① 個人情報保護法 総論・用語
39問個人情報保護法の全体構造と基本用語を学ぶ分野です。法律の目的、個人情報・個人データ・保有個人データ・要配慮個人情報・個人識別符号など各用語の定義、個人情報取扱事業者の範囲、官民を通じた一体的な保護体制、2022年改正・2024年改正の主要ポイントを整理。すべての応用問題の前提となる最重要分野です。
第1問個人情報保護法の全体構造に関する記述として、最も適切なものはどれか。第2問政府が策定する「個人情報の保護に関する基本方針」に関する記述として、正しいものはどれか。第3問個人情報保護委員会が策定する「ガイドライン」の位置づけとして、最も適切なものはどれか。第4問令和3年(2021年)改正による「個人情報保護法制の官民一元化」に関する説明として、誤っているものはどれか。第5問平成27年(2015年)改正で導入または設置されたものとして、正しいものはどれか。第6問令和2年(2020年)改正で新設された情報の区分はどれか。第7問プライバシーマーク(Pマーク)制度の審査基準となっている規格はどれか。第8問ISMS(情報セキュリティマネジメントシステム)適合性評価制度の認証基準となっている規格はどれか。第9問プライバシーマーク制度とISMS適合性評価制度の「保護の対象」に関する比較として、最も適切なものはどれか。第10問プライバシーマーク制度とISMS適合性評価制度の「認証取得の単位」に関する比較として、正しいものはどれか。第11問プライバシーマークとISMS適合性評価制度の「有効期間」の組み合わせとして、正しいものはどれか。第12問JIS Q 15001とJIS Q 27001に共通するマネジメントシステムの仕組みとして、最も適切なものはどれか。第13問個人情報保護法の歴史において、いわゆる「個人情報保護関係5法」が成立した時期はいつか。第14問個人情報保護委員会(PPC)の権限に関する記述として、官民一元化(令和3年改正)後の状況として正しいものはどれか。第15問地方公共団体における個人情報保護制度の運用について、令和3年改正により変更された点はどれか。第16問個人情報保護法の「目的」に関する記述として、最も適切なものはどれか。第17問個人情報保護法における「個人情報の有用性」に関する記述として、最も適切なものはどれか。第18問個人情報保護法の「基本理念」に関する記述として、正しいものはどれか。第19問政府が策定する「個人情報の保護に関する基本方針」に関する記述として、適切なものはどれか。第20問個人情報保護法において、「個人情報の有用性への配慮」が具体的に現れている規定の例として、最も適切なものはどれか。第21問「個人情報」の定義(生存する個人に関する情報)に関する記述として、最も適切なものはどれか。第22問「個人識別符号」に該当しないものはどれか。第23問身体的特徴を変換した「個人識別符号(第1号)」に該当するものの組み合わせとして、適切なものはどれか。第24問個人データの「漏えい」の説明として、適切なものはどれか。第25問個人データの「滅失」に該当する事例として、最も適切なものはどれか。第26問「個人情報データベース等」に該当する可能性はあるが、一定の場合に除外として扱われるものとして、最も適切なものはどれか。第27問「個人情報取扱事業者」の定義に関する記述として、誤っているものはどれか。第28問「個人データ」の説明として、最も適切なものはどれか。第29問「保有個人データ」に関する記述として、令和2年改正後の内容として正しいものはどれか。第30問「保有個人データ」の定義における「権限」に関する記述として、最も適切なものはどれか。第31問「容易照合性」の判断基準に関する記述として、最も適切なものはどれか。第32問個人情報取扱事業者に課される義務の「重層的構造」に関する記述として、正しいものはどれか。第33問個人情報保護法の「一般法」部分(民間事業者や行政機関等の義務等を定める部分)の構成に関する記述として、最も適切なものはど...第34問個人情報保護法における「罰則」の適用に関する記述として、最も適切なものはどれか。第35問個人情報データベース等不正提供罪(いわゆる直罰規定)に関する記述として、正しいものはどれか。第36問個人情報保護委員会による「命令」に違反した場合の罰則に関する記述として、正しいものはどれか。第37問法人に対する「重科(罰金の上限引き上げ)」の対象となる違反行為はどれか。第38問個人情報保護委員会による「報告徴収」や「立入検査」に対する対応として、罰則の対象となる行為はどれか。第39問個人情報保護法第4章「個人情報取扱事業者等の義務等」に含まれない規定はどれか。
② 個人情報取扱事業者の義務
44問事業者が遵守すべき義務を学ぶ分野です。利用目的の特定・通知・公表、適正取得、安全管理措置(組織的・人的・物理的・技術的)、従業者・委託先の監督、苦情処理、個人情報保護方針の策定など、企業実務に直結する義務体系を整理。違反時の罰則や行政処分も問われる、配点の大きい中核分野です。
第40問個人情報取扱事業者が個人情報を取り扱うにあたり、利用目的を特定する際の留意点として、最も適切なものはどれか。第41問個人情報の利用目的を変更する場合のルールに関する記述として、最も適切なものはどれか。第42問利用目的の変更において、変更前の利用目的と「関連性を有すると合理的に認められる範囲」に含まれると考えられる事例はどれか。第43問変更前の利用目的と関連性を有すると合理的に認められる範囲を超えて、新たな目的で個人情報を利用しようとする場合の対応として...第44問個人情報の利用目的の特定として、「具体的である」と認められる可能性が最も高い記述はどれか。第45問個人情報取扱事業者が、特定された利用目的の達成に必要な範囲を超えて個人情報を取り扱う(目的外利用)事例として、最も適切な...第46問合併や事業譲渡に伴って他の事業者から事業を承継し、個人情報を取得した場合の取り扱いとして、正しいものはどれか。第47問目的外利用を行うために必要な「本人の同意」の取得方法に関する記述として、最も適切なものはどれか。第48問本人の同意を得ることなく、利用目的の範囲を超えて個人情報を利用できる「法令に基づく場合」の具体例として、適切なものはどれ...第49問「人の生命、身体又は財産の保護のために必要がある場合」として、本人の同意なく目的外利用が認められる可能性が高い事例はどれ...第50問個人情報保護法における「不適正な利用の禁止」に関して、「違法又は不当な行為」の範囲に関する記述として最も適切なものはどれ...第51問不適正な利用の禁止において、違法行為等を「助長し、又は誘発するおそれ」があるかどうかの判断基準(事業者の予見可能性)とし...第52問公知の個人情報(官報に掲載された破産者情報など)の利用に関する記述として、不適正な利用に該当する可能性が最も高いものはど...第53問採用選考活動における個人情報の利用について、不適正な利用に該当する事例として最も適切なものはどれか。第54問第三者からの依頼を受けて業務を行う場合の個人情報の利用について、不適正な利用に該当する可能性が最も高いものはどれか。第55問個人情報の取得における「偽りその他不正の手段」の解釈として、最も適切なものはどれか。第56問個人情報保護法における「取得」に当たる可能性が最も高い行為として、最も適切なものはどれか。第57問特定の相手から個人情報を収集する際、「不正の手段により取得した」と判断される可能性が最も高い事例はどれか。