暗記メーカー

暗記メーカー

ログイン

個人情報保護士(公式テキストより)

個人情報保護士(公式テキストより)
100問 • 2年前
  • kanetaka yuriko
    • 通報

    問題一覧

  • 1

    マイナンバー関連。転入と当時に市区町村に提出しなければいけないものは何ですか?

    個人番号カード

  • 2

    マイナンバー関連。転入届と同時に市区町村に提出しなければいけないものは何ですか?

    個人番号カード

  • 3

    誰に個人番号カードを提出しなければいけないですか?

    市町村長

  • 4

    再委託を受けたものは、○○の委託元の許可を得た場合に限り再再委託ができる。

    最初

  • 5

    事業者に扶養親族の扶養控除等申告書を提出する場合、この従業員は、●●として取り扱われる。

    個人番号関係事務実施者

  • 6

    自己と同一の世帯に属するものについては、番号法に規定されている場合でなくても、個人番号の提供を求めることができる。

    正しい

  • 7

    継続性のある契約により発生する個人番号関係事務については、契約が終了するまで、特定個人情報を保管できる。

    正しい

  • 8

    個人番号利用事務や個人番号関係事務の処理の必要がなくなった場合は、他の法令の規定にかかわらず、ただちに個人番号を廃棄・削除しなくてはいけない。

    正しくない

  • 9

    特定個人情報保護評価とは

    プライバシー権侵害を未然に防ぐための事前評価。外国で実施されてきたPIA(個人情報全般に関して保有前の影響リスクを考えるプライバシー影響評価)とおなじようなもの。 第三者評価、特に一部の評価については、個人情報保護委員会の承認が必要。

  • 10

    法人番号を指定し、法人に通知するのは○○である。

    国税庁長官

  • 11

    特定法人情報とはなにか。

    法人番号保有者に関する情報。法人番号で検索することができるものをいう。

  • 12

    プライバシーガバナンスとは。

    プライバシー問題を経営戦略としてとらえ、経営者が積極的にコミットメントすることで企業価値向上へつなげる取り組みのこと。「DX時代における企業のプライバシーガバナンスモデルガイドブック(経済産業省・総務省)」が公表されている。

  • 13

    プライバシーマーク制度の運用団体は?

    一般財団法人日本情報経済社会推進協会(JIPDEC)

  • 14

    JISq15001「個人情報保護マネジメントシステム 要求事項」とは

    個人情報保護に関するマネジメントシステムを構築・運用するうえで最初に参照すべき規格。継続的にPDCAを回して改善するスパイラルアップモデル。改正個人情報保護法への対応と他のマネジメント規格ISO との整合性をはかった2017年版が発行されている。

  • 15

    JISQ31000「リスクマネジメント 指針」とは

    2010年に制定された一般的なリスクマネジメントに関する規格。2019年の改定で、すべてのマネジメントシステム規格にはこの規格概念を活用することになった。

  • 16

    ISMSとは

    情報セキュリティマネジメントシステム(ISMS)のことで、個人情報保護の安全管理対策と親和性の高いマネジメントシステム。機密性(アクセス認可者だけがアクセスできる)、完全性(情報や処理が正確完全)、可用性(必要なときにアクセスできる)をバランスよく維持し改善する仕組み。国際基準としてはISO/IEC27000シリーズがあり、日本ではJIS27000が該当する。

  • 17

    情報セキュリティポリシーとは

    情報セキュリティ基本方針のこと。組織全体の取り組みを明示し、経営方針として対外的に公開される文書として作成されるもの。

  • 18

    利益または損失の影響をもたらすものを○○リスクと呼ぶ。

    投機リスク

  • 19

    企業等の越境個人データの保護に関して、APECプライバシー原則への適合性を認証するシステムであり、APEC域内で国境を超えて流通する個人情報に対する消費者や事業者などにおける信用を構築する仕組みのことをなんというか。

    CBPRシステム

  • 20

    EUから転送された個人データの使用と処理、及び参加企業が、EUの市民に提供しなければならないアクセスおよび紛争解決のメカニズムを管理する一連の要件を定義したものをなんというか。

    プライバシーシールド原則

  • 21

    プライバシー情報を扱うあらゆる側面において、プライバシー情報が適切に取り扱われる環境をあらかじめ作ろうとするコンセプトで、技術・ビジネスプラクティス・物理設計の3つが想定されているものをなんというか。

    プライバシーバイ・デザイン(PbD)

  • 22

    PMSを推進するため、経営者がPMSに関する考え方を組織に示すために策定・公表する個人情報保護方針のことを、○○、○○と呼ぶ。

    プライバシーポリシー、プライバシー・ステートメント

  • 23

    プライバシーマーク制度の認定基準であるJISQ15001では、個人情報保護方針の策定、実行、維持、文書化、内外への公表を○○と示している。

    しなければならない

  • 24

    マイクロソフト社が提唱した脅威分析手法のひとつで、6つの技術的脅威の英単語の頭文字から構成されているものをなんというか。

    STRIDE脅威モデル

  • 25

    ソーシャル/エンジニアリングとはなにか。

    不正アクセスを行ううえで必要な情報を、技術的なセキュリティ対策の裏をつくことで不正に聞き出す不正アクセスの手口のひとつ。のぞき見、トラッシング(ゴミ箱あさり)、構内侵入やピギーバック(偽装同伴)、なりすまし、フィッシングメールなどがある。

  • 26

    個人情報保護の最高責任者として、個人情報保護方針・個人情報管理規程の策定、運用、改善を実施する人のことををなんと呼ぶか。

    CPO 個人情報保護管理者(チーフプライバシーオフィサー)。役員が望ましい。

  • 27

    個人情報保護管理者(CPO)のもと、個人情報保護の推進を組織として継続的にとりくむための意思決定機関であり、実際の業務に熟知した人材を中心に部門横断的に招集される組織をなんというか。

