【ITパスポート練習問題 6.3対応】5.セキュリティ関連法規

【解説】

正解: 2 情報セキュリティに関する基本的枠組みの設定

この問題は、サイバーセキュリティ基本法が、個別の犯罪を取り締まる法律ではなく、日本のサイバーセキュリティ政策全体の土台となる「基本法」としての役割を持つことを理解しているかを確認するものです。

正解の選択肢2の通り、この法律の主な目的は、国や地方公共団体、重要インフラ事業者などの関係者が果たすべき責務や、施策の基本方針（戦略の策定、体制の構築など）といった「基本的枠組み」を定めることです。

選択肢1の「国民の個人情報の削除の義務化」は、個人情報保護法など、個別の法律が扱う内容です。 選択肢3の「サイバー犯罪者の刑罰の引き上げ」は、不正アクセス禁止法や刑法など、具体的な犯罪と罰則を定める法律が扱う内容であり、基本法の目的ではありません。

【解説】

正解: 3 個人情報保護委員会の設立

この問題は、サイバーセキュリティ基本法に基づいて行われる施策と、他の法律（特に個人情報保護法）に基づく施策とを、正しく区別できているかを確認するものです。

正解の選択肢3の「個人情報保護委員会の設立」は、サイバーセキュリティ基本法ではなく、「個人情報保護法」に基づいて設立された機関です。個人情報の保護と利活用の監視・監督を目的としています。

選択肢1の「サイバーセキュリティ戦略の策定」は、この基本法に基づき、政府が全体的な戦略を立てることを定めた、中核となる施策です。 選択肢2の「国際的な協力体制の構築」も、サイバー攻撃が国境を越えて行われることから、他国と連携することの重要性が基本法に明記されています。

【解説】

正解: 3 海外のIT企業

この問題は、サイバーセキュリティ基本法が、日本の法律として、主にどの範囲の組織に責務や努力義務を課しているかを理解しているかを確認するものです。

正解の選択肢3の通り、この法律は日本の国内法であるため、日本国外に本社を置く「海外のIT企業」に対して、直接的に日本の法律を適用し、義務を課すことは原則としてできません。

選択肢1の「政府機関」や選択肢2の「重要インフラ事業者」（電力、ガス、鉄道、金融など）は、国の安全保障や国民生活に重大な影響を与えるため、この法律によってサイバーセキュリティ対策の強化が求められる主要な対象です。

【解説】

正解: 2 他人のID・パスワードを無断で使用する行為

この問題は、不正アクセス禁止法が規制する「不正アクセス行為」とは、具体的にどのような行為を指すのか、その典型例を理解しているかを確認するものです。

正解の選択肢2は、不正アクセス行為の最も代表的な例です。他人のIDやパスワード（識別符号）を無断で入力し、アクセス制御されているコンピュータやシステムにログインする行為は、この法律で明確に禁止されています。

選択肢1の「インターネット上の公開情報の閲覧」は、誰でもアクセスできるように許可されている情報を見ているだけなので、不正アクセスにはあたりません。 選択肢3の「ソフトウェアの合法的な購入とインストール」も、正当な手続きによる行為であり、何ら違法性はありません。

【解説】

正解: 2 自分のアカウントへのアクセス

この問題は、不正アクセス禁止法が、あくまで「他者」の利用権限を侵害する行為を罰する法律であり、自分自身の正当な権利に基づく行為は対象外であることを理解しているかを確認するものです。

正解の選択肢2の通り、自分自身にアクセスが許可されている「自分のアカウント」に、自分のIDとパスワードを使ってログインする行為は、当然ながら正当な利用であり、不正アクセス禁止法の罰則対象にはなりません。

選択肢1の「セキュリティの脆弱性を悪用したネットワーク侵入」は、アクセス制御を回避する行為であり、不正アクセスにあたります。 選択肢3の「他人のパスワードを盗む目的のフィッシング攻撃」は、不正アクセス行為そのものではなくても、それを助長する行為（識別符号の不正取得）として、この法律の罰則対象となります。

【解説】

正解: 1 サイバー犯罪の防止と情報セキュリティの強化

この問題は、「不正アクセス行為の禁止等に関する法律」（不正アクセス禁止法）が、何のために作られた法律なのか、その制定目的を理解しているかを確認するものです。

正解の選択肢1の通り、この法律は、不正アクセス行為という「サイバー犯罪」を明確に禁止し、罰則を定めることで犯罪を「防止」し、IDやパスワードによるアクセス管理という社会の「情報セキュリティ」の仕組みを守ることを目的としています。

選択肢2の「インターネット通信速度の向上」は、通信インフラの技術的な課題です。 選択肢3の「IT製品の開発基準の策定」は、工業規格や標準化の課題であり、いずれも犯罪の防止を目的とするこの法律とは分野が異なります。

【解説】

正解: 2 特定の個人を識別できる情報

この問題は、個人情報保護法が守ろうとしている「個人情報」とは、どのような情報を指すのか、その基本的な定義を理解しているかを確認するものです。

正解の選択肢2は、個人情報の法律上の定義（またはその中核）を説明しています。氏名、生年月日、住所、電話番号など、その情報単体、または他の情報と組み合わせることで、「特定の個人を識別できる」情報が個人情報にあたります。

