情報処理技術者試験の過去問と解説なら「情報処理試験.jp」
[広告] 身体のケア
桜の情報開花予想千鳥ヶ淵隅田公園弘前公園魚の旬年賀はがき
コンサートワクワク学校アルバム大野智櫻井翔相葉雅紀二宮和也松本潤

平成22年 秋期 基本情報技術者 午後 問06
問06   5問選択

 IT サービスマネジメントにおける個人情報の保護に関する次の記述を読んで,設問1,2に答えよ。

 X社では,約1万人の個人顧客向けに会員制の通信販売を行っている。注文はインターネットや 電話で販売部が受け付け,商品と請求書を宅配便で発送する。顧客からの問合せなども, 一括して販売部で受け付けている。顧客情報は,X社の基幹サーバで一括管理している。

 X社の顧客管理部では,次の業務@〜Bを行っている。業務@は,顧客への定期的な取引状況の報告である。 業務A及びBは,販売部での対応範囲を超えた問合せであり,顧客管理部に転送されてくる。

業務@ 取引明細など顧客あて郵便物の印刷・発送

業務A 取引の詳細な内容や会員登録状況の照会など顧客からの問合せへの対応

業務B 住所変更や退会など顧客からの訂正・削除・利用停止などの依頼への対応

 業務@の印刷・発送の作業で使っている機器が老朽化し,最近は故障が増えている。 X社の役員から“機器更新などの対応も含めて業務@〜Bの外部委託を検討するように" との指示を受けた顧客管理部長は,自身をリーダとして,顧客管理部,システム部及び リスク管理部の管理者からなる委託検討プロジェクト(以下,プロジェクトという)を発足させた。

設問1 プロジェクトでは,まず委託元であるX社内での対応を検討することにした。 次の記述中の に入れる正しい答えを,解答群の中から選べ.

 プロジェクトでは,“個人情報の保護に関する法律についての経済産業分野を 対象とするガイドライン"(以下,ガイドラインという)に沿った管理水準で検討を進めることにした。

 個人データの取扱いの委託に当たっては,法とガイドラインに基づく安全管理措置 (表にその概要を示す)を委託先に遵守させるために必要な し, 業務開始後は委託元が する必要がある。

         表 安全管理措置の概要
  安全管理措置   安全管理措置の内容(概要) 
 組織的安全管理措置  ・規程等の整備と規定等に従った運用
・安全管理措置の評価,見直し及び改善 
 人的安全管理措置  ・非開示契約の締結
・教育,訓練の実施 
 物理的安全管理措置  ・入退館,入退室管理の実施
・盗難等の防止
・機器・装置等の物理的な保護 
 技術的安全管理措置  ・情報システムへのアクセス制御
・不正ソフトウェア対策
・情報システムの監視

 業務@〜Bについて,リスクに対する費用対効果の面から総合的に検討した。 その結果,業務@については機器の買換えではなく外部委託とすることにした。

 一方,業務 A及びBについては社内処理を継続することにした。 その理由として,例えば表の安全管理措置のうち技術的安全管理措置について, などの対応を考慮する必要があったことによる。

 プロジェクトとしてこのように結論を出し,役員に報告した。

a,b に関する解答群

ア 委託先の運用担当者を任命     イ 委託先の従業者を監督

ウ 契約を締結              エ 個人データの取扱状況を監督

c に関する解答群

ア X社内の個人データを委託先からアクセスする際の安全性を確保するためにシステムを改修する

イ X社の管理水準を満たす専用作業室を委託先に新たに確保する

ウ X社の従業者が委託先の個人情報保護管理者となるために委託先で常駐する

エ X社の従業者が委託先のシステム運用方法の指揮・命令体制を整備する


設問2 プロジェクトでは,次に委託先での安全管理措置の現状を調査することにした。 次の記述中の に入れる正しい答えを,解答群の中から選べ。

 役員の承認を受けて業務@の外部委託が決まり,委託先は印刷・発送業のY社に内定した。 また,Y社での印刷・発送に必要なデータだけを,X社の基幹サーバから抽出してY社の ファイルサーバへネットワーク経由で暗号化して送信する方式とした。

 個人データの安全管理措置は,現在のX社での管理水準をY社においても維持する必要がある。 そこで,プロジェクトではX社における規程や手続の要件を文書にまとめてY社の運用管理者に提示した。 また,サービス開始前にY社の作業現場に行って現状調査を実施することで合意した。

 後日,プロジェクトのメンバがY社の作業現場を訪問し,Y社の運用管理者と一緒に現状調査を実施した。 現状調査の結果,次の問題点@〜Cが発見された。

〔問題点〕

@ 印字不良などで廃棄する,個人情報を含む印刷物は,鍵の付いた個人情報専用の廃棄箱に入れて保管し, 定期的に廃棄処分をしている。しかし,この廃棄箱の健の保管管理が十分でなく, 管理者の帰宅後はだれでも鍵を使用できる状態にある。

A ファイルサーバに対する設定変更などの特権操作は,電算室内の運用管理者席にある システム保守用端末だけで実行できる。しかし,この端末で行われた特権操作の内容は記録していない。

B ファイルサーバへのログインは利用者 ID とパスワードで認証しているが, 認証後は,サーバ内のどのファイルも参照が可能である。

C ファイルサーバへのログインは,すべて記録されるが,個々のファイルヘのアクセスは, 機能上の理由で記録していない。

 プロジェクトのメンバとY社の運用管理者は,問題点について次のとおり確認した。

(1) 問題点@〜Cのうち,問題点 を除くほかの三つの問題点は, 技術的安全管理措置の問題である。

(2) 問題点@について,この問題を放置しておくと というリスクがある。

(3) 問題点A及びCについて,これらの問題を放置しておくと というリスクがある。

 Y社では,この現状調査の結果をガイドラインに沿ってまとめて改善計画を作成すること, 及び改善計画の実施結果をX社に報告することを確約した。

d に関する解答群

ア @      イ A      ウ B      エ C

e,f に関する解答群

ア 個人情報を含む媒体を持ち出せる    イ 誤操作や不正操作の発見が困難になる

ウ システム障害の原因となる        エ 利用者認証機能をう回できる


[←前の問題] [次の問題→] [問題一覧表] [分野別] [情報処理試験.jpのTOP]