情報セキュリティ アドミニストレータ(セキュアド)過去出題問題平成17年 午後2 問2最終更新日 2006/02/25
|
Tomのネットワーク勉強ノート |
過去問(午後) |
情報セキュリティ アドミニストレータ過去問(午後) |
情報セキュリティ アドミニストレータ過去問 平成17年 午後2 問2 |
問2
お客様データベースの構築に関する次の記述を読んで,設間1〜5に答えよ。
A社は,従業員数が100名ほどの企業で,鉄道沿線を中心に,都市部のベッドタウ
ンで十数店の花屋を営んでいる。各店では,店頭での対面販売のほかに,来店による
直接申込み又は常連客からの電話やファックスの申込みによって,贈答品の配送サー
ビスを行っている。
しかし,近ごろでは,いわゆるインターネット店舗や大規模店舗などの参入で,売
上の不振に苦慮している。
このような状況下で,2005年10月1日に会社設立10周年を迎えるA社は,近隣の
顧客を確保し,売上増加を目指すために,設立記念日の前後1か月間にわたって,設
立10周年記念キャンペーン(以下,設立キャンペーンという)を展開することにし
た。
A社は,お客様の個人情報を必要としない対面販売が主体であったことから,お客
様の個人情報を検索できるような体系的なデータベースを構築していなかった。そこ
で,設立キャンペーンでは,将来A社が実施する各種イベントの案内を送付するため,
これまで保有していなかったお客様データベースの構築を目指し,設立記念プレゼン
トの応募受付を通じて,個人情報を広く収集することにした。
図1は,2005年5月の時点でA社が想定した,設立キャンペーンの進め方である。
1.設立記念プレゼントの応募用に,専用の応募はがきを用意する。 2.応募はがきは,A社各店の店頭で,申込要領を記載したパンフレットと一緒に配布する とともに,各店の近隣の住宅地などを対象に,新聞の折込広告として広く配布する。 3.設立記念プレゼント応募者は,店頭又は折込広告で応募はがきを入手する。 4.設立記念プレゼント応募者は,応募はがきに,住所,氏名,年齢,性別,職業,A社の 商品に対する印象,希望するプレゼント名を記入し,投かんする。ただし,応募できるの は1人当たり1回とする。 |
図1 設立キャンペーンの進め方
設立キャンペーンの実施に向けて,営業課のB課長と課内のC主任とD君を加えた
3名が,広報を担当するテーム(以下,広報チームという)を組むことになった。
広報チームは,設立キャンペーンの進め方を詳しく検討するために,早速打合せを
行った。打合せの内容は,キャッチコピー,設立記念プレゼント,宣伝活動のタイミ
ングなど,多岐にわたったが,中でも設立記念プレゼント応募者の個人情報の取扱い
については,慎重を期すべき事項として,更に検討を重ねた。
次は,個人情報の取扱いに関する,B課長とC主任の会話である。
C主任 : 今年の春に,個人情報の保護に関する法律(以下,保護法という)が全面的
に施行されました。保護法の施行によって,過去6か月間に一定規模の個人
情報を取り扱ったことのある企業などには,【 a 】としての義務が課
せられることになりました。
B課長 : 個人情報を取得したり,利用したりする際には,保護法に定められた義務を
履行しなければならないということだな。
C主任 : はい。保護法が全面的に施行されたことに伴い,適正な手続を踏まずに個人
情報を取得したり,利用したりすることは禁止されました。当社も保護法で
定義されている【 a 】に該当するので, この法律を守るための方策を
検討する必要があります。
B課長 : なるほど。具体的には,どこから手を付ければよいのだろう。
C主任 : 私の学生時代の同級生で,今は大手通信販売事業者のE社で情報セキュリテ
ィアドミニストレータの仕事をしているF君に聞いた話ですが,個人情報を
取得する場合には,その対象者,例えば,お買い上げいただいたお客様に,
何らかの方法であらかじめ伝えなくてはならない事項(以下,通知・公表事
項という)があるとのことでした。
B課長 : どのような事項なのか。何を伝えなくてはならないのだろうか。
C主任 : E社の通知・公表事項の策定担当者の一人であったF君によれば,必要な通
知・公表事項は,保護法を読めば分かるということでした。既に,E社の通
