マイナンバー制度を理解し、正しく対応するための

「マイナンバー検定」

マイナンバー保護士認定試験

Chief Mynumber Officer

サンプル問題

サンプル問題で「マイナンバー保護士」の重要性を学んで下さい

マイナンバー保護士認定試験では、「マイナンバー法の理解」「マイナンバー制度の実務」「マイナンバーの安全管理措置」について出題されます。

本ページでは、各分野から5問ずつ掲載しています。資料請求を頂きますと、追加の問題を送付させていただきますので、サンプル問題をご希望の方は下記ボタンより無料の資料請求をお願いします。


追加無料サンプル問題・資料請求 >>

【課題1】

問題1.
個人番号の利用目的等に関する以下のアからエまでの記述のうち、誤っているものを1つ選びなさい。
ア.個人番号の利用目的の特定は、必ずしも個人番号の提供元ごとに特定する必要はなく、例えば、「源泉徴収票作成事務」、「健康保険・厚生年金保険届出事務」のように特定することで足りる。
イ.個人番号の利用目的の特定の程度としては、利用目的を単に抽象的、一般的に特定するのではなく、個人情報と同様に、本人が、自らの個人番号がどのような目的で利用されるのかを一般的かつ合理的に予想できる程度に具体的に特定することが望ましいとされている。
ウ.事業者と従業員等の間で個人番号の利用が予想される事務であれば、あらかじめ複数の事務を利用目的として特定して、本人への通知等を行うことができ、従業員等ごとに利用目的を特定し、通知等する必要はなく、事業者の利用目的を特定し、まとめて通知等することができる。
エ.事業者は、従業員等から個人番号の提供を受けるに当たって、この個人番号の利用目的を本人へ通知等しなければならないが、その方法としては、社内LANにおける通知や就業規則への明記の方法が考えられるが、自社のホームページ等への掲載による方法は、情報漏えいの可能性があることから、認められていない。

解答:エ

ア.正しい。個人番号の利用目的の特定は、個人情報保護法15条1項に基づいて行うこととなり、個人番号の提供元ごとに特定する必要はない。例えば、「源泉徴収票作成事務」、「健康保険・厚生年金保険届出事務」のように特定することで足りる。従って、本記述は正しい。
イ.正しい。個人情報取扱事業者は、個人番号の利用目的をできる限り特定しなければならない(個人情報保護法15条1項)が、その特定の程度としては、利用目的を単に抽象的、一般的に特定するのではなく、個人情報と同様に、本人が、自らの個人番号がどのような目的で利用されるのかを一般的かつ合理的に予想できる程度に具体的に特定することが望ましいとされている。従って、本記述は正しい。
ウ.正しい。個人情報取扱事業者は、個人番号の利用目的をできる限り特定しなければならない(個人情報保護法15条1項)が、事業者と従業員等の間で個人番号の利用が予想される事務であれば、あらかじめ複数の事務を利用目的として特定して、本人への通知等を行うことができるとされている。そして、従業員等ごとに利用目的を特定し、通知等する必要はなく、事業者の利用目的を特定し、まとめて通知等することができるとされている。従って、本記述は正しい。
エ.誤 り。個人情報取扱事業者は、個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を、本人に通知し、又は公表しなければならない(個人情報保護法18条1項)。事業者は、従業員等から個人番号の提供を受けるに当たって、この個人番号の利用目的を本人へ通知等しなければならないが、その方法としては、従来から行っている個人情報の取得の際と同様に、社内LANにおける通知、利用目的を記載した書類の提示、就業規則への明記、自社のホームページ等への掲載等の方法が考えられる。従って、本記述は誤っている。

問題2.
個人番号の利用制限に関する以下のアからエまでの記述のうち、誤っているものを1つ選びなさい。
ア.個人番号関係事務実施者が個人番号関係事務を処理する目的で、特定個人情報ファイルに登録済の個人番号を照会機能で呼び出しプリントアウトすることは、個人番号関係事務の範囲内での利用といえる。
イ.支払金額が所管法令の定める一定の金額に満たず、税務署長に提出することを要しないとされている支払調書において、支払調書作成事務のために提供を受けている個人番号を税務署長に提出することは、個人番号関係事務の範囲外での利用といえる。
ウ.雇用契約に基づく給与所得の源泉徴収票作成事務のために提供を受けた個人番号を、雇用する従業員の福利厚生の一環として財産形成住宅貯蓄や財産形成年金貯蓄、職場積立NISAに関する事務のために利用することは、個人番号関係事務の範囲外での利用といえる。
エ.個人番号関係事務実施者が個人番号関係事務を処理する目的で収集した個人番号を特定個人情報ファイルへ登録し、顧客の住所等を調べる等で照会した端末の画面に特定個人情報ファイルに登録済の情報が表示されている場合において、これをプリントアウトすることは、個人番号関係事務の範囲外での利用といえる。