    個人情報管理委員会

  • 28

    個人情報保護管理者(CPO)や、個人情報管理委員会から独立しており、管理の状況について監査の実施報告をおこなう役割をなんというか。

    個人情報保護監査責任者

  • 29

    個人情報保護の推進に関する組織内の調整機関で、規定の策定や、従業者への周知教育運用見直しなどをおこなう組織をなんというか。

    事務局

  • 30

    個人データの取り扱いについて、支店や部門ごとに設置される責任者をなんというか。

    情報管理責任者 という。  原則、支店長または部門長が就任することがのぞましい。

  • 31

    事業者における個人情報の取り扱いを総括する部署は、専門部署として設置しなければならないと個人情報保護法で規定されている。

    正しくない

  • 32

    個人情報保護管理者は、苦情・相談窓口の担当者を兼任しても差し支えはない。

    正しい

  • 33

    個人情報規定文書の整備に関する問題。「実施手順」はプロシージャとも呼ばれ、実務上の手順や様式を具体的に定めるもの。業務手順書などが該当する。これらは○○レベルが策定する。

    部門長レベル

  • 34

    個人情報規定文書の整備に関する問題。「対策基準」とはどういうものをさすか。

    「対策基準」は「スタンダード」ともよばれ、基本方針に基づいて実施するべき組織ルールを具体的に記述するもの。就業規則、情報管理規定、文書管理規定、個人情報保護規定 などが該当する。

  • 35

    個人情報の「非直接取得」とは、次のうちどれか。全て選べ。

    ネットで本人が公にしている個人情報の取得, 官報職員録等からの取得, 個人情報の第三者提供をうけたもの

  • 36

    個人情報を非直接取得する場合、あらかじめ利用目的を公表していることが望ましいが、公表していない場合は、取得後速やかに利用目的を○○しなくてはならない。

    本人に通知か公表をする必要がある

  • 37

    個人情報を直接取得する場合で、 (1)書面による記載、ネット入力画面への入力 (2)口頭での取得 の場合、それぞれ、以下の対応が必要。

    1.あらかじめ利用目的を示さなくてはならない 2.口頭の場合は、あらかじめ利用目的を示すか、取得後速やかに利用目的を本人に通知または公表しなくてはならない

  • 38

    要配慮個人情報を取得する場合は、あらかじめ○○

    本人の同意を得なければならない。

  • 39

    本人の同意を得ることなく、利用目的範囲を超えて個人情報を取り扱うことができる適用除外事由はつぎのうちどれか。

    法令(条例)に基づく場合, 生命、身体、財産の保護のために必要、かつ本人の同意が困難な場合, 公衆衛生の向上、児童の健全な育成推進のためで、本人同意が困難な場合, 国の機関、地方公共団体、またはその委託をうけたものが法令の定める業務を遂行することに対し、事業者が協力する必要があり、本人同意を得ようとすると事務遂行に支障が出る場合, 学術研究機関等が、学術研究目的で取り扱う場合, 学術研究機関等に個人データを提供する場合で、学術研究目的の場合

  • 40

    個人情報データ漏えいの報告対象となるのは次のうちどれか。

    要配慮個人情報が含まれる場合, 財産的被害が生じる恐れがある場合, 不正目的で漏洩した場合, 1,000人以上の場合

  • 41

    個人情報が漏洩した場合の対応として正しいものはどれか。

    原則として委託元・委託先双方が報告する義務を負うが、委託先が委託元に自体発生を通知したときは、委託先は報告義務免除となる。, 速報はすみやか(3−5日以内)に個人情報保護委員会のホームページの報告フォームから報告しなくてはいけない。, 確報は30−60日以内に報告しなくてはいけない。速報の段階で一気に報告してもいい。, 本人へ通知しなくてはいけない場合、かつ、委託先が委託元に必要事項を通知した場合は、委託先は報告義務を免除される。

  • 42

    第三者提供に該当せず、規制の対象とならないのは次のうちどれか。

    委託, 事業承継, 共同利用, 同一事業者内の他部門へデータ提供する場合, オプトアウトによる第三者提供

  • 43

    要配慮個人情報であっても、オプトアウトによる第三者提供であれば、問題ない。

    正しくない

  • 44

    オプトアウトによる個人情報の第三者提供が認められないケースはつぎのうちどれか。

    要配慮個人情報, 不正な手段で入手した情報, 別の事業者からオプトアウトで入手した情報

  • 45

    外国にある第三者へ個人情報を提供する場合は、必ず本人の同意が必要となる。ただし、以下の場合は例外。

    日本と同等の水準をもっている(イギリス、EUなど), 同意取得により法令や生命財産侵害等のおそれがあること, 委託契約で水準を担保するなど、基準をクリアした対策がとれていること, ISMSなど、一定の基準をクリアした対策がとれていること

  • 46

    個人情報の第三者提供をおこなう場合、以下の項目を記録しておく対応が必要。

    個人データ提供先の本人氏名や法人名称, 個人データ提供元の本人氏名や法人名称, 個人データの項目, オプトアウトの場合、提供年月日。それ以外の場合は本人の同意を得ていること。

  • 47

    個人情報の第三者提供を受ける場合、以下の項目を記録しておく対応が必要。

    提供元の氏名や法人名, 提供先の本人氏名や法人名, 提供する個人データの項目, オプトアウトの場合、提供をうけた年月日。それ以外の場合、本人の同意を得ていること。

  • 48

    個人情報の第三者提供をおこなったり、受けたりする場合は所定の記録と保存が必須だが、以下の場合は例外となる。次のうち、正しいものを全て選べ。

    27条1項に定められた除外の場合(・法令で定められた、、、・人の生命、身体、財産の、、、等), 委託、事業承継、共同利用の場合, 提供先、提供元が、国の機関、地方公共団体、独立行政法人等、地方独立行政法人の場合

  • 49

    オプトアウトによる第三者提供について。オプトアウトによる第三者提供を行うためには、個人情報取り扱い事業者が所定の事項をあらかじめ本人が容易に知り得る状態においている必要があるが、容易に知りうる状態の例としては、官報に一度掲載する、などでもよい。

    正しくない

  • 50

    オプトアウトによる第三者提供について。オプトアウトによる第三者提供を行うためには、所定の事項をあらかじめ本人に通知するか、容易に知り得る状態におく必要がある。これらの措置は、本人が停止をもとめるのに必要な期間をおかなければならない。

