<< November 2018 | 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 >>

個人情報保護士20

合格率UPキャンペーンでもらった「個人情報保護士認定試験過去問題・対策問題」

対策問題

誤答なし
ss2004 * 個人情報保護士 * 21:15 * comments(0) * trackbacks(0)

個人情報保護士19

合格率UPキャンペーンでもらった「個人情報保護士認定試験過去問題・対策問題」

第7回過去問題

問題26
オプトアウト制度を利用する場合には、事前に「第三者提供される個人データの項目」を、あらかじめ、本人に通知、又は本人が容易に知りえる状態に置かなければならない。共同利用の場合との相違点は、共同利用においては共同利用者の範囲を通知しなければならないが、第三者提供の場合には、提供する第三者を明らかにする必要がない点。
問題28
取得の状況から保有個人データの内容が(本人に)明らかであっても、保有個人データの開示に応じなければならない。
問題85
選択肢イ「特定のサーバだけでしか復元できないように」の意味により正誤が異なる。「暗号化することにより特定のサーバでしか復元できないようにする」のか、「暗号化に加えて特定のサーバでしか復元できないようにする」のか。後者なら、当該サーバ障害時に問題が生じるため誤りである。問題文を読むかぎり、後者に読めるのだが。
問題89
「不特定多数の人にメールを送信する際には、(b)の機能を使用して受信者に他の受信者のアドレスを流出させないように配慮する。」は、「(b)の機能を使用して、受信者に他の受信者のアドレスを流出させないように」なのか、「(b)の機能を使用して受信者に他の受信者のアドレスを流出、させないように」なのかによって、答えが異なる。

ss2004 * 個人情報保護士 * 21:13 * comments(0) * trackbacks(0)

個人情報保護士18

個人情報保護士公式テキスト p.62
法第18条第2項ただし書「ただし、人の生命、身体又は財産の保護のために緊急に必要がある場合は、この限りでない。」の説明に、「利用目的の明示、通知、公表の義務を免れる場合」とある。
この説明を見るかぎり、著者は、ただし書の場合には、法第18条第1項と同条第2項本文の義務を免れると考えているようだ。
至極当然だが、法文の読み方として誤っている。ただし書の規定により、免れるのは、第2項本文のみである。したがって、事前の明示(第2項本文)は必要ないが、取得後の通知・公表(第1項)は必要である。
ss2004 * 個人情報保護士 * 20:03 * comments(0) * trackbacks(0)

個人情報保護士17

個人情報保護士公式過去問題集 課題2 問166〜180
誤答なし

だが、選択肢や解説がおかしなものが散見される。

問171
盗聴の脅威に対抗するため、128bit以上の暗号化により漏えいを防ぐとの解説だが、暗号かぎの長さはどのような場合にも固定ではない。技術の進歩や送信される内容の重要度等を考慮して決める必要がある。
問175
バッファオーバーフロー攻撃の説明として、「セキュリティホールを利用した手法で、サーバに許容量を超えるデータを送りつけることで情報システムをダウンさせたり、あふれ出たデータに含まれる命令を実行させたりする攻撃のことをいう。」とあるが、「サーバに許容量を超えるデータを送りつけることで情報システムをダウンさせたり」の部分が、DOS攻撃と混乱してるっぽい。
問178〜180
スパイウェアの説明が「個人のパソコンに常駐し、個人情報を送信するソフトウェアのことで、ウイルスではないため、正規のソフトウェアの一部として気づかないうちにインストールされる場合が多い。これを専用に検索・駆除するソフトウェアや、これを検索・駆除する機能が搭載されているウイルス対策ソフトウェアの利用などによって、リスク管理を行う必要がある。」、トロイの木馬の説明が「有益なソフトに見せかけて、パソコンの利用者をだましてインストールさせ、実際にはシステムを破壊したり、個人情報を流出させるなどの不利益をもたらすソフトウェアをいう。出所不明なソフトウェアをインストールさせない、ウイルス対策ソフトウェアの利用などによって、リスク管理を行う必要がある。」となっている。違いが微妙すぎる。
ss2004 * 個人情報保護士 * 21:25 * comments(0) * trackbacks(0)

