1.個人情報の保護に関する法律
2.行政機関の保有する個人情報の保護に関する法律
3.独立行政法人等の保有する個人情報の保護に関する法律
4.情報公開・個人情報保護審査会設置法
5.行政機関の保有する個人情報の保護に関する法律等の施行に伴う関連法律の整備等に関する法律
のことを指す。
報道の自由への影響などの問題が指摘されながらも、「個人情報の保護に関する法律(平成15年5月30日法律第57号)」、通称「個人情報保護法」が制定され、平成15年4月1日から全面施行されることとなった。
このような情勢の中、文部科学大臣認定法人である財団法人情報学習振興協会が開始したのが、「個人情報保護士」試験である。
個人情報保護法に関して、この個人情報保護士試験でも問われる基本概念を概観してみよう。
個人情報保護法における「個人情報」とは、「生存する個人の情報であって、特定の個人を識別できる情報」を指し、これには「他の情報と容易に照合できることができることで特定の個人を識別することができる情報も含まれる。」(法第2条第1項)「生存する個人」というところと、「個人を特定することが出来る情報」というところがポイントである。そして、個人情報を含む、コンピュータ等で容易に検索できるデータベースや、目次や索引などにより体系的に整理された紙のデータベース等」を「個人情報データベース等」、「個人情報データベース等」を構成する各データを「個人データ」という。5000件を越える個人情報を取り扱う者を「個人情報取扱事業者」と言い、「個人情報保護法」は「個人情報取扱事業者」を対象する法律と定義されている。
概略説明といったものの、多少細かな定義を出してみたが、理由は後の試験対策で分かるように、この定義をしっかり頭に置いた上で、学習するとそれぞれについてどのように取り扱うかが明快に頭に定着するからである。今はまだ読み飛ばしていただいて結構だが、「個人情報保護士」になるぞと思われた方は、後からじっくり読みなおして欲しい。これ自体が、試験のポイントの一つなのだ。
以上、もともとOECDガイドラインに対応する形で、国内の個人情報保護体制を整えることで貿易に対する悪影響がないようにしたいという目論見もあったことから、個人情報保護法は、個人に関する情報を保護するという側面の他に、どのように安全に個人情報を経済的に活用するかという利用の側面もあることを忘れてはならない。後に詳述する「個人情報保護士」試験でも、そのような観点が問われることが多いのはそのためである。また報道の自由との兼ね合いが、様々に議論されたことから、報道・犯罪捜査などと個人情報保護法との関係に関する出題もなされる。重要論点としてこの2つを頭において欲しい。
さて、一連の個人情報保護法に関する議論の中、世論の個人情報に対する興味の高まりとともに、民間事業者も個人情報保護対策に取り組む必要が生じるようになる。顧客情報漏えい事件などが多発する中、危機管理としての個人情報保護が各企業とも必要となったのである。とは言うものの、企業の中で最初から個人情報保護法の専門家がいるわけではなく、ましてや個人情報漏洩事件などを担当した経験ある弁護士などが社内弁護士がいるような企業でもなければ、いったいどのような人材に、個人情報保護に関連した業務をまかせられるだろうか?そんな時に、「個人情報保護士」という公的資格をもった社員がいれば、企業としても安心して仕事をまかせられるはずだ。個人情報保護法制定以降、企業はそのような人材を求めているといえる。
例えば、特定非営利活動法人日本プライバシープロフェッショナル協会が実施する「個人情報取得責任者(CPO: Chief Privacy Officer)」、「個人情報取得管理者(CPP:
Corporate Privacy Professional)」、「個人情報取扱従事者(CPA:
Corporate Privacy Associate)」の各資格認定や、特定非営利活動法人日本プライバシーコンサルタント協会が実施する「認定プライバシーコンサルタント(JCPC: Japan Certified Privacy Consultant)」、「プライバシーシニアコンサルタント(CSPC: Certified Senior Privacy Consultant)」、「プライバシーコンサルタント(CPC: Certified Privacy Consultant)」、「プライバシーコンサルタント補(APC: Associate Privacy Consultant)」の各資格認定、そして特定非営利活動法人日本技術者連盟が実施する「認定プライバシーコンプライアンスオフィサー(CPCO)」資格認定などが、「個人情報保護士」以外に存在するが、これらの中で試験のみで取得できるという点や、受験者の多さという点において「個人情報保護士」試験が際立っているという印象を受ける。
次に事業者が一定の条件を満たすことによって認定されるものとして「プライバシーマーク」制度と「ISMS」制度があるが、これらについては「個人情報保護士」試験でもよく出題されることから特に詳しく説明しておきたい。
①プライバシーマーク
個人情報保護に関して一定の要件を満たした事業者に対して、財団法人日本情報処理開発機構(JIPDEC)により使用が認められる登録商標、別名Pマークで、1998念から開始した制度。
JISQ15001(個人情報保護マネジメントシステムの要求事項)に適合した個人情報保護体制を構築していることを認定する制度であり、個人情報保護法が定める個人情報取扱事業者の義務よりも一層厳しいものとなっている。Pマーク申請の後に、書類審査がなされ、次に事業所への立ち入りを含む現地調査の上、JISQ15001への適合が認められると、審査合格事業者とJIPDECの間でPマークのしようを許諾する契約(有料)を締結する。契約の期間は2年間であり、更新を受ける場合には、再度更新審査を受ける必要がある。Pマークの認定の後に、組織的にJISQ15001に違反すると、Pマーク使用の取り消しや、違反事業者名をJIPDECのホームページ上で2年間公表するというペナルティを受ける。個人情報を取り扱う事業者で取得する企業は多い。