解答:イ

本問は、個人番号の利用制限(9条)に関する理解を問うものである。

ア.正しい。個人番号関係事務実施者が個人番号関係事務を処理する目的で、特定個人情報ファイルに登録済の個人番号を照会機能で呼び出しプリントアウトすることは、個人番号関係事務の範囲内での利用といえる。従って、本記述は正しい。
イ.誤 り。支払金額が所管法令の定める一定の金額に満たず、税務署長に提出することを要しないとされている支払調書についても、提出することまで禁止されておらず、支払調書であることに変わりはないと考えられることから、支払調書作成事務のために個人番号の提供を受けている場合には、それを税務署長に提出する場合であっても利用目的の範囲内として個人番号を利用することができる。従って、本記述は誤っている。
ウ.正しい。雇用契約に基づく給与所得の源泉徴収票作成事務のために提供を受けた個人番号を、雇用する従業員の福利厚生の一環として財産形成住宅貯蓄や財産形成年金貯蓄、職場積立NISAに関する事務のために利用する場合には、利用目的を変更して、本人に通知又は公表を行うことで、当該事務に個人番号を利用することができる。よって、個人番号関係事務の範囲外での利用といえる。従って、本記述は正しい。
エ.正しい。個人番号関係事務実施者が個人番号関係事務を処理する目的で収集した個人番号を特定個人情報ファイルへ登録し、個人番号関係事務以外の業務を処理する目的(例えば、顧客の住所等を調べる等)で照会した端末の画面に特定個人情報ファイルに登録済の情報が表示されている場合において、これをプリントアウトすることは、個人番号関係事務の範囲外での利用といえる。従って、本記述は正しい。

問題3.
委託の取扱いに関する以下のアからエまでの記述のうち、誤っているものを1つ選びなさい。
ア.個人番号関係事務が甲→乙→丙→丁と順次委託される場合、丙は、甲の許諾を得た場合に限り、別の事業者丁に再委託を行うことができる。
イ.個人番号関係事務が甲→乙→丙と順次委託される場合、乙や丙から個人番号や特定個人情報が漏えい等した場合、甲は、委託先に対する監督責任を問われる可能性がある。
ウ.個人番号関係事務が甲→乙→丙と順次委託される場合、乙には丙を監督する義務はないため、乙・丙間の委託契約の内容に、丙が再委託する場合の取扱いを定めたり、再委託を行う場合の条件、再委託した場合の乙に対する通知義務を盛り込んだりする必要はないといえる。
エ.個人番号関係事務が甲→乙→丙→丁と順次委託される場合、乙に対する甲の監督義務の内容には、再委託の適否だけではなく、乙が丙、丁に対して必要かつ適切な監督を行っているかどうかを監督することも含まれることから、甲は乙に対する監督義務だけではなく、再委託先である丙、丁に対しても間接的に監督義務を負うこととなる。

解答:ウ

本問は、委託の取扱い(10条・11条)に関する理解を問うものである。

ア.正しい。再委託につき許諾を要求する規定は、最初の委託者において、再委託先が十分な安全管理措置を講ずることのできる適切な業者かどうかを確認させるため設けられたものであるから、最初の委託者の許諾を得る必要がある(10条1項)。よって、個人番号関係事務が甲→乙→丙→丁と順次委託される場合、丙は、最初の委託者である甲の許諾を得た場合に限り、別の事業者丁に再委託を行うことができる(10条2項)。従って、本記述は正しい。
イ.正しい。委託先や再委託先から個人番号や特定個人情報が漏えい等した場合、最初の委託者は、委託先に対する監督責任を問われる可能性がある。よって、個人番号関係事務が甲→乙→丙と順次委託される場合、乙や丙から個人番号や特定個人情報が漏えい等した場合、甲は、委託先に対する監督責任を問われる可能性がある。従って、本記述は正しい。
ウ.誤 り。個人番号関係事務が甲→乙→丙と順次委託される場合、乙は丙を監督する義務があるため、乙・丙間の委託契約の内容に、丙が再委託する場合の取扱いを定め、再委託を行う場合の条件、再委託した場合の乙に対する通知義務等を盛り込むことが望ましいといえる。従って、本記述は誤っている。
エ.正しい。個人番号関係事務が甲→乙→丙→丁と順次委託される場合、乙に対する甲の監督義務の内容には、再委託の適否だけではなく、乙が丙、丁に対して必要かつ適切な監督を行っているかどうかを監督することも含まれる(11条)。よって、甲は乙に対する監督義務だけではなく、再委託先である丙、丁に対しても間接的に監督義務を負うこととなる。従って、本記述は正しい。

問題4.
特定個人情報の提供の制限に関する以下のアからエまでの記述のうち、誤っているものを1つ選びなさい。
ア.事業者が、源泉徴収票作成事務を含む給与事務を子会社に委託する場合、その子会社に対して従業員等の個人番号を含む給与情報を提供することは、提供制限には違反しない。
イ.市町村長(個人番号利用事務実施者)は、住民税を徴収(個人番号利用事務)するために、事業者に対し、その従業員等の個人番号と共に特別徴収税額を通知することができる。
ウ.事業者(個人番号関係事務実施者)は、所得税法の規定に従って、給与所得の源泉徴収票の提出という個人番号関係事務を処理するために、従業員等の個人番号が記載された給与所得の源泉徴収票を作成し、税務署長に提出することとなる。
エ.同じ系列の会社間等で従業員等の個人情報を共有データベースで保管しているような場合、従業員等の出向に伴い、本人を介在させることなく、共有データベース内で自動的にアクセス制限を解除する等して出向元の会社のファイルから出向先の会社のファイルに個人番号を移動させることは、提供制限には違反しない。