第58問第三者から個人データの提供を受ける場合における「適正な取得」に関する記述として、正しいものはどれか。第59問個人データの取得経緯の確認・記録義務と、適正な取得との関係について、最も適切な記述はどれか。第60問個人情報保護法における「取得に際しての利用目的の通知・公表」の原則的な手続きに関する記述として、最も適切なものはどれか。第61問「直接書面による取得」において求められる「利用目的の明示」に関する記述として、正しいものはどれか。第62問利用目的の通知・公表等が不要となる「取得の状況からみて利用目的が明らかであると認められる場合」に該当する事例として、最も...第63問利用目的を本人に通知し、または公表することにより「当該個人情報取扱事業者の権利又は正当な利益を害するおそれがある場合」と...第64問個人情報を取得する際の利用目的の通知・公表義務の適用関係について、正しい記述はどれか。第65問「個人情報(データベース化されていない散在情報含む)」の段階で適用される義務として、正しいものはどれか。第66問「個人データ(個人情報データベース等を構成するもの)」となった段階で初めて課される義務はどれか。第67問個人情報取扱事業者が、散乱した名刺(データベース化されていない個人情報)を紛失した場合の法的責任に関する記述として、最も...第68問個人データの「正確性の確保」および「不要なデータの消去」に関する記述として、最も適切なものはどれか。第69問個人情報取扱事業者が講ずべき「安全管理措置」の概要として、正しいものはどれか。第70問安全管理措置の一環として行われる「組織的安全管理措置」に該当する事例はどれか。第71問安全管理措置における「人的安全管理措置」に該当するものはどれか。第72問「従業者」に対する監督義務に関する記述として、最も適切なものはどれか。第73問個人データの取扱いを第三者に「委託」する場合の監督義務について、正しい記述はどれか。第74問漏えい等事案が発生した場合に、個人情報保護委員会への報告が義務付けられるケース(報告対象事態)として、正しいものはどれか...第75問個人データの漏えい等が発生した際の「報告期限」に関する記述として、正しいものはどれか。第76問漏えい等事案が発生した場合の「本人への通知」に関する記述として、最も適切なものはどれか。第77問不正アクセス(サイバー攻撃)により、個人データが漏えいした疑いがある場合の対応として、適切なものはどれか。第78問個人情報取扱事業者が、従業員の自宅でのテレワークにおいて個人データを取り扱わせる場合の対応として、適切なものはどれか。第79問個人データの取扱いを委託する場合の「再委託」に関する記述として、正しいものはどれか。第80問「1,000人を超える漏えい」に関する報告義務について、正しい記述はどれか。第81問委託先(受託者)が個人データを漏えいさせた場合の責任関係について、最も適切なものはどれか。第82問ランサムウェア(身代金ウイルス)により個人データが暗号化され、復元できなくなった場合の報告義務について、適切なものはどれ...第83問個人情報取扱事業者の義務の対象について、正しい組み合わせはどれか。
③ 開示・第三者提供・権利対応
78問本人からの請求対応と第三者提供のルールを学ぶ分野です。本人の権利(開示・訂正・利用停止・消去)、対応期限、手数料、第三者提供の原則禁止と例外(同意・委託・事業承継・共同利用)、オプトアウト方式、外国第三者提供の特則などを整理。実務で問題になりやすい論点が多い実務直結分野です。
第84問個人情報保護法における漏えい等報告・本人通知が必要となる事態として、「本人の数が1,000人を超える漏えい等」に関する記...第85問個人データの取扱いを委託する場合の「再委託」に関する記述として、正しいものはどれか。第86問委託先(受託者)が個人データを漏えいさせた場合の責任関係について、最も適切なものはどれか。第87問ランサムウェアにより個人データが暗号化され、復元できなくなった場合の報告義務について、適切なものはどれか。第88問個人データの廃棄・削除(物理的廃棄)における安全管理措置として、不適切なものはどれか。第89問個人情報保護法における「第三者提供の制限」の原則として、最も適切なものはどれか。第90問個人データを第三者に提供した場合に、提供元が行うべき「記録義務」として正しいものはどれか。第91問第三者から個人データの提供を受ける際、受領者が行うべき「確認義務」として正しいものはどれか。第92問個人データの第三者提供における「第三者」の範囲に関する記述として、正しいものはどれか。第93問警察等の捜査機関から、犯罪捜査のために顧客情報の提供を求められた場合(刑事訴訟法に基づく照会)の対応として、最も適切なも...第94問「人の生命、身体又は財産の保護のために必要がある場合」として、本人の同意なく第三者提供が認められる事例はどれか。第95問「公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合」として、本人の同意なく第三者提供が認められる事例と...第96問「オプトアウト(届出制度)」による第三者提供に関する記述として、誤っているものはどれか。第97問個人データの取扱いの「委託」に伴う第三者提供に関する記述として、正しいものはどれか。第98問「事業承継」に伴う個人データの提供に関する記述として、適切なものはどれか。第99問「共同利用」による第三者提供の例外に関する記述として、正しいものはどれか。第100問共同利用を行う際に、あらかじめ本人に通知または公表しなければならない事項に含まれないものはどれか。第101問個人データを外国にある第三者(外国企業等)に提供する場合の原則的なルールとして、正しいものはどれか。第102問外国にある第三者への提供において、本人の同意を得なくてもよい「例外」に該当するケースはどれか。第103問「第三者提供」の概念における「提供」に該当する行為として、最も適切なものはどれか。第104問「確認・記録義務」が免除される(適用されない)ケースとして、適切なものはどれか。第105問第三者に提供できる個人データの条件として、「オプトアウト」手続きをとっている場合に限り提供が認められるものはどれか。第106問共同利用において、当初通知していた「利用目的」を変更しようとする場合の手続きとして、正しいものはどれか。第107問個人情報取扱事業者が、クラウドサービスを利用して個人データを保存する場合(自社のみが利用し、クラウド事業者はデータを取り...第108問外国にある事業者に個人データを提供する場合において、「第三者提供」ではなく「委託」や「共同利用」として整理できる条件につ...第109問「オプトアウト手続き(届出制度)」を利用して第三者提供を行うことができる個人データとして、正しいものはどれか。第110問共同利用における「管理責任者」の定め方に関する記述として、最も適切なものはどれか。第111問外国にある第三者に個人データを提供する場合において、「我が国と同等の水準にあると認められる個人情報の保護に関する制度を有...第112問個人情報取扱事業者が、国内にあるサーバーではなく、外国にある事業者が運営するクラウドサーバーに個人データを保存する場合(...第113問個人データを第三者に提供した際の「記録義務」について、記録を保存しなければならない期間として、原則的な期間はどれか。第114問個人データの取扱いを委託するに伴い、委託先にデータを提供する場合の「確認・記録義務」に関する記述として、正しいものはどれ...