個人情報保護士16

個人情報保護士公式過去問題集 課題2 問136〜165
誤答なし

だが、選択肢や解説がおかしなものが散見される。

問118
選択肢エ「障害対策として、集中及び分散処理の形態にかかわらず、情報システムの障害箇所を検出し、情報システムの切り離しや停止をせずに、障害回復する機能を設けることが望ましい。」が誤りの理由として、「障害対策として、集中及び分散処理の形態に応じて、情報システムの障害箇所を検出し、情報システムの切り離しや停止をせずに、障害回復する機能を設けることが望ましい。」からだという解説だが、後者は「機能の設け方を形態に応じて考えよ」という意味で、前者は「形態がどっちであっても機能は設けよ」という意味なのだから矛盾はしない。選択肢エは誤りといえないと思うのだがどうか。
問132
選択肢エ「個人情報を記録したフロッピーディスクやCD、DVDメディア、ハードディスクなどを廃棄する際は、燃えるごみではなく、不燃物ごみとして分別して処分することが望ましい。」が誤りの理由として、「個人情報を記録したフロッピーディスクやCD、DVDメディア、ハードディスクなどを廃棄する際は、物理的に破壊するか、専用のデータ消去ツールを使って、元のデータが読み取られないようにする。」からという解説なのだが、エには「そのままの状態で捨てる」という意味は含まれていないので、誤りとは言えない。「メディアは情報漏えいを防ぐために、燃えるごみとして処分する方が望ましい」というような方針でもあるのなら別だが、さすがに聞いたことはない。
問153
選択肢ウ「利用者自身でパスワードを変更できないように設定する。ただし、入力ミスの発生を考慮して、自身のパスワードの確認ができる手段を提供することが望ましい。」が誤りなのは良いとして、その解説では、「自身のパスワードの確認ができる手段を提供することは望ましい」とされている。運用にもよるが、パスワードの確認ができる手段はぜい弱性につながる。実際には、パスワードのハッシュ値を保存するなど、誰にもパスワードを確認できないシステムの方が多いのではないか。
ss2004 * 個人情報保護士 * 20:24 * comments(0) * trackbacks(0)

個人情報保護士15

個人情報保護士公式テキスト p.59
利用目的の特定を「努力義務」と解説しているが、「義務」ではないのか。
「できる限り特定しなければならない」の「できる限り」は、特定の度合いの問題であって、「(不可能なら)特定しなくてもよい」という解釈の余地はないと思う。

個人情報保護士公式過去問題集 課題2 問106〜135
誤答なし
ss2004 * 個人情報保護士 * 22:31 * comments(0) * trackbacks(0)

個人情報保護士14

個人情報保護士公式過去問題集 課題2 問76〜105

問82
従業者の教育に当たっては、現場の理解と協力を得ることが大切なので、トップダウンで一方的な指導をすることは望ましくない。
ss2004 * 個人情報保護士 * 21:48 * comments(0) * trackbacks(0)

個人情報保護士13

個人情報保護士公式テキスト p.258〜p.285

  • オープンドアポリシー ・・・ 不審者が隠れないように、普段使わない会議室のドアなどを開けておくこと。


個人情報保護士公式過去問題集 課題2 問61〜75
誤答なし
ss2004 * 個人情報保護士 * 22:07 * comments(0) * trackbacks(0)

個人情報保護士12

個人情報保護士公式テキスト p.216〜p.255

  • 電子メールの利用範囲の方針を明確にする。また、文章の内容、あて先(cc・bccの使用方法)を、ある程度規定する。
  • 情報システム開発に際して、本番データを使用してテストするときは、個人情報をマスキングして使用する。
  • 本番環境とテスト環境は分離する。
  • 情報機器・媒体の廃棄手続を確立し、遵守する。また、廃棄記録を残す。
  • シュレッダーはストレートカットよりもクロスカット、パーティクルカットが望ましい。



個人情報保護士公式過去問題集 課題2 問46〜60

問46
紛失した場合の被害想定金額を求めるのに、郵便物紛失の可能性を乗じる意味がわからない。
ss2004 * 個人情報保護士 * 18:46 * comments(0) * trackbacks(0)

個人情報保護士11

個人情報保護士公式テキスト p.192〜p.213

  • 個人情報保護上、監督しなければいけない従業者には、正社員、契約社員、バイト、パートのほか、派遣社員も含まれる。また、雇用者側である取締役等の役員も含まれる。
  • 従業者の雇用時には、非開示契約(罰則も含める)を締結する。または、誓約書を提出させる。誓約書は、個人情報保護に関する意識を啓発する意味で有用である。
  • 定期的に教育研修を行い、実施記録を残す。
  • 従業者のモニタリングを行い、けん制する。モニタリングに際しては、従業者に対して、モニタリングの目的・内容等を周知しておく。必要に応じて、労働組合との協議も行っておく。
  • 派遣社員との非開示契約は、派遣元企業と締結する。
  • 派遣社員にも、自社社員と同様に教育研修を行う。
  • 派遣社員から、誓約書を提出させる場合には、労働基準法・労働者派遣法・職業安定法などの関連法規に抵触しないよう注意する。なお、誓約書に、派遣社員の住所を記述させるのは、労働者派遣法に抵触する。
  • 委託先を選定する際は、パフォーマンス(財務情報など会社の一般的な信頼度)、情報セキュリティ(ISMS・Pマークなどの公的認証、ポリシーの作成状況、過去の事故歴等)を基準にする。
  • 委託契約に際して、安全管理義務、非開示条項、再委託制限、監査への協力などを定める。ただし、優越的地位の濫用(独禁法違反)にならないように注意する。
  • 個人情報に関する苦情対応は、ゞ貍陝α蠱盟觚、当該個人情報取扱部門、8朕余霾麒欷邂儖会事務局の順にエスカレーションさせる。
  • 苦情対応の内容は、事務局に報告する。事務局は、それを踏まえて、業務の是正、プロセスの見直しを検討する。
  • 違反・事故の報告の経路は複線化する(途中で報告がストップするおそれがあるため)。
  • 事故発生時に備え、手順を整備し、関係者に周知しておくとともに、必要に応じて訓練を行っておく。


個人情報保護士公式過去問題集 課題2 問31〜45
誤答なし
ss2004 * 個人情報保護士 * 18:12 * comments(0) * trackbacks(0)
このページの先頭へ