平成17年度情報セキュリティアドミニストレータ午後Ⅱ問題（問2)

SEのための情報セキュリティ対策

情報セキュリティプロフェッショナル試験対策　過去問掲載

平成17年度情報セキュリティアドミニストレータ午後Ⅱ問題（問2)

→詳細な解説を見る

問2　お客様データベースの構築に関する次の記述を読んで，設問1～5に答えよ。
　
　A社は，従業員数が100名ほどの企業で，鉄道沿線を中心に，都市部のベッドタウンで十数店の花屋を営んでいる。各店では，店頭での対面販売のほかに，来店による直接申込み又は常連客からの電話やファックスの申込みによって，贈答品の配送サービスを行っている。
　
　しかし，近ごろでは，いわゆるインターネット店舗や大規模店舗などの参入で，売上の不振に苦慮している。
　
　このような状況下で，2005年10月1日に会社設立10周年を迎えるA社は，近隣の顧客を確保し，売上増加を目指すために，設立記念日の前後1か月間にわたって，設立10周年記念キャンペーン（以下，設立キャンペーンという）を展開することにした。
　
　A社は，お客様の個人情報を必要としない対面販売が主体であったことから，お客様の個人情報を検索できるような体系的なデータベースを構築していなかった。そこで，設立キャンペーンでは，将来A社が実施する各種イベントの案内を送付するため，これまで保有していなかったお客様データベースの構築を目指し，設立記念プレゼントの応募受付を通じて，個人情報を広く収集することにした。
　図1は，2005年5月の時点でA社が想定した，設立キャンペーンの進め方である。
　

図1　設立キャンペーンの進め方

1．	設立記念プレゼントの応募用に，専用の応募はがきを用意する。
2．	応募はがきは，A社各店の店頭で，申込要領を記載したパンフレットと一緒に配布するとともに，各店の近隣の住宅地などを対象に，新聞の折込広告として広く配布する。
3．	設立記念プレゼント応募者は，店頭又は折込広告で応募はがきを入手する。
4．	設立記念プレゼント応募者は，応募はがきに，住所，氏名，年齢，性別，職業，A社の商品に対する印象，希望するプレゼント名を記入し，投かんする。ただし，応募できるのは1人当たり1回とする。

　
　設立キャンペーンの実施に向けて，営業課のB課長と課内のC主任とD君を加えた3名が，広報を担当するチーム（以下，広報チームという）を組むことになった。
　広報チームは，設立キャンペーンの進め方を詳しく検討するために，早速打合せを行った。打合せの内容は，キャッチコピー，設立記念プレゼント，宣伝活動のタイミングなど，多岐にわたったが，中でも設立記念プレゼント応募者の個人情報の取扱いについては，慎重を期すべき事項として，更に検討を重ねた。
　次は，個人情報の取扱いに関する，B課長とC主任の会話である。
　

C主任：	今年の春に，個人情報の保護に関する法律（以下，保護法という）が全面的に施行されました。保護法の施行によって，過去6か月間に一定規模の個人情報を取り扱ったことのある企業などには，［　　a　　］としての義務が課せられることになりました。
B課長：	個人情報を取得したり，利用したりする際には，保護法に定められた義務を履行しなければならないということだな。
C主任：	はい。保護法が全面的に施行されたことに伴い，適正な手続を踏まずに個人情報を取得したり，利用したりすることは禁止されました。当社も保護法で定義されている［　　a　　］に該当するので，この法律を守るための方策を検討する必要があります。
B課長：	なるほど。具体的には，どこから手を付ければよいのだろう。
C主任：	私の学生時代の同級生で，今は大手通信販売事業者のE社で情報セキュリティアドミニストレータの仕事をしているF君に聞いた話ですが，個人情報を取得する場合には，その対象者，例えば，お買い上げいただいたお客様に，何らかの方法であらかじめ伝えなくてはならない事項（以下，通知・公表事項という）があるとのことでした。
B課長：	どのような事項なのか。何を伝えなくてはならないのだろうか。
C主任：	E社の通知・公表事項の策定担当者の一人であったF君によれば，必要な通知・公表事項は，保護法を読めば分かるということでした。既に，E社の通知・公表事項の一部が同社のWebページに掲載されていますので，まずは，それらと保護法の条文を基に，当社の通知・公表事項を検討してみます。
B課長：	よろしく頼む。では，検討が一通り済んだ段階で，もう一度打合せをすることにしよう。
C主任：	はい，分かりました。関連する文献もたくさん出版されていますので，それらも参考にして検討しようと思います。

