【問64】個人情報保護士 練習問題|安全管理措置(技術的安全管理措置)
個人情報保護法 問64/170難易度B(標準)
問題文
技術的安全管理措置に関する次の記述のうち、最も不適切なものはどれか。
- 1.アクセス制御として、担当者及び取り扱う個人情報データベース等の範囲を限定するために、適切なアクセス制御を行う。
- 2.アクセス者の識別と認証として、個人データを取り扱う情報システムを使用する従業者が正当なアクセス権を有する者であることを識別した結果に基づき認証する。
- 3.外部からの不正アクセス等の防止として、ファイアウォールの設置やウイルス対策ソフトの導入等を行う。
- 4.情報システムの使用に伴う漏えい等の防止は、組織的安全管理措置に分類されるため、技術的安全管理措置には含まれない。
解説
正解
正解は選択肢4です。
各選択肢の解説
選択肢1 → ❌誤りではない(適切)
アクセス制御は技術的安全管理措置の基本項目です。個人情報データベース等を取り扱う権限を必要最小限に制限することが求められます。
選択肢2 → ❌誤りではない(適切)
アクセス者の識別と認証は技術的安全管理措置の重要な項目です。ID・パスワード等による認証が一般的な手法です。
選択肢3 → ❌誤りではない(適切)
外部からの不正アクセス防止として、ファイアウォール、ウイルス対策ソフト、OSやソフトウェアのアップデート等を行うことが求められます。
選択肢4 → ✅正解(不適切)
情報システムの使用に伴う漏えい等の防止は、技術的安全管理措置に含まれます。メール等による個人データの送信時の暗号化や、情報システムの操作記録の保存等がこれに該当します。
背景知識
技術的安全管理措置は、情報システムを用いて個人データを取り扱う際に講ずべき技術的な措置です。ガイドライン通則編では、(1)アクセス制御、(2)アクセス者の識別と認証、(3)外部からの不正アクセス等の防止、(4)情報システムの使用に伴う漏えい等の防止の4項目が定められています。近年のサイバー攻撃の高度化を受けて、技術的安全管理措置の重要性はますます高まっています。
学習アドバイス
安全管理措置の4分類(組織的・人的・物理的・技術的)それぞれに含まれる具体的項目を混同しないように整理しましょう。特に各項目がどの分類に属するかを正確に把握することが重要です。
まとめ
- 技術的安全管理措置は情報システムに関する4つの項目で構成される
- 情報システムの使用に伴う漏えい防止は技術的安全管理措置に含まれる
- アクセス制御・識別認証・不正アクセス防止・漏えい防止が4本柱