解答:エ

本問は、特定個人情報の提供の制限(19条)に関する理解を問うものである。

ア.正しい。何人も、番号利用法で限定的に明記された場合を除き、特定個人情報を「提供」してはならないが、特定個人情報の取扱いの全部若しくは一部の委託又は合併その他の事由による事業の承継が行われたときは、特定個人情報を提供することができる(19条5号)。よって、事業者が、源泉徴収票作成事務を含む給与事務を子会社に委託する場合、その子会社に対し、従業員等の個人番号を含む給与情報を提供することができる。従って、本記述は正しい。
イ.正しい。個人番号利用事務実施者が、個人番号利用事務を処理するために、必要な限度で本人、代理人又は個人番号関係事務実施者に特定個人情報を提供する場合、特定個人情報を提供することができる(19条1号)。市町村長(個人番号利用事務実施者)は、住民税を徴収(個人番号利用事務)するために、事業者に対し、その従業員等の個人番号と共に特別徴収税額を通知することができる。従って、本記述は正しい。
ウ.正しい。個人番号関係事務実施者は、個人番号関係事務を処理するために、法令に基づき、行政機関等、健康保険組合等又はその他の者に特定個人情報を提供することができる(19条2号)。事業者(個人番号関係事務実施者)は、所得税法226条1項の規定に従って、給与所得の源泉徴収票の提出という個人番号関係事務を処理するために、従業員等の個人番号が記載された給与所得の源泉徴収票を作成し、税務署長に提出することとなる。従って、本記述は正しい。
エ.誤 り。同じ系列の会社間等で従業員等の個人情報を共有データベースで保管しているような場合、従業員等の出向に伴い、本人を介在させることなく、共有データベース内で自動的にアクセス制限を解除する等して出向元の会社のファイルから出向先の会社のファイルに個人番号を移動させることは、提供制限に違反する。すなわち、本人を介在させることなく個人番号を移動させることは、提供制限に違反する。従って、本記述は誤っている。

問題5.
次の文章は、罰則に関するものである。以下のアからエまでのうち、文章中の(  )に入る最も適切な語句の組合せを1つ選びなさい。

番号利用法に規定された罰則については、それらの行為が日本国外において行われた場合であっても処罰する必要があるものについて、国外犯の処罰規定が設けられている。
個人番号利用事務等実施者の職員等による情報の漏えいは、( a )行われることが考えられることから、特定個人情報ファイル、個人番号、情報提供ネットワークシステムに関する秘密の漏えいについては、国外犯処罰の対象( b )。
個人情報保護委員会による検査権限等の行使は、( c )行われることが考えられることから、命令違反及び検査忌避等については、国外犯処罰の対象( d )。
不正手段による個人番号カード等の取得については、( e )市町村の職員を相手として行われるものであることから、国外犯処罰の対象( f )。

ア.a.国内において   b.とはならない   c.国内において
d.とはならない   e.国外においても  f.とされている
イ.a.国内において   b.とはならない   c.国外においても
d.とされている   e.国外においても  f.とされている
ウ.a.国外においても  b.とされている   c.国内において
d.とはならない   e.国内において   f.とはならない
エ.a.国外においても  b.とされている   c.国外においても
d.とされている   e.国内において   f.とはならない

解答:ウ

本問は、罰則(国外犯・56条)に関する理解を問うものである。

番号利用法に規定された罰則については、それらの行為が日本国外において行われた場合であっても処罰する必要があるものについて、国外犯の処罰規定が設けられている。
個人番号利用事務等実施者の職員等による情報の漏えいは、国外においても行われることが考えられることから、特定個人情報ファイル、個人番号、情報提供ネットワークシステムに関する秘密の漏えい(48条から50条まで)については、国外犯処罰の対象とされている
個人情報保護委員会による検査権限等の行使は、国内において行われることが考えられることから、命令違反(53条)及び検査忌避等(54条)については、国外犯処罰の対象とはならない
不正手段による個人番号カード等の取得(55条)については、国内において市町村の職員を相手として行われるものであることから、国外犯処罰の対象とはならない

以上により、a「国外においても」、b「とされている」、c「国内において」、d「とはならない」、e「国内において」、f「とはならない」が入り、従って、正解は肢ウとなる。


【課題2-1】

問題6.
次の文章は、日本証券業協会による「マイナンバー提供のお願い」の内容の一部をまとめたものである。以下のアからエまでのうち、文章中の(  )に入る最も適切な語句の組合せを1つ選びなさい。