②情報セキュリティマネジメントシステム(ISMS Information Security Management System)
主にデータセンターなどの施設・建物に関する物理的対策に関するものであった旧「情報システム安全対策実施事業者認定制度」が、2000年に当時の通商産業省から公表された「情報セキュリティ管理に関する国際スタンダードの導入および情報処理サービス業情報システム安全対策実施事業所認定制度の改革」に基づいて改正され、財団法人情報処理開発協会(JIPDEC)でスタートさせた民間主導による情報セキュリティに関する第三者認定制度。
英国規格協会(BSI)が策定した情報セキュリティに関する規格であるBS7799に基づいて策定された。
BS7799は
Part1 情報セキュリティ管理の実施基準
Part2
その仕様
の二つのパートから構成されるが、ISMSはパート2が元になって多少Part1を加味して策定された。尚Part1は、ISO/IEC17799としてISO化され、これはJISQ27002としてJIS規格化された。Part2も、ISO/IEC27001としてISO化され、JISQ27001としてJIS規格化されている。情報資産として企業にはどのようなものがあるかを洗い出し、その資産に対してどのようなセキュリティリスクがあるかその確率はどの程度か、リスクが顕在化したときにどの程度の損害があるか(リスク強度)を分析して、リスクを軽減することでセキュリティを高めるためのPDCAサイクルを定めたものである。ちなみにプライバシーマークのところでも出てくる「マネジメントシステム」とは、PDCAサイクル、すなわちPLAN(計画)、DO(実行)、CHECK、ACTION(対策実行)の繰り返しを行うことによって、業務プロセスが常に最適になるようになる体制のことであり、ISOで言う、マネジメントシステムとは常にこの意味であるということに留意しておきたい。(試験でも狙われることの多い論点です)
以上のように様々な個人情報保護に関する資格認定が存在するものの、プライバシーマーク、ISMSは事業者が認定を受けるものであり、個人が取得できる資格の中で試験だけで簡単に取得でき、なおかつ受験者が多いという意味で知名度が特に高いのは「個人情報保護士」試験であるということが出来る。
社内で使うことが出来るだけではありません。転職を考えている方や、就職を考えておられる学生の方も、後に述べるように、比較的対策が練りやすい試験であり、且つ試験準備期間も比較的短くてすみますから、是非とも取得しておくべきでしょう。戦う者に武器はいくらあってもありすぎるということはないのですから。
①名称独占型資格と業務独占型資格
②公的資格と民間資格
という分類があります。
①の名称独占型とは、資格を得たものは、「○○士」という名称を用いることが許可されるだけで、その資格をもっていなくても業務を行うことができるというタイプのものです。資格名を登録商標として、試験に合格していない人に使用を禁じるという形で名称独占にしている資格も多く、日本で実施されている資格試験のほとんどがこれに属します。これに対して業務独占型資格とは、税理士や弁護士のように、税理士、弁護士の資格を持たないものが税務相談や法律相談をすると税理士法や弁護士法と等の業法違反となるというもので、この資格を得ることで、得ていない人には出来ない業務が出来るという強みがあります。当然業務独占型資格は、名称独占型でもあるわけです。公的資格とは例えば国家資格とか、経済産業省認定とか、公益法人(財団法人や社団法人)が実施する資格のことであり、民間資格とは民間企業が認定する資格などのことを言います。実施母体がどのようなものかということです。この分類で言えば、個人情報保護士は、文部科学大臣許可法人である財団法人全日本情報学習振興協会が推進するという意味で公的な資格であり、且つ名称独占型であっても業務独占型ではない資格ということになります。
民間資格と比較した場合、公的資格のメリットは、ある企業の好みによらない客観的な基準によって認められた資格であるというイメージが少なくともあるということです。企業が実施する資格の中には、例えばシステムの大手企業がシステムに関する技術を認定するなどというように、公的資格以上に評価されている資格も沢山ありますので、企業が実施するからといって、偏った資格認定をしているというわけではありません。公的資格には、あくまで公というイメージがあるというぐらいにとらえてください。
名称独占に過ぎない資格だというなかれ、これは試験に合格することで一定の基準を満たす知識があることが公的団体により承認された証です。これに合格していない人が、どれだけ個人情報保護法に詳しくても、第三者にはそれを評価することは出来ません。自分は個人情報保護に関する知識をもっていますとアピールしたければ、この資格を取得するべきではないかと思います。
個人情報保護士試験の形式面からの特徴として、個人情報保護法の歴史、内容、個人情報保護に関連した範囲でのシステムに関する知識、個人情報保護体制の整備に関する実務知識などを問う、実に現実的な内容の、マークシート試験であるとういうことです。記述試験ではないということがこの試験の間口を広げているといえます。但し合格に必要な得点は80%以上と高く、いかに効率的に得点を上げるかという解答テクニック、出る問題とはどういう問題なのか?を見抜く学習テクニックが必要な試験ということが出来ます。
資格試験の勉強でも全く同じであるといえます。つまり限られた時間、例えば3週間とか3ヶ月とかの期間内に、合格に必要な力を身につけるためには、出ない問題をいくら練習しても、出ない知識をいくら暗記しても合格とは程遠い努力といわざるを得ず、何が狙われるかを予め知った上で、勉強をしなければ時間のロスをすることになってしまうということです。そのお役に立つ情報を後ほど読者の皆さんに提供したいと思います。
