改訂6版 個人情報保護士認定試験公式テキスト
はじめに
改正個人情報保護法は 2017年5月30日に全面施行され、改正法に基づいた対処が各企業で必須となりました。
改正内容は、「個人情報の定義の明確化」「適切な規律の下で個人情報等の有用性を確保」「個人情報の保護を強化(名簿屋対策)」「個人情報保護委員会の新設およびその権限」「個人情報の取り扱いのグローバル化」「その他改正事項」の6項目で構成されています。改正法では、事業者側がより積極的に個人情報を活用できるよう、何が個人情報にあたるかを厳格に定めることで、本人が特定できないよう加工されていれば、個人情報をビッグデータとして利活用できることを目指しています。
これらに伴う大きな変化としては、次の事項があげられます。
・改正前は対象外だった、5,000 人分以下の個人情報を取り扱う小規模な事業者も適用になり、全ての事業者に改正法が適用される。
・個人データの第三者提供にあたっては、提供した日付や第三者の氏名を記録しなければならず、また、第三者提供を受けた場合も、取得経緯の確認や日付等を記録し、一定期間保存しなければならない。
・匿名加工情報取扱事業者が、匿名加工情報を取り扱うにあっては、匿名加工情報に含まれる個人情報の項目と提供の方法を公表しなければならない。匿名化によって個人情報に該当しなくなった情報についても、安全管理措置を講じるよう義務付けられた。
・本人の同意を得ないで提供できる特例「オプトアウト」には、個人情報保護委員会への届出が必須となる。同時に、第三者提供の事実、その対象項目、提供方法、望まない場合の停止方法などを、あらかじめすべて本人に示さなければならない。
・「人種」「信条」「病歴」などの「要配慮個人情報」は、オプトアウトでは提供できない。
また、2016年1月から施行された「行政手続における特定の個人を識別するための番号の利用等に関する法律」いわゆるマイナンバー法により、全ての事業者において、従業員のマイナンバーの把握や書類への記載などが義務化されたため、大企業はもとより中小企業者においても、改正個人情報保護法及びマイナンバー制度への対応について周知することが必須となりました。
「個人情報保護士認定試験」は、これらのことを踏まえて改正個人情報保護法の諸規定だけでなく、マイナンバー法の分野も正しく理解し、個人情報の適切な管理や運営、活用が可能な人材の育成を目的としています。
そのため課題 I の試験内容を、改正個人情報保護法とマイナンバーに対する知識と理解を問う「個人情報保護の総論」と「マイナンバー法の総論」の2構成とし、課題 II は、実際に企業活動等で個人情報を取り扱う際に必要となる知識や能力を問う「個人情報保護の対策」で構成され、本書はその試験の構成に則った公式テキストとして編集されています。
個人情報の取り扱いにあたっては、保護と活用の均衡を図ることが何よりも重要ですが、さらに「マイナンバー法」の実務面においても、法に対する知識とガイドラインの理解を深めていただきたいと思います。
2017年8月
一般財団法人 全日本情報学習振興協会
個人情報保護士認定試驗 試驗概要
1 受験資格
国籍、年齢等に制限はありません。
2 受験会場・時間
受験会場および時間は、お申し込み後に当協会で指定いたします。
3 試験日程
年4回(年度により実施日が異なります。)
4 試験の内容
「個人情報保護士認定試験」の試験内容は、「個人情報保護の総論」と「個人情報保護の対策と情報セキュリティ」に大別されています。「個人情報保護の総論」 は、「個人情報保護法の理解」と「マイナンバー法の理解」の2分野から構成されており、主に法律に対する理解と知識を出題範囲としています。一方、「個人情報保護の対策と情報セキュリティ」は、「脅威と対策」「組織的・人的セキュリティ」「オフィスセキュリティ」「情報システムセキュリティ」の4分野から構成されており、企業・団体において必要とされる個人情報保護に関する実務をベースに問題を出題します。
※マイナンバー実務検定1級または2級の合格者は、「マイナンバー法の理解」が免除されます。
5試験形態
試験は筆記試験でマークシート方式で実施いたします。
6 合格基準
| 課題I | 個人情報保護の総論は 300点満点です。 |
| 課題 II | 個人情報保護の対策と情報セキュリティは300点満点です。 |
