情報セキュリティマネジメント試験(SG)の関連法規・標準分野「個人情報保護法・不正アクセス禁止法・サイバーセキュリティ基本法・不正競争防止法・著作権法・各種ガイドライン・内部統制」の練習問題9問です。解けなかった問題は、各問の解説末尾のリンクから対応する解説記事に進んでください。
Q1. 個人情報保護法における「個人情報」の説明として、もっとも適切なものはどれですか?
回答
解説
正解は「C」です。
個人情報保護法では、個人情報 を「生存する個人に関する情報で、氏名・生年月日その他の記述などにより 特定の個人を識別できるもの」と定めているとされています。運転免許証番号やマイナンバーのように、それ単体で個人を識別できる符号(個人識別符号)も含まれると整理されています。
A は法人情報、B は個人と結びつかない統計データ、D は暗号化の有無の話で、いずれも本問の答えではありません。最新の定義や運用は、個人情報保護委員会の公式資料を確認してください。個別の判断に迷う場合は、弁護士など専門家への相談を検討してください。
Q2. 不正アクセス禁止法で禁止されている行為として、もっとも適切なものはどれですか?
回答
解説
正解は「A」です。
不正アクセス禁止法(正式名称: 不正アクセス行為の禁止等に関する法律)では、他人の識別符号(ID・パスワード等)を無断で利用してネットワーク経由でコンピュータにログインする行為 や、セキュリティホールを突いて本来アクセス権のないシステムに侵入する行為などが禁止されているとされています。違反は刑事罰の対象になり得ると整理されています。
B は公開ページの正規閲覧、C は本人の正規アカウントの正常利用、D は付与された権限内の利用で、いずれも不正アクセスにはあたりません。所管は警察庁・総務省・経済産業省などとされています。
Q3. サイバーセキュリティ基本法の説明として、もっとも適切なものはどれですか?
回答
解説
正解は「D」です。
サイバーセキュリティ基本法 は、サイバーセキュリティに関する施策の 基本理念 を示し、国・地方公共団体・重要インフラ事業者などの責務 や、施策推進の枠組みを定めた法律とされています。この法律にもとづき、政府の司令塔としてサイバーセキュリティ戦略本部や NISC(内閣サイバーセキュリティセンター)に関する体制が整理されてきたとされています。
A はパスワード運用の細目、B は会計、C は著作権の説明で、いずれも本法の説明ではありません。最新の体制や条文は、NISC など公式資料を確認してください。
Q4. 不正競争防止法で保護される「営業秘密」の3つの要件として、もっとも適切なものはどれですか?
回答
解説
正解は「B」です。
不正競争防止法における 営業秘密 は、秘密として管理されていること(秘密管理性)・事業活動に有用であること(有用性)・公然と知られていないこと(非公知性) という3つの要件をすべて満たすものとされています。顧客名簿や製造ノウハウなどが該当し得ると整理され、これらを不正に取得・使用・開示する行為は規制の対象になるとされています。
A・C・D はいずれも営業秘密の要件と異なる説明です。とくに D は特許の登録手続きであり、登録されず秘密に保つ点が営業秘密の特徴とされています。詳しい運用は経済産業省の公式資料を確認してください。
Q5. 業務で使うソフトウェアと著作権法の関係として、もっとも適切なものはどれですか?
回答
解説
正解は「A」です。
日本の著作権法では、プログラムの著作物 も保護の対象とされており、ライセンス(使用許諾)で認められた範囲を超えて 無断で複製・改変・配布する行為は権利侵害になり得る と整理されています。職場での違法コピーやライセンス数を超えた利用は、コンプライアンス上のリスクにもなるとされています。
B は無制限の複製を認める誤り、C は保護対象でないとする誤り、D はオープンソースにも通常ライセンス条件(表示義務など)がある点を見落としています。最新の取り扱いは文化庁の公式資料を確認してください。
Q6. 経済産業省と IPA による「サイバーセキュリティ経営ガイドライン」の位置づけとして、もっとも適切なものはどれですか?
回答
解説
正解は「C」です。
経済産業省と IPA による サイバーセキュリティ経営ガイドライン は、経営者がサイバーセキュリティ対策に取り組むうえでの重要事項や原則(経営者が認識すべき項目や、担当幹部に指示すべき事項など)を整理して示した 指針 とされています。法律そのものではなく、企業の自主的な取り組みを後押しする位置づけと整理されています。
A は罰則規定、B は家庭向け手順書、D は強制的な認証制度で、いずれもガイドラインの位置づけとは異なります。最新版の内容は IPA・経済産業省の公式資料を確認してください。
Q7. 企業における「コンプライアンス(法令遵守)」の考え方として、もっとも適切なものはどれですか?
回答
解説
正解は「B」です。
コンプライアンス(法令遵守) は、法令や社会的なルール・企業倫理を守り、社会からの信頼にこたえながら事業を行う という考え方とされています。法律を守るだけでなく、社会的な規範や倫理にも配慮する点が重視され、これを支える社内の仕組みづくり(内部統制)と関連づけて整理されることが多いです。
A は規則違反を許容する誤った考え、C は業務自動化、D は品質管理の説明で、いずれもコンプライアンスの考え方ではありません。
Q8. 内部統制を支える考え方の一つ「職務分掌」の説明として、もっとも適切なものはどれですか?
回答
解説
正解は「D」です。
職務分掌(職務の分離)は、申請と承認、実行と記録のように相反する役割を別々の担当者に分ける ことで、一人の不正や誤りがそのまま通ってしまうのを防ぎやすくする考え方とされています。内部統制を支える基本的な統制活動の一つとして整理されています。
A は権限集中で内部統制と逆方向、B は分掌とは無関係、C はかえって統制を弱める誤りです。内部統制の全体像は、関連する解説記事もあわせて確認してください。
Q9. 個人情報を取り扱う事業者の対応として、もっとも適切なものはどれですか?
回答
解説
正解は「A」です。
個人情報保護法では、事業者は 利用目的をできるかぎり特定 し、原則として特定した利用目的の範囲内 で個人情報を取り扱うことが求められるとされています。あわせて、漏えいなどを防ぐための 安全管理措置 を講じる義務があると整理されています。
B は目的外の第三者提供を無条件に認める誤り、C は一定の漏えい時に個人情報保護委員会への報告や本人通知が求められ得る点を見落とした誤り、D は安全管理を個人の善意任せにする誤りです。具体的な義務の範囲は、個人情報保護委員会の公式資料を確認してください。
試験全体の流れを俯瞰したい時は、情報セキュリティマネジメント 試験全体概要 に戻れます。
学習の全体像と次に進む分野は、情報セキュリティマネジメント試験 学習ロードマップ で確認できます。