また時間内に正解にたどり着かなければならないという点では、後の具体的な勉強法のところで過去問演習の重視を何度も強調しています。自分自身の過去の経験でも、後で考えると答えが出たのにということは何度も経験しています。知識は頭の中にあったのです。ただ時間内にそれを上手く使うことが出来なかったということ。これでは試験に合格することは出来ません。その意味で時間配分の感覚を掴むためにも過去問演習をするべきなのです。
後に見るとおり、個人情報保護士試験は決して甘い試験ではなく、各分野80%以上の正解を得る必要がある試験ですが、出題意図、範囲は明らかであり、確実な方法論が存在します。正しい方法論にしたがって勉強すれば短期合格は夢ではない資格といえます。更に資格自体の社会的意味合いから言って、価値ある資格ということが出来ます。
では、この価値有る資格を得るためにはどうすればいいのか?まずは敵を知るという意味で、「個人情報保護士試験」とは何かについてみていくことにしましょう。
個人情報保護士試験を実施していえる文部科学大臣許可法人「財団法人 全日本情報学習振興協会」のホームページには、個人情報保護士試験の過去の合格率と平均年齢などが掲載されている。それによれば
・ 第一回(H.17.10.2)合格率40.3% 合格者平均年齢40.4歳
・ 第二回(H.17.12.18)合格率38.6% 合格者平均年齢 38.9歳
・ 第三回(H.18.3.19)合格率31.5% 合格者平均年齢 36.4歳
・ 第四回(H.18.7.16)合格率37.8% 合格者平均年齢 38.9歳
・ 第五回(H.18.11.12)合格率48.4% 合格者平均年齢 38.0歳
・ 第六回(H.19.3.18)合格率 50.1% 合格者平均年齢 36.4歳
・ 第七回(H.19.5.24)合格率 56.6% 合格者平均年齢 35.8歳
となっている。合格率が低い回がいくつかあるもののおおむね合格率50%の試験であり、合格者平均が35から40台前半の試験であるという傾向がここから掴める。
出題範囲は「Ⅰ個人情報保護の概要(配点 200点)」「Ⅱ 個人情報保護の対策(配点 300点)の二つからなり、それぞれについて財団法人全日本情報学習振興協会のホームページでは、下記のように説明している。
「Ⅰ 個人情報保護の概要」
個人情報保護法の背景と取り組み
個人情報保護法の歴史
個人情報に関する事件・事故
各種認定制度
個人情報保護法の理解
個人情報の定義と分類
個人情報取扱事業者
条文に関する○○と理解
「Ⅱ 個人情報保護の対策」
リスク分析 脅威と脆弱性に対する理解
組織的・人的セキュリティ 組織体制の整備
人的管理の実務知識
情報システムセキュリティ 技術敵管理の実務
オフィスセキュリティ 物理的管理の実務
となっている。
これらの分野につき、課題Ⅰの中で40問以上(160点以上)、且つ課題Ⅱの中で60問以上(210点以上)をクリアしたものが合格となる。つまり各分野80%以上の正解が合格ボーダーラインとなる。
過去問題集
1.「個人情報保護士進呈試験<<問題と解説>>」第一回試験の問題と解説(87ページ)
㈶全日本情報学習振協会発行
一般の書店においていないため、同㈶のホームページから申し込む必要あり
800円
日本能率協会マネジメントセンター発行
第二回から第四回の試験問題と詳細解説
税込2520円
3.「新版 個人情報保護士試験公式過去問題集
」(389ページ)
日本能率協会マネジメントセンター発行
第五回から第7回の試験問題と詳細解説
税込2730円
ISBN978-4-8207-4455-9
対策テキスト
著者 伊藤浩一
発行所 株式会社ナツメ社
税込2100円
ISBN978-4-8163-4398-8
2.「個人情報保護士試験公式テキスト
」
著者 柴原健次、ITセキュリティ研究会
発行所 日本能率協会マネジメントセンター
税込 2625円
ISBN4-8207-4352-X
3.「新版 個人情報保護士試験 完全対策
」
著者 中康二
発行所 株式会社あさ出版
税込 2310円
ISBN978-4-86063-224-3
どのテキストも比較的安価であり、過去の問題の解説も丁寧ですから、ご自分にあったものを選んでお勉強されると良いと思います。何よりも試験の実施母体のホームページで紹介されている問題集、テキストというところが心強いですね。
さて愈愈試験当日、試験会場で思ったことは結構人がいるなという印象と、自分と同じ年齢層(30台後半)に混じって、学生と思しき人が結構いたという印象でした。試験開始の後、時間制限のあるマークシートですから、簡単に解ける問題を次々に回答し、残りの時間で、迷った問題について全て解答するということに専念しました。問題の数が多いので、解答しながら汗が流れるくらい疲れましたが、時間内に全問解答無事完了。終了後に、会場内で、他の受験者が話している内容を聞くと、「情報関係の用語(例えば CA)なんか聞いたことがないよ」とか「技術系のことがさっぱりだった」という言葉があり、恐らく個人情報保護士という名称から、個人情報保護法しか勉強しなかったのではないかと思います。穴になりそうなところですから、情報系の部分については勉強の具体的な方法論で少し「試験で狙われそうなヤマ」も書いてみようと思います。
合否判定はインターネットで出来る個人情報保護士試験ですが、手ごたえを感じていたとは言え、合否判定はどきどきします。自分の受験番号とパスワードを入れて、合格という二文字を見たときには、本当にうれしかったです。
後日談として、この「個人情報保護士」試験に合格すると「個人情報保護士」の認定カード(キャッシュカードサイズ)と「合格証書」が送られてくるのですが、この合格証書がとにかく馬鹿でかい。いや立派過ぎます。でもそれも合格の喜びのひとつでした。
このように倍率についても見た目ほどには高くなく、合格者平均年齢についてもそれほど心配することはないことが分かったところで、「でも各分野80%以上の正解率というのは難しい試験だ。通常の試験では60%程度で合格するのではないか?」という方もおられえるでしょう。それに関して言えば、基本を抑えておけば短期間の集中学習で80%が取れる水準の問題が「マークシート形式」で出題される試験であるということを強調しておきます。マークシート試験というのは癖があって、余り難しく考えると返って高得点を逃すことがあるものです。また後ほど説明する裏技のように、マークシート試験ならではの、内容が理解できなくても、なんとなく正解できてしまう方法すらあるのですから、決して難しい試験ではないというべきです。
