【問67】個人情報保護士 練習問題|安全管理措置(アクセス制御)
個人情報保護法 問67/170難易度B(標準)
問題文
技術的安全管理措置におけるアクセス制御に関する次の記述のうち、最も不適切なものはどれか。
- 1.個人情報データベース等を取り扱うことのできる情報システムを限定する。
- 2.情報システムによってアクセスすることのできる個人情報データベース等を限定する。
- 3.すべての従業者に同一のアクセス権限を付与し、業務の効率化を優先する。
- 4.ユーザーIDに対してアクセス制御を行い、権限を必要最小限に設定する。
解説
正解
正解は選択肢3です。
各選択肢の解説
選択肢1 → ❌誤りではない(適切)
個人情報データベース等にアクセスできる情報システムそのものを限定することは、アクセス制御の基本的な手法です。
選択肢2 → ❌誤りではない(適切)
各情報システムからアクセス可能な個人情報データベース等の範囲を限定することもアクセス制御の重要な手法です。
選択肢3 → ✅正解(不適切)
すべての従業者に同一の権限を付与することは、最小権限の原則に反します。業務上必要な範囲に限定してアクセス権限を設定する必要があり、効率化を理由に過剰な権限を付与することは不適切です。
選択肢4 → ❌誤りではない(適切)
ユーザーIDごとにアクセス制御を行い、必要最小限の権限を設定することは、技術的安全管理措置の基本的な考え方です。
背景知識
技術的安全管理措置におけるアクセス制御は、個人データへのアクセスを業務上必要な範囲に限定するための措置です。最小権限の原則(Principle of Least Privilege)に基づき、各従業者には業務遂行に必要な最小限のアクセス権限のみを付与します。具体的には、情報システムの限定、データベースの限定、ユーザーIDによるアクセス制御等の手法があります。全従業者に同一権限を付与することは、不正アクセスや情報漏えいのリスクを増大させるため不適切です。
学習アドバイス
アクセス制御の基本原則は「最小権限の原則」です。業務効率化を理由に権限を拡大する選択肢は誤りとして出題されることが多いので注意しましょう。
まとめ
- アクセス制御は最小権限の原則に基づいて実施する
- 全従業者への同一権限付与は不適切
- システム・データベース・ユーザーIDの各レベルで制御が必要