個人情報保護管理者 実力テスト
top
個人情報保護管理者 実力テスト 
 このテストは、(株)プラスワン総研社内用です。
 このテストで80点以上得たものは、個人情報保護内部監査員として登録します。

 社外の方は、最後の「送信」ボタンは、押下しないでください
 社外の方で、ご利用を希望する場合は、別途問合せください。
受講者のE−mailアドレスをご記入ください
E-MAIL

以下の問題の記述が正しければ○、間違っていれば×の欄にチェックしてください。
その他、選択の場合は、適当なものにチェックをしてください。

1.個人情報保護法
1)各省庁が所管分野ごとに定めるガイドラインは、主務大臣が法を執する際の基準となるものである。  ○     × 
2)各省庁が定めるガイドラインの中の「望ましい」と記述されているに規定であれば、何らこれについて取り組むことが求められるものではない。  ○     × 
3)「個人データ」とは、個人情報データベース等を構成する個人情報をいう。  ○     × 
4)個人情報データベース等から他の媒体に格納したバックアップ用の個人情報は、「個人データ」に当たらない。  ○     × 
5)「保有個人データ」とは、個人情報取扱事業者が、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止を行うことのできる権限を有する個人データのうち、法の定める事由にあたるものを削除したものをいう。  ○     × 
6)個人情報の保護に関する基本方針には、個人情報取扱事業者が講ずべき個人情報保護のための措置に関する基本的な事項が定められている。  ○     × 
7)個人情報の保護に関する基本方針には、個人情報の取扱いに関する苦情の円滑な処理に関する事項が定められている。  ○     × 
8)個人情報保護法は、いったん作成された個人情報の保護に関する基本方針がその後の社会情勢の変化などに応じて変更されることを予定していない。  ○     × 
9)個人情報取扱事業者は、利用目的の達成に必要な範囲において、個人データを正確かつ最新の内容に保つよう勤めなければならない。  ○     × 
10)個人データの誤りを発見した場合に備え、その訂正等の手続きの整備を行うことは、9)の義務とは、全く関係がない。  ○     × 
11)9)の義務は、個人データの内容が、最新の「事実の評価」に合致することまで要求するものではない。  ○     × 
12)個人情報取扱事業者たる企業が、就職のための履歴書情報をもとに自社の商品の販売販売促進のために自社取扱商品のカタログと商品購入申込書を送る場合でも、あらかじめ本人の同意を得る必要はない。  ○     × 
13)個人情報取扱事業者が、本人に対し、利用目的の達成に必要な範囲を超えて個人情報を取り扱うことについての合意を得る目的でメールを送付する場合、そのようなメールの送付自体が当初の利用目的とされていないときはこれを行うことはできない。  ○     × 
14)個人情報取扱事業者たる会社が、会社分割により、他の業者から事業の承継をすることに伴って個人情報を取得した場合、その個人情報に関する承継前の利用目的達成に必要な範囲内で取り扱うときは、あらかじめ本人の同意を得る必要はない。  ○     × 
15)不登校や不良行為等児童生徒の問題行動について、児童相談所、学校、医療行為等の関係機関が連携して対応するために当該関係機関等の間で当該児童生徒の情報を交換する場合でも、あらかじめ本人の同意を得る必要がある。  ○     × 
16)あらかじめ個人情報を第三者に提供することが想定されている場合には、利用目的でその旨を特定しなければならない。  ○     × 
17)個人情報の利用目的は可能な限り具体的に特定する必要があるが、利用する個人情報の種類及び入手先の事業者名等を特定することまで求められているわけではない。  ○     × 
18)個人情報取扱事業者は、変更前の利用目的と相当の関連性を有すると合理的に認められる範囲内であれば、あらかじめ本人の同意を得ることなく利用目的を変更することができる。  ○     × 
19)個人情報の利用目的を単に「提供するサービスの向上のため」と示している場合であれば、具体的に特定しているといえる。  ○     × 
20)公知の個人データであれば、第三者に提供する場合であっても、本人の同意は必要ではない。  ○     × 
21)個人情報取扱事業者は、原則として全ての保有個人データの利用目的を本人の知り得る状態に置かなければないないが、これは、利用目的の内容が当該事業者の営業秘密に属し、明らかにすることでその利益が害されることになる場合でも同様である。  ○     × 
22)個人情報取扱事業者は、既に本人の知り得る状態にすべての保有個人データの利用目的を置いている場合であっても、本人からの利用目的の開示を求められたときは個別に応じなければならない。  ○     × 
23)個人情報取扱事業者は、個人情報保護法施行以前より有していた保有個人データに該当する個人情報については、利用目的を本人に知り得る状態に置かなくてよい。  ○     × 
24)個人情報取扱事業者は、本人からの求めに対して保有個人データの利用目的の通知をしない旨の決定をしたときは、遅滞なくその旨を通知しなければならない。  ○     × 
25)個人情報取扱事業者は、本人から保有個人データの開示等を求められた場合、その対象となる保有個人データを特定するに足りる事項の提示を求めることはできない。  ○     × 
26)個人情報取扱事業者は、本人から保有個人データの開示等のもとめに応じる手続きを定めるに当たっては、本人に与える負担を考慮することなく任意に行うことができる。  ○     × 
27)個人情報取扱事業者は、個人情報の取り扱いに関する苦情の申し出先を定め、これを本人の知り得る状態においていれば、グループ企業と苦情受付窓口を共有することができる。  ○     × 
28)個人情報取扱事業者は、保有個人データの開示の求めに応じる際の手数料の額を任意に決定することができる。  ○     × 
29)個人情報取扱事業者は、本人から当該本人が識別される保有個人データの訂正を求められた場合、手続実施に際して手数料を徴収することはできない。  ○     × 
30)個人情報取扱事業者は、本人から当該本人が識別される保有個人データの利用目的の通知を求められた場合、たとえその利用目的が現に一般へ公表されているときであっても個別の通知をおこなわなければならない。  ○     × 