    正しい

  • 51

    個人データの委託および事業の承継について。DM発送業務を業者に委託する場合、氏名・住所を伝えても、第三者提供の制限に違反しない。

    正しい。委託は第三者提供に該当しない。

  • 52

    個人データの委託および事業承継について。事業承継のための契約を締結するより前の段階で、必要な契約を締結したうえで個人データを提供する場合は、事業承継の対応とみなせるため、個人情報の第三者提供に該当しない。

    正しい。

  • 53

    個人データの委託について。配送事業者を利用して個人データを送る場合、配送事業者が配送を依頼された中身について感知していなくても、委託にあたる=第三者提供にあたらない と考えて良い。

    正しい

  • 54

    個人データの共同利用について。共同利用者の範囲に委託先事業者が含まれている場合、委託先との関係も共同利用となるので、委託元は委託先の監督義務を免れる。

    正しくない。

  • 55

    外国にある第三者への個人情報の提供制限について。合併による事業承継にともない、個人データを外国にある第三者に提供する場合、あらかじめ本人同意を得る必要はない。

    正しくない。

  • 56

    外国にある第三者への個人データ提供について。日本企業が、外国の法人格を有している現地子会社に個人データを提供するのは、外国にある第三者への提供に当たる。

    正しい。

  • 57

    外国にある第三者への提供について。日本企業が、現地の事業所、支店など、同一法人格内での個人データの移動をおこなう場合、外国の第三者提供にあたる。

    第三者提供にあたらない。

  • 58

    外国にある第三者への個人データ提供規制について。外資系企業の日本法人が、外国にある親会社に個人データを提供する場合は、外国にある第三者への提供に当たる。

    第三者提供にあたる。

  • 59

    保有個人データについて。保有個人データについては、つぎの情報を本人の知りうる状態におかなくてはならない。

    法人代表者氏名, 利用目的, 開示等の請求に応じる手続き方法, 苦情の申し出先

  • 60

    保有個人データの利用目的の通知について。利用目的の通知を求められた場合は遅滞なく本人に通知しなければならないが、 ・生命身体・・・の侵害 ・業務実施に多大な支障 ・法令違反 に該当する場合は開示しないことができる。開示しない場合や、該当保有個人データが存在しない場合などは、そのことを通知しなければならない。

    正しい

  • 61

    保有個人データの開示について。原則、開示請求を受けたら対応する必要があるが、 ・生命身体・・・ ・事業実施に多大な支障 ・法令違反 になる場合は開示しないこともできる。その決定は本人に通知する必要がある。

    正しい

  • 62

    保有個人データの開示について。個人データを提供・受領した第三者提供記録は、保有個人データの開示の対象とはならない。

    正しくない。

  • 63

    保有個人データの訂正について。訂正/追加/削除請求を受けた場合、原則対応する必要があるが、最終的には事業者判断。対応した場合、もしくは対応しないと決定した場合は、いずれも本人に通知が必要。対応した場合も通知が必要。

    正しい。

  • 64

    保有個人データの利用停止または消去請求を受けた場合、原則は対応が必要だが、 ・本人同意なく目的外利用 ・不正な入手経路 ・本人同意なく要配慮個人情報 などのケースに限られる。 また、利用停止等に多額の費用が発生する場合は代替案でもよい。本人の事前同意に基づいて取得した個人データについて対応するかどうかは事業者判断。

    正しい。

  • 65

    個人情報の第三者提供に対する停止請求について。原則対応する必要があるが、対応が必須なのは ・同意なしの第三者提供 ・外国にある第三者提供の規定に違反 などのケースに限る。 対応に多額の費用が発生する場合は代替措置でも可。本人の事前同意がある情報の第三者提供停止については事業者判断。

    正しい。

  • 66

    個人情報利用停止等の要請をうけた場合の対応可否に関する通知や、理由の説明について、以下は正しいか。 ・対応の可否→本人に通知する必要がある ・理由の説明→努力義務。必須ではない。

    正解。

  • 67

    保有個人データの開示に関する手数料を徴収する場合は、あらかじめ本人の知りうる状態において置かなければならない。

    正しい。

  • 68

    保有個人データの開示/訂正/利用停止等の請求について、裁判上の訴えを起こす場合は、事前に事業者にその請求をしておかなければならない。また請求から2週間たたないといけない。

    正しい。

  • 69

    個人情報の苦情処理窓口設置は必須義務である。

    正しくない。

  • 70

    USBメモリを接続するコンピュータは、オートラン機能を有効にしておく必要がある。

    正しくない。

  • 71

    災害対策について。災害に備えるためのバックアップ手法として、二重化がある。これはシステムの可用性を維持するための対策で、 (1)同じ処理を行う二系統を同時に稼働運用する方式 (2)待機冗長化方式ともいい、ホットスタンバイなど3つのスタンバイ方式があるもの がある。

    1.デュアルシステム 2.デュプレックスシステム

  • 72

    BCPは、自然災害やシステム障害、テロなどの緊急事態について、被害を最小限にし、基幹事業の継続や早期復旧のために、緊急時における対応のみを取り決めておく計画である。

    正しくない。

  • 73

    BCMは、策定したBCPをもとに、緊急時に発動するマネジメント活動のこと。復旧後の点検や継続も含まれる。

    正しくない。

  • 74

    RASISとはなにか。

    RASIS ーコンピュータシステムの信頼性を評価する指標 ・Reliability(信頼性)、Availability(可用性)、Serviceability(保守性)、Integrity(保全性・完全性)、Security(機密性) のこと。

  • 75

    RAID とはなにか。

    ・RAID ー複数のハードディスクを組み合わせて仮想的な1台のハードディスクとして運用、可用性・信頼性を確保することを言う。

  • 76

    RAIDの0,1,5はそれぞれ何をさすか。

    Security(機密性) ・RAID ー複数のハードディスクを組み合わせて仮想的な1台のハードディスクとして運用、可用性・信頼性を確保 ・RAID0(ストライピング)→ふたつのパソコンで縞模様のようにデータを書き込み分けること。高速化できるが、どちらかがポシャると共倒れになる。 ・RAID1(ミラーリング)→ふたつのパソコンをまったく同じに同期すること。高速化はしないが、トラブルに強い。 ・RAID5→3台のパソコンに分散保存し、かつ、エラーアンカーを打ち込むことで、1台がポシャってもすぐ復旧できるようにした方式のこと。2台同時にポシャるとお手上げ。

