【問213】個人情報保護士 練習問題|JIS Q 15001
情報セキュリティ 問33/120難易度A(易しい)
問題文
JIS Q 15001(個人情報保護マネジメントシステム)で求められる事項として、最も不適切なものはどれか。
- 1.個人情報保護方針を策定し、公表すること
- 2.個人情報の特定とリスクアセスメントを実施すること
- 3.すべての個人情報を暗号化して保存すること
- 4.従業者に対する教育を定期的に実施すること
解説
正解
正解は選択肢3です。
各選択肢の解説
選択肢1 → ❌誤り(適切な記述)
個人情報保護方針の策定と公表は、JIS Q 15001の基本的な要求事項です。
選択肢2 → ❌誤り(適切な記述)
組織が保有する個人情報を特定し、リスクアセスメントを行うことはJIS Q 15001で求められています。
選択肢3 → ✅正解(不適切な記述)
JIS Q 15001はすべての個人情報の暗号化を一律に求めてはいません。リスクに応じた適切な安全管理措置を講じることが求められます。
選択肢4 → ❌誤り(適切な記述)
従業者への定期的な教育・訓練の実施は、JIS Q 15001の要求事項に含まれています。
背景知識
JIS Q 15001は、個人情報保護マネジメントシステム(PMS)の要求事項を定めた日本産業規格です。PDCAサイクルに基づく継続的改善を基本とし、個人情報保護方針の策定、個人情報の特定、リスクアセスメント、安全管理措置の実施、従業者教育、内部監査、マネジメントレビューなどを要求しています。安全管理措置はリスクに応じた合理的なものであることが求められ、すべての情報を一律に暗号化するような画一的な対策は要求されていません。
学習アドバイス
JIS Q 15001の主要な要求事項を一通り把握しておきましょう。特に「リスクに応じた対策」という考え方が重要です。画一的な対策ではなく、リスクベースのアプローチが基本であることを理解してください。
まとめ
- JIS Q 15001はPMSの要求事項を定めた規格
- リスクに応じた安全管理措置が求められる
- 画一的な暗号化等を一律に要求するものではない