このように社会的なニーズが高く、比較的合格しやすい「個人情報保護士」を皆で取得しようではありませんか。
このねらい目資格に絶対に合格したい。そのような方のために具体的な勉強方、そして試験で穴になりやすい知識についても、簡単に以下で説明していくつもりです。詳細は、過去問題集やテキストで学習するとしても、大まかなところの知識が本稿を読まれただけで身につくようにしたいと思います。
個人情報保護士勉強法(1500字×5記事ほど)
└個人情報保護士試験範囲の情報収集法
個人情報保護士試験の準備をしようとする際、ほとんどの方は個人情報保護法の条文などお読みになったことがないかと思います。そのような方のためには、財団法人全日本情報学習振興協会のホームページから、
1.個人情報保護に関する法律
2.個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン
(平成16年10月22日厚生労働省経済産業省告示第4号)
がダウンロードできるようになっていますから、一度条文をお読みになることをお勧めします。暗記する必要は全くありません。後に詳しくご説明するとおり、体系的に個人情報保護法の概略を掴んで、その体系から各条文が当然の内容だなと感じるようになった時点で、勉強完了です。何度も言いますが個人情報保護士試験はマークシートですから、間違っている選択肢と正しい選択肢が区別できれば合格するのです。但しせっかく「個人情報保護士」として世の中の役に立つのですから、ただ合格するだけではなく、具体的な適用事例は過去問をつぶしこみながら理解はしておきたいですね。単なる試験オタクになったのでは、会社も自分の努力も報われません。
次に個人情報保護士試験は、その名称にも関わらず情報セキュリティに関する出題も結構なされます。個人情報保護士試験を何の対策もなく受験する方にとって穴になるのは情報セキュリティ関係の問題であり、既にIT系の仕事をしていて情報処理推進機構が実施する国家資格の「情報セキュリティアドミニストレータ」や「テクニカルエンジニア(情報セキュリティ)」「システム監査技術者」等に合格するのに十分な情報セキュリティに冠する知識がある方ならば、個人情報保護法の勉強だけで合格可能かと思いますが、そうでない方は、情報系の知識も集める必要があります。無料で情報を得たいのであれば、「情報セキュリティ」というキーワードで検索すれば、「暗号化」「パスワード管理」「ISMS」「サーバの要塞化」「情報セキュリティの3要素」等の情報を簡単にまとめた初心者向けのページが沢山発見出来ます。業務に関連の深い方は、会社業務の一環として検索して勉強してみても良いでしょう。また他の資格も同時に取得して、自分は情報セキュリティの専門家になりたいという方は、先に述べた「情報セキュリティアドミニストレータ」や「テクニカルエンジニア(情報セキュリティ)」「システム監査技術者」等のテキストも購入して、同時取得を目指すのも良いかも知れません。またシステム監査技術者の資格を持っている方は、論文審査はありますがシステム監査に関するほかの資格の認定もされることがある(難関資格なのでシステム監査技術者試験合格者は一部試験免除のようなことをしている試験もいくつかある)ということも知っておいて良いでしょう。システム系の資格を狙う方はとかく法律系やISO系に弱いですし、法律系の資格を狙う方はとかく技術系が弱いものです。その二つをもって本当のプロを目指すのも面白いでしょう。ちなみに「情報セキュリティアドミニストレータ」は情報システムのユーザー側企業の立場で「情報セキュリティ」の確立を推進する者のための資格で、「テクニカルエンジニア(情報セキュリティ)」は情報システムに関するベンダー側企業の立場で「情報セキュリティ」の確立を推進する者のための資格、「システム監査技術者」は現場とははなれた第三者的な客観的な観点から「システム」の導入、運用などが適切に行われているのかをチェックするお目付け役です。「システム監査技術者」試験は、システム系の方が良く受験される資格ですが、「プロジェクトマネージャ」資格と同じく、文系的要素が高い試験であり、以外と文系の方の方が合格しやすいのではないでしょうか?但し試験難易度に関しては、合格率自体は10%前後という難関資格であり、且つ記述問題・論文問題もあるところが多少曲者です。
しかし、そこまで本格的に情報収集する時間がない方がほとんどでしょう。そのような方には市販の「個人情報保護士」対策テキスト、問題集を購入して勉強することをお勧めします。全ての情報が詰まっているわけではありませんが、合格に必要にして十分な最低限度の知識を最短の時間で入手したい方にはうってつけです。ですが、それも面倒な方のために、次に全体構造をここで説明してしまいましょう。あくまで全体構造であり、過去問題集などで詳細を勉強するべきですが、下記のポイントはどれも落としてはいけないものです。ひとつひとつの論点、それぞれの原理・原則の意味内容などはしっかり理解しておく必要があります。
(1)収集制限の原則
個人データは、適法・公正な手段により、且つ情報主体に通知または同意を得て収集されるべきである。
(2)データ内容の原則
収集するデータは、利用目的に沿ったもので、且つ正確・完全・最新であるべきである。
(3)目的明確化の原則
収集目的を明確にし、データ利用は収集目的に合致するべきである。
(4)利用制限の原則
データ主体の同意がある場合や法律の規定による場合を除いて、収集したデータを目的以外に利用してはならない。
(5)安全保護の原則
合理的安全保護措置により、紛失・破壊・使用・修正・開示等から保護すべきである。
(6)公開の原則
データの収集の実施方針等を公開し、データの存在・利用目的、管理等を明示すべきである。
(7)個人参加の原則