  • 77

    パスワード攻撃について。総当たりでパスワードを解析しシステムにアクセスしようと試みる攻撃をなんというか。

    ブルートフォース攻撃

  • 78

    ネット接続やオンラインサービスを利用する際、あらかじめ端末に記憶されているIDやパスワードをもちいて、自動的にログインすることを○○という。

    オートログイン

  • 79

    管理者であるrootだけがシステムにアクセスできる、メンテナンスなどの管理上重要な操作を行う際に利用される特殊なモードのことを○○という。

    シングルユーザモード

  • 80

    クライアントに入力したパスワードと、サーバから送られたランダムなデータとをクライアント側で演算し、その結果をサーバに送信して認証用データに用いる認証方式のことを○○という。

    チャレンジレスポンス認証

  • 81

    アクセスログなどからユーザの行動パターンやWeb Browserなどの情報を分析し、ログイン時の状況がいつもと異なっていた場合は、追加の質問などによって、より厳格に本人認証を行う仕組みのことを○○という。

    リスクベース認証

  • 82

    公開鍵暗号方式を用いた暗号の代表的なものを選べ。

    RSA暗号、楕円曲線暗号

  • 83

    本人認証について。本人認証は、○○や○○と言われ、代表的な方法として以下の3つがある。 ・知識による認証(暗証番号など) ・所有による認証(トークンなど) ・整体情報認証(指紋など) これらを組み合わせる二要素認証も多い。

    主体認証, エンティティ認証

  • 84

    ネットワーク上でユーザの認証や権限の付与、利用状況の記録などをおこなうための通信プロトコルのこと。リモートアクセスサービスの認証情報の一元管理や、無線LANの認証サービスなどに利用されている。

    RADIUS

  • 85

    ネットワークを通じて伝送されたメッセージが改ざんされていないかを確認するメッセージ認証において、メッセージに添付して送られる短いメッセージのことをさす。メッセージ認証コードともよばれる。

    MAC

  • 86

    侵入検知システム。ネットワークやホストをリアルタイムで監視し、不正アクセスの兆候を検知すると、ネットワーク管理者に通報する機能を持つソフトウェアまたはハードウェアのこと。

    IDS

  • 87

    マルウェアについて。一見無害なプログラムを装ってインストールさせ、バックドアを作成したりする。自己増殖や他PCへの感染はしないこっそり系。

    トロイの木馬

  • 88

    マルウェアについて。ネットワークを通じて自分のコピーを拡散、他PCを感染させていく。自己増殖、単独動作でき、特定の感染対象となるプログラムを必要としないのでどんなPCにも感染をひろげる・・・

    ワーム

  • 89

    マルウェアについて。個人情報やアクセス履歴を不正に収集して外部に送信する。クッキー情報を収集して設定を書き換えたりもする。

    スパイウェア

  • 90

    マルウェアについて。攻撃者がコンピュータに侵入したあとに利用するためのソフトウェアをまとめたパッケージのこと。泥棒の七つ道具みたいなもの?ログ改ざんツールや、バックドア作成ツール、改ざんされたシステムコマンド群など。悪のドラえもんキットみたいな。

    ルートキット

  • 91

    マルウェアについて。コンピュータに感染し、外部からそのPCを操れるようにする。外部指示に従い、スパムメール送信やサービス拒否攻撃などの処理を実行する。心を乗っ取る系みたいな?

    ボット

  • 92

    システムへの攻撃について。 Webアプリケーションの脆弱性をついて、ウェブサイトにログイン中のユーザのスクリプトを操ることで、ユーザの意図していない処理を行わせる攻撃手法のことを○○という。

    クロスサイトフォージェリ

  • 93

    システムへの攻撃について。 IP通信において、送信者のIPアドレスを詐称してなりすましを行う攻撃手法のことを○○という。

    IPスプーフィング

  • 94

    システムへの攻撃について。Web Browserなどを介して、ユーザに気づかれないように偽プログラムなどをダウンロードさせる攻撃手法のことを○○という。

    ドライブバイダウンロード

  • 95

    システムへの攻撃について。 ユーザーを視覚的にだまして、偽のWebコンテンツをクリックさせ、個人情報を詐取したりする攻撃のことを○○という。

    クリックジャッキング

  • 96

    システムへの攻撃について。検索エンジンの最適化機能を悪用して、悪質なWebサイトを上位に表示させることを○○という。

    SEOポイズニング

  • 97

    無線LANのセキュリティについて。無線LANでアクセスポイントを指定する識別子の機能を、複数のアクセスポイントを設置したネットワークでも使えるように拡張したものを、ESSIDと呼ぶ。アクセスポイントと各端末にESSIDを設定し、合致したものだけを接続させることで、混信を避けられる。ただしセキュリティが脆弱なため、○○や○○などの対策を行う必要がある。

    ステルス機能, ANY接続拒否

  • 98

    IEEE802.1Xは、LAN内のユーザー認証方式を定めた規格であり、認証されていないクライアントからの通信をすべて遮断し、認証されたユーザのみに通信を許可する方式のこと。

    正しい

  • 99

    VLANは、物理的な接続と別に、仮想的なネットワークを構築する技術のこと。同じスイッチに接続している複数の機器を、仮想的なふたつのネットワークに分割したりできる。このVLANと、IEEE802.1X認証を組み合わせて、認証VLANを構築することで、認証VLANで認証したコンピュータのみを業務用VLANに接続させることができる。

    正しい

  • 100

    不正アクセスについて。実在しない嘘の不正プログラムの情報や、それに関するメール(デマ情報、デマメール)のこと。チェーンメールの効果を狙ったものであり、たとえば、「ウィルスの最新情報を多くの人に知らせてください」といったようなものを、○○という。

    Hoax

    • 個人情報保護士(公式過去問より)

    個人情報保護士(公式過去問より)

    kanetaka yuriko · 84問 · 2年前

    個人情報保護士(公式過去問より)

    個人情報保護士(公式過去問より)

    84問 • 2年前
    kanetaka yuriko

    問題一覧

  • 1

    マイナンバー関連。転入と当時に市区町村に提出しなければいけないものは何ですか?