・( a )1月1日より、( b )を新規で開設する場合など、新たに証券会社と取引する場合、口座開設時に個人番号を証券会社に提供する必要がある。
・( c )12月31日以前から証券会社と取引しており、証券会社への個人番号の提供が済んでいない場合は、( d )1月1日以後最初に株式・投資信託等の売却代金や配当金等の支払を受ける時までに、個人番号を提供する必要がある。

ア.a.2016年   b.証券口座   c.2015年   d.2022年
イ.a.2016年   b.預貯金口座  c.2015年   d.2025年
ウ.a.2011年   b.証券口座   c.2010年   d.2025年
エ.a.2011年   b.預貯金口座  c.2010年   d.2022年

解答:ア

本問は、日本証券業協会による「マイナンバー提供のお願い」に関する理解を問うものである。なお、「平成31年度税制改正」(平成31年4月)により、個人番号の提供の猶予期間が3年間延長されている。

・2016年1月1日より、証券口座を新規で開設する場合など、新たに証券会社と取引する場合、口座開設時に個人番号を証券会社に提供する必要がある。
・2015年12月31日以前から証券会社と取引しており、証券会社への個人番号の提供が済んでいない場合は、2022年1月1日以後最初に株式・投資信託等の売却代金や配当金等の支払を受ける時までに、個人番号を提供する必要がある。

なお、預貯金口座については、金融機関等は預貯金者の情報を個人番号又は法人番号により検索することができる状態で管理しなければならないことになっていることから、預貯金者に対して、金融機関等から個人番号の告知を求めることができることになっている。もっとも、現在のところ、法律上、預貯金者には告知義務は課されていない。

以上により、a「2016年」、b「証券口座」、c「2015年」、d「2022年」が入り、従って、正解は肢アとなる。


問題7.
次の表及び文章は、内閣官房・内閣府・国税庁によるリーフレット「不動産の売主・貸主のみなさまへ」の内容の一部をまとめたものである。以下のアからエまでのうち、この表及び文章中の(  )に入る最も適切な語句の組合せを1つ選びなさい。


(注)主として建物の賃貸借の代理や仲介を目的とする事業を営んでいる個人を除く。

個人が不動産を(a)又は(b)している場合で、以上の条件に該当する場合には、取引先(買主又は借主)への個人番号の提供が必要となる。取引先は、収集した個人番号を「不動産等の譲受けの対価の支払調書」や「不動産の使用料等の支払調書」などの法定調書に記載し、税務署長に提出しなければならない(取引先は、所得税法等により、法定調書に不動産の売主又は貸主の個人番号を記載することが義務付けられている。)。また、個人番号の提供を受ける買主又は借主は、売主又は貸主の本人確認(番号確認と身元確認)を行う必要がある。

ア.a.売却  b.賃貸  c.売買代金     d.家賃・地代など  e.50万円
イ.a.賃貸  b.売却  c.家賃・地代など  d.売買代金     e.15万円
ウ.a.売却  b.賃貸  c.売買代金     d.家賃・地代など  e.15万円
エ.a.賃貸  b.売却  c.家賃・地代など  d.売買代金     e.50万円

解答:ウ

本問は、不動産の売主・貸主の個人番号の提供(内閣官房・内閣府・国税庁によるリーフレット「不動産の売主・貸主のみなさまへ」)に関する理解を問うものである。


(注)主として建物の賃貸借の代理や仲介を目的とする事業を営んでいる個人を除く。

個人が不動産を売却又は賃貸している場合で、以上の条件に該当する場合には、取引先(買主又は借主)への個人番号の提供が必要となる。取引先は、収集した個人番号を「不動産等の譲受けの対価の支払調書」や「不動産の使用料等の支払調書」などの法定調書に記載し、税務署長に提出しなければならない(取引先は、所得税法等により、法定調書に不動産の売主又は貸主の個人番号を記載することが義務付けられている。)。また、個人番号の提供を受ける買主又は借主は、売主又は貸主の本人確認(番号確認と身元確認)を行う必要がある。

以上により、a「売却」、b「賃貸」、c「売買代金」、d「家賃・地代など」、e「15万円」が入り、従って、正解は肢ウとなる。


問題8.
事業者が、雇用関係にある従業員から扶養親族(配偶者等)の個人番号を取得する場合における本人確認の措置に関する以下のアからエまでの記述のうち、正しいものを1つ選びなさい。

※国民年金の第3号被保険者とは、会社員や公務員などの国民年金の第2号被保険者(夫など)に扶養される配偶者(20歳以上60歳未満)をいう。また、本問においては、従業員が会社の代理人になる場合は考慮しないものとする。

