今回も情報処理安全確保支援士の試験勉強の内容をアウトプットをしていきます。

 

勉強に使ったのはこちら

章の終わりにあるCheck問題に私なりの答えで解答していきます。

 

今回は9.2章：個人情報保護及びマイナンバーに関する法律と制度のCheck問題です。

 

【Q1】「個人情報の保護に関する法律」が定義されている「個人情報」「個人識別符号」「個人情報データベース等」「個人データ」「保有個人データ」「個人情報取扱事業者」「要配慮個人情報」「匿名加工情報」「仮名加工情報」「個人関連情報」について説明せよ。

個人情報：生存する個人に関する情報であって、次のいずれかに該当するもの
　・当該情報に含まれる氏名、生年月日その他の記述などにより特定の個人を識別することができるもの
　・個人識別符号が含まれるもの
個人識別符号：次のいずれかに該当する文字、番号、記号その他の符号のうち、政令で定めるもの
　・特定の個人の身体の一部の特徴を電子計算機のために変換した符号
　・対象者ごとにことなるものとなるように役務の利用、商品の購入または書類に付される符号
個人情報データベース等：個人情報を含む情報の集合物であり、電子計算機を用いて特定の個人を検索することができるように体系的に構成したもののほか、特定の個人情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの
個人データ：個人情報データベースなどを構成する個人情報
保有個人データ：個人情報取扱事業者が、開示、内容の訂正、追加または削除、利用の停止、消去及び第三者への提供の停止を行うことのできる権限を有する個人データ
個人情報取扱事業者：個人情報データベースなどを事業の用に供している者であり、国の機関、地方公共団体、独立行政法人、地方独立行政法人を除くもの
要配慮個人情報：本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める記述などが含まれる個人情報
匿名加工情報：特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報であって、当該個人情報を復元することができないようにしたもの
仮名加工情報：氏名などの特定の個人を識別できる記述、個人識別符号、財産的被害が生じる恐れのある記述などを削除・置換することにより、他の情報と照合しない限り特定の個人を識別することができないように個人情報を加工した個人に関する情報。
個人関連情報：個人情報、匿名加工情報、仮名加工情報のいずれにも該当しない個人に関する情報。Cookieなどが該当する。

 

【Q2】「個人情報の保護に関する法律」は「個人情報取扱事業者」に何を求めているか説明せよ。

個人情報が漏洩し、個人の権利利益を害するおそれがある場合に、個人情報保護委員会への報告および本人への通知を行う。
違法または不当な行為を助長するなどの不適正な方法により個人情報を利用してはならない。

 

【Q3】個人情報保護法の主な改正内容について述べよ。

2022年の改正では本人の権利保護の強化を目的として改正された。
①利用停止や消去を求める個人の請求権が、権利や正当な利益を害される場合でも要件が緩和された。
②保有している個人データの開示方法を本人が指示できるようになった。
③6ヶ月以内に消去する短期保存データについても保有個人データとして扱うことになった。

 

【Q4】個人情報保護法に関するガイドラインでは、個人データの安全管理のために講じるべき事項をどのような観点で示しているか。

①組織的安全管理措置
②人的安全管理措置
③物理的安全管理措置
④技術的安全管理措置

 

【Q5】マイナンバー法の概要、基本理念（目的）について述べよ。

国民一人一人に固有の個人番号を付番し、社会保障や納税に関する情報を一元管理する制度。
基本理念として、個人情報の保護に十分に配慮しつつ、社会保障・税・災害対策に関する分野における利用の促進を図るとともに、他の行政分野および行政分野以外の国民の利便性の向上に資する分野における利用の可能性を考慮して行う。とされる。

 

【Q6】個人番号、特定個人情報とは何か。

個人番号は、国民や中長期在留者・特別永住者などの個人を判別するための一意の番号。
特定個人情報は、個人番号を含む個人情報。

 

【Q7】事業者の個人番号の利用範囲について説明せよ。

法令に基づき、従業員などの個人番号を給与所得の源泉徴収票、支払調書、健康保険・厚生年金保険被保険者資格取得届などの書類に記載して行政機関や健康保険組合などに提出する。

 

【Q8】特定個人情報の適正な取扱いに関するガイドラインの概要について述べよ。

特定個人情報の適正な取扱いについての具体的な指針を定めたもの。
大項目として「1.安全管理措置の検討手順」「2.講ずべき安全管理措置の内容」がある。

 

【Q9】JIS Q 15001:2017附属書Aにおける主な管理策を挙げよ。

①個人情報の特定(A.3.3.1)
②資源、役割、責任および権限(A.3.3.4)
③利用目的の特定(A.3.4.2.1)
④委託先の監督(A.3.4.3.4)
⑤文書化した情報の範囲(A.3.5.1)
⑥文書化した情報のうち記録の管理(A.3.5.3)

 

【Q10】プライバシーマーク制度の概要について説明せよ。

民間企業における個人情報保護措置の実践を促し、それを適切に行っている事業者に対するインセンティブを与えることを目的として1998年4月より始まった制度。

 

【Q11】GDPRの概要について説明せよ。

General Data Protection Regulation（EU一般データ保護規則）の略で、欧州連合における個人データの処理や移転、権利保護などについて定めたもの。

 

 

私が使っているのは2022年版のテキストですが、2024年版も出ています。