    個人番号カード

  • 2

    マイナンバー関連。転入届と同時に市区町村に提出しなければいけないものは何ですか?

    個人番号カード

  • 3

    誰に個人番号カードを提出しなければいけないですか?

    市町村長

  • 4

    再委託を受けたものは、○○の委託元の許可を得た場合に限り再再委託ができる。

    最初

  • 5

    事業者に扶養親族の扶養控除等申告書を提出する場合、この従業員は、●●として取り扱われる。

    個人番号関係事務実施者

  • 6

    自己と同一の世帯に属するものについては、番号法に規定されている場合でなくても、個人番号の提供を求めることができる。

    正しい

  • 7

    継続性のある契約により発生する個人番号関係事務については、契約が終了するまで、特定個人情報を保管できる。

    正しい

  • 8

    個人番号利用事務や個人番号関係事務の処理の必要がなくなった場合は、他の法令の規定にかかわらず、ただちに個人番号を廃棄・削除しなくてはいけない。

    正しくない

  • 9

    特定個人情報保護評価とは

    プライバシー権侵害を未然に防ぐための事前評価。外国で実施されてきたPIA(個人情報全般に関して保有前の影響リスクを考えるプライバシー影響評価)とおなじようなもの。 第三者評価、特に一部の評価については、個人情報保護委員会の承認が必要。

  • 10

    法人番号を指定し、法人に通知するのは○○である。

    国税庁長官

  • 11

    特定法人情報とはなにか。

    法人番号保有者に関する情報。法人番号で検索することができるものをいう。

  • 12

    プライバシーガバナンスとは。

    プライバシー問題を経営戦略としてとらえ、経営者が積極的にコミットメントすることで企業価値向上へつなげる取り組みのこと。「DX時代における企業のプライバシーガバナンスモデルガイドブック(経済産業省・総務省)」が公表されている。

  • 13

    プライバシーマーク制度の運用団体は?

    一般財団法人日本情報経済社会推進協会(JIPDEC)

  • 14

    JISq15001「個人情報保護マネジメントシステム 要求事項」とは

    個人情報保護に関するマネジメントシステムを構築・運用するうえで最初に参照すべき規格。継続的にPDCAを回して改善するスパイラルアップモデル。改正個人情報保護法への対応と他のマネジメント規格ISO との整合性をはかった2017年版が発行されている。

  • 15

    JISQ31000「リスクマネジメント 指針」とは

    2010年に制定された一般的なリスクマネジメントに関する規格。2019年の改定で、すべてのマネジメントシステム規格にはこの規格概念を活用することになった。

  • 16

    ISMSとは

    情報セキュリティマネジメントシステム(ISMS)のことで、個人情報保護の安全管理対策と親和性の高いマネジメントシステム。機密性(アクセス認可者だけがアクセスできる)、完全性(情報や処理が正確完全)、可用性(必要なときにアクセスできる)をバランスよく維持し改善する仕組み。国際基準としてはISO/IEC27000シリーズがあり、日本ではJIS27000が該当する。

  • 17

    情報セキュリティポリシーとは

    情報セキュリティ基本方針のこと。組織全体の取り組みを明示し、経営方針として対外的に公開される文書として作成されるもの。

  • 18

    利益または損失の影響をもたらすものを○○リスクと呼ぶ。

    投機リスク

  • 19

    企業等の越境個人データの保護に関して、APECプライバシー原則への適合性を認証するシステムであり、APEC域内で国境を超えて流通する個人情報に対する消費者や事業者などにおける信用を構築する仕組みのことをなんというか。

    CBPRシステム

  • 20

    EUから転送された個人データの使用と処理、及び参加企業が、EUの市民に提供しなければならないアクセスおよび紛争解決のメカニズムを管理する一連の要件を定義したものをなんというか。

    プライバシーシールド原則

  • 21

    プライバシー情報を扱うあらゆる側面において、プライバシー情報が適切に取り扱われる環境をあらかじめ作ろうとするコンセプトで、技術・ビジネスプラクティス・物理設計の3つが想定されているものをなんというか。

    プライバシーバイ・デザイン(PbD)

  • 22

    PMSを推進するため、経営者がPMSに関する考え方を組織に示すために策定・公表する個人情報保護方針のことを、○○、○○と呼ぶ。

    プライバシーポリシー、プライバシー・ステートメント

  • 23

    プライバシーマーク制度の認定基準であるJISQ15001では、個人情報保護方針の策定、実行、維持、文書化、内外への公表を○○と示している。

    しなければならない

  • 24

    マイクロソフト社が提唱した脅威分析手法のひとつで、6つの技術的脅威の英単語の頭文字から構成されているものをなんというか。

    STRIDE脅威モデル

  • 25

    ソーシャル/エンジニアリングとはなにか。

    不正アクセスを行ううえで必要な情報を、技術的なセキュリティ対策の裏をつくことで不正に聞き出す不正アクセスの手口のひとつ。のぞき見、トラッシング(ゴミ箱あさり)、構内侵入やピギーバック(偽装同伴)、なりすまし、フィッシングメールなどがある。

  • 26

    個人情報保護の最高責任者として、個人情報保護方針・個人情報管理規程の策定、運用、改善を実施する人のことををなんと呼ぶか。

    CPO 個人情報保護管理者(チーフプライバシーオフィサー)。役員が望ましい。

  • 27

    個人情報保護管理者(CPO)のもと、個人情報保護の推進を組織として継続的にとりくむための意思決定機関であり、実際の業務に熟知した人材を中心に部門横断的に招集される組織をなんというか。