ア.従業員が事業者に対して、扶養親族の個人番号を扶養控除等申告書に記載して提出する場合、従業員は、事業者への提出義務者であるから、事業者は、扶養親族の本人確認の措置を行う必要はない。
イ.従業員が事業者に対して、扶養親族の個人番号を扶養控除等申告書に記載して提出する場合、従業員は、事業者への提出義務者である扶養親族の代理人であるから、事業者は、扶養親族の本人確認の措置を行う必要はない。
ウ.従業員(第2号被保険者)が事業者に対して、扶養親族が国民年金の第3号被保険者に該当する旨の届出をした場合、従業員は、事業者への提出義務者であるから、事業者は、第3号被保険者の本人確認の措置を行う必要がある。
エ.従業員(第2号被保険者)が事業者に対して、扶養親族が国民年金の第3号被保険者に該当する旨の届出をした場合、従業員は、事業者への提出義務者である第3号被保険者の代理人であるから、事業者は、第3号被保険者の本人確認の措置を行う必要はない。

解答:ア

本問は、本人確認の措置(16条)に関する理解を問うものである。

ア.正しい。事業者の従業員(個人番号関係事務実施者)は、所得税法194条1項の規定に従って、扶養控除等申告書の提出という個人番号関係事務を処理するために、事業者(個人番号関係事務実施者)に対し、その扶養親族の個人番号を記載した扶養控除等申告書を提出することとなる(19条2号)。この場合、従業員は、事業者への提出義務者であり、事業者は、扶養親族の本人確認の措置を行う必要はない。従って、本記述は正しい。
イ.誤 り。事業者の従業員(個人番号関係事務実施者)は、所得税法194条1項の規定に従って、扶養控除等申告書の提出という個人番号関係事務を処理するために、事業者(個人番号関係事務実施者)に対し、その扶養親族の個人番号を記載した扶養控除等申告書を提出することとなる(19条2号)。この場合、従業員は、事業者への提出義務者であり、扶養親族の代理人ではない。従って、本記述は誤っている。
ウ.誤 り。従業員(第2号被保険者)が事業者に対して、扶養親族が国民年金の第3号被保険者に該当する旨の届出をした場合、第3号被保険者が事業者への提出義務者であり、従業員は、事業者への提出義務者である第3号被保険者の代理人であるから、事業者は、第3号被保険者の本人確認の措置を行う必要がある。この場合、従業員は、事業者への提出義務者ではない。従って、本記述は誤っている。
エ.誤 り。従業員(第2号被保険者)が事業者に対して、扶養親族が国民年金の第3号被保険者に該当する旨の届出をした場合、第3号被保険者が事業者への提出義務者であり、従業員は、事業者への提出義務者である第3号被保険者の代理人であるから、事業者は、第3号被保険者の本人確認の措置を行う必要がある。従って、本記述は誤っている。

問題9.
マイナポータルに関する以下のアからエまでの記述のうち、正しいものを1つ選びなさい。
ア.マイナポータルにおいて、個人番号カードのパスワードは変更することができない。
イ.番号利用法の附則において、マイナポータルは「情報記録システム」として規定されている。
ウ.なりすましを防止するため、本人に代わって代理人がマイナポータルの機能を使用することはできないことになっている。
エ.公的個人認証サービスを利用した本人認証を行い、マイナポータルでアカウント開設を行いログインするためには、個人番号カードが必要とされている。

解答:エ

番号利用法附則6条3項において、マイナポータルは「情報提供等記録開示システム」として規定されている。本問は、このマイナポータルに関する理解を問うものである。

ア.誤 り。2018年2月より、マイナポータルに、個人番号カードのパスワードを変更する機能が追加されている。変更できるパスワードは、利用者証明用電子証明書・署名用電子証明書・券面事項入力補助用の3種類であるとされている(なお、住民基本台帳用のパスワードは変更できない。)。従って、本記述は誤っている。
イ.誤 り。番号利用法附則6条3項において、マイナポータルは「情報提供等記録開示システム」として規定されている。従って、本記述は誤っている。
ウ.誤 り。一部のサービス(情報提供等記録表示(やりとり履歴)、自己情報表示(あなたの情報)、お知らせ)については、本人に代わって代理人がマイナポータルの機能を使用することができる。従って、本記述は誤っている。
エ.正しい。公的個人認証サービスを利用した本人認証を行い、マイナポータルでアカウント開設を行いログインするためには、利用者証明用電子証明書を搭載した個人番号カードが必要となっている。情報提供等記録開示システム上では、本人の個人情報が閲覧可能となることから、セキュリティを担保してオンラインによる本人確認を確実に行う必要があり、これに対応するため、情報提供等記録開示システムにログインする際には個人番号カードを本人確認の手段として利用することとされている。従って、本記述は正しい。

問題10.
「(別冊)金融業務における特定個人情報の適正な取扱いに関するガイドライン」に関する以下のアからエまでの記述のうち、正しいものを1つ選びなさい。
ア.株式や投資信託の取引を行うために、特定口座ではなく、いわゆる「一般口座」(証券口座・投資信託口座)を開設する場合、その口座開設時点では個人番号の提供を求めることはできない。
イ.特定口座に係る所得計算等に伴う特定口座年間取引報告書の作成事務の場合は、租税特別措置法の規定により顧客は特定口座開設届出書を提出する時点で個人番号を告知する義務があるため、その時点で提供を求めることとなる。
ウ.特定口座、非課税口座等、毎年取引報告書の提出が義務付けられている場合であっても、顧客から提供を受けた特定個人情報を翌年度以降のために継続的に保管することはできない。
エ.特定口座開設届出書については、所管法令により定められた保存期間を経過した場合であっても、個人番号が記載された特定口座開設届出書を保管することができ、個人番号が記載された特定口座開設届出書等の書類については、保存期間経過後においても保管を前提とした体制をとることが望ましいとされている。