データ主体に対して、自己に関するデータの所在及び内容を確認させ、または異議申立を保証すべきである。
(8)責任の原則
データの管理者は諸原則実施の責任を有する。
要は、情報主体(その情報が関わる個人)に無断で変な情報の集め方、使い方をしてはいけません。但し事後も含めて同意を得た場合はいいですし、情報の取得などについては事前に開示しておいて下さい。情報は正確で最新のものにして、安全管理をしっかりすることで個人に資するだけではなく、経済的に効率的に使用できるようにして下さいという内容です。この常識からもう一度8原則を全て思い出すことが出来ますか?暗記は頭に入れることよりも、試験会場で記憶を復活させる方が難しいです。思い出す訓練をしながら、覚えてください。
個人情報に関しては
1.利用目的の特定・制限(15・16条)
2.適正な取得(17条)
3.取得に際しての利用目的の通知(18条)
4.苦情処理(31条)
が論点となります。OECD8原則との関連で理解してください。
個人データに関しては
1.データ内容の正確性の確保(19条)
2.安全管理措置、従業者・委託先の監督(20・22条)
3.第三者提供の制限(23条)
が論点となります。情報システムに関するセキュリティと第三者提供のお話ですね。
保有個人データに関しては
公表、開示・訂正・利用停止等が論点となり、そもそももっている個人データを情報主体からの要望があった場合にどのようにするべきかを述べています。
OECD8原則から、個人情報保護法がどのように構成されているべきかを、条文番号は覚えなくても結構ですから、考えてみると良い勉強になり、バラバラに暗記するのと比較して、全てがもれなく定着するはずです。
└試験に出る例外(例外は例外なく出題されるの法則)
法律に関する試験に限らずどの試験でも、「重要な例外」は絶対に試験に出ます。ここでは「第三者開示の制限」に関する例外と「情報開示請求」に関する例外を説明しましょう。ここで復習しておきますが、「第三者に勝手に個人の情報を漏らしてはいけない」ことや「個人情報の主体が自分の情報を開示してくださいと言った場合には、原則開示しなければならない」というのはいいですね。
①個人データの第三者開示制限の例外
個人情報保護法の条文に即して言えば、次の例外があります。
1.法令に基づく場合
2.人の生命、身体又は財産の保護のための必要がある場合にあって、本人の同意を得ることが困難である場合
3.公衆衛生の向上または児童の健全な育成の促進のために特に必要ある場合であって、本人の同意を得ることが困難である場合
4.国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要があって、本人の同意を得ることにより当該事務の遂行に支障を及ぼす恐れがある場合
例えば救急患者が意識不明なときに家族から、その患者の既往歴などを聞くことが出来なかったりしたら大変です。遭難者の救助を家族が求める時に、そもそもその場にいない人に「あなたの名前を警察に届けていいですか?」と聞くことが出来るでしょうか?そのような例は過去問の中に沢山あります。問題を解答しながら、これのことを言っているだなという勘を働かせる訓練をしていくと良いでしょう。
②開示請求の例外
個人情報取扱事業者は、本人から保有個人データの開示を求められたときは、以下のいずれかに該当する時を除いて、遅滞なく開示しなければならない。ただし6ヶ月以内で消去されることが予定されている情報や情報の存否を明らかにすることによって、公益等が害される情報は除かれる。
1.本人又は第三者の生命、身体、財産その他の権利利益を害する恐れがある場合
2.当該個人情報取扱事業者の業務の適正な実施に著しい支障を及ぼすおそれがある場合
3.その他の法令に違反することとなる場合
まとめると個人のための個人情報保護の利益と、他の人が被る迷惑との中をとって解決しようということです。いい加減なようですが、このような考え方を法律学では比較考量論といいます。
└忘れやすい論点となぜか誤解されることが多い事項(最後の攻めどころ)
試験対策をする場合、なぜか多くの受験生が誤解していることが多い事項というものが存在します。また多くの人が常識と思っていることと、原理原則が乖離しているものもあります。さらに個人情報保護士試験の場合には、「個人情報保護士」という名称のせいで、個人情報保護法の勉強だけをしていて、情報系の知識やISOの対策をしていないために、その問題が全滅という人もいるので、その点を最後に述べておきしょう。
なぜか誤解されることが多い事項は、個人情報保護体制を整えるときに必要な、「個人情報保護方針」に関するものです。現実に会社で業務を行う場合、何らかの方針案を書面化するのは確かに総務部などかも知れませんが、それはあくまで草案に過ぎず、方針を出すことが出来るのは、戦で言えば大将です。方針であるからには、トップマネジメントも含めた会議体、例えば役員会などで正式承認をとり、代表取締役名で出すのが本当です。ところが多くの方は、業務としての文書作成だけを見ているために、「方針」の作成者を「監査役」としてしまったり、その内容を「具体的な個人情報の保護方法についての内容」と思ってしまったりして、間違えます。方針はあくまで社の方針、抽象的であっても個人情報保護の大切さを社内に宣言し、これから体制をつくるぞという大将の号令なのです。またこんな間違いをする人もいます。「個人情報保護方針は会社の重要事項であるから、一部の関係者を除き、厳重に機密として管理しなければならない」などという選択肢を選んでしまう方。方針は徹底してこそ方針です。社員に見せられない方針はそもそもナンセンスですし、方針は企業のホームページにも掲載されているところが多いことなどから勘を働かせるべきでしょう。
誤解されることが多い事項の次は、会社でのパソコンの管理です。模範解答的には、使用していない時には、施錠されたロッカー等に保管するとなります。ISMSなどではこのようなことが推奨されていますが、現実問題として、パスワードをかけることぐらいしかしていないのではないでしょうか?それは現実であって、理想論はどうかというのが解答となります。そもそも多くの事業者が個人情報保護対策ができていなかったために出来た法律といえますから、この部分の常識にずれがあっても当然といえば当然ですが・・・・。