    個人情報管理委員会

  • 28

    個人情報保護管理者(CPO)や、個人情報管理委員会から独立しており、管理の状況について監査の実施報告をおこなう役割をなんというか。

    個人情報保護監査責任者

  • 29

    個人情報保護の推進に関する組織内の調整機関で、規定の策定や、従業者への周知教育運用見直しなどをおこなう組織をなんというか。

    事務局

  • 30

    個人データの取り扱いについて、支店や部門ごとに設置される責任者をなんというか。

    情報管理責任者 という。  原則、支店長または部門長が就任することがのぞましい。

  • 31

    事業者における個人情報の取り扱いを総括する部署は、専門部署として設置しなければならないと個人情報保護法で規定されている。

    正しくない

  • 32

    個人情報保護管理者は、苦情・相談窓口の担当者を兼任しても差し支えはない。

    正しい

  • 33

    個人情報規定文書の整備に関する問題。「実施手順」はプロシージャとも呼ばれ、実務上の手順や様式を具体的に定めるもの。業務手順書などが該当する。これらは○○レベルが策定する。

    部門長レベル

  • 34

    個人情報規定文書の整備に関する問題。「対策基準」とはどういうものをさすか。

    「対策基準」は「スタンダード」ともよばれ、基本方針に基づいて実施するべき組織ルールを具体的に記述するもの。就業規則、情報管理規定、文書管理規定、個人情報保護規定 などが該当する。

  • 35

    個人情報の「非直接取得」とは、次のうちどれか。全て選べ。

    ネットで本人が公にしている個人情報の取得, 官報職員録等からの取得, 個人情報の第三者提供をうけたもの

  • 36

    個人情報を非直接取得する場合、あらかじめ利用目的を公表していることが望ましいが、公表していない場合は、取得後速やかに利用目的を○○しなくてはならない。

    本人に通知か公表をする必要がある

  • 37

    個人情報を直接取得する場合で、 (1)書面による記載、ネット入力画面への入力 (2)口頭での取得 の場合、それぞれ、以下の対応が必要。

    1.あらかじめ利用目的を示さなくてはならない 2.口頭の場合は、あらかじめ利用目的を示すか、取得後速やかに利用目的を本人に通知または公表しなくてはならない

  • 38

    要配慮個人情報を取得する場合は、あらかじめ○○

    本人の同意を得なければならない。

  • 39

    本人の同意を得ることなく、利用目的範囲を超えて個人情報を取り扱うことができる適用除外事由はつぎのうちどれか。

    法令(条例)に基づく場合, 生命、身体、財産の保護のために必要、かつ本人の同意が困難な場合, 公衆衛生の向上、児童の健全な育成推進のためで、本人同意が困難な場合, 国の機関、地方公共団体、またはその委託をうけたものが法令の定める業務を遂行することに対し、事業者が協力する必要があり、本人同意を得ようとすると事務遂行に支障が出る場合, 学術研究機関等が、学術研究目的で取り扱う場合, 学術研究機関等に個人データを提供する場合で、学術研究目的の場合

  • 40

    個人情報データ漏えいの報告対象となるのは次のうちどれか。

    要配慮個人情報が含まれる場合, 財産的被害が生じる恐れがある場合, 不正目的で漏洩した場合, 1,000人以上の場合

  • 41

    個人情報が漏洩した場合の対応として正しいものはどれか。

    原則として委託元・委託先双方が報告する義務を負うが、委託先が委託元に自体発生を通知したときは、委託先は報告義務免除となる。, 速報はすみやか(3−5日以内)に個人情報保護委員会のホームページの報告フォームから報告しなくてはいけない。, 確報は30−60日以内に報告しなくてはいけない。速報の段階で一気に報告してもいい。, 本人へ通知しなくてはいけない場合、かつ、委託先が委託元に必要事項を通知した場合は、委託先は報告義務を免除される。

  • 42

    第三者提供に該当せず、規制の対象とならないのは次のうちどれか。

    委託, 事業承継, 共同利用, 同一事業者内の他部門へデータ提供する場合, オプトアウトによる第三者提供

  • 43

    要配慮個人情報であっても、オプトアウトによる第三者提供であれば、問題ない。

    正しくない

  • 44

    オプトアウトによる個人情報の第三者提供が認められないケースはつぎのうちどれか。

    要配慮個人情報, 不正な手段で入手した情報, 別の事業者からオプトアウトで入手した情報

  • 45

    外国にある第三者へ個人情報を提供する場合は、必ず本人の同意が必要となる。ただし、以下の場合は例外。

    日本と同等の水準をもっている(イギリス、EUなど), 同意取得により法令や生命財産侵害等のおそれがあること, 委託契約で水準を担保するなど、基準をクリアした対策がとれていること, ISMSなど、一定の基準をクリアした対策がとれていること

  • 46

    個人情報の第三者提供をおこなう場合、以下の項目を記録しておく対応が必要。

    個人データ提供先の本人氏名や法人名称, 個人データ提供元の本人氏名や法人名称, 個人データの項目, オプトアウトの場合、提供年月日。それ以外の場合は本人の同意を得ていること。

  • 47

    個人情報の第三者提供を受ける場合、以下の項目を記録しておく対応が必要。

    提供元の氏名や法人名, 提供先の本人氏名や法人名, 提供する個人データの項目, オプトアウトの場合、提供をうけた年月日。それ以外の場合、本人の同意を得ていること。

  • 48

    個人情報の第三者提供をおこなったり、受けたりする場合は所定の記録と保存が必須だが、以下の場合は例外となる。次のうち、正しいものを全て選べ。

    27条1項に定められた除外の場合(・法令で定められた、、、・人の生命、身体、財産の、、、等), 委託、事業承継、共同利用の場合, 提供先、提供元が、国の機関、地方公共団体、独立行政法人等、地方独立行政法人の場合

  • 49

    オプトアウトによる第三者提供について。オプトアウトによる第三者提供を行うためには、個人情報取り扱い事業者が所定の事項をあらかじめ本人が容易に知り得る状態においている必要があるが、容易に知りうる状態の例としては、官報に一度掲載する、などでもよい。

    正しくない

  • 50

    オプトアウトによる第三者提供について。オプトアウトによる第三者提供を行うためには、所定の事項をあらかじめ本人に通知するか、容易に知り得る状態におく必要がある。これらの措置は、本人が停止をもとめるのに必要な期間をおかなければならない。