2.リスク管理及びセキュリティ
31)NPO日本ネットワークセキュリティ協会は、「2003年度情報セキュリティインシデントに関する調査報告書」の中で、個人情報漏洩による被害の想定賠償額計算式を次のように提案している。

損害賠償額(円)=基礎情報価値 × 機微情報度
            × 本人特定容易度 × 社会的責任
            × 事後対応評価

基礎情報価値:500円
機微情報度 10x−1 + 5y−1:2〜125
 x=精神的苦痛レベル:1、2、3
 y=経済的損失レベル:1、2、3
本人本人特定容易度:1、3、6
社会的責任度:1、2
事後対応評価:1、2

 これをある○市で発生した事件をあてはめ、漏洩したデータが基本情報であった指名、住所、性別、年齢であったため、精神苦痛、経済的損失レベルとも、「1」である。
 本人特定容易度が最大の「6」、社会的責任度が「2」、事後評価が「1」の場合、損害賠償額はいくらになるか。
 6000  12000


26000 66000 
32)リスクマネジメントシステムの実践において、大きな鍵を握るのは、リスクの分析及び評価である。  ○     × 
33)リスクの大きさやプロファイルを分析・評価し、リスクの性質に応じたリスク処理手段を選択するとともに、対策すべきリスクの優先順位づけを行う必要がある。  ○     × 
34)オフィスの清掃を請け負う会社で、清掃員が個人データを取り扱うエリアに立ち入ることはあるが、それらにふれることがない場合は、個人情報保護に関する契約を締結する必要がない。  ○     × 
35)宅配業者に委託して、個人データが記録されているディスクを配送する場合、通常は送付物の中に個人情報が含まれているかどうかを認識することなく個人情報を取り扱っているので、個人情報保護関する契約の義務はない。  ○     × 
36)取引先の会社から自社の顧客名簿の提供の依頼を受けたが、自社の商品売買と競合せず、お互いに恩恵を受ける場合は、顧客に迷惑をかけない範囲で顧客名簿の提供をしてもよい。  ○     × 
37)個人情報を特定するためには、社内外で利用されている帳票やデータなどを調査し、社内のどこにどのような個人情報があるかを洗い出し、台帳作成の作業にはいるのが望ましい。  ○     × 
38)個人情報の取り扱いに関する規定等に違反している事実や兆候があることに気づいた場合は、委員会等に報告連絡できるように、体制を整備することが望ましい。  ○     × 
39)個人情報の漏洩などの事故によって、影響を受ける可能性のある第三者に対して情報提供できるように、体制を整備することが望ましい。  ○     × 
40)個人情報の洗い出しにおいて、個人情報が元本だけでなく、コピーが部門間でやり取りされている場合には、いずれかの部門の個人情報を洗い出しの対象とすることによって、効率的に行うことができる。  ○     × 
41)内部監査員は、社内で定めた個人情報保護に関する方針、規定、手順などに基づいて、これに従った運用がなされているかどうか検証する。  ○     × 
42)ルールへの適合性の説明責任は、監査部門にある。  ○     × 
43)口頭による情報漏洩を防止するため、家族を除く社外の者に不用意な発言をしないように配慮する必要がある。  ○     × 
44)早朝や深夜、休日などの就業時間外の勤務は、個人情報保護管理者の承認のもので、行うことが望ましい。  ○     × 
45)情報システム等にアクセスするためのパスワードは、英数6文字以上、変更は月1度以上とすることが望ましい。  ○     × 
46)電子メールソフトによっては、自動的に本文の最後に署名をうけることができるが、送信者の信頼性を高めるため、詳細な情報を盛り込むことが望ましい。  ○     × 
47)電子メールソフトでメールを送信する場合は、セキュリティを高めるために、HTML形式ではなく、プレーンテキスト形式を利用することが望ましい。  ○     × 
48)従業者が個人情報を社外に郵送する際は、内容証明にすること。  ○     × 
49)パスワード解読手法の1つで、考えられるすべてのキーをリストアップし、次から次へと手当たりしだいに解読を試みるものは、辞書攻撃と呼ばれている。  ○     × 
50)悪意を持って、他人のシステムを不正にアクセスしたり、破壊するなどの目的でネットワークに進入しデータやプログラムを改変、破壊するなどの犯罪行為を行うものをデストロイヤーという。  ○     × 



確認画面を表示する

 ※IPアドレスを記録しています。悪質なメールはお止め下さい。 ※貴殿アドレスに当社製品をご案内することがあります。