第二にシステムに関する知識です。情報処理技術者試験などを受験したことのある方は、比較的この分野は得意であると思われます。情報セキュリティ関連の出題は、情報セキュリティアドミニストレータやテクニカルエンジニア(情報セキュリティ)だけではなく、他の多くの試験でも出題されますから。
そこでここでは情報システムに関して予備知識のない方のために簡単な概略と勉強方法を書くことにしましょう。
個人情報保護法に関連した情報システムプロパーの知識はそれほど高度なものが出てくるわけではありません。但し次のようなことは最低限度理解しておく必要があります。
情報セキュリティの3要素といわれるのは、機密性(Confidentiality)、完全性(Integrity)、可用性(Availability)であり、頭文字でCIAとなることから、「CIAがチェックする情報セキュリティ」と語呂合わせで覚えたりします。機密性とは、権利のない人が情報システムにアクセスしたり、情報を見たり出来ないようにしなければならないということで、例えば不正侵入を防止するためのファイアウォール装置や、侵入探知装置(IDS Intrusion Detection System)、その進化した形である侵入防止・探知装置(IDPS Intrusion Detection and Protection System)が関連します。またパスワードを設定して本人以外に使えないようにするなどもこれに関連する事項ですね。完全性とは、システムが不正に改変されずに完璧な情報を提供するものでなければならないということで、例えばホームページの改竄などは、完全性に関連した問題ということになります。最後の可用性とは使いたい時に、きちんと使えなければいけないということで、これを脅かすものとしては、DoS攻撃(Denial of Service)等があげられます。
情報セキュリティを脅かすものの中で一番の脅威は「人」といわれています。だからこそ下請け管理や、社員・取引業者との秘密保持契約の締結が必要とされています。例えばハッカーまがいの技術を使って侵入するよりも、社内の人間で口の軽い人からパスワードを聞きだした方が簡単で確実です。またパソコンの画面の横にパスワードを忘れないように付箋紙で貼り付けている人などもたまにいるようですが、そのようなパスワードを外部の人間が見てしまうというリスクもありますね。ソーシャルエンジニアリングと呼ばれる人に関する脅威です。
この他脅威に関する事項として、新聞などで目にすることの多いウイルス、ワーム、スパムメール、スプーフィング(ネットワークを利用した一種の盗聴技術)、フィッシング(見た目そっくりのホームページにいざなって、銀行か何かのようなふりをして情報を入力させること)、トロイの木馬などは、テキストに出ているはずですから、その定義を覚えておいてください。
情報セキュリティ対策として、暗号化に関する知識はもっておかなければなりません。CA(認証局)とは何かに関する問題が、情報処理関係の試験でよく出題されおり、筆者が受けた試験会場でも、受験した他の方が「CAって何だ?」と仰っていたので意外な盲点になった論点だったのでしょう。人の振り見てという言葉通り、暗号化に関する説明はしっかり読んでおきましょう。一般にPKI(公開情報鍵基盤 Public Key Infrastructure )に関する出題がなされることが多いということも知っておくといいでしょう。
最後にISOに関して、実はもう説明しています。BS7799やOECDガイドライン、ISMS、プライバシーマークに関する知識が問われるのです。BS7799の各パートと、ISOの関係、JIS規格との関係をもう一度読み返して見てください。但し暗記の要素が高い部分ですから、これは試験前日にもう一度覚えなおしするぐらいの気分で勉強した方がいいかも知れません。
1.とにかく最短で「個人情報保護士」の資格を得たい人
2.勉強したいが時間のない人(あるいはそのように言い訳したい人)
のためのプログラムです。筆者も仕事の前と仕事の後合計2時間2週間程度の勉強しか出来なかったわけですが、ポイントを抑えれば確実に合格できる試験であると、受験してみて、元予備校講師の勘が叫びました。そこで具体的に説明しましょう。まずはいきなり2週間でというのではなく、3週間程度の準備をする場合、
第一週 全体構造の把握
第二週 過去問つぶし
第三週 過去問復習とネットでの情報検索
第一週の全体構造の把握とは、まず「森」を見よということです。法律系の学習の初心者によくある間違いは、細かな条文ととにかく全部暗記することが法律の学習だと思うことです。本当に条文を全部暗記できればすばらしいですが、普通はそんなことは出来ないでしょう。出来たとしてもそもそも短期合格を狙う方にはその時間がないはずです。
法学部での勉強は、その法律がなぜ制定されたかという制定趣旨を学び、その趣旨から当然に導かれる重要な原理・原則をじっくり考えながら学びます。次に具体的な条文をつぶしていきながら、その中で重要な原理・原則がどのように条文として具体化しているかを納得していくというスタイルをとります。そして時には判例という実例を見ながら、条文の理解の深め、あるいは現在までの学説の問題点などを考察するというのがオーソドックスな学習スタイルです。条文が暗記できているかどうかを徹底的に小テストでチェックするなどというようなことは決してしません。こうすることで条文を読む前から、「この法律の制定趣旨はこういうことだったから、こんな原則が出てきた。だから具体的にこんな場合には、こういう風になっているのだろうな」という予想が出来るようになります。こうなれば占めたものです。知らない条文の内容が予想できる。但し人には勘違いというものがありますし、すぐに予想できる結論に注意書きが必要な時、法律は具体的な条文に注意書きを書きます。その部分の理解をも深めるために条文を読み、判例を学習するのです。個人情報保護法の最初のところで述べたとおり、個人情報保護法は個人情報の経済における利用と個人情報保護という二つの目的を調停するために作られた法律ですから、その二つの観点から、当然に「どうすれば個人情報が使えるのか」「どんなことをしてはいけないのか」という観点が出てきます。そういう風に個人情報保護法を勉強すればよいのです。OECDガイドラインは、それぞれの観点からどのように導きだされるか自分の中で説明できますか?個人情報保護法の各条文の内容は上記の観点から「当然にこうなるべき結論だな」と納得できますか?それが出来れば概略の知識は身についたといえます。