知・公表事項の一部が同社のWebページに掲載されていますので,まずは,
それらと保護法の条文を基に,当社の通知・公表事項を検討してみます。
B課長 : よろしく頼む。では,検討が一通り済んだ段階で,もう一度打合せをするこ
とにしよう。
C主任 : はい,分かりました。関連する文献もたくさん出版されていますので,それ
らも参考にして検討しようと思います。
〔A社Web掲載事項の案の策定〕
C主任は,保護法の条文とE社のWebベージに掲載されている通知。公表事項の一
部を基にして,A社のWebベージに掲載すべき事項(以下,A社Web掲載事項とい
う)の案を,図2のように作成した。
個人情報の取扱いについて 2005年8月31日 A社 当社は,個人情報の保護に関する法律に基づき,次の事項を公表致します。 (1) 取得する個人情報の【 b 】について ・お取引内容の確認と記録のため (2) 第三者への提供について (3) 共同利用について (4)保有個人データに係る【 b 】について (5)開示などの求め方と手数料について (6)苦情相談の受付窓日について 以 上 |
図2 A社Web掲載事項の案
C主任が作成した図2のA社Web掲載事項の案を,広報チームの会議で出席者が1
項目ずつ確認しながら,今回の設立キャンペーンで注意すべき事項について検討した。
その結果,保護法を遵守するためには,図2のA社Web掲載事項に記載する。しな
いにかかわらず,更に,個人情報を記入してもらう応募はがきにも記載すべき事項の
あることが分かった。そこで,B課長は,応募はがきに記載すべき事項の整理をC主
任に指示するとともに,図3に示す応募はがきの印刷準備を進めた。
A社設立10周年記念キャンペーン 応募はがき 住所: 氏名: (省略) ご記入いただいた個人情報は,次の目的に利用させていただきます。
|
図3 応募はがき(個人情報の記入面)
〔設立キャンペーンの準備〕
設立キャンペーンの開始に当たって,B課長は,応募はがき及び記載された個人情
報に関する基本的な取扱方法を,図4のように整理した。
(1)応募はがきは,すべてA社の本店で受け付ける。
(2)受け付けた応募はがきに記載されている個人情報のデータ入力(電子化)業務と,当選 (3)受け付けた応募はがきは,受付期間終了後に一括して情報処理会社に送付する。 (4)A社は,入力した個人情報(以下,個人データという)だけ情報処理会社から受け取る (5)業務を委託する情報処理会社は,複数の候補の中から,A社の委託先選定基準に基づい (6)選定した情報処理会社とは,A社が取得した個人情報の機密保持のために,その取扱い (以下,省略) |
図4 応募はがき及び記載された個人情報に関する基本的な取扱方法
B課長は,図4の基本的な取扱方法に従って,委託先の候補を選定するよう,C主
任に指示した。C主任は,様々な資料を調査した上で,“個人情報の保護に関する法
律についての経済産業分野を対象とするガイドライン"(以下,ガイドラインとい
う)を参考にして,情報処理会社のG社を候補として選定した。
さらに,C主任は,選定した情報処理会社との間で交わす契約書を作成するために,
契約書の骨子について検討した。図5は,契約書の骨子のうち,安全管理措置に関連
する部分の抜粋である。
(1)委託者(A社)及び受託者(情報処理会社)の責任の明確化 (2)個人データの漏えい防止,盗用禁止に関する事項 (3)契約で定めていない加工,利用の禁止 (4)契約で定めていない複写,複製の禁止 (5)個人データの取扱状況に関する委託者への報告の内容及び頻度 (6)契約内容が遵守されていることの確認 (7)契約内容が遵守されなかった場合の措置 (8)セキュリティ事故が発生した場合の報告・連絡に関する事項 |
図5 情報処理会社との契約書の骨子(抜粋)
広報テームでの打合せを経て,図5の情報処理会社との契約書の骨子が承認され,
骨子を基に作成した契約書に従って,G社と契約を締結した上で,業務を委託した。
〔設立キャンペーンの実施〕
A社Web掲載事項の公表が済み,A社の設立記念日を1か月後に控えた2005年9月
に,設立キャンペーンが開始された。A社各店の店頭や新聞の折込広告で配布した応