解答:イ

本問は、「(別冊)金融業務における特定個人情報の適正な取扱いに関するガイドライン」に関する理解を問うものである。

ア.誤 り。株式や投資信託の取引を行うために、「一般口座」(証券口座・投資信託口座)を開設するのであり、その口座開設時点で将来株式や投資信託の取引に基づいて個人番号関係事務が発生することが想定されることから、口座開設時点に個人番号の提供を求めることができると解されている。従って、本記述は誤っている。
イ.正しい。特定口座に係る所得計算等に伴う特定口座年間取引報告書の作成事務の場合は、租税特別措置法37条の11の3第4項の規定により顧客は特定口座開設届出書を提出する時点で個人番号を告知する義務があるため、その時点で提供を求めることとなる。従って、本記述は正しい。
ウ.誤 り。特定口座、非課税口座等、毎年取引報告書の提出が義務付けられている場合には、顧客から提供を受けた個人番号を取引報告書作成事務のために翌年度以降も継続的に利用する必要があることから、特定個人情報を継続的に保管できると解される。従って、本記述は誤っている。
エ.誤 り。特定口座開設届出書は、租税特別措置法施行規則18条の13の4第1項3号により、当該届出書に係る特定口座につき特定口座廃止届出書等の提出があった日の属する年の翌年から5年間保存することとなっていることから、当該期間を経過した場合には、当該特定口座開設届出書に記載された個人番号を保管しておく必要はなく、原則として、個人番号が記載された特定口座開設届出書をできるだけ速やかに廃棄しなければならないとされている。そのため、個人番号が記載された特定口座開設届出書等の書類については、保存期間経過後における廃棄を前提とした保管体制をとることが望ましいとされている。従って、本記述は誤っている。

【課題2-2】

問題11.
次の図は、JIS Q 31000におけるリスクマネジメントプロセスを表したものである。以下のアからエまでのうち、図中のaからdまでのそれぞれのプロセスで実施すべき内容として、最も適切なものを1つ選びなさい。

ア.図中aは、「組織の状況の確定」のプロセスである。社会や文化の環境、遵守すべき法律、経済等の外部的な状況や、事業目的、組織体制、資本、人員等の内部的な状況を明らかにし、理解する。
イ.図中bは、「リスク分析」のプロセスである。現状に即した最新の情報に基づいてリスクを分析し、リスクの包括的な一覧を作成する。
ウ.図中cは、「リスク評価」のプロセスである。特定したリスクが生じた場合に、起こりうる結果や結果の起こりやすさを評価する。
エ.図中dは、「リスク特定」のプロセスである。リスク分析に基づき、対応を要するリスクの特定を行う。

解答:ア

本問は、リスクアセスメントについての理解を問うものである。
JIS Q 31000におけるリスクマネジメントプロセスは、次の図のとおりである。

ア.適 切。図中aは、「組織の状況の確定」のプロセスである。社会や文化の環境、遵守すべき法律、経済等の外部的な状況や、事業目的、組織体制、資本、人員等の内部的な状況を明らかにし、理解する。
イ.不適切。図中bは、「リスク特定」のプロセスである。現状に即した最新の情報に基づいてリスクを特定し、リスクの包括的な一覧を作成する。
ウ.不適切。図中cは、「リスク分析」のプロセスである。特定したリスクが生じた場合に、起こりうる結果や結果の起こりやすさを分析する。
エ.不適切。図中dは、「リスク評価」のプロセスである。リスク分析に基づき、対応を要するリスクの優先順位付けを行う。

問題12.
入退室管理における認証技術に関する【問題文A】から【問題文C】について、以下のアからエまでのうち正しいものを1つ選びなさい。
【問題文A】生体認証は、身体的特徴や行動的特徴といった本人のみが持っている情報を用いるため、なりすましが難しく、情報処理装置の高速化と精度向上に伴って、広く導入されている。生体認証は、ICカードやパスワードと組み合わせて用いられることが多い。
【問題文B】非接触カードは、カードにICチップを内蔵し、赤外線や電波などを利用して、認証情報を読み取る方式である。駅の自動改札のような装置であるフラッパーゲートと組み合わせて用いることで、ピギーバックの防止につながることになる。
【問題文C】磁気カードは、カードリーダによって認証情報を読み取る方式であり、暗証番号と組み合わせて用いられることが多い。スキミングや偽造のリスクはあるが、磁気ストライプ部分の摩耗や情報を読み取る際の接触不良は発生しない。
ア.Aのみ不適切である。
イ.Bのみ不適切である。
ウ.Cのみ不適切である。
エ.すべて適切である。