| 制限時間 | ①、②合計で150分です(制限時間に説明時間は含みません) ※課題I「マイナンバー法の理解」が免除の場合は、120分経過後に終了となります。 |
| 合格点 | 課題I、課題II それぞれ80%以上の正答率で合格となります。 |
| 検定料 | 10,000円+税 |
7 合格後
合格者には合格証書と認定カード(認定証)が送られるほか、認定ロゴを名刺等に使用することが認められます。また、2011年4月に設立された一般財団法人 個人情報保護士会の入会資格が得られます。
●お問合せ先
一般財団法人 全日本情報学習振興協会
東京都千代田区三崎町 3-7-12 清話会ビル TEL03-5276-0030 FAX03-5276-0551
http://www.joho-gakushu.or.jp/
個人情報保護士認定試験 – 受験ガイド
1) 課題I(個人情報保護の総論)
課題 I の出題内容は、主催団体によりP.7のとおり公表されている。
課題 I では、「個人情報の保護に関する法律(以下、個人情報保護法)」と「マイナンバー法」の正しい理解が求められるが、条文の理解だけでなく、法制定までの世界的な歴史や背景の知識とともに、法制定後の国や関 係省庁の取り組み等についても問われる。また、プライバシーマークやISMSなどの認証制度や、関連法令からも出題される。
法律についても、法律条文だけでなく、基本方針や政令、各事業分野のガイドラインについても出題範囲となっている。さらに、毎回2問程度、漏洩事案に基づいた時事問題が出題されている。
2)課題 II(個人情報保護の対策と情報セキュリティ)
課題 II の出題内容は、主催団体によりP.8のとおり公表されている。
課題 II では、個人情報保護の対策として、個人情報保護法 20条で定められている安全管理措置の具体的な内容として、組織的・人的・技術的・物理的な安全管理措置に関する知識が問われ、適切なレベルの安全管理を行うにあたり必要なリスク分析が出題範囲となっている。
脅威と対策では、脅威と脆弱性に関する知識やリスク分析手法が問われる。安全管理措置としては、安全管理組織体制および人的管理の内容、さらに、情報セキュリティおよびオフィスセキュリティに関する知識が問われる。
3) 学習の進め方
本書は出題範囲の解説のほか、各章末に過去問題の例を掲載している。学習のまとめとして、過去問題に取り組むと効果的である。
過去問題はできるだけ多く取り組むことが望まれるが、直近の『個人情報保護士認定試験公式精選過去問題集』(日本能率協会マネジメントセンター)に、過去3回分の問題と解説が掲載されている。
個人情報保護士認定試験の出題内容と本書との対応
-
- –
-
- –
| 課題 | 出題内容 | 本書との対応 | ||
| Ⅰ.個人情報保護の総論 (300点) | 個人情報 保護法の理解 (40問) |
●個人情報保護 法の歴史 |
・OECD勧告、OECDの8原則 ・わが国の取り組み ・個人情報保護法の成立と施行 |
第1章1 |
| 第1章1 | ||||
| 第1章1、第2章18 | ||||
| ●個人情報に 関連する 事件・事故 |
・個人情報が漏洩する原因(人的・物理的・技術的・管理的) ・企業および個人にとっての被害・損失 ・事件・事故におけるケーススタディ |
第2章19、第5章3 | ||
| 第2章19 | ||||
| 第2章19 | ||||
| ●各種認定制度 | ・プライバシーマーク ・ISMS ・JIS Q15001 |
第1章4 | ||
| 第1章4、第5章1 | ||||
| 第1章4、第5章1 | ||||
| ●個人情報の 定義と分類 |
・個人情報の定義 ・個人情報とプライバシー情報 ・個人情報の分類(個人情報、個人データ、保有個人データ) ・個人情報の帰属主体 |
第2章4 | ||
| 第2章4 | ||||
| 第2章4 | ||||
| 第2章4 | ||||
| ●個人情報取扱 事業者 |
・個人情報取扱事業者の定義 ・個人情報取扱事業者に求められる義務 ・個人情報の利用目的の特定 ・個人情報取得の手段と利用目的の通知・公開 ・個人データにおける正確性の確保 |
第2章4 | ||
| 第2章5 | ||||
| 第2章6 | ||||
| 第2章7 | ||||
| 第2章8 | ||||
| ●条文に対する 知識と理解 |
