「個人情報」のITパスポート過去問一覧

個人情報保護法では，あらかじめ本人の同意を得ていなくても個人データの提供が許される行為を規定している。この行為に該当するものだけを，全て挙げたものはどれか。
a　事故で意識不明の人がもっていた本人の社員証を見て，搬送先の病院が本人の会社に電話してきたので，総務の担当者が本人の自宅電話番号を教えた。
b　新規加入者を勧誘したいと保険会社の従業員に頼まれたので，総務の担当者が新入社員の名前と所属部門のリストを渡した。
c　不正送金等の金融犯罪被害者に関する個人情報を，類似犯罪の防止対策を進める捜査機関からの法令に基づく要請に応じて，総務の担当者が提供した。

情報セキュリティにおける機密性， 完全性及び可用性に関する記述のうち， 完全性が確保されなかった例だけを全て挙げたものはどれか。

a オペレーターが誤ったデータを入力し， 顧客名簿に矛盾が生じた。
b ショッピングサイトがシステム障害で一時的に利用できなかった。
c データベースで管理していた顧客の個人情報が漏えいした。

インターネットにおいてドメイン名とIPアドレスの対応付けを行うサービスを提供しているサーバに保管されている管理情報を書き換えることによって，利用者を偽のサイトへ誘導する攻撃はどれか。

不適切な行為 a ~ c のうち，不正競争防止法で規制されているものだけを全て挙げたものはどれか。
a キャンペーンの応募者の個人情報を，応募者に無断で他の目的のために利用する行為
b 他人の ID とパスワードを不正に入手し，それらを使用してインターネット経由でコンピュータにアクセスする行為
c 不正な利益を得ようとして，他社の商品名や社名に類似したドメイン名を使用する行為

リスクアセスメントを三つのプロセスに分けるとすると，リスクの特定，リスクの評価ともう一つはどれか。

情報セキュリティのリスクマネジメントにおけるリスクへの対応を，リスク共有，リスク回避，リスク保有及びリスク低減の四つに分類するとき，リスク共有の例として，適切なものはどれか。

EUの一般データ保護規則(GDPRに関する記述として，適切なものだけを全て挙げたものはどれか。

a　EU域内に拠点がある事業者が，EU域内に対してデータやサービスを提供している場合は，適用の対象となる。
b　EU域内に拠点がある事業者が，アジアや米国などEU域外に対してデータやサービスを提供している場合は，適用の対象とならない。
c　EU域内に拠点がない事業者が，アジアや米国などEU域外に対してだけデータやサービスを提供している場合は，適用の対象とならない。
d　EU域内に拠点がない事業者が，アジアや米国などからEU域内に対してデータやサービスを提供している場合は，適用の対象とならない。

Web サイトなどに不正なソフトウェアを潜ませておき， PCやスマートフォンなどのWeb ブラウザからこのサイトにアクセスしたとき， 利用者が気付かないうちにWebブラウザなどの脆(ぜい)弱性を突いてマルウェアを送り込む攻撃はどれか。

情報セキュリティにおける機密性，完全性及び可用性と，1~3のインシデントによって損なわれたものとの組合せとして，適切なものはどれか。
①DDoS 攻撃によって， Web サイトがダウンした。
②キーボードの打ち間違いによって，不正確なデータが入力された。
③PC がマルウェアに感染したことによって，個人情報が漏えいした。

通常の検索エンジンでは検索されず匿名性が高いので，サイバー攻撃や違法商品の取引などにも利用されることがあり，アクセスするには特殊なソフトウェアが必要になることもあるインターネット上のコンテンツの総称を何と呼ぶか。

公開することが不適切なWebサイトa～cのうち，不正アクセス禁止法の規制対象に該当するものだけを全て挙げたものはどれか。
a スマートフォンからメールアドレスを不正に詐取するウイルスに感染させるWeb サイト
b 他の公開されているWebサイトと誤認させ，本物のWebサイトで利用するIDとパスワードの入力を求めるWebサイト
c 本人の同意を得ることなく，病歴や身体障害の有無などの個人の健康に関する情報を一般に公開するWebサイト

刑法には，コンピュータや電磁的記録を対象としたIT関連の行為を規制する条項がある。次の不適切な行為のうち，不正指令電磁的記録に関する罪に抵触する可能性があるものはどれか。