　
〔A社Web掲載事項の案の策定〕
　C主任は，保護法の条文とE社のWebページに掲載されている通知・公表事項の一部を基にして，A社のWebページに掲載すべき事項（以下，A社Web掲載事項という）の案を，図2のように作成した。
　

図2　A社Web掲載事項の案

個人情報の取扱いについて

2005年8月31日
A社

　当社は，個人情報の保護に関する法律に基づき，次の事項を公表致します。
　

(1)

　取得する個人情報の［　　b　　］について
　当社が取得する個人情報は，次の［　　b　　］の範囲内で利用致します。ただし，法令に基づく場合を除きます。

・	お取引内容の確認と記録のため
・	［　　c　　］（省略）

(2)

　第三者への提供について
　お客様の同意が得られない限り，第三者に個人情報を提供することはありません。

(3)

　共同利用について
　当社では，個人情報を共同利用しません。

(4)

　保有個人データに係る［　　b　　］について
（省略）

(5)

　開示などの求め方と手数料について
（省略）

(6)

　苦情相談の受付窓口について
（省略）

以上

　
　C主任が作成した図2のA社Web掲載事項の案を，広報チームの会議で出席者が1項目ずつ確認しながら，今回の設立キャンペーンで注意すべき事項について検討した。
　その結果，保護法を遵守するためには，図2のA社Web掲載事項に記載する・しないにかかわらず，更に，個人情報を記入してもらう応募はがきにも記載すべき事項のあることが分かった。そこで，B課長は，応募はがきに記載すべき事項の整理をC主任に指示するとともに，図3に示す応募はがきの印刷準備を進めた。
　

〔設立キャンペーンの準備〕
　設立キャンペーンの開始に当たって，B課長は，応募はがき及び記載された個人情報に関する基本的な取扱方法を，図4のように整理した。
　

図4　応募はがき及び記載された個人情報に関する基本的な取扱方法

(1)	応募はがきは，すべてA社の本店で受け付ける。
(2)	受け付けた応募はがきに記載されている個人情報のデータ入力（電子化）業務と，当選者へのプレゼント発送業務は，情報処理会社に委託する。
(3)	受け付けた応募はがきは，受付期間終了後に一括して情報処理会社に送付する。
(4)	A社は，入力した個人情報（以下，個人データという）だけ情報処理会社から受け取ることにし，応募はがきは情報処理会社の責任において廃棄する。
(5)	業務を委託する情報処理会社は，複数の候補の中から，A社の委託先選定基準に基づいて評価し，1社を選定する。
(6)	選定した情報処理会社とは，A社が取得した個人情報の機密保持のために，その取扱いに関して，必要な契約を締結する。

（以下，省略）

　
　B課長は，図4の基本的な取扱方法に従って，委託先の候補を選定するよう，C主任に指示した。C主任は，様々な資料を調査した上で，“個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン”（以下，ガイドラインという）を参考にして，情報処理会社のG社を候補として選定した。
　
　さらに，C主任は，選定した情報処理会社との間で交わす契約書を作成するために，契約書の骨子について検討した。図5は，契約書の骨子のうち，安全管理措置に関連する部分の抜粋である。
　

図5　情報処理会社との契約書の骨子（抜粋）

(1)	委託者（A社）及び受託者（情報処理会社）の責任の明確化
(2)	個人データの漏えい防止，盗用禁止に関する事項
(3)	契約で定めていない加工，利用の禁止
(4)	契約で定めていない複写，複製の禁止
(5)	個人データの取扱状況に関する委託者への報告の内容及び頻度
(6)	契約内容が遵守されていることの確認
(7)	契約内容が遵守されなかった場合の措置
(8)	セキュリティ事故が発生した場合の報告・連絡に関する事項