・関連法の概要(条文4-14、40-46、77-81) ・利用目的による特定と制限(条文15-16) ・適正な取得に際しての通知等(条文17-18) ・データ内容の正確化(条文19) ・安全管理措置① 組織的・人的・物理的・技術的 (条文20) ・安全管理措置② 従業者の監督・委託者の監督 (条文21、22) ・第三者提供の制限、外国にある第三者への提供の制限、 第三者提供に係る記録の作成等、第三者提供を受ける際の 確認等(条文23-26) ・保有個人データに関する事項の公表、利用目的の通知 (条文27) ・保有個人データに関する事項の開示(条文28) ・保有個人データに関する事項の訂正等(条文29) ・保有個人データに関する事項の利用停止等(条文30) ・保有個人データに関する事項の理由の説明、開示手順、 手数料(条文31-34) ・苦情処理(条文35) ・認定個人情報保護団体(条文47-58) ・個人情報保護委員会(条文59-74) ・プライバシー権、表現の自由(報道の自由含む)、学問の 自由、信教の自由、政治活動の自由(条文 76・憲法) ・罰則(条文82-88) ・民法の不法行為、刑法(秘密漏洩罪)その他 ・ガイドライン(通則編、外国にある第三者への提供編、 第三者提供時の確認・記録義務編、匿名加工情報編) |
第2章1、第2章18 | ||
| 第2章6 | ||||
| 第2章7 | ||||
| 第2章8 | ||||
| 第2章8 | ||||
| 第2章8、第2章17 | ||||
| 第2章9 | ||||
| 第2章10 | ||||
| 第2章11 | ||||
| 第2章11 | ||||
| 第2章11 | ||||
| 第2章11 | ||||
| 第2章11、第2章13 | ||||
| 第2章14 | ||||
| 第2章15 | ||||
| 第2章16 | ||||
| 第2章13 | ||||
| 第2章15 | ||||
| 第2章9、第2章12、 第2章17 |
||||
| I. 個 人 情 報 保 護 の 総 論 | マイナンバー 法の理解 (20問) |
●番号法の 背景・概要 |
・番号法のメリット、今後の課題・留意点など ・番号法成立の経緯・背景、番号法の成立と施行 |
第3章1 | |
| 第3章2 | |||||
| ●条文に対する 知識と理解 |
・総則(条文1-6) ・個人番号(条文7-16) ・個人番号カード(条文17-18) ・特定個人情報の取扱いに関する監督等 |
第4章2、第4章3 | |||
| 第3章1、第4章4、 第4章6、第4章7 |
|||||
| 第4章4 | |||||
| 第4章7 | |||||
| 第4章5、第4章6、 第4章7 |
|||||
| 第4章11 | |||||
| 第4章11 | |||||
| 第4章12 | |||||
| 第4章1 | |||||
| Ⅱ、個人情報保護の対策と情報セキュリティ(300点)
個 |
脅威と対策 (15問) |
●脅威と脆弱性 に対する理解 |
・リスク分析 ・脅威への認識 ・脆弱性に対する認識 ・ソーシャルエンジニアリング |
第5章1、第5章2 | |
| 第5章3 | |||||
| 第5章4 | |||||
| 第5章5 | |||||
| 組織的・人的 セキュリティ (15問) |
●組織体制の 整備 |
・プライバシーポリシーの策定 ・責任・管理規定 ・個人情報の特定と分類 ・監査・改善 ・個人情報保護規定のポイント ・個人情報保護文書の体系(ガイドライン) |
第5章1 | ||
| 第6章1 | |||||
| 第6章2 | |||||
| 第6章2 | |||||
| 第6章3 | |||||
| 第6章4 | |||||
| ●人的管理の 実務知識 |
・従業員との契約 ・機密保持に関する契約・誓約 ・派遣社員・契約社員の受け入れのポイント ・外部委託業者の管理(委託契約) ・違反・事故・苦情への対応 ・報告書の作成と被害届け |
第7章1 | |||
| 第7章1 | |||||
| 第7章3 | |||||
| 第7章4 | |||||
| 第7章5 | |||||
| 第7章5 | |||||
| 情報システム セキュリティ (15問) |
●技術的管理の 実務知識 |
・ユーザIDとパスワードの管理 ・アクセス制限とアクセス制御 ・暗号化と認証システム ・不正アクセスに対する防御策 ・ネットワーク・ウイルスに対する防御策 ・無線LANのセキュリティ管理 ・情報システムの動作検証における個人データの取 り扱い ・機器・媒体の廃棄 |