解答:ウ

本問は、入退室管理における認証技術についての理解を問うものである。

A.適 切。生体認証は、身体的特徴や行動的特徴といった本人のみが持っている情報を用いるため、なりすましが難しく、情報処理装置の高速化と精度向上に伴って、広く導入されている。生体認証は、ICカードやパスワードと組み合わせて用いられることが多い。従って、本記述は適切である。
B.適 切。非接触カードは、カードにICチップを内蔵し、赤外線や電波などを利用して、認証情報を読み取る方式である。駅の自動改札のような装置であるフラッパーゲートと組み合わせて用いることで、ピギーバックの防止につながることになる。従って、本記述は適切である。
C.不適切。磁気カードは、カードリーダによって認証情報を読み取る方式であり、暗証番号と組み合わせて用いられることが多い。スキミングや偽造のリスクがあり、磁気ストライプ部分の摩耗や情報を読み取る際の接触不良が発生しやすい。従って、本記述は不適切である。

以上により、問題文ABは適切であるが、Cは不適切である。従って、正解は肢ウとなる。


問題13.
マルウェアに関する以下のアからエまでの記述のうち、最も不適切なものを1つ選びなさい。
ア.ボットとは、コンピュータに感染し、ネットワークを介して、そのコンピュータを外部から操ることを目的として作成された不正プログラムである。
イ.ランサムウェアは、身代金要求型ウイルスなどとも呼ばれ、感染したコンピュータに制限をかけ、その制限の解除と引き替えに金銭(身代金)を要求する不正プログラムである。
ウ.ルートキットとは、攻撃者がコンピュータに不正侵入した後に利用するためのソフトウェアをまとめたパッケージであり、ログ改ざんツールやバックドア作成ツール、改ざんされたシステムコマンド群などが含まれる。
エ.コンセプトウイルスとは、不正な目的で、第三者のプログラムやデータベースに対して意図的に何らかの被害を及ぼすように作られた不正プログラムであり、自己伝染機能・潜伏機能・発病機能のうち、いずれか1つ以上を有しているものである。

解答:エ

本問は、マルウェアについての理解を問うものである。

ア.適 切。ボットとは、コンピュータに感染し、ネットワークを介して、そのコンピュータを外部から操ることを目的として作成された不正プログラムである。従って、本記述は適切である。
イ.適 切。ランサムウェアは、身代金要求型ウイルスなどとも呼ばれ、感染したコンピュータに制限をかけ、その制限の解除と引き替えに金銭(身代金)を要求する不正プログラムである。従って、本記述は適切である。
ウ.適 切。ルートキットとは、攻撃者がコンピュータに不正侵入した後に利用するためのソフトウェアをまとめたパッケージであり、ログ改ざんツールやバックドア作成ツール、改ざんされたシステムコマンド群などが含まれる。従って、本記述は適切である。
エ.不適切。不正な目的で、第三者のプログラムやデータベースに対して意図的に何らかの被害を及ぼすように作られた不正プログラムであり、自己伝染機能・潜伏機能・発病機能のうち、いずれか1つ以上を有しているものは、狭義のコンピュータウイルスである。従って、本記述は不適切である。
なお、コンセプトウイルスとは、技術的な検証を目的として、試験的に作成する擬似的なマルウェアである。

問題14.
「(別添)特定個人情報に関する安全管理措置(事業者編)」において、「中小規模事業者」については、事務で取り扱う個人番号の数量が少なく、また、特定個人情報等を取り扱う従業者が限定的であること等から、特例的な対応方法が示されている。この「中小規模事業者」に関する以下のアからエまでの記述のうち、最も不適切なものを1つ選びなさい。
ア.「中小規模事業者」とは、原則として、事業者のうち従業員の数が500人以下の事業者をいう。
イ.個人番号利用事務実施者は、「中小規模事業者」から除かれている。
ウ.委託に基づいて個人番号利用事務を業務として行う事業者は、「中小規模事業者」から除かれている。
エ.その事業の用に供する個人情報データベース等を構成する個人情報によって識別される特定の個人の数の合計が過去6か月以内のいずれかの日において5,000を超える事業者は、「中小規模事業者」から除かれている。

解答:ア

「(別添)特定個人情報に関する安全管理措置(事業者編)」において、「中小規模事業者」については、事務で取り扱う個人番号の数量が少なく、また、特定個人情報等を取り扱う従業者が限定的であること等から、特例的な対応方法が示されている。本問は、この中小規模事業者に関する理解を問うものである。

ア.不適切。「中小規模事業者」とは、原則として、事業者のうち従業員の数が100人以下の事業者をいう。従って、本記述は不適切である。
なお、ここでいう「従業員」とは、中小企業基本法における従業員をいい、労働基準法20条の適用を受ける労働者に相当する者をいう。ただし、日々雇い入れられる者、2か月以内の期間を定めて使用される者等は、労働基準法21条の規定により、労働基準法20条の適用が除外され、ここでいう「従業員」の数からは除外される。
イ.適 切。個人番号利用事務実施者は、「中小規模事業者」から除かれている。従って、本記述は適切である。
ウ.適 切。委託に基づいて個人番号関係事務又は個人番号利用事務を業務として行う事業者は、「中小規模事業者」から除かれている。従って、本記述は適切である。
エ.適 切。その事業の用に供する個人情報データベース等を構成する個人情報によって識別される特定の個人の数の合計が過去6か月以内のいずれかの日において5,000を超える事業者は、「中小規模事業者」から除かれている。従って、本記述は適切である。

