情報システムセキュリティ（技術的安全管理措置）の問題（16問）

技術的安全管理措置の全体的な義務に関する次のア・イの記述について、その正誤の組み合わせとして最も適切なものを1つ選びなさい。

• ア．技術的安全管理措置は、インターネット等を通じて外部と送受信等する場合のみに適用され、社内ネットワークのみで運用する情報システムには適用されない。
• イ．個人情報取扱事業者は、情報システム（パソコン等の機器を含む）を使用して個人データを取り扱う場合、技術的安全管理措置として所定の措置を講じなければならない。

1. アー正、イー正
2. アー正、イー誤
3. アー誤、イー正
4. アー誤、イー誤

アクセス制御の義務に関する次のア・イの記述について、その正誤の組み合わせとして最も適切なものを1つ選びなさい。

• ア．技術的安全管理措置におけるアクセス制御は、担当者及び取り扱う個人情報データベース等の範囲を限定するために行わなければならない。
• イ．アクセス制御の義務は、取り扱う個人情報データベース等の範囲の限定のみを目的とするものであり、担当者の範囲の限定は含まれない。

1. アー正、イー正
2. アー正、イー誤
3. アー誤、イー正
4. アー誤、イー誤

アクセス制御の手法の例に関する次のア・イの記述について、その正誤の組み合わせとして最も適切なものを1つ選びなさい。

• ア．アクセス制御の手法の例として、個人情報データベース等を取り扱うことのできる情報システムを限定することが挙げられている。
• イ．アクセス制御の手法の例として、ユーザーIDに付与するアクセス権により、個人情報データベース等を取り扱う情報システムを使用できる従業者を限定することが挙げられている。

1. アー正、イー正
2. アー正、イー誤
3. アー誤、イー正
4. アー誤、イー誤

アクセス制御の措置の分類に関する次のア・イの記述について、その正誤の組み合わせとして最も適切なものを1つ選びなさい。

• ア．担当者及び取り扱う個人情報データベース等の範囲を限定するためのアクセス制御は、物理的安全管理措置に分類される。
• イ．担当者及び取り扱う個人情報データベース等の範囲を限定するためのアクセス制御は、技術的安全管理措置に分類される。

1. アー正、イー正
2. アー正、イー誤
3. アー誤、イー正
4. アー誤、イー誤

アクセス者の識別と認証に関する次のア・イの記述について、その正誤の組み合わせとして最も適切なものを1つ選びなさい。

• ア．個人データを取り扱う情報システムを使用する従業者が正当なアクセス権を有する者であることを、識別した結果に基づき認証しなければならない。
• イ．アクセス者の識別と認証は、情報システムを使用する全ての者に対して行う必要があり、従業者以外の外部業者が使用する場合も同様に適用される。

1. アー正、イー正
2. アー正、イー誤
3. アー誤、イー正
4. アー誤、イー誤

アクセス者の識別と認証の手法の例に関する次のア・イの記述について、その正誤の組み合わせとして最も適切なものを1つ選びなさい。

• ア．アクセス者の識別と認証は、識別のみを行えば足り、その結果に基づく認証を行う必要はない。
• イ．情報システムを使用する従業者の識別・認証手法の例として、ユーザーID、パスワード、磁気・ICカード等が挙げられている。

1. アー正、イー正
2. アー正、イー誤
3. アー誤、イー正
4. アー誤、イー誤

外部からの不正アクセス等の防止に関する次のア・イの記述について、その正誤の組み合わせとして最も適切なものを1つ選びなさい。

• ア．個人データを取り扱う情報システムを外部からの不正アクセス又は不正ソフトウェアから保護する仕組みを導入し、適切に運用しなければならない。
• イ．外部からの不正アクセス等の防止は、仕組みを導入するだけで足り、その後の適切な運用は義務付けられていない。

1. アー正、イー正
2. アー正、イー誤
3. アー誤、イー正
4. アー誤、イー誤

外部からの不正アクセス等の防止の手法の例に関する次のア・イの記述について、その正誤の組み合わせとして最も適切なものを1つ選びなさい。

• ア．外部からの不正アクセス等の防止の手法の例として、情報システムと外部ネットワークとの接続箇所にファイアウォール等を設置し、不正アクセスを遮断することが挙げられている。
• イ．外部からの不正アクセス等の防止の手法の例として、ログ等の定期的な分析により不正アクセス等を検知することが挙げられている。