　
　広報チームでの打合せを経て，図5の情報処理会社との契約書の骨子が承認され，骨子を基に作成した契約書に従って，G社と契約を締結した上で，業務を委託した。
　
〔設立キャンペーンの実施〕
　A社Web掲載事項の公表が済み，A社の設立記念日を1か月後に控えた2005年9月に，設立キャンペーンが開始された。A社各店の店頭や新聞の折込広告で配布した応募はがきは，設立記念プレゼントの内容が充実していたこともあって，順調な出足でA社に返送されてきた。
　2か月間の受付期間を経て，設立記念プレゼントの応募は締め切られたが，その間に受け付けた応募はがきの総数は，優に5,000通を超える盛況振りであった。受付期間が過ぎ，C主任はB課長の指示の下に，設立キャンペーン期間中に受け付けた応募はがきをG社に送付して，データ入力の開始を指示した。
　
〔事故の発生と対応〕
　G社にデータ入力の開始を指示してから数週間がたったある日，A社に“記入済のA社の応募はがきが，住宅地のごみ集積場に捨てられた封筒からはみ出した状態で大量に放置されている”という通報があった。
　A社では，緊急に広報チームを招集し，まず，C主任が応募はがきの発見者を訪ねて状況を詳しく聞き出すとともに，D君が現場のごみ集積場に急行し，応募はがきをできる限り回収するなどして，事実関係の把握と被害の拡大防止に努めた。
　しかし，残念ながら，放置されたすべての応募はがきを回収できたかどうかの確認までには至らなかった。
　また，B課長は，データ入力業務を委託したG社の担当者をA社に呼び，事情の説明を求めた。担当者の説明によって，次のような経緯で事故が発生したことが分かった。

・	G社の繁忙期であり，納期までにデータ入力作業を完了させるのに必要な人員の手配がG社内だけでは間に合わず，仕方なく，以前にデータ入力を依頼したことのある取引先のH社に，データ入力作業を依頼した。
・	H社でも，直ちにデータ入力作業を開始したが，それでも間に合わず，H社の従業員のI氏がデータ入力作業を続行するために，応募はがきを自宅に持ち帰った。
・	I氏がデータを入力している途中段階で，応募はがきの保管に不備があり，I氏の家族がごみと間違えて廃棄してしまった。

　事態の重大性を認識したA社では，広報チームに，更に社長，常務とほかの役員を加えた緊急対応チームを編成し，事態の収拾に当たることにした。応募はがきに記載されている個人情報が漏えいした可能性のある範囲を特定するため，緊急対応チームが調査したところ，I氏以外にH社から応募はがきを持ち出した従業員はいなかった。また，I氏が持ち出した以外の残りの応募はがきはすべて，G社又はH社内で厳重に保管されているか，確実に廃棄され，廃棄記録も残されていた。
　今回の事故に関する影響範囲の調査が一通り終了し，併せて直接的な原因も判明したことから，A社では，対外的な情報提供として，所管官庁への報告のほか，マスコミ，Web及び店頭での掲示などを通じて，迅速に一般に公表した。さらに，委託先における同種の事故の発生を防止するために，必要な安全管理措置を実施した。
　

　
設問1　本文中の［　　a　　］，［　　b　　］に入れる適切な字句を，それぞれ10字以内で答えよ。また，［　　c　　］については，本文中に記述したA社の業務内容を踏まえ，本人以外から個人情報を間接的に取得する場合に該当する事項を，10字以内で答えよ。
　

　
設問2　図3中の［　　ア　　］に入れる適切な文章を，30字以内で述べよ。
　

　
設問3　G社が個人データをA社に納品する際に配慮すべき安全管理措置を，特に情報の漏えい防止の観点から，30字以内で具体的に述べよ。
　

　
設問4　今回の事故の経緯とガイドラインの趣旨を踏まえ，委託先との契約書に明記することが望ましい対応策を二つ挙げ，それぞれ30字以内で述べよ。
　

　
設問5　対外的な情報提供について，(1)，(2)に答えよ。
　

(1)

　応募はがきに記載された個人情報が漏えいした可能性があり，その事実を直接伝えることができるのは，どのような応募者に対してか。想定される応募者の範囲を二つ挙げ，それぞれ30字以内で述べよ。さらに，その応募者の範囲に対応して想定される漏えいの経緯を，それぞれ30字以内で述べよ。

(2)

　(1)の“想定される応募者”への情報提供や所管官庁への報告以外に，一般への公表を併せて実施することは，被害の拡大を防止する観点からも重要である。一般への公表を併せて実施しないと，どのような応募者に，どのような不都合が生じる可能性があるか。60字以内で具体的に述べよ。

　

→詳細な解説を見る

【午前】情報セキュリティアドミニストレータ
【午後】情報セキュリティアドミニストレータ

【午前】テクニカルエンジニア情報セキュリティ
【午後】テクニカルエンジニア情報セキュリティ

【午前】情報セキュリティプロフェッショナル
【午後】情報セキュリティプロフェッショナル

スポンサードリンク

スポンサードリンク

スポンサードリンク

免責事項　／　サイトマップ　／　リンク　／　　問い合わせ

平成17年度情報セキュリティアドミニストレータ午後Ⅱ問題 （問2)