募はがきは,設立記念プレゼントの内容が充実していたこともあって,順調な出足で
A社に返送されてきた。
2か月間の受付期間を経て,設立記念プレゼントの応募は締め切られたが,その間
に受け付けた応募はがきの総数は,優に5,000通を超える盛況振りであった。受付期
間が過ぎ,C主任はB課長の指示の下に,設立キャンペーン期間中に受け付けた応募
はがきをG社に送付して,データ入力の開始を指示した。
〔事故の発生と対応〕
G社にデータ入力の開始を指示してから数週間がたったある日,A社に“記入済の
A社の応募はがきが,住宅地のごみ集積場に捨てられた封筒からはみ出した状態で大
量に放置されている"という通報があった。
A社では,緊急に広報テームを招集し,まず,C主任が応募はがきの発見者を訪ね
て状況を詳しく聞き出すとともに,D君が現場のごみ集積場に急行し,応募はがきを
できる限り回収するなどして,事実関係の把握と被害の拡大防止に努めた。
しかし,残念ながら,放置されたすべての応募はがきを回収できたかどうかの確認
までには至らなかった。
また,B課長は,データ入力業務を委託したG社の担当者をA社に呼び,事情の説
明を求めた。担当者の説明によって,次のような経緯で事故が発生したことが分かっ
た。
・G社の繁忙期であり,納期までにデータ入力作業を完了させるのに必要な人員の
手配がG社内だけでは間に合わず,仕方なく,以前にデータ入力を依頼したこと
のある取引先のH社に,データ入力作業を依頼した。
・H社でも,直ちにデータ入力作業を開始したが,それでも間に合わず,H社の従
業員のI氏がデータ入力作業を続行するために,応募はがきを自宅に持ち帰った。
・I氏がデータを入力している途中段階で,応募はがきの保管に不備があり,I氏
の家族がごみと間違えて廃棄してしまった。
事態の重大性を認識したA社では,広報チームに,更に社長,常務とほかの役員を
加えた緊急対応チームを編成し,事態の収拾に当たることにした。応募はがきに記載
されている個人情報が漏えいした可能性のある範囲を特定するため,緊急対応チーム
が調査したところ,I氏以外にH社から応募はがきを持ち出した従業員はいなかった。
また,I氏が持ち出した以外の残りの応募はがきはすべて,G社又はH社内で厳重に
保管されているか,確実に廃棄され,廃棄記録も残されていた。
今回の事改に関する影響範囲の調査が一通り終了し,併せて直接的な原因も判明し
たことから,A社では,対外的な情報提供として,所管官庁への報告のほか,マスコ
ミ,Web及び店頭での掲示などを通じて,迅速に一般に公表した。さらに,委託先に
おける同種の事故の発生を防止するために,必要な安全管理措置を実施した。
設問1
本文中の【 a 】, 【 b 】に入れる適切な字句を,それぞれ10字以
内で答えよ。また,【 c 】については,本文中に記述したA社の業務内容
を踏まえ,本人以外から個人情報を間接的に取得する場合に該当する事項を,
10字以内で答えよ。
設問2
図3中の【 ア 】に入れる適切な文章を,30字以内で述べよ。
設問3
G社が個人データをA社に納品する際に配慮すべき安全管理措置を,特に情報
の漏えい防止の観点から,30字以内で具体的に述べよ。
設問4
今回の事故の経緯とガイドラインの趣旨を踏まえ,委託先との契約書に明記す
ることが望ましい対応策を二つ挙げ,それぞれ30字以内で述べよ。
設問5
対外的な情報提供について,(1),(2)に答えよ。
(1)応募はがきに記載された個人情報が漏えいした可能性があり,その事実を直
接伝えることができるのは,どのような応募者に対してか。想定される応募者
の範囲を二つ挙げ,それぞれ30字以内で述べよ。さらに,その応募者の範囲
に対応して想定される漏えいの経緯を,それぞれ30字以内で述べよ。
(2)(1)の“想定される応募者"への情報提供や所管官庁への報告以外に,一般
への公表を併せて実施することは,被害の拡大を防止する観点からも重要であ
る。一般への公表を併せて実施しないと,どのような応募者に,どのような不
都合が生じる可能性があるか。60字以内で具体的に述べよ。
Tomのネットワーク勉強ノート |
過去問(午後) |
情報セキュリティ アドミニストレータ過去問(午後) |
情報セキュリティ アドミニストレータ過去問 平成17年 午後2 問2 |