第115問オプトアウト手続きを行っている事業者が、本人から「私の情報の第三者提供を停止してほしい」と求められた場合の対応として、正...第116問「第三者」の定義において、同一事業者(法人)内部でのデータ移動に関する記述として、正しいものはどれか。第117問個人データを外国にある第三者に提供する場合、「基準適合体制(適切な措置)」を整備している事業者への提供であれば、本人の同...第118問本人の同意を得て第三者提供を行う場合であっても、提供元が記録を作成しなければならない事項に含まれないものはどれか。第119問個人データの提供を受ける受領者が、提供者の「取得経緯」を確認する際、提供者から「本人から適正に取得した」との申告を受けた...第120問「保有個人データ」の定義に関する記述として、最も適切なものはどれか。第121問保有個人データに関して、事業者が本人の知り得る状態(公表等)に置かなければならない事項に含まれないものはどれか。第122問保有個人データの「開示請求」における開示方法に関する記述として、正しいものはどれか。第123問保有個人データの開示請求があった場合でも、事業者が開示を拒否(不開示)できる正当な理由に該当しないものはどれか。第124問保有個人データの内容が事実でないという理由で「訂正、追加又は削除」の請求を受けた場合の対応として、正しいものはどれか。第125問人事評価情報(人事考課の結果など)の開示および訂正請求に関する記述として、最も適切なものはどれか。第126問保有個人データの「利用停止、消去」を請求できる要件(法違反等)として、改正法で追加・拡充された事由はどれか。第127問「利用する必要がなくなった場合」として、保有個人データの利用停止・消去請求が認められる可能性が高い事例はどれか。第128問保有個人データの開示等の請求手続において、事業者が本人から手数料を徴収することが認められていない請求はどれか。第129問本人から保有個人データの「第三者提供の停止」を請求できるケースとして、適切なものはどれか。第130問開示等の請求を行うことができる者(代理人)の範囲として、正しい記述はどれか。第131問開示請求を受けた事業者が、その保有個人データを開示しない旨の決定(不開示決定)をした場合の対応として、正しいものはどれか...第132問「第三者提供記録」の開示に関する記述として、令和2年改正後の内容として正しいものはどれか。第133問保有個人データの安全管理のために講じた措置の「公表(本人の知り得る状態)」に関して、本人の求めに応じて回答すればよい(必...第134問保有個人データの開示請求において、当該データの存否を明らかにするだけで本人の権利利益を害するおそれがある場合(存否応答拒...第135問保有個人データの訂正等を請求された場合、事業者が訂正等を行うかどうかの判断基準となるものは何か。第136問利用停止等の請求において、事業者が請求に応じる必要がない場合(適用除外)として、適切なものはどれか。第137問保有個人データの取扱いに関する「苦情の処理」について、事業者に求められる対応はどれか。第138問保有個人データの利用目的の通知を求められた場合、通知を拒否できるケースとして、適切なものはどれか。第139問裁判所に対する「開示請求等の訴え」を提起するための要件として、正しいものはどれか。第140問「保有個人データ」の定義における「権限」に関する記述として、最も適切なものはどれか。第141問保有個人データに関して「本人の知り得る状態」に置くべき事項として、必須とされているものはどれか。第142問保有個人データの開示請求において、本人が「電磁的記録(メール添付やダウンロード等)」による提供を求めたが、事業者が対応困...第143問保有個人データの開示請求に対し、対象となるデータが存在しない場合の事業者の対応として、正しいものはどれか。第144問保有個人データの利用停止・消去の請求を受けた場合でも、事業者が請求を拒否できる「正当な理由(法令違反等)」に該当する事例...第145問情報漏えい事故が発生したことを理由に、本人が保有個人データの利用停止を請求できる要件として、正しいものはどれか。第146問保有個人データの利用停止等を行うことが多額の費用を要する場合など「困難な場合」にとるべき対応として、正しいものはどれか。第147問外国にある第三者への不適切な提供(法28条違反)を理由として、本人が「第三者提供の停止」を請求できるか。第148問事業者が保有個人データの訂正、利用停止、第三者提供停止等の措置をとった場合、またはとらない決定をした場合に行わなければな...第149問「保有個人データ」から除外される(開示等の請求を拒否できる)事由に該当しないものはどれか。第150問「保有個人データ」固有の義務(個人データ等の義務に加えて課されるもの)に該当するものはどれか。第151問個人情報取扱事業者の義務規定において、「第三者提供の制限」が適用される情報の区分はどれか。第152問個人情報取扱事業者の義務規定において、「第三者提供の制限」が適用される情報の区分はどれか。第153問情報漏えい事故が発生したことを理由に、本人が保有個人データの利用停止を請求できる要件として、正しいものはどれか。第154問保有個人データの利用停止等を行うことが多額の費用を要する場合など「困難な場合」にとるべき対応として、正しいものはどれか。第155問外国にある第三者への不適切な提供(法28条違反)を理由として、本人が「第三者提供の停止」を請求できるか。第156問開示等の請求を行うことができる「代理人」の範囲として、正しいものはどれか。第157問裁判所に「開示請求等の訴え」を提起するための手続き的要件(前置主義)として、正しい記述はどれか。第158問事業者が保有個人データの訂正、利用停止、第三者提供停止等の措置をとった場合、またはとらない決定をした場合に行わなければな...第159問「保有個人データ」から除外される(開示等の請求を拒否できる)事由に該当しないものはどれか。第160問「保有個人データ」固有の義務(個人データ等の義務に加えて課されるもの)に該当するものはどれか。第161問個人情報取扱事業者の義務規定において、「第三者提供の制限」が適用される情報の区分はどれか。
④ 特殊な個人情報の取扱い
65問要配慮個人情報・仮名加工情報・匿名加工情報など特殊カテゴリの取扱いを学ぶ分野です。要配慮個人情報の範囲(人種・信条・社会的身分・病歴・犯罪歴など)と取得時の同意、匿名加工情報の作成基準・公表義務、仮名加工情報の活用範囲、個人関連情報のCookie規制などを整理。最新改正の重要論点が多い分野です。
