平成24年度 秋期 ITパスポート試験 問98 解説 個人情報保護とWeb

この問題は、個人情報保護の各規程と、実際のWebサイト開発における「仕組み（技術的・運用的対策）」を正しく結びつける問題です。

正解を見つけるコツは、規程の「誰が」「何を」するのかという主語と目的語を、システム上の機能や運用ルールと照らし合わせることです。第3項にある「従業者に対する監督」とは、システム管理者などが勝手に個人情報を持ち出したり不正に閲覧したりすることを防ぐ「権限管理」や「ログ取得」の仕組みを指します。

個人情報保護のルールと技術的対策の対応関係

この問題で問われている「個人情報の適正管理に関する規程」は、個人情報保護法に基づいた組織が定めるべき安全管理措置を具体化したものです。

第1項から第4項は、それぞれ以下のような考え方に基づいています。

第1項：データの正確性確保。入力ミスを防ぐチェック機能や、ユーザーが後から登録内容を修正できるマイページ機能などが該当します。 第2項：データ自体の安全保護。通信の暗号化（SSL/TLS）や、データベースへのアクセス制限など、情報漏えいを防ぐ技術的な対策が中心となります。 第3項：内部スタッフの管理。システムを操作する従業者が不適切なアクセスをしないよう、誰がいつ閲覧したかを記録する操作ログの取得や、役職に応じたアクセス権限の制限が該当します。 第4項：外部業者の管理。クラウドサーバーを借りる場合や、システムの保守を外部委託する場合に、委託先が適切なセキュリティ基準を満たしているかを確認・契約するプロセスを指します。

思考のプロセス

問題文で正解とされているウの選択肢を例に考えてみましょう。

第3項には「従業者に対する必要かつ適切な監督」とあります。これは、組織内部の人間が不正を行わないよう、またミスを犯さないように制御することを意味します。システム上の仕組み（③に該当するもの）として、「システム操作ログの取得と定期的な確認」という機能があった場合、これがまさに「監督」の証拠となります。もし誰かが不適切な操作を行っても、ログによって後から追跡できるため、従業者は緊張感を持って適切に業務を行うようになります。

他の選択肢も同様に、キーワード同士を紐付けていきます。 ・第1項：最新の内容に保つ → ユーザーによる修正機能 ・第2項：漏えい防止 → 通信暗号化やDBの暗号化 ・第4項：委託先の監督 → セキュリティ要件の契約書への明記や定期的な監査

このように「規程の目的」を「現場の具体的な作業やシステム動作」に翻訳する力が試されています。

なぜこの知識が重要なのか

ITパスポート試験でこのテーマが頻出する背景には、近年の情報漏えい事件の多くが「外部からの攻撃」だけでなく、「内部の人間による持ち出し」や「管理不十分な委託先からの流出」によって発生しているという現実があります。

実務においては、単に「気をつけましょう」というだけでは管理として認められません。技術的にログを残す、ルールとして契約を結ぶ、仕組みとして権限を制限するといった「目に見える対策」を講じていることが、個人情報保護法においては極めて重要視されます。エンジニアやシステム企画者を目指す受験生にとって、こうした「規程とシステムの橋渡し」ができることは、信頼されるIT人材であるための基本スキルと言えるでしょう。

参考リンク

• 個人情報の保護に関する法律（個人情報保護法）について（個人情報保護委員会）
• 【初心者向け】ITパスポートで学ぶ「個人情報保護法」の重要ポイント（Qiita）
• 【実務解説】システム開発における「個人情報の安全管理措置」をどう実装するか（Zenn）