【問291】個人情報保護士 練習問題|クラウドセキュリティ
情報セキュリティ 問111/120難易度A(易しい)
問題文
クラウドサービスにおける個人データの取扱いに関する次の記述のうち、最も適切なものはどれか。
- 1.クラウドサービスに個人データを保管する場合、安全管理措置の責任はクラウド事業者のみが負う
- 2.クラウドサービス利用時は、サービス提供事業者のセキュリティ対策状況を確認し、適切な事業者を選定することが重要である
- 3.パブリッククラウドは不特定多数が利用するため、個人データの保管には一切利用できない
- 4.クラウドサービスでは、データの所在地(リージョン)を考慮する必要はない
解説
正解
正解は選択肢2です。
各選択肢の解説
選択肢1 → ❌誤り
クラウドサービスに個人データを保管する場合でも、委託元である個人情報取扱事業者が安全管理措置の責任を負います。クラウド事業者に丸投げではなく、適切な監督が必要です。
選択肢2 → ✅正解
クラウドサービス利用時には、事業者のセキュリティ認証(ISO 27001等)、データ暗号化対応、アクセス管理、データセンターの所在地などを確認し、適切な事業者を選定することが重要です。
選択肢3 → ❌誤り
パブリッククラウドでも適切なセキュリティ対策を施せば個人データの保管は可能です。主要なクラウド事業者は高水準のセキュリティ対策を提供しています。
選択肢4 → ❌誤り
個人データの所在地は、外国にある第三者への提供規制の観点から重要です。データの保管先のリージョン(地域)を把握し、国内法の適用関係を確認する必要があります。
背景知識
クラウドサービスの利用は企業の情報システム運用において一般的となっていますが、個人データの取扱いには注意が必要です。個人情報保護法では、クラウドサービスの利用形態により「委託」に該当する場合と、単なるインフラ利用にとどまる場合があります。委託に該当する場合は委託先の監督義務が生じます。また、外国のクラウドサービスを利用する場合は、外国にある第三者への個人データの提供に関する規制への対応も必要となります。
学習アドバイス
クラウド利用時の責任分界点(共有責任モデル)を理解しましょう。IaaS/PaaS/SaaSそれぞれで事業者と利用者の責任範囲が異なる点も重要です。データの所在地に関する法的問題も押さえておきましょう。
まとめ
- クラウド利用時も個人情報取扱事業者に安全管理措置の責任がある
- 事業者選定時はセキュリティ対策状況の確認が重要
- データの所在地は外国第三者提供規制の観点から把握が必要