第162問「個人関連情報」の定義として、最も適切なものはどれか。第163問個人関連情報の具体例として、最も適切なものはどれか。第164問個人関連情報の第三者提供において、提供元が「確認義務」を負うケースはどのような場合か。第165問個人関連情報を第三者に提供し、提供先がそれを「個人データ」として取得する場合、本人の同意は誰が取得しなければならないか。第166問個人関連情報の提供において、提供元が行わなければならない「確認」の内容として、正しいものはどれか。第167問個人関連情報の提供に際して、提供先(受領者)が提供元に対して負う義務はどれか。第168問個人関連情報を外国にある第三者に提供し、提供先がそれを個人データとして取得する場合の追加的な義務として、適切なものはどれ...第169問提供元が個人関連情報を提供した際の「記録作成・保存義務」に関する記述として、正しいものはどれか。第170問「個人関連情報取扱事業者」とは、どのような事業者を指すか。第171問個人関連情報の提供先が、提供された情報を「個人データとして取得しない」場合(単なる統計分析などに利用する場合)の取り扱い...第172問アフィリエイト広告などの成果報酬型広告において、広告主(提供先)が、媒体社(提供元)からクリックログ等の個人関連情報の提...第173問個人関連情報の提供元が、確認義務を履行するために用いる方法として、認められるものはどれか。第174問個人関連情報の提供において、「法令に基づく場合」に該当する場合の取り扱いとして、正しいものはどれか。第175問提供元が個人関連情報の確認記録を保存しなければならない期間は、原則としてどれくらいか。第176問個人関連情報の取扱いに関して、本人の関与(ガバナンス)を高めるための措置として推奨されることはどれか。第177問「仮名加工情報」の定義および導入の目的として、最も適切なものはどれか。第178問「仮名加工情報」を作成する際に行わなければならない加工の方法として、正しい記述はどれか。第179問仮名加工情報取扱事業者に課される「安全管理措置」に関する記述として、最も適切なものはどれか。第180問仮名加工情報の「利用目的」に関する規律として、正しいものはどれか。第181問仮名加工情報の「第三者提供」に関するルールとして、正しいものはどれか。第182問仮名加工情報を取り扱う際の「禁止事項」に含まれる行為はどれか。第183問仮名加工情報に対する「本人の権利(開示請求等)」の適用について、正しい記述はどれか。第184問仮名加工情報の取扱いにおいて、本人への「連絡」等は認められるか。第185問「匿名加工情報」の定義として、最も適切なものはどれか。第186問匿名加工情報を作成した事業者に課される義務として、正しいものはどれか。第187問匿名加工情報を第三者に提供する場合の義務として、正しいものはどれか。第188問匿名加工情報の取扱いにおける「識別行為の禁止」に関する記述として、正しいものはどれか。第189問「仮名加工情報」と「匿名加工情報」の比較として、正しい記述はどれか。第190問個人データである仮名加工情報が漏えいした場合の対応について、正しいものはどれか。第191問「要配慮個人情報」に該当する事例として、最も適切なものはどれか。第192問「要配慮個人情報」の「病歴」等に関する記述として、該当しない可能性が高いものはどれか。第193問犯罪歴に関する情報の取扱いについて、正しい記述はどれか。第194問要配慮個人情報の取得に関する原則的なルールとして、最も適切なものはどれか。第195問要配慮個人情報の「取得」および「同意」の判断に関する事例として、適切なものはどれか。第196問本人の同意を得ることなく要配慮個人情報を取得できる「例外(法令に基づく場合などを除く)」に該当する事例として、最も適切な...第197問「人の生命、身体又は財産の保護」のために必要がある場合として、本人の同意なく要配慮個人情報の取得が認められる可能性が高い...第198問政令で定める「外形上明らかな」要配慮個人情報の取得の例外に関する記述として、適切なものはどれか。第199問仮名加工情報の作成において求められる「加工の基準」に含まれないものはどれか。第200問匿名加工情報の作成基準において、特異な記述(外れ値など)の取扱いとして適切なものはどれか。第201問事業者が、自社の従業員データを仮名加工情報に加工して、人事評価AIの開発(委託)に利用する場合の手続きとして、適切なもの...第202問匿名加工情報の「受領者」に課される義務はどれか。第203問仮名加工情報を作成する際、元の個人情報に含まれる「仮名ID(会員IDなど)」の取扱いはどうすべきか。第204問匿名加工情報の適正な取扱いを確保するために、認定個人情報保護団体が行う業務に含まれるものはどれか。第205問仮名加工情報取扱事業者が、個人データでない仮名加工情報(散在情報等)を取り扱う場合に適用されない義務はどれか。第206問匿名加工情報の作成を外部に委託する場合、委託元が負う義務はどれか。第207問ある事業者が、ポイントカードの購買履歴を分析したいが、氏名を残したままだと漏えいリスクが怖い。しかし、将来的に会員にポイ...第208問「要配慮個人情報」に該当する事例として、最も適切なものはどれか。第209問「要配慮個人情報」の「病歴」等に関する記述として、該当しない可能性が高いものはどれか。第210問犯罪歴に関する情報の取扱いについて、正しい記述はどれか。第211問要配慮個人情報の取得に関する原則的なルールとして、最も適切なものはどれか。第212問要配慮個人情報の「取得」および「同意」の判断に関する事例として、適切なものはどれか。第213問本人の同意を得ることなく要配慮個人情報を取得できる「例外(法令に基づく場合などを除く)」に該当する事例として、最も適切な...第214問「人の生命、身体又は財産の保護」のために必要がある場合として、本人の同意なく要配慮個人情報の取得が認められる可能性が高い...第215問政令で定める「外形上明らかな」要配慮個人情報の取得の例外に関する記述として、適切なものはどれか。第216問「要配慮個人情報」に該当する事例として、最も適切なものはどれか。第217問「要配慮個人情報」の「病歴」等に関する記述として、該当しない可能性が高いものはどれか。第218問「仮名加工情報」の定義として、適切なものはどれか。第219問「匿名加工情報」に関する記述として、正しいものはどれか。第220問個人情報保護法における「個人関連情報」の具体例として、最も適切なものはどれか。第221問犯罪歴に関する情報の取扱いについて、正しい記述はどれか。第222問要配慮個人情報の取得に関する原則的なルールとして、最も適切なものはどれか。第223問要配慮個人情報の「取得」および「同意」の判断に関する事例として、適切なものはどれか。第224問本人の同意を得ることなく要配慮個人情報を取得できる「例外(法令に基づく場合などを除く)」に該当する事例として、最も適切な...第225問「人の生命、身体又は財産の保護」のために必要がある場合として、本人の同意なく要配慮個人情報の取得が認められる可能性が高い...第226問政令で定める「外形上明らかな」要配慮個人情報の取得の例外に関する記述として、適切なものはどれか。
⑤ マイナンバー法
32問マイナンバー(個人番号)に関する法律を学ぶ分野です。番号利用法の目的、特定個人情報の定義、利用範囲の制限(社会保障・税・災害対策の3分野)、収集・保管・廃棄のルール、安全管理措置、本人確認の方法、罰則の重さなどを整理。個人情報保護法とは別の独自ルールが多く、混同しやすい注意分野です。
