムの有効性評価を行う。その結果、是正・改善を実施する。最高経営者のレビューを受ける。
48ア/詳細リスク分析の説明。イ/ベースラインアプローチの説明。ウ/非形式アプローチの説明。
49規程・細則を制定する。情報保護の実施に際し、調査を行う。監視・監査結果の報告を受ける。これに基づき、業務の見直し・教育を指示する。
50「地震・火災」の位置から(a)は頻度、(b)は規模。図法はリスクマップと呼ぶらしい。
51ID・パスワードの盗用=なりすまし。許可なく書き換える=改ざん。機密情報の不正取得=漏えい。
52サイトへ誘導=URL。不正プログラムの埋め込み=スパイウェア。DNSを書き換えて誘導=キャッシュ。
53アンケート回答者に利用目的を伝える必要がある。
54同上。
5550,000件×0.1%=50件。(100+100+500+290)×50=49,500円。
56アイウ/事務局(というより委員会)の役割。エ/問い合わせ窓口の役割。
57「専任でなければならず」が×。
58個人情報保護委員会の役割。
59個人情報を「適正取得」し、本人には、「個人情報保護方針」を示す。特定の者又は第三者と個人情報を「共同利用」する。
60分類体系を決める→整理分類する→台帳を作成する。
61個人情報の取得から廃棄=ライフサイクル。取得・入力等の「取扱い内容」に応じて、「安全管理対策」を定める。
62内部統制と資金調達は直接関係がない。
63会社案内=公開情報。顧客の個人情報=社内でも関係者のみに公開する。
64基本計画書・個別計画書を作成し、予備調査・本調査を行う。評価・結論は監査報告として提出し、被監査主体の対応をフォローアップする。
65被監査主体との独立性が確保されていない。
66指摘事項は「重大・軽微」「緊急・通常」と区分し、重要な内容は改善勧告をする。個人情報保護の責任は被監査主体(監査される側)にあるが、監査人はフォローアップをする必要がある。
67プライバシーマークの基準=JIS Q 15001。セキュリティ監査の基準=情報セキュリティ監査基準。監査人の行為規範=システム監査基準。
68個人情報を取り扱う情報システムにアクセスする可能性のある者も非開示契約の対象。
69「事務局の承認のもと、個人情報保護委員会が計画し実施」が×。
70引き渡す個人情報の項目は、委託業務を遂行する上での必要最小限とする。

問題41、「脅威=偶発事故の原因」は、どう考えてもおかしいが公式テキストには書いてある。
ss2004 * 個人情報保護士 * 20:50 * comments(0) * trackbacks(0)

コメント

コメントする









トラックバック

このページの先頭へ