顧客の氏名，住所などが記載された住所録の取扱いａ～ｄのうち，個人情報保護の観点から適切なものだけを全て挙げたものはどれか。ａ顧客から本人の登録内容の確認希望があっても，情報の保護を理由に開示しない。ｂ住所録から全員の氏名と住所を抽出した一覧を作成し，それを顧客全員に配布して誤りがないことを確認してもらう。ｃ住所録のデータを書き込んだCD-ROMを放棄するときには破砕する。ｄ住所録のデータをファイルに保存するときには暗号化する。

平成28年度春期 ITパスポート試験問65 解説個人情報保護の取扱い

この問題は、個人情報保護法および情報セキュリティの基本ルールを問うものです。各選択肢を「個人情報の適切な管理」という観点から、適切か不適切かを判断します。

判断のポイントは以下の通りです。・本人からの開示要求には応じる（aは×）・不特定多数への個人情報提供は漏えいリスクが高く禁止されている（bは×）・廃棄時は復元不可能な措置をとる（cは○）・保存時は万が一の流出に備えて暗号化する（dは○）

これらを踏まえると、正解は「c，d」となります。

選択肢aについてですが、個人情報保護法では、本人から自己の個人情報の開示を求められた場合、原則として速やかに開示する義務があります。「情報の保護」を理由に拒否することは、かえって権利侵害となります。

選択肢bは、非常に危険な行為です。他の顧客の住所や氏名を第三者である別の顧客に配布することは「第三者提供」にあたり、本人の同意なしには行えません。また、セキュリティの観点からも、必要最小限の範囲を超えて個人情報を広める行為は厳禁です。

選択肢cは「廃棄」における鉄則です。CD-ROMやハードディスクなどは、データを削除しただけでは復元ツールで読み取れてしまうことがあります。物理的に破砕したり、専用の消去ソフトで上書きしたりすることで、情報の復元を物理的に不可能にする必要があります。

選択肢dは「保存」における鉄則です。万が一、パソコンの紛失やネットワーク経由の不正アクセスが発生した場合でも、データが暗号化されていれば、中身を解読されるリスクを大幅に減らすことができます。これは機密性を高めるための基本施策です。

この問題の教育的意図は、ITパスポート試験で求められる「情報モラル」と「セキュリティ対策」の基礎を定着させることにあります。

実際の職場では、顧客名簿を扱う機会は非常に多いはずです。例えば、社内研修で「顧客の連絡先をメールで送るときはファイルを暗号化する」「古い顧客リストを捨てる際はシュレッダーにかける（あるいは物理的に破壊する）」といったルールが定められているのは、まさにこの問題の内容を実践しているからです。

個人情報の取り扱いは、単なるルールの暗記ではなく、情報が流出した際の被害の大きさ（社会的信用の失墜、損害賠償責任）を想像することが重要です。試験対策としては、「個人情報は本人のもの」「漏えいさせないための技術と手順」という2つの視点を持って選択肢を見ると、判断のスピードが格段に上がります。