第227問「個人番号(マイナンバー)」および「特定個人情報」の定義に関する記述として、最も適切なものはどれか。第228問番号法(マイナンバー法)と個人情報保護法との関係について、正しい記述はどれか。第229問個人番号(マイナンバー)の「利用範囲」に関する記述として、正しいものはどれか。第230問個人番号の「提供の制限」に関する記述として、最も適切なものはどれか。第231問従業員等から個人番号を取得する際の「本人確認」に関する記述として、正しいものはどれか。第232問「個人番号カード(マイナンバーカード)」と「通知カード」の違いに関する記述として、正しいものはどれか。第233問民間事業者が個人番号を取り扱うことができる「個人番号関係事務」に該当しないものはどれか。第234問特定個人情報の取扱いを外部に「委託」する場合のルールとして、正しいものはどれか。第235問「法人番号」に関する記述として、正しいものはどれか。第236問特定個人情報の「保管」および「廃棄」に関する記述として、最も適切なものはどれか。第237問特定個人情報の「収集(取得)」の制限に関する記述として、正しいものはどれか。第238問従業員からマイナンバーの提供を拒否された場合の対応として、最も適切なものはどれか。第239問特定個人情報の「安全管理措置」について、中小規模事業者への特例措置として正しい記述はどれか。第240問特定個人情報の漏えい等が発生した場合の対応として、正しいものはどれか。第241問「特定個人情報保護評価(PIA)」に関する記述として、正しいものはどれか。第242問特定個人情報を取り扱う担当者(事務取扱担当者)の明確化に関する記述として、最も適切なものはどれか。第243問特定個人情報を含むデータの「持ち出し」に関する記述として、適切なものはどれか。第244問番号法違反に対する「罰則」の特徴として、正しいものはどれか。第245問特定個人情報の取扱い区域の管理(物理的安全管理措置)として、適切なものはどれか。第246問不動産の使用料等の支払調書作成事務のために、大家さん(個人)からマイナンバーを取得する場合の記述として、正しいものはどれ...第247問「特定個人情報」の定義として、最も適切なものはどれか。第248問特定個人情報の「利用目的の特定」に関する記述として、個人情報保護法と比較して正しいものはどれか。第249問特定個人情報の取扱いを「再委託」する場合の要件として、正しいものはどれか。第250問特定個人情報の「提供制限」の例外(提供してもよい場合)に該当しないものはどれか。第251問従業員からマイナンバーの提供を受ける時期として、最も適切なものはどれか。第252問特定個人情報の「物理的安全管理措置」として、求められている措置の例はどれか。第253問特定個人情報の「技術的安全管理措置」として、適切なものはどれか。第254問番号法違反に対する「罰則」について、個人情報保護法よりも重い規定が設けられている行為はどれか。第255問「通知カード」の取扱いに関する記述として、正しいものはどれか。第256問特定個人情報の「廃棄・削除」を委託先に依頼した場合、委託元が確認すべき事項はどれか。第257問個人番号利用事務実施者(行政機関等)が行う「特定個人情報保護評価(PIA)」の目的として、正しいものはどれか。第258問事業者が従業員等のマイナンバーを取得する際、利用目的の通知・公表に加えて必要な措置はどれか。
⑥ 情報セキュリティと実務対策
195問情報セキュリティの実務対策を学ぶ分野です。ISO27001(ISMS)、CIA(機密性・完全性・可用性)、リスクマネジメント、暗号化、アクセス制御、ログ管理、インシデント対応(漏えい時の報告義務・本人通知)、テレワーク時のセキュリティ、クラウド利用時の留意点などを整理。技術的な対策と組織運用の両面が問われる分野です。
第259問PCやサーバー内のファイルを勝手に暗号化して利用不能にし、復号するための対価(身代金)を要求するマルウェアはどれか。第260問特定の組織や個人をターゲットにし、業務連絡などを装った巧妙なメールを送りつけ、添付ファイルを開かせたりリンクをクリックさ...第261問Webアプリケーションの入力フォームなどに、データベースを操作する不正な命令文(SQL)を入力し、データの漏えい、改ざん...第262問Webサイトの掲示板などに悪意のあるスクリプト(プログラム)を埋め込み、そのサイトを閲覧したユーザーのブラウザ上でスクリ...第263問他人のIDやパスワードを不正に入手するため、考えられるすべてのパターンを総当たりで試行する攻撃手法はどれか。第264問別のサービスから流出したIDとパスワードのリストを入手し、それを使って特定のWebサイトへの不正ログインを試みる攻撃手法...第265問人間の心理的な隙や行動のミスにつけ込み、パスワード等の重要情報を入手する手法(肩越しに盗み見る、ゴミ箱をあさる等)を総称...第266問サーバーに大量のアクセスやデータを送りつけ、過剰な負荷をかけることでサービスの提供を不能にする攻撃はどれか。第267問「ゼロデイ攻撃」の説明として、最も適切なものはどれか。第268問暗号化技術において、送信者が「受信者の公開鍵」を使って暗号化し、受信者が「自分の秘密鍵」を使って復号する方式はどれか。第269問「デジタル署名」を利用することで確認できる事項の組み合わせとして、正しいものはどれか。第270問認証の3要素(知識、所有、生体)のうち、2つ以上を組み合わせて本人確認を行う方式はどれか。第271問「WAF(Web Application Firewall)」の役割として、最も適切なものはどれか。第272問社外から社内ネットワークへ安全に接続するために、インターネット上に仮想的な専用線を構築し、通信を暗号化する技術はどれか。第273問PCやサーバー等の端末(エンドポイント)において、マルウェアの侵入を防ぐだけでなく、侵入後の挙動を検知し、迅速な対応(隔...第274問「クリアデスク・クリアスクリーン」の説明として、最も適切なものはどれか。第275問会社の許可を得ていない私物のPCやスマートフォン、クラウドサービス等を、従業員が無断で業務に使用することを何というか。第276問データの完全性を確認するために用いられる、元データから一定の長さの文字列(ハッシュ値)を生成する関数はどれか。第277問「ISMS(情報セキュリティマネジメントシステム)」において維持すべき「情報セキュリティの3要素(CIA)」に含まれない...第278問HDDやUSBメモリ等の電子媒体を廃棄する際の措置として、最も確実にデータを消去する方法はどれか。第279問電子メールの送信ドメイン認証技術の一つで、メール送信元のIPアドレスをDNSサーバーのレコードと照合することで、なりすま...第280問電子メールのセキュリティ対策において、メール本文と添付ファイルを暗号化し、かつ電子署名を付与することで「盗聴」と「改ざん...第281問Webサーバーなどの公開サーバーを、インターネットと内部ネットワーク(LAN)の両方から隔離された領域に設置し、不正侵入...第282問無線LANのセキュリティにおいて、あらかじめ登録された端末(MACアドレス等)や、ユーザーごとのID・パスワード(IEE...第283問パスワードをハッシュ化して保存する際に、同じパスワードでも異なるハッシュ値になるように、ランダムな文字列(ソルト)を付加...第284問通信経路上に割り込み、当事者になりすましてデータを盗聴したり、改ざんして送信したりする攻撃手法はどれか。第285問Webサイトの利用者がログインした後に発行される「セッションID(Cookie等)」を攻撃者が盗み出し、その利用者になり...第286問攻撃者が多数のPCやIoT機器をマルウェアに感染させて遠隔操作可能な状態(ボット)にし、それらを一斉に操って大規模なサイ...第287問標的型攻撃の段階の一つで、組織内部のPCに侵入した後、同一ネットワーク内の他のサーバーやPCに侵入範囲を広げていく行為を...第288問セキュリティ対策が強固な大企業を直接攻撃するのではなく、セキュリティが手薄な子会社、取引先、または利用しているソフトウェ...第289問「BEC (Business Email Compromise:ビジネスメール詐欺)」の手口として、最も適切なものはどれ...第290問テレワーク環境におけるVPN利用のリスクとして、従業員がVPNを経由せずに直接インターネットに接続する設定(スプリットト...