問題15.
「(別添)特定個人情報に関する安全管理措置(事業者編)」で要求されている物理的安全管理措置に関する以下のアからエまでの記述のうち、最も不適切なものを1つ選びなさい。
ア.物理的安全管理措置として、「特定個人情報等を取り扱う区域の管理」を行うことが求められているが、ここで求められる「座席配置の工夫」とは、例えば、事務取扱担当者以外の者の往来が少ない場所への座席配置や、後ろから覗き見される可能性が低い場所への座席配置等が考えられている。
イ.物理的安全管理措置として、「特定個人情報等を取り扱う区域の管理」を行うことが求められているが、管理区域(特定個人情報ファイルを取り扱う情報システム(サーバ等)を管理する区域)及び取扱区域(特定個人情報等を取り扱う事務を実施する区域)について、区域ごとに全て同じ措置を講ずる必要があると考えられている。
ウ.物理的安全管理措置として、特定個人情報等が記録された電子媒体又は書類等を持ち運ぶ場合、容易に個人番号が判明しないよう、安全な方策を講ずることが挙げられているが、ここでいう「持ち運ぶ」とは、特定個人情報等を管理区域又は取扱区域から外へ移動させること又は当該区域の外から当該区域へ移動させることをいう。
エ.物理的安全管理措置として、特定個人情報等を取り扱う情報システム又は機器等において、特定個人情報ファイル中の個人番号又は一部の特定個人情報等を削除する場合、容易に復元できない手段を採用することが考えられ、例えば、データ復元用の専用ソフトウェア、プログラム、装置等を用いなければ復元できない場合には、ここでいう容易に復元できない方法であると考えられている。

解答:イ

本問は、安全管理措置(物理的安全管理措置)に関する理解を問うものである。

ア.適 切。物理的安全管理措置として、「特定個人情報等を取り扱う区域の管理」を行うことが求められているが、ここで求められる「座席配置の工夫」とは、例えば、事務取扱担当者以外の者の往来が少ない場所への座席配置や、後ろから覗き見される可能性が低い場所への座席配置等が考えられている。従って、本記述は適切である。
イ.不適切。物理的安全管理措置として、「特定個人情報等を取り扱う区域の管理」を行うことが求められている。そして、特定個人情報ファイルを取り扱う情報システム(サーバ等)を管理する区域(管理区域)を明確にし、物理的な安全管理措置を講じ、また、特定個人情報等を取り扱う事務を実施する区域(取扱区域)について、事務取扱担当者等以外の者が特定個人情報等を容易に閲覧等できないよう留意する必要があると考えられている。また、「管理区域」及び「取扱区域」について、区域ごとに全て同じ措置を講ずる必要はなく、区域によっては取り扱う特定個人情報の量、利用頻度、使用する事務機器や環境等により、講ずべき措置が異なると考えられることから、例えば、管理区域については厳格に入退室を管理し、取扱区域については間仕切り等の設置や座席配置の工夫、のぞき込みを防止する措置を行うなど、それぞれの区域に応じた適切な措置を講じることが考えられる。従って、本記述は不適切である。
ウ.適 切。物理的安全管理措置として、特定個人情報等が記録された電子媒体又は書類等を持ち運ぶ場合、容易に個人番号が判明しないよう、安全な方策を講ずることが挙げられているが、ここでいう「持ち運ぶ」とは、特定個人情報等を管理区域又は取扱区域から外へ移動させること又は当該区域の外から当該区域へ移動させることをいい、事業所内での移動等であっても、特定個人情報等の紛失・盗難等に留意する必要があると考えられている。従って、本記述は適切である。
エ.適 切。物理的安全管理措置として、「個人番号の削除、機器及び電子媒体等の廃棄」を行うことが求められている。そして、特定個人情報等を取り扱う情報システム又は機器等において、特定個人情報ファイル中の個人番号又は一部の特定個人情報等を削除する場合、容易に復元できない手段を採用することが考えられる。例えば、データ復元用の専用ソフトウェア、プログラム、装置等を用いなければ復元できない場合には、ここでいう容易に復元できない方法であると考えられている。従って、本記述は適切である。

マイナンバー保護士SMART合格講座

[スマホ講座]

今なら取れる

全情協

SMART合格講座

国家試験

著名検定

どこでも楽々

格安4,800円~

だれでも合格

SPIテスト
個人情報保護士
行政書士
宅建士
FP検定
ビジネス実務法務
マイナンバー実務
セキュリティ管理士・他

会員募集中!!

特典が多数

マイナンバー
実務士会

詳細は
こちら
PAGE TOP ▲