1. アー正、イー正
2. アー正、イー誤
3. アー誤、イー正
4. アー誤、イー誤

セキュリティ対策ソフトウェアの導入と更新に関する次のア・イの記述について、その正誤の組み合わせとして最も適切なものを1つ選びなさい。

• ア．外部からの不正アクセス等の防止の手法の例として、情報システム及び機器にセキュリティ対策ソフトウェア等（ウイルス対策ソフトウェア等）を導入し、不正ソフトウェアの有無を確認することが挙げられている。
• イ．外部からの不正アクセス等の防止の手法の例として、機器やソフトウェア等に標準装備されている自動更新機能等の活用により、ソフトウェア等を最新状態とすることが挙げられている。

1. アー正、イー正
2. アー正、イー誤
3. アー誤、イー正
4. アー誤、イー誤

不正アクセス防止の措置の分類に関する次のア・イの記述について、その正誤の組み合わせとして最も適切なものを1つ選びなさい。

• ア．ファイアウォール等を設置して外部からの不正アクセスを遮断する措置は、人的安全管理措置に分類される。
• イ．ファイアウォール等を設置して外部からの不正アクセスを遮断する措置は、技術的安全管理措置に分類される。

1. アー正、イー正
2. アー正、イー誤
3. アー誤、イー正
4. アー誤、イー誤

情報システムの使用に伴う漏えい等の防止に関する次のア・イの記述について、その正誤の組み合わせとして最も適切なものを1つ選びなさい。

• ア．情報システムの使用に伴う個人データの漏えい等を防止するための措置を講じ、適切に運用しなければならない。
• イ．情報システムの使用に伴う漏えい等の防止は、措置を講じるだけで足り、その後の適切な運用は義務付けられていない。

1. アー正、イー正
2. アー正、イー誤
3. アー誤、イー正
4. アー誤、イー誤

情報システムの使用に伴う漏えい等の防止の手法の例に関する次のア・イの記述について、その正誤の組み合わせとして最も適切なものを1つ選びなさい。

• ア．情報システムの使用に伴う漏えい等の防止の手法の例として、個人データを含む通信の経路又は内容を暗号化することが挙げられている。
• イ．情報システムの使用に伴う漏えい等の防止の手法の例として、移送する個人データについてパスワード等による保護を行うことが挙げられている。

1. アー正、イー正
2. アー正、イー誤
3. アー誤、イー正
4. アー誤、イー誤

情報システムの使用に伴う漏えい等の防止の手法の例に関する次のア・イの記述について、その正誤の組み合わせとして最も適切なものを1つ選びなさい。

• ア．情報システムの使用に伴う漏えい等の防止の手法の例として、情報システムを設計する際には安全性を確保するが、設計後は見直す必要はないとされている。
• イ．情報システムの使用に伴う漏えい等の防止の手法の例として、情報システムの設計時に安全性を確保し継続的に見直すことが挙げられており、情報システムのぜい弱性を突いた攻撃への対策を講ずることも含まれる。

1. アー正、イー正
2. アー正、イー誤
3. アー誤、イー正
4. アー誤、イー誤

通信の暗号化の措置の分類に関する次のア・イの記述について、その正誤の組み合わせとして最も適切なものを1つ選びなさい。

• ア．個人データを含む通信の経路又は内容を暗号化することは、技術的安全管理措置の手法の例として位置づけられている。
• イ．個人データを含む通信の経路又は内容を暗号化することは、物理的安全管理措置の手法の例として位置づけられている。

1. アー正、イー正
2. アー正、イー誤
3. アー誤、イー正
4. アー誤、イー誤

技術的安全管理措置の4つの論点の体系的な整理に関する次のア・イの記述について、その正誤の組み合わせとして最も適切なものを1つ選びなさい。

• ア．技術的安全管理措置において、アクセス制御と情報システムの使用に伴う漏えい等の防止は同一の措置であり、区別する必要はない。
• イ．技術的安全管理措置は、アクセス制御、アクセス者の識別と認証、外部からの不正アクセス等の防止、情報システムの使用に伴う漏えい等の防止の4つの措置から構成されている。

1. アー正、イー正
2. アー正、イー誤
3. アー誤、イー正
4. アー誤、イー誤

アクセス制御とアクセス者の識別・認証の関係に関する次のア・イの記述について、その正誤の組み合わせとして最も適切なものを1つ選びなさい。

• ア．アクセス者の識別と認証においては、個人データを取り扱う情報システムを使用する従業者が正当なアクセス権を有する者であることを確認する必要がある。
• イ．アクセス制御においては、個人情報データベース等への不必要なアクセスを排除するためではなく、外部からの不正アクセスを遮断するために行うものとされている。

1. アー正、イー正
2. アー正、イー誤
3. アー誤、イー正
4. アー誤、イー誤