第291問日本国内で慣習的に行われてきた、メールでパスワード付きZIPファイルを送り、別メールでパスワードを送る方式(いわゆるPP...第292問組織内でセキュリティインシデント(事故)が発生した際に、通報の受付、影響範囲の調査、対応手順の指示、復旧支援などを専門に...第293問入退室管理における「共連れ(テールゲーティング)」の説明として、適切なものはどれか。第294問可用性を高めるための技術で、複数のハードディスクを組み合わせ、同じデータを同時に書き込む(ミラーリング)ことで、片方が故...第295問Webサイトへの攻撃手法の一つで、入力欄に「../(ドットドットスラッシュ)」などの特殊な文字列を入力し、本来アクセス権...第296問「トロイの木馬」と呼ばれるマルウェアの特徴として、適切なものはどれか。第297問アクセス制御の原則の一つで、業務を遂行するために「必要最小限の権限」のみを付与し、不要な権限を与えないという考え方を何と...第298問セキュリティ対策において、システムやネットワークの利用状況、エラー、アクセス記録などを時系列に記録した「ログ」を取得・保...第299問Webサイトを閲覧しただけで、ユーザーが何も操作(クリックやダウンロード)をしていないにもかかわらず、裏で自動的にマルウ...第300問ユーザーが正しいURL(ドメイン名)を入力したにもかかわらず、DNSサーバーのキャッシュ情報を書き換えることで、偽のWe...第301問キーボードからの入力内容を密かに記録し、外部に送信する機能を持つマルウェア(スパイウェアの一種)はどれか。第302問「ワーム」と呼ばれるマルウェアの特徴として、最も適切なものはどれか。第303問システムへの侵入に成功した後、ログの消去やプロセスの隠蔽などを行い、自分の存在や侵入の痕跡を隠すために攻撃者が使用するツ...第304問特定の組織や企業をターゲットにし、長期間にわたって執拗に潜伏・調査を行い、機密情報を盗み出す高度なサイバー攻撃手法はどれ...第305問ネットワーク上の通信を監視し、不正な侵入や攻撃を検知するだけでなく、通信の遮断などの防御措置を自動的に行うシステムはどれ...第306問ファイアウォール、アンチウイルス、IPS(侵入防御)、Webフィルタリングなどの複数のセキュリティ機能を一つの機器に統合...第307問社内ネットワークからインターネットへアクセスする際に中継役となり、アクセスログの取得、キャッシュによる高速化、URLフィ...第308問「共通鍵暗号方式」の特徴として、正しいものはどれか。第309問インターネット上の暗号化通信(SSL/TLS)で用いられている「ハイブリッド暗号方式」の仕組みとして、正しいものはどれか...第310問「認証局 (CA:Certificate Authority)」の役割として、最も適切なものはどれか。第311問生体認証(バイオメトリクス)の精度を示す指標において、「セキュリティ上のリスク(他人の不正利用)」に直結するのはどちらか...第312問スマートフォンやタブレット等のモバイル端末を業務利用する際に、紛失・盗難時の「リモートワイプ(遠隔消去)」や「リモートロ...第313問従来の「社内ネットワークは安全である」という境界型防御の概念を捨て、「すべての通信(アクセス)を信頼せず、常に検証する」...第314問OSやソフトウェアにセキュリティ上の欠陥(脆弱性)が見つかった場合に、開発ベンダーから提供される修正プログラムを適用する...第315問パスワードクラックの手法の一つで、辞書に載っている単語や、よく使われる人名、地名などを組み合わせて試行する攻撃はどれか。第316問「ソーシャルエンジニアリング」の一種で、オフィスのゴミ箱に捨てられた書類や記憶媒体をあさり、機密情報を入手する行為を何と...第317問「ソーシャルエンジニアリング」の一種で、パスワードを入力している人の背後から、キー操作や画面を盗み見る行為を何というか。第318問クラウドサービスにおける「責任共有モデル」に関する記述として、適切なものはどれか。第319問近年のランサムウェア攻撃において見られる「二重脅迫(ダブルエクストーション)」の手口として、最も適切なものはどれか。第320問標的型攻撃の手法の一つで、ターゲットとなる組織のメンバーがよく利用するWebサイトを改ざんしてマルウェアを仕込み、アクセ...第321問SMS(ショートメッセージサービス)を悪用し、宅配便の不在通知や大手通販サイト等を装って、フィッシングサイトへ誘導したり...第322問プログラムが確保しているメモリ領域(バッファ)の大きさを超えるデータを入力することで、メモリ上のデータを溢れさせ、予期し...第323問攻撃者が攻撃対象のサーバーやネットワークに対して、外部から通信ポートへのアクセスを順次試み、稼働しているサービスやOSの...第324問入退室管理システムにおける「アンチパスバック」機能の説明として、適切なものはどれか。第325問Webサイトの通信暗号化(HTTPS)に使用されるプロトコルにおいて、脆弱性が見つかったため現在使用すべきではない(無効...第326問複数のWebサービスやアプリケーションを利用する際に、一度のユーザー認証(ログイン)だけで、連携するすべてのサービスを利...第327問従業員が利用しているクラウドサービス(SaaS等)の利用状況を可視化・制御し、セキュリティポリシーを適用するためのソリュ...第328問セキュリティインシデント(事故)が発生した際の初動対応において、被害の拡大防止や復旧の優先順位を決定するために、事案の重...第329問システムやデータベースの「操作ログ(アクセスログ)」自体のセキュリティ対策として、最も重要な要件はどれか。第330問無線LANのセキュリティ対策として用いられる「MACアドレスフィルタリング」の脆弱性(限界)として、正しいものはどれか。第331問生体認証(バイオメトリクス)において、筆跡の速度や筆圧、キーボードの打鍵の癖、歩き方(歩容)などの「行動的特徴」を利用す...第332問不審なファイルやマルウェアの疑いがあるプログラムを、外部への通信を遮断した隔離された仮想環境内で実際に動作させ、その挙動...第333問セキュリティインシデント発生時に、法的証拠として利用できるように、データの保全(コピー)や解析、原因究明を行う一連の科学...第334問Webサイトにログイン中のユーザーに対して、悪意のあるリンクや罠サイトを踏ませることにより、本人の意図しないリクエスト(...第335問Webアプリケーションの入力データとして、OSに対する命令文(コマンド)を紛れ込ませ、サーバー側で不正に実行させる攻撃手...第336問あえて脆弱性を持たせた(あるいは脆弱に見せかけた)サーバーやシステムをネットワーク上に設置し、攻撃者を誘い込んで、その攻...第337問公開鍵基盤(PKI)において、秘密鍵の漏えい等により、有効期限前に無効となったデジタル証明書のリスト(証明書失効リスト)...第338問IoT機器(Webカメラやルーター等)がマルウェア(Mirai等)に感染し、ボットネットの一部として踏み台にされてしまう...第339問個人情報保護法ガイドラインにおける「組織的安全管理措置」に該当するものはどれか。第340問個人データの取扱いに関する「社内規程(内部規程)」の策定において、留意すべき事項として最も適切なものはどれか。第341問個人データの取扱状況の確認手段としての「点検」と「監査」の違いに関する記述として、最も適切なものはどれか。