第8章1 | ||
| 第8章2 | |||||
| 第8章3、第8章4 | |||||
| 第8章5、第8章7 | |||||
| 第8章6 | |||||
| 第8章8 | |||||
| 第8章9 | |||||
| 第8章10 | |||||
| オフィス セキュリティ (15問) |
●物理的管理の 実務知識 |
・外部からの入退館管理 ・オフィス内の入退館管理 ・オフィス内の施錠管理 ・情報システム設備のガイドライン ・災害対策 |
第9章1 | ||
| 第9章2 | |||||
| 第9章2 | |||||
| 第9章4 | |||||
| 第9章5 |
目次
はじめに
個人情報保護士認定試験一試験概要
個人情報保護士認定試験 受験ガイド
第1章 個人情報保護法の背景と取り組み
1. 個人情報保護法制定の背景と現状
2. 個人情報保護法全面施行後の状況
3. 個人情報保護法の改正
4. 個人情報に関連する規格と制度
●過去問題チェック
第2章 個人情報保護法の理解
1. 個人情報保護法制の構成
2. 基本方針とガイドライン
3. 個人情報保護法の目的と基本理念
4. 個人情報等の定義と分類
●過去問題チェック
5. 個人情報の種類と義務の関係
6. 利用目的の特定と利用目的による制限
7. 適正な取得と利用目的の通知・公表
8. 個人データに対する義務
9. 第三者提供に関する義務
●過去問題チェック
10.保有個人データに対する義務
11. 保有個人データの開示・訂正・利用停止要求への対応と措置
12. 匿名加工情報
●過去問題チェック
13. 実効性担保の仕組み
14. 認定個人情報保護団体
15. 個人情報保護委員会
16. 雑則
17. 事業者に求められる対応
18. 個人情報保護法の関連法規
19. 個人情報保護法の施行状況
20. 個人情報保護法の解釈に関するQ&A
●過去問題チェック
第3章 マイナンバー法の背景と取り組み
1. マイナンバー制度の概要
2. マイナンバー法の背景と取り組み
●過去問題チェック
第4章 マイナンバー法の理解
1. 個人情報保護法制とマイナンバー法の構成
2. マイナンバー法の目的と基本理念
3. 用語の定義
4. 個人番号の指定・通知等、個人番号カード
5. 特定個人情報等の保護措置の趣旨と概要
6. 利用範囲の制限(マイナンバー法9条)
7. 取扱いの制限・規制
8. 委託の規制
9. 安全管理措置
10. 個人情報保護法制の規定の適用
11. その他の制度
12. 罰則
●過去問題チェック
第5章 脅威と対策
1. 個人情報保護の対策
2. リスクマネジメント
3. 脅威への認識
4. 脆弱性への認識
5. ソーシャル・エンジニアリング
●過去問題チェック
第6章 組織体制の整備
1. 個人情報保護体制の整備
2. 個人情報保護の規程文書の策定
3. 個人情報の特定と管理
4. 監査・改善
●過去問題チェック
第7章 人的管理の実務知識
1. 従業者との契約
2. 従業者への教育とモニタリング
3. 派遣社員・契約社員の受け入れ
4. 委託先の管理
5. 苦情・違反・事故への対応
●過去問題チェック
第8章 情報システムセキュリティ
1. ユーザ ID とパスワードの管理
2. アクセス制限とアクセス制御
3. 暗号化
4. 認証システム
5. 電子メールの利用
6. 不正アクセスに対する防御策
7. ウイルスなど不正プログラムに対する防御策
8. 無線 LAN のセキュリティ管理
9. 情報システムの動作検証における個人データの取扱い
10. 機器・媒体の廃棄
●過去問題チェック
第9章 オフィスセキュリティ
1. 入退出管理
2. オフィス内の保護対策
3. オフィス外の保護対策
4. 情報システム設備のガイドライン
5. 災害対策
●過去問題チェック
凡例
個人情報保護法:個人情報の保護に関する法律
マイナンバー法:行政手続における特定の個人を識別するための番号の利用等に関する法律
改正個人情報保護法:個人情報の保護に関する法律及び行政手続における特定の個人を識別するための番号の利用等に関する法律の一部を改正する法律第1条、または第2条による改正後の個人情報の保護に関する法律
経済産業分野のガイドライン:休談に関する法律についての経済産業分野を対象とするガイド