第二週目の過去問つぶしは、ただ解答するだけではなく、各設問の選択肢がどうして「誤っている選択肢なのか」「正しい選択肢なのか」を解説を読みながら、条文を理解した時のようにひとつひとつ納得しながら読むということなのです。知識を得るためではなく、理解を深めるために行う学習工程です。
まず泣いても笑っても一度時間をきちんと計って1回分の試験問題を全て解答してください。ここで80%近い正答率だった方、おめでとう御座います。あなたは確実に合格するでしょう。余り良くなかった方、次のことを行えば確実に合格します。
間違った問題の選択肢に関してまず、徹底的に解説を読んで下さい。ひとつひとつの選択肢のどの部分がおかしいのか、正しいのかを吟味するように読み込んで下さい。このように読まなければ、全く同じ問題が出題されない限り役に立たない勉強をしたことになります。逆にこのようにすることによって「同様の出題意図」の問題は確実に解答できるようになります。次に正解した問題の選択肢についても徹底的に読み込んで下さい。間違えた問題よりは、出題者の意向に合った考え方をしているあなたですが、時には誤解しているせいで正解にいたることがあります。考える道筋を大切にしましょう。
一通り上記の作業が終わった段階、出来れば翌日以降にもう一度同じ過去問を時間制限をつけて解答してみてください。かなり良い点数のはずです。これがあなたの実力です。中には、「一度やった問題だから出来ただけ」という良心の呵責を感じる方もおられるでしょう。安心してください。あなたは解答を暗記したのではなく、考え方を理解して問題を解答したわけですから、恐らく同じ出題意図の問題であれば、ほぼ同じ程度の正答率は得られるはずです。このようにして次の年度の問題にも手を伸ばしてください。
最後の過去問の復習とネットの情報検索は、以上のようにして行った過去問つぶしを最後にもう一度やってみながら、ネットでの情報検索で抜けている論点がなかったかを調べるというものです。ただし筆者は2週間しか勉強時間がなかったですから第二週目の過去問つぶしでタイムオーバーとなりました。但しこの最後の一週間があれば、もっと試験会場で自信が持てたのではないかと思います。そこで読者のみなさんにはこれをお勧めします。試験問題には、たまにタイムリーな話題が出てきます。突然新しい基準や、改正が決定しているかも知れません。過去の問題だけを勉強していては、その情報を得ることが出来ないでしょう。最後に最新の情報を読みながら、仕上げをするというのがこの第三週目なのです。
[PR] バイク買取
選択肢の中で明らかに間違っているもの、正しいものが分かるような問題、これが問題の過半数を占めますが、個人情報保護士の試験は各分野80%以上の正答率でなければ合格しません。そこで、すぐに解答が出ない問題でも正答率を高める方法論が必要となります。マークシート問題の中で良問(選択肢がよく練られた難問)では、一般におかしな選択肢を消していくと最後に2つの選択肢が残るものが多いです。消去法で解答するというのも、試験テクニックのひとつなので、このこと自体をご存知なかった方は試験会場で試す前に過去問つぶしの段階でやってみてなれておくことが必要です。一箇所でもおかしなことを言っている選択肢は間違いですから、うそを見つけて、絶対に選んではならないものを選ばないようにしながら解くことはマークシート解答の定石といえます。2つの選択肢が残った時点で、日頃の行いがよほど悪い方でなければ、確率50%でこの難問にも正解するでしょう。でももっと高度な技があります。次の例を見て下さい。
①ACE
②BCF
③ADE
④ACE
の中から正解を選びなさい、と言われたら皆さんはどれを選びますか?問題はなくてもいいのです。選択肢の中から十分に選べます。解答は①です。ではその理由を考えて見ましょう。
全ての問題作成者は正解をまず考えます。(ACE)、次にこれと紛らわしい選択肢を出題者は考えるでしょう。そもそも最初の文字から違うもの(BCF)、2番目の文字が違うもの、3番目の文字が違うもの。いきなり最初からばればれの選択肢であるBCFは余りにもイージーですから、これは引っ掛けの選択肢です。熟練した出題者はこのようなへまはしません。①から④で二番目がDとなっているのは③だけですが、これですぐ分かるのはイージーですから③も除外、四番目の文字Fとなっている②は既に除外されていますから解答は①となります。これは言葉の順番のことを言っているのではなくて、文字ひとつひとつは個人情報保護法に関する論点のことを言っています。たとえばAが「個人情報データ」Bが「個人情報データベース」の場合、「個人情報データベース」という言葉ですぐに分かる選択肢は余りにイージーなので間違いである可能性が高いということです。つまり「正解とは全ての選択肢の中で最も特徴的な内容のもの」であるということです。これは出題者がまず正解を考えてから選択肢を考えることから出てくる特性です。但しあくまでこれは迷った時の最後の手段、正攻法で一つ一つの選択肢を吟味して解答するのが王道です。ひとつひとつの選択肢を吟味する際のも、一般的な技はあります。「全て○○である」とか「ことは絶対に許されない」とかいう表現が選択肢にあるときに、怪しいと感じる方はセンスがあります。「全て」とか「絶対に」というような表現がなぜ付いているのでしょうか?このような場合には、法律上の例外が認められているのに「絶対に出来ない」と書いてある誤りの選択肢であることが多いです。「不必要に言葉を限定してある表現はそもそも怪しい」ということは知っておいて良いでしょう。