第342問個人データの漏えい等が発生した場合の「報告連絡体制」の整備に関する記述として、正しいものはどれか。第343問従業者に対する「教育・研修(人的安全管理措置)」の実施頻度や対象に関する記述として、最も適切なものはどれか。第344問従業員との間で締結する「秘密保持契約(誓約書)」に関する実務対応として、適切なものはどれか。第345問「内部不正」による情報漏えいを防止するための環境整備として、不正のトライアングル(動機・機会・正当化)に着目した対策とし...第346問個人データの取扱いを外部に委託する場合の「委託先の選定基準」として、最も重視すべき事項はどれか。第347問委託契約書に盛り込むべき事項として、適切でないものはどれか。第348問委託先に対する「定期的な監督(状況把握)」の方法として、適切なものはどれか。第349問「派遣労働者」が派遣先で個人データを取り扱う場合の責任関係について、正しい記述はどれか。第350問従業者が退職する際のセキュリティ対策(組織的・技術的)として、必須となる対応はどれか。第351問個人情報保護マネジメントシステム(PMS)におけるPDCAサイクルの「C(Check)」に該当する活動はどれか。第352問個人データの「台帳管理(個人データ管理台帳の整備)」の目的として、最も適切なものはどれか。第353問情報セキュリティにおける「リスクアセスメント」の手順として、正しい順序はどれか。第354問個人データの取扱いに関する「運用記録」の保存に関する記述として、適切なものはどれか。第355問組織的安全管理措置における「中小規模事業者の特例(手法の例外)」に関する記述として、正しいものはどれか。第356問テレワーク(在宅勤務)を実施する際の組織的安全管理措置として、適切なものはどれか。第357問従業員によるソーシャルメディア(SNS)への不適切な投稿(いわゆるバイトテロ等)による情報漏えいや炎上を防ぐための対策と...第358問「オフィスのレイアウト変更」や「クリアデスクの徹底」は、安全管理措置の4分類のうち、主にどれに関連するか。第359問個人情報保護マネジメントシステム(PMS)において、安全管理措置を適切に機能させるための「代表者(経営者)」の役割として...第360問「内部監査」の実施において、監査の客観性と公正性を担保するために最も重要な要件はどれか。第361問個人データの取扱いを委託している先が「再委託」を行おうとする場合、委託元(当社)がとるべき対応として、正しいものはどれか...第362問委託先が「倒産」したり事業を停止したりした場合の個人データの取扱いについて、委託元がとるべき措置はどれか。第363問「個人データ管理台帳」の更新・見直しに関する運用として、最も適切なものはどれか。第364問従業者が個人情報保護法や社内規程に違反した場合の「懲戒処分」に関する記述として、正しいものはどれか。第365問情報セキュリティインシデント(漏えい等)が発生した後の「再発防止策」の策定において、最も重要な視点はどれか。第366問「派遣社員」から、個人データの取扱いに関する「誓約書(秘密保持誓約書)」を取得する場合、誰が取得するのが適切か。第367問従業員の私物端末(スマートフォン等)を業務に利用させる「BYOD」を導入する場合の組織的対策として、適切なものはどれか。第368問採用選考時における応募者の個人情報の取扱いについて、適切な運用はどれか。第369問個人データの取扱いに関する「運用状況の記録(ログ)」を、定期的に確認(レビュー)することの組織的な意義として、最も適切な...第370問「インシデントレスポンス(事故対応)」において、初動対応の次に重要となる「二次被害の防止」のための措置例はどれか。第371問個人情報保護法に基づく「安全管理措置」の内容を、プライバシーポリシー等で外部に公表する際、留意すべき点はどれか。第372問従業員が業務中に作成したメールやファイル等のデータについて、会社がモニタリング(閲覧・監査)を行う場合の組織的措置として...第373問「クリアデスク・クリアスクリーン」を組織的に徹底させるための施策として、最も効果的なものはどれか。第374問委託先を選定する際に、委託先の「経営状態(財務状況)」を確認することが推奨される理由は何か。第375問「内部通報制度(ヘルプライン)」を整備することが、個人情報の安全管理に寄与する理由として、最も適切なものはどれか。第376問個人データの取扱いに関する「権限(アクセス権)」の設定において、人事異動や退職に伴う「棚卸し(見直し)」が遅れることで生...第377問個人情報保護法における「安全管理措置」と、Pマーク(JIS Q 15001)等の認証基準との関係について、正しい理解はど...第378問テレワーク環境において、従業員の家族が画面を覗き見たり、PCを操作したりすることによる漏えいを防ぐための「組織的」な対策...第379問オフィスセキュリティにおける「ゾーニング(区域管理)」の考え方として、最も適切なものはどれか。第380問サーバールーム等の重要制限エリアにおける物理的対策として、適切でないものはどれか。第381問「クリアデスク・ポリシー」の実践として、離席時(昼休みや会議等)の対応で正しいものはどれか。第382問複合機(プリンター)のセキュリティ対策として、印刷物の放置(取り忘れ)を防ぐための機能はどれか。第383問入退室管理における「共連れ(テールゲーティング)」を防止するための物理的な設備として、最も効果的なものはどれか。第384問ノートパソコンやモニター等のハードウェア盗難防止対策として、適切なものはどれか。第385問外部からの来訪者(ゲスト)を執務エリアに入れる際の対応として、最も適切なものはどれか。第386問シュレッダーによる文書廃棄において、セキュリティレベルが高い(復元が困難な)裁断方式はどれか。第387問機密書類を廃棄するために「溶解処理」を外部業者に委託する場合の注意点として、正しいものはどれか。第388問会議室(ホワイトボード等)における情報セキュリティ対策として、会議終了時に行うべきことはどれか。第389問FAXの誤送信(宛先間違い)を防ぐための対策として、適切でないものはどれか。第390問オフィス内での「覗き見(ショルダーハッキング)」対策として、PCモニターに施すべき物理的対策はどれか。第391問モバイル端末(スマートフォン、ノートPC)を社外に持ち出す際の物理的な盗難・紛失対策として、適切なものはどれか。第392問「音声による情報漏えい」のリスクがあるシチュエーションとして、注意すべき行動はどれか。第393問オフィス等の鍵(物理キー)の管理方法として、適切なものはどれか。第394問USBメモリ等の可搬記録媒体を使用する場合の物理的な管理ルールとして、正しいものはどれか。第395問火災や地震などの災害時における入退室管理システムの挙動(パニックオープン等)とセキュリティのバランスについて、正しい考え...第396問「フリーアドレス(座席自由)」制のオフィスにおけるセキュリティ上の課題と対策として、適切なものはどれか。第397問監視カメラ(防犯カメラ)を設置・運用する際のプライバシー配慮として、正しいものはどれか。第398問複合機(MFP)の記憶装置(HDD/SSD)に残存するデータへの対策として、リース返却時や廃棄時に行うべき措置はどれか。第399問オフィスセキュリティにおける「多層防御(レイヤードセキュリティ)」の物理的適用例として、最も適切なものはどれか。第400問機密書類をリサイクル(溶解処理)するために一時保管する「回収ボックス(機密文書廃棄ボックス)」の管理として、適切なものは...