Pマーク取得のための社内テスト

Pマーク更新にともなって、従業員に対して個人情報の保護に関する簡単なテストを来月行う予定です。
前回までは○×形式の問題だったのですが、形式化していることもあり今回から穴埋め式（回答は選択式）で作成したいと思っています。
Pマーク取得の担当に今年度から任命され、どのような問題を作成したらいいかとても困っています。
参考になるサイト等ありましたら教えていただけますでしょうか？
（問題と解答が両方のっているとありがたいのですが。。。）

No.3 回答者： yes_yes_bad 回答日時： 2012/08/30 13:26

特定非営利活動法人日本ネットワークセキュリティ協会（JNSA）のＨＰが参考になると思います。

http://www.jnsa.org/index.html

その中にある「情報セキュリティ理解度チェック」、「理解度セルフチェック」がぴったりでしょう。

・情報セキュリティ理解度チェック
組織の管理者の方が自組織の社員・職員をユーザ登録し、受講させることで、１人ひとりの受講結果を知ることができます。プレミアム機能（有料ですが）を使用すれば組織独自の問題を作成したり、組織で不都合な問題は削除したりできるようです。

・理解度セルフチェック
単純にセキュリティに関する理解度が計れるツールです。２５問で１セットで、１００点をとれば合格証を発行してもらうことが出来ます（有料です）。

今回の教育？には間に合わないかもしれませんが、今後に役立つと思います。

引用については、引用についての項目があるのでそちらをご覧ください。申請すれば例題など基本的には社内使用出来るはずです。

No.2 回答者： isoworld 回答日時： 2012/07/28 11:11

　

　出題の例です。どこを穴埋めするかは考えてください。

　設問：個人情報とは何を指しますか？
　回答：生存する個人に関する情報であって、その情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの。

　設問：個人情報取扱事業者とはどのようなところを指しますか？
　回答：個人情報のデータベース（特定の個人情報をコンピュータで検索できるデータベース、あるいは容易に検索できるシステムで政令で定めたもの）を事業に使う者。ただし、特定の個人の合計数が過去６ヶ月間継続して5,000人を超えない事業者は該当しない。

　設問：保有個人データとは何を指しますか？
　回答：個人情報取扱事業者が開示、追加・削除、訂正、利用停止などの権限を有する個人データ。

　設問：個人情報の対象になりうる人々の例を上げなさい。
　回答：顧客（ユーザ、利用者）のほか、正社員、契約社員、嘱託社員、パート社員、アルバイト社員、取締役、執行役、理事、監査役、監事、派遣社員、物品納入業者、業務委託先（外注先）関係者など。

　設問：機密性とは何ですか？
　回答：認可されていない個人、エンティティまたはプロセスに対して、情報を使用不可または非公開にする特性のこと。

　設問：完全性とは何ですか？
　回答：情報資産の正確さおよび完全さを保護する特性のこと。

　設問：個人情報保護方針に織り込むべき事項は何ですか？
　回答：ａ）事業の内容及び規模を考慮した適切な個人情報の収集、利用及び提供に関すること。
　　　　ｂ）個人情報への不正アクセス、個人情報の紛失、破壊、改ざん及び漏えいなどの予防並びに是正に関すること。
　　　　ｃ）個人情報に関する法令及びその他の規範を遵守すること。
　　　　ｄ）コンプライアンス・プログラムの継続的改善に関すること。

　設問：当社の個人情報保護方針にはどう謳われていますか？
　回答：（会社の個人情報保護方針を参照）

　設問：個人情報の利用の安全性の確保に必要な対策には何がありますか？
　回答：(1)個人情報保護のための体制の一環として、安全管理体制が整備されていること
　　　　(2)入退管理の措置が規定されていること（社員や来訪者の記録、入退制限の措置、全事業所についての規定等）
　　　　(3)盗難等の防止の措置が規定されていること（携帯可能なコンピュータ等の盗難防止、スクリーンセーバーの起動、媒体の施錠保管・廃棄等）
　　　　(4)機器・装置の物理的な保護について規定されていること（盗難、破壊、破損、漏水、火災、停電、地震等）
　　　　(5)アクセス権限の管理について規定されていること（ＩＤ・パスワードの発行・更新・廃棄の管理、アクセス権限等）
　　　　(6)アクセスの記録について規定されていること（アクセスの監視とアクセスログの取得・点検）
　　　　(7)不正ソフトウェア対策について規定していること（ウイルス対策、セキュリティパッチの適用等）
　　　　(8)個人情報の移送・通信時の対策の措置が規定されていること（授受の記録、リモートアクセスにおけるアクセス制限、インターネット・無線ＬＡＮ等における暗号化等）
　　　　(9)安全管理のためリスクを明確にした上で、その予防と発生時の対応措置が定められていること。

この回答へのお礼

迅速な回答ありがとうございます。
助かりました！！
参考にさせていただきます。

お礼日時：2012/07/29 11:15

No.1 回答者： noname#179020 回答日時： 2012/07/28 10:16

まず、暗記問題だけだと、どうしてそのような規定があるかという根本的な知識が欠如すると思います。

最近は、個人情報漏洩事件の事案を見ると外部の第三者から従業員が金銭によって買収されて個人情報を漏洩するということが相次いでいます。

そして、プライバシーマーク取得担当者に任命されたなら、「JISQ15001内部監査員養成コース」を受講することをお勧めいたします。

JISQ15001内部監査員養成コース(コード：PIA)：GLOBAL TECHNO < P（プライバシー）マークセミナー < 研修・セミナー
http://www.gtc.co.jp/semn/isc/pia.html

あとは、各部署毎にリーダーを任命して、そのリーダーには「個人情報保護士」を取得させることをお勧めいたします。

個人情報保護士認定試験－財団法人 全日本情報学習振興協会
http://www.joho-gakushu.or.jp/piip/piip.html

この回答へのお礼

ご意見ありがとうございます。
参考にさせていただきます。

お礼日時：2012/07/29 11:17