短期間とは言え準備をしてきた読者です。上記の技もいざとなればありますから、確実に合格してください。
└勉強のためのスケジュール2-1(余裕合格の長期計画)
長期スケジュールを立てて勉強する場合、気をつけるべきは余りだらだらやったのでは短期スケジュールで勉強するよりも効率が悪いことがありうるということです。例えば経験はないでしょうか?大学受験などの場合、後1年あると思って漫然と勉強していると、結局、所謂受験勉強らしい受験勉強が出来た期間は夏休み明けからだったというようなことが。ですから長期スケジュールとは言っても余り長すぎない計画が必要なのです。
今までの「個人情報保護士」試験の実施スケジュールを見る限り、1度試験に申し込んだものの、勉強時間がなくて次回にまた受験したいと思った場合、大体3ヶ月程度のスパンがあるように見えます。おそらく「個人情報保護士」試験の実施母体である財団法人情報学習振興協会自身が、試験の準備期間を標準で3ヶ月程度という風に考えているのではないかと分析し、長期スケジュールは3ヶ月計画と仮にしてみました。例えば次のような形です。
1ヶ月目 個人情報保護法全体に関する把握
2ヶ月目 個人情報保護法に関連した情報システムのセキュリティに関する知識の完成
3ヶ月目 ひたすら過去問演習
1ヶ月目の個人情報保護士法全体に関する把握のところでは、本稿を読んで、個人情報保護法の概略を掴んだ後、認定テキストなどを読み込み、まずはOECDガイドラインの暗記、そこから個人情報保護法に関する様々な原理原則をひとつひとつ納得しながら、細かな条文をつぶしこむように読み込みます。ここでも条文を暗記する必要はありませんが、条文を読みながら、理解を進める内に自然に知識量も増加するはずです。
2ヶ月目の情報システムのセキュリティに関する知識では、短期学習では用語の暗記ぐらいしか時間がない人が多いので、ここを長期学習した方は武器にして合格に更に近づけます。認定テキストなどを活用して、まずは基本用語の暗記から、基本概念の理解をしっかり行ってきます。新聞・テレビなどでよく出てくる用語が多いですから、新聞などの記事に出てくるたびに、テキストを読み返して理解を深めるという方法も良いでしょう。こうすることで、更に知識の深みが出てくるはずです。
ここまでやった上で、必ずして欲しいこと、それは過去問の演習です。ただ問題に解答するだけではなく、時間を決めて解答し、時間配分の感覚を掴むことと、設問ひとつひとつの意味を解説を読んで理解するということ、これは必ずやってください。短期学習の方は、過去問を中心に勉強せざるを得ないので、この点は問題ないのですが、長期学習の方には、かえって過去問演習をしていなかったというような方を見受けます。例えば司法試験の勉強の際に論文式の対応のために、きちんとした体系書の読み込みはしていて、論点はばっちりなのに、客観式のテストである択一の過去問演習を余りやっていない人というのは意外と見受けられるものです。
基本をみっちり叩き込む長期スケジュールの勉強ですから、正解率は短期学習型よりもはるかに高くなるはずです。
プロジェクトマネジメントの技法のひとつに、ひとつ一つの仕事のフェーズで何をしてその仕事が完成したとみなすかのマイルストーンを置くという方法があります。こうすることで仕事の進捗を明確に計測することが出来るのですが、知識の完成度合いに関しては試験が一番です。
例えばこの「個人情報保護士試験」の実施母体である財団法人情報学習振興協会が実施する資格試験として、「個人情報保護士試験」とは別に「個人情報保護法検定」と「情報セキュリティ検定」があります。「個人情報保護士試験」では、個人情報保護法に関する知識のほかに、ISOや情報技術に関する知識も問われますが、「個人情報保護法検定」は個人情報保護法に関する知識に特化しており、「情報セキュリティ検定」では情報セキュリティに関する知識に特化しています。その意味でそれぞれの分野がより深いところまで理解を問われるのですが、勉強が進んでいるかどうかを自分で確かめるために、個人情報保護士試験の勉強の過程で、こういった試験を組み込んでみるのも良い方法です。勉強が進むだけではなく、個人情報保護士試験合格の暁には、同時に3つの資格の保持者になるわけですから。更に「個人情報保護法検定」合格者には「個人情報保護士試験」の一部免除の特権すら与えられます。是非この方法を試すと良いのではないかと思います。
またシステム系の知識に自身のある方は、情報処理推進機構が実施する国家資格「情報セキュリティアドミニストレータ」や、「テクニカルエンジニア(情報セキュリティ)」を勉強のスケジュールのマイルストーンに組み込んでもいいでしょう。セキュリティ関係の試験では、個人情報保護法などについても問われることが多く、個人情報保護法の勉強をしているということは、他の受験生よりも一歩先を進んでいるのですから、システム系の方は、是非とも受験してみてください。ちなみこの二つの試験は、情報処理試験改革により一つの資格試験に将来統合が予定されています。
以上のようにマイルストーンとして、個人情報保護士試験の勉強をしながら他の資格も取得するという方法により資格のマルチホルダーになりながら、タイトな勉強をするという方法を紹介しました。しかしここで気をつけて下さい。資格マニアになるのが目的ではないということ。
ただ資格を集めるということを目的として勉強したのでは、周りの人、特に会社の理解は得られません。もしかすると「仕事もろくにしないで、つまらない資格にうつつを抜かしている」等を思われると返ってマイナスです。また転職準備を考えている人も、仕事と無関係に資格ばかり集めている人と思われるのはマイナスです。自分の仕事のクオリティをあげるために勉強をし、勉強の証として資格を得るという目的意識を持って勉強し、実際に覚えた知識を自分の仕事の中で使って、上司・同僚から「あいつは個人情報保護法にやたら詳しい。個人情報に関してはあいつに聞け」といわれる人材となることで、資格を得ながら会社の評価を得ることが大切です。何を目的として資格を得たいのか。勉強を開始する前にしっかり考えるべきなのです。