第401問ノートPCやタブレットを社外(カフェやコワーキングスペース等)で使用する場合の物理的セキュリティ対策として、最も注意すべ...第402問「クリアスクリーン(離席時の画面ロック)」を徹底するための、システム設定による強制的な対策はどれか。第403問入退室管理において、ICカード(所有物認証)と比較した場合の「生体認証(バイオメトリクス)」の物理セキュリティ上のメリッ...第404問配送業者や清掃業者などの「定期的な立ち入り業者」に対する物理的セキュリティ対策として、適切なものはどれか。第405問サーバールーム等の床下に配線を通す「フリーアクセスフロア(OAフロア)」におけるセキュリティ上の留意点はどれか。第406問USBポート等の物理ポートに対するセキュリティ対策(物理的封鎖)として、適切なものはどれか。第407問マイナンバー等の特定個人情報を取り扱う「取扱区域」と、それ以外の「一般エリア」を区画する方法として、中小規模事業者等のガ...第408問建物やオフィスの「鍵(シリンダーキー)」の管理において、退職者が出た場合や鍵を紛失した場合に行うべき最も確実な対策はどれ...第409問「無停電電源装置(UPS)」が物理的セキュリティ(可用性・保全性)に寄与する役割として、正しいものはどれか。第410問オフィス内で使用する「LANケーブル」の配線に関するセキュリティ対策として、適切なものはどれか。第411問機密情報を扱う会議室の「音漏れ(盗聴)」対策として、物理的な環境整備で有効なものはどれか。第412問「電子黒板(インタラクティブ・ホワイトボード)」を使用した後、セキュリティ上行うべき処理はどれか。第413問災害対策としての「データバックアップ媒体」の保管場所(物理的安全管理措置)について、最も推奨される方法はどれか。第414問ネットワークの境界に設置され、IPアドレスとポート番号に基づいてパケットの通過可否を判断する、最も基本的なセキュリティ装...第415問Webアプリケーションへの通信内容(HTTP/HTTPS)を検査し、SQLインジェクションやクロスサイトスクリプティング...第416問サーバーやPCの時計(時刻)を正確に合わせるために使用されるプロトコル(NTP)が、セキュリティ上重要である理由はどれか...第417問無線LAN(Wi-Fi)の暗号化方式において、現在推奨されている最も安全な規格の組み合わせはどれか。第418問「DMZ(非武装地帯)」に設置すべきサーバーとして、最も適切なものはどれか。第419問システム管理者等がリモートからサーバーを操作する際に、通信経路を暗号化して安全に接続するために用いられるプロトコルはどれ...第420問Webサイトの常時SSL化(HTTPS化)を行う主な目的として、正しいものはどれか。第421問電子メールの送信ドメイン認証技術の一つで、受信したメールの送信元IPアドレスが、送信元ドメインのDNSに登録されているI...第422問従来型の「パターンマッチング方式」のウイルス対策ソフトでは防ぐことが難しい脅威はどれか。第423問OSやアプリケーションに適用する「セキュリティパッチ(修正プログラム)」の運用において、最も適切なものはどれか。第424問サーバーへの不正侵入を防ぐために、不要なサービスやポートを停止・閉鎖する措置を何というか。第425問データベースに保存されているパスワードが流出した場合に備えて、パスワードをそのまま(平文で)保存せず、ハッシュ化して保存...第426問「SQLインジェクション」を防ぐための根本的な対策として、Webアプリケーション開発時に実装すべきものはどれか。第427問重要データを保管するサーバーにおける「RAID(レイド)」構成のうち、データを2台のディスクに同時に書き込む「ミラーリン...第428問「踏み台(中継点)」として悪用されることを防ぐために、メールサーバー(SMTPサーバー)に設定すべき制限はどれか。第429問クラウドサービス(SaaS等)を利用する際、ID・パスワードだけでなく、別の要素(SMS認証やアプリ認証)を組み合わせる...第430問ソフトウェアに含まれる部品(ライブラリ等)の一覧表を作成し、脆弱性(Log4j問題など)が見つかった際に、自社システムが...第431問ランサムウェア対策として有効な「バックアップ」の運用方法として、正しいものはどれか。第432問社内LANに、許可されていない私物のPCやスマートフォンが勝手に接続されるのを防ぐための仕組みはどれか。第433問WebブラウザとWebサーバー間の通信において、Cookieに「Secure属性」を設定する目的はどれか。第434問無線LANのセキュリティ規格「WPA3」に関する記述として、適切なものはどれか。第435問公衆Wi-Fi(フリーWi-Fi)を利用する際のリスクと対策として、最も適切なものはどれか。第436問電子メールの受信プロトコルにおいて、メールサーバー上にメールを残したまま管理(フォルダ分け等)ができ、複数の端末(PCと...第437問DNSサーバーに対する「キャッシュポイズニング攻撃」を防ぐための技術で、電子署名を用いてDNS応答の正当性を検証する仕組...第438問VPN(仮想プライベートネットワーク)の構築技術のうち、専用のクライアントソフトをインストールする必要がなく、Webブラ...第439問Webアプリケーションのセッション管理において、Cookieに「HttpOnly属性」を設定する主な目的はどれか。第440問サーバーのバックアップ方式のうち、「フルバックアップ」を行った後、直前のバックアップ(フルまたは増分)からの「変更分のみ...第441問サーバーやネットワーク機器の「脆弱性」を評価する共通基準であり、脆弱性の深刻度を0.0〜10.0のスコア(基本値)で数値...第442問アクセス制御方式の一つで、ユーザーの「役職」や「業務内容(役割)」に基づいて権限を割り当てる方式はどれか(例:課長には承...第443問暗号化通信(HTTPS)において、サーバー証明書の有効性を確認するためにWebブラウザが通信するプロトコルで、CRL(失...第444問「デジタルフォレンジック」において、証拠となるデータ(HDD等)を保全する際、原本と全く同じ複製(ディスクイメージ)を作...第445問Webサーバーに対する「DoS攻撃」対策として、同一IPアドレスからの過剰なアクセス(短時間の大量リクエスト)を検知し、...第446問情報システムの「可用性」を高める構成で、2台のサーバーを稼働させ、通常時は両方のサーバーで処理を分担(負荷分散)し、片方...第447問パスワードの「使い回し」によるリスト型攻撃への対策として、Webサービス提供者側が実装すべき機能はどれか。第448問無線LANのセキュリティにおいて、正規のアクセスポイントになりすました「偽のアクセスポイント(ローグAP)」に接続してし...第449問「サンドボックス」機能を持つセキュリティ製品が、暗号化されたZIPファイル内のマルウェアを検知できない場合がある理由はど...第450問クラウドサービスにおける「IaaS (Infrastructure as a Service)」の利用者が、セキュリティ...第451問「共通鍵暗号方式」の代表的なアルゴリズムであり、無線LANのWPA2/WPA3や、ファイル暗号化などで現在広く標準的に利...第452問「ブロックチェーン」技術のセキュリティ上の特徴として、正しいものはどれか。第453問情報システムの運用における「特権ID(管理者権限)」の管理として、最も不適切なものはどれか。