    正しい

  • 51

    個人データの委託および事業の承継について。DM発送業務を業者に委託する場合、氏名・住所を伝えても、第三者提供の制限に違反しない。

    正しい。委託は第三者提供に該当しない。

  • 52

    個人データの委託および事業承継について。事業承継のための契約を締結するより前の段階で、必要な契約を締結したうえで個人データを提供する場合は、事業承継の対応とみなせるため、個人情報の第三者提供に該当しない。

    正しい。

  • 53

    個人データの委託について。配送事業者を利用して個人データを送る場合、配送事業者が配送を依頼された中身について感知していなくても、委託にあたる=第三者提供にあたらない と考えて良い。

    正しい

  • 54

    個人データの共同利用について。共同利用者の範囲に委託先事業者が含まれている場合、委託先との関係も共同利用となるので、委託元は委託先の監督義務を免れる。

    正しくない。

  • 55

    外国にある第三者への個人情報の提供制限について。合併による事業承継にともない、個人データを外国にある第三者に提供する場合、あらかじめ本人同意を得る必要はない。

    正しくない。

  • 56

    外国にある第三者への個人データ提供について。日本企業が、外国の法人格を有している現地子会社に個人データを提供するのは、外国にある第三者への提供に当たる。

    正しい。

  • 57

    外国にある第三者への提供について。日本企業が、現地の事業所、支店など、同一法人格内での個人データの移動をおこなう場合、外国の第三者提供にあたる。

    第三者提供にあたらない。

  • 58

    外国にある第三者への個人データ提供規制について。外資系企業の日本法人が、外国にある親会社に個人データを提供する場合は、外国にある第三者への提供に当たる。

    第三者提供にあたる。

  • 59

    保有個人データについて。保有個人データについては、つぎの情報を本人の知りうる状態におかなくてはならない。

    法人代表者氏名, 利用目的, 開示等の請求に応じる手続き方法, 苦情の申し出先

  • 60

    保有個人データの利用目的の通知について。利用目的の通知を求められた場合は遅滞なく本人に通知しなければならないが、 ・生命身体・・・の侵害 ・業務実施に多大な支障 ・法令違反 に該当する場合は開示しないことができる。開示しない場合や、該当保有個人データが存在しない場合などは、そのことを通知しなければならない。

    正しい

  • 61

    保有個人データの開示について。原則、開示請求を受けたら対応する必要があるが、 ・生命身体・・・ ・事業実施に多大な支障 ・法令違反 になる場合は開示しないこともできる。その決定は本人に通知する必要がある。

    正しい

  • 62

    保有個人データの開示について。個人データを提供・受領した第三者提供記録は、保有個人データの開示の対象とはならない。

    正しくない。

  • 63

    保有個人データの訂正について。訂正/追加/削除請求を受けた場合、原則対応する必要があるが、最終的には事業者判断。対応した場合、もしくは対応しないと決定した場合は、いずれも本人に通知が必要。対応した場合も通知が必要。

    正しい。

  • 64

    保有個人データの利用停止または消去請求を受けた場合、原則は対応が必要だが、 ・本人同意なく目的外利用 ・不正な入手経路 ・本人同意なく要配慮個人情報 などのケースに限られる。 また、利用停止等に多額の費用が発生する場合は代替案でもよい。本人の事前同意に基づいて取得した個人データについて対応するかどうかは事業者判断。

    正しい。

  • 65

    個人情報の第三者提供に対する停止請求について。原則対応する必要があるが、対応が必須なのは ・同意なしの第三者提供 ・外国にある第三者提供の規定に違反 などのケースに限る。 対応に多額の費用が発生する場合は代替措置でも可。本人の事前同意がある情報の第三者提供停止については事業者判断。

    正しい。

  • 66

    個人情報利用停止等の要請をうけた場合の対応可否に関する通知や、理由の説明について、以下は正しいか。 ・対応の可否→本人に通知する必要がある ・理由の説明→努力義務。必須ではない。

    正解。

  • 67

    保有個人データの開示に関する手数料を徴収する場合は、あらかじめ本人の知りうる状態において置かなければならない。

    正しい。

  • 68

    保有個人データの開示/訂正/利用停止等の請求について、裁判上の訴えを起こす場合は、事前に事業者にその請求をしておかなければならない。また請求から2週間たたないといけない。

    正しい。

  • 69

    個人情報の苦情処理窓口設置は必須義務である。

    正しくない。

  • 70

    USBメモリを接続するコンピュータは、オートラン機能を有効にしておく必要がある。

    正しくない。

  • 71

    災害対策について。災害に備えるためのバックアップ手法として、二重化がある。これはシステムの可用性を維持するための対策で、 (1)同じ処理を行う二系統を同時に稼働運用する方式 (2)待機冗長化方式ともいい、ホットスタンバイなど3つのスタンバイ方式があるもの がある。

    1.デュアルシステム 2.デュプレックスシステム

  • 72

    BCPは、自然災害やシステム障害、テロなどの緊急事態について、被害を最小限にし、基幹事業の継続や早期復旧のために、緊急時における対応のみを取り決めておく計画である。

    正しくない。

  • 73

    BCMは、策定したBCPをもとに、緊急時に発動するマネジメント活動のこと。復旧後の点検や継続も含まれる。

    正しくない。

  • 74

    RASISとはなにか。

    RASIS ーコンピュータシステムの信頼性を評価する指標 ・Reliability(信頼性)、Availability(可用性)、Serviceability(保守性)、Integrity(保全性・完全性)、Security(機密性) のこと。

  • 75

    RAID とはなにか。

    ・RAID ー複数のハードディスクを組み合わせて仮想的な1台のハードディスクとして運用、可用性・信頼性を確保することを言う。

  • 76

    RAIDの0,1,5はそれぞれ何をさすか。

    Security(機密性) ・RAID ー複数のハードディスクを組み合わせて仮想的な1台のハードディスクとして運用、可用性・信頼性を確保 ・RAID0(ストライピング)→ふたつのパソコンで縞模様のようにデータを書き込み分けること。高速化できるが、どちらかがポシャると共倒れになる。 ・RAID1(ミラーリング)→ふたつのパソコンをまったく同じに同期すること。高速化はしないが、トラブルに強い。 ・RAID5→3台のパソコンに分散保存し、かつ、エラーアンカーを打ち込むことで、1台がポシャってもすぐ復旧できるようにした方式のこと。2台同時にポシャるとお手上げ。