経営戦略上，ITの利活用が不可欠な企業の経営者を対象として，サイバー攻撃から企業を守る観点で経営者が認識すべき原則や取り組むべき項目を記載したものはどれか。

受信した電子メールに添付されていた文書ファイルを開いたところ， PCの挙動がおかしくなった。疑われる攻撃として，適切なものはどれか。

攻撃者がコンピュータに不正侵入したとき， 再侵入を容易にするためにプログラムや設定の変更を行うことがある。 この手口を表す用語として，最も適切なものはどれか。

ISMSにおける情報セキュリティ方針に関する記述として， 適切なものはどれか。

A 社の IT 部門では， ヘルプデスクのサービス可用性の向上を図るために， 対応時間を24時間に拡大することを検討している。 ヘルプデスク業務をA社から受託しているB社は，これを実現するためにチャットボットをB社に導入して活用することによって，深夜時間帯は自動応答で対応する旨を提案したところ， A 社は24時間対応が可能であるのでこれに合意した。 この合意に用いる文書として，最も適切なものはどれか。

個人情報保護法で定められた，特に取扱いに配慮が必要となる“要配慮個人情報に該当するものはどれか。

攻撃対象とは別のWebサイトから盗み出すなどによって，不正に取得した大量の認証情報を流用し，標的とする Web サイトに不正に侵入を試みるものはどれか。

暗号資産(仮想通貨)を入手するためのマイニングと呼ばれる作業を，他人のコンピュータを使って気付かれないように行うことを何と呼ぶか。

ISMSクラウドセキュリティ認証に関する記述として，適切なものはどれか。

取得した個人情報の管理に関する行為a～cのうち，個人情報保護法において，本人に通知又は公表が必要となるものだけを全て挙げたものはどれか。
a 個人情報の入力業務の委託先の変更
b 個人情報の利用目的の合理的な範囲での変更
c 利用しなくなった個人情報の削除

ある事業者において，情報資産のライフサイクルに従って実施される情報セキュリティ監査を行うことになった。この対象として，最も適切なものはどれか。

リスク対応を，移転，回避，低減及び保有に分類するとき，次の対応はどれに分類されるか。
[対応]
職場における机上の書類からの情報漏えい対策として，退社時のクリアデスクを導入した。

行政機関の保有する資料について，開示を請求する権利とその手続などについて定めた法律はどれか。

システム開発プロジェクトにおいて，テスト工程で使用するPCの納入が遅れることでテスト工程の終了が遅れるリスクがあり，対応策を決めた。リスク対応を回避，軽減，受容，転嫁の四つに分類するとき，受容に該当する記述として，最も適切な ものはどれか。

ISMSの情報セキュリティリスク対応における，人的資源に関するセキュリティ管理策の記述として，適切でないものはどれか。

脆弱性のあるIoT機器が幾つかの企業に多数設置されていた。その機器の1台にマルウェアが感染し，他の多数のIoT機器にマルウェア感染が拡大した。ある日のある時刻に，マルウェアに感染した多数のIoT機器が特定のWeb サイトへ一斉に大量のアクセスを行い，Webサイトのサービスを停止に追い込んだ。このWebサイトが受けた攻撃はどれか。

A社の IT 部門では，ヘルプデスクの可用性の向上を図るために，対応時間を24時間に拡大することを検討している。ヘルプデスク業務をA社から受託しているB社は，これを実現するためにチャットボットをB社が導入し，活用することによって， 深夜時間帯は自動応答で対応する旨を提案したところ，A社は24時間対応が可能であるのでこれに合意した。合意に用いる文書として，適切なものはどれか。

情報セキュリティのリスクマネジメントにおけるリスク対応を， リスク回避， リスク共有， リスク低減及びリスク保有の四つに分類したとき， リスク共有の説明として，適切なものはどれか。

情報セキュリティのリスクマネジメントにおけるリスク対応を， リスク回避，リスク共有，リスク低減及びリスク保有の四つに分類するとき，情報漏えい発生時の損害に備えてサイバー保険に入ることはどれに分類されるか。

プロバイダが提供したサービスにおいて発生した事例 a ~ c のうち，プロバイダ責任制限法によって，プロバイダの対応責任の対象となり得るものだけを全て挙げたものはどれか。
a 氏名などの個人情報が電子掲示板に掲載されて，個人の権利が侵害された。
b 受信した電子メールの添付ファイルによってマルウェアに感染させられた。
c 無断で利用者 ID とパスワードを使われて， ショッピングサイトにアクセスされた。

犯罪によって得た資金を正当な手段で得たように見せかける行為を防ぐために，金融機関などが実施する取組を表す用語として， 最も適切なものはどれか。