  • 77

    パスワード攻撃について。総当たりでパスワードを解析しシステムにアクセスしようと試みる攻撃をなんというか。

    ブルートフォース攻撃

  • 78

    ネット接続やオンラインサービスを利用する際、あらかじめ端末に記憶されているIDやパスワードをもちいて、自動的にログインすることを○○という。

    オートログイン

  • 79

    管理者であるrootだけがシステムにアクセスできる、メンテナンスなどの管理上重要な操作を行う際に利用される特殊なモードのことを○○という。

    シングルユーザモード

  • 80

    クライアントに入力したパスワードと、サーバから送られたランダムなデータとをクライアント側で演算し、その結果をサーバに送信して認証用データに用いる認証方式のことを○○という。

    チャレンジレスポンス認証

  • 81

    アクセスログなどからユーザの行動パターンやWeb Browserなどの情報を分析し、ログイン時の状況がいつもと異なっていた場合は、追加の質問などによって、より厳格に本人認証を行う仕組みのことを○○という。

    リスクベース認証

  • 82

    公開鍵暗号方式を用いた暗号の代表的なものを選べ。

    RSA暗号、楕円曲線暗号

  • 83

    本人認証について。本人認証は、○○や○○と言われ、代表的な方法として以下の3つがある。 ・知識による認証(暗証番号など) ・所有による認証(トークンなど) ・整体情報認証(指紋など) これらを組み合わせる二要素認証も多い。

    主体認証, エンティティ認証

  • 84

    ネットワーク上でユーザの認証や権限の付与、利用状況の記録などをおこなうための通信プロトコルのこと。リモートアクセスサービスの認証情報の一元管理や、無線LANの認証サービスなどに利用されている。

    RADIUS

  • 85

    ネットワークを通じて伝送されたメッセージが改ざんされていないかを確認するメッセージ認証において、メッセージに添付して送られる短いメッセージのことをさす。メッセージ認証コードともよばれる。

    MAC

  • 86

    侵入検知システム。ネットワークやホストをリアルタイムで監視し、不正アクセスの兆候を検知すると、ネットワーク管理者に通報する機能を持つソフトウェアまたはハードウェアのこと。

    IDS

  • 87

    マルウェアについて。一見無害なプログラムを装ってインストールさせ、バックドアを作成したりする。自己増殖や他PCへの感染はしないこっそり系。

    トロイの木馬

  • 88

    マルウェアについて。ネットワークを通じて自分のコピーを拡散、他PCを感染させていく。自己増殖、単独動作でき、特定の感染対象となるプログラムを必要としないのでどんなPCにも感染をひろげる・・・

    ワーム

  • 89

    マルウェアについて。個人情報やアクセス履歴を不正に収集して外部に送信する。クッキー情報を収集して設定を書き換えたりもする。

    スパイウェア

  • 90

    マルウェアについて。攻撃者がコンピュータに侵入したあとに利用するためのソフトウェアをまとめたパッケージのこと。泥棒の七つ道具みたいなもの?ログ改ざんツールや、バックドア作成ツール、改ざんされたシステムコマンド群など。悪のドラえもんキットみたいな。

    ルートキット

  • 91

    マルウェアについて。コンピュータに感染し、外部からそのPCを操れるようにする。外部指示に従い、スパムメール送信やサービス拒否攻撃などの処理を実行する。心を乗っ取る系みたいな?

    ボット

  • 92

    システムへの攻撃について。 Webアプリケーションの脆弱性をついて、ウェブサイトにログイン中のユーザのスクリプトを操ることで、ユーザの意図していない処理を行わせる攻撃手法のことを○○という。

    クロスサイトフォージェリ

  • 93

    システムへの攻撃について。 IP通信において、送信者のIPアドレスを詐称してなりすましを行う攻撃手法のことを○○という。

    IPスプーフィング

  • 94

    システムへの攻撃について。Web Browserなどを介して、ユーザに気づかれないように偽プログラムなどをダウンロードさせる攻撃手法のことを○○という。

    ドライブバイダウンロード

  • 95

    システムへの攻撃について。 ユーザーを視覚的にだまして、偽のWebコンテンツをクリックさせ、個人情報を詐取したりする攻撃のことを○○という。

    クリックジャッキング

  • 96

    システムへの攻撃について。検索エンジンの最適化機能を悪用して、悪質なWebサイトを上位に表示させることを○○という。

    SEOポイズニング

  • 97

    無線LANのセキュリティについて。無線LANでアクセスポイントを指定する識別子の機能を、複数のアクセスポイントを設置したネットワークでも使えるように拡張したものを、ESSIDと呼ぶ。アクセスポイントと各端末にESSIDを設定し、合致したものだけを接続させることで、混信を避けられる。ただしセキュリティが脆弱なため、○○や○○などの対策を行う必要がある。

    ステルス機能, ANY接続拒否

  • 98

    IEEE802.1Xは、LAN内のユーザー認証方式を定めた規格であり、認証されていないクライアントからの通信をすべて遮断し、認証されたユーザのみに通信を許可する方式のこと。

    正しい

  • 99

    VLANは、物理的な接続と別に、仮想的なネットワークを構築する技術のこと。同じスイッチに接続している複数の機器を、仮想的なふたつのネットワークに分割したりできる。このVLANと、IEEE802.1X認証を組み合わせて、認証VLANを構築することで、認証VLANで認証したコンピュータのみを業務用VLANに接続させることができる。

    正しい

  • 100

    不正アクセスについて。実在しない嘘の不正プログラムの情報や、それに関するメール(デマ情報、デマメール)のこと。チェーンメールの効果を狙ったものであり、たとえば、「ウィルスの最新情報を多くの人に知らせてください」といったようなものを、○○という。

    Hoax