選択肢1の「匿名の統計データ」は、例えば「30代男性の平均年収」といった情報であり、特定の個人を識別できないため、個人情報には該当しません。 選択肢3の「企業の売上データ」は、個人の情報ではなく企業の情報であるため、個人情報保護法の対象ではありません。

【解説】

正解: 2 家庭内での個人的な情報管理

この問題は、個人情報保護法が、主に「事業者」に対して義務を課す法律であり、個人の私的な活動までは規制しないという原則を理解しているかを確認するものです。

正解の選択肢2の通り、個人が「家庭内での個人的な目的」で情報を取り扱う場合（例えば、家族や友人の連絡先を管理する年賀状ソフトなど）は、法律の適用対象外とされています。

選択肢1の「個人情報を扱う企業」や選択肢3の「インターネットサービスプロバイダ」は、事業として個人情報を取り扱う「個人情報取扱事業者」であり、この法律の義務（安全管理、開示請求への対応など）を守る必要があります。

【解説】

正解: 3 個人情報の永久保存

この問題は、個人情報取扱事業者が負う義務の内容を正しく理解しているか、特にデータの「廃棄」についても義務があることを知っているかを確認するものです。

正解の選択肢3の「個人情報の永久保存」は、法律上の義務ではありません。むしろ、法律では「利用する必要がなくなった個人データは、遅滞なく消去するよう努めなければならない」と定められており、不要な情報を持ち続けることはリスクを高めるため推奨されません。

選択肢1の「個人情報の安全管理措置」は、情報漏えいを防ぐために事業者が講じるべき義務です。 選択肢2の「開示請求への対応義務」は、本人から自分の情報の開示を求められた際に、原則として応じなければならないという義務です。

【解説】

正解: 2 個人の趣味で運営するブログ

この問題は、個人情報保護法の義務を負う「個人情報取扱事業者」とはどのような者を指すか、その定義を理解しているかを確認するものです。

正解の選択肢2の通り、「個人情報取扱事業者」とは、個人情報データベース等を「事業」に利用している者を指します。「個人の趣味」の範囲で行われる活動は、反復継続性や営利性などがなく、「事業」とはみなされないため、原則として該当しません。

選択肢1の「ECサイト運営会社」や選択肢3の「会員制スポーツクラブ」は、顧客や会員の個人情報を事業のために取り扱っており、個人情報取扱事業者に該当します。

【解説】

正解: 2 利用者の同意なしに情報を第三者に提供

この問題は、個人情報保護法における最も重要な原則の一つである「第三者提供の制限」について理解しているかを確認するものです。

正解の選択肢2の行為は、法律で原則として固く禁止されています。個人情報を、本人の「同意」を得ずに、元の事業者とは異なる他社（第三者）に渡すことはできません（法令に基づく場合などの例外を除く）。

選択肢1の「利用目的の通知」は、個人情報を取得する際に、何のために使うかを本人に通知または公表する義務であり、行うべき行為です。 選択肢3の「情報漏えい時の速やかな報告」も、万が一漏えいが発生した場合に、個人情報保護委員会や本人に報告する義務であり、行うべき行為です。

【解説】

正解: 1 個人情報の永久保存

この問題は、個人情報取扱事業者に課せられた義務の内容を正しく理解しているかを確認するものです。（以前の問題と類似しています）

正解の選択肢1の「個人情報の永久保存」は、法律上の義務ではありません。法律は、利用目的の達成に必要な範囲を超えて個人情報を保有することを求めておらず、むしろ不要になった情報は遅滞なく消去するよう努める義務を課しています。

選択肢2の「利用者への情報開示請求への対応」は、本人から求められた場合に自分の情報を開示する義務です。 選択肢3の「情報の正確性の確保」は、利用目的の達成に必要な範囲内で、個人データを正確かつ最新の内容に保つよう努める義務です。

【解説】

正解: 2 個人情報保護法違反の監視と指導

この問題は、個人情報保護法の番人として設置された「個人情報保護委員会」の主な役割・業務を理解しているかを確認するものです。

正解の選択肢2の通り、個人情報保護委員会は、個人情報の適正な取り扱いを確保するために設置された独立性の高い機関です。事業者が法律に違反していないかを「監視」し、必要に応じて「指導」、助言、勧告、命令などを行います。

選択肢1の「個人情報を収集してデータベース化する」のは委員会の業務ではありません。 選択肢3の「他国の個人情報保護機関の廃止」は、権限外であり、むしろ他国の機関とは連携（協力）する関係にあります。

【解説】

正解: 3 個人データの無制限な提供

この問題は、個人情報保護委員会の設立目的と、その目的に反する行為を区別できるかを確認するものです。

正解の選択肢3の「個人データの無制限な提供」は、委員会が行うべきではない、誤った行為です。委員会は個人情報を「保護」するために監視・指導する立場であり、自らがデータを「無制限に提供する」ことは、その設立目的に真っ向から反します。

選択肢1の「個人情報保護法の施行状況の監視」や選択肢2の「違反事業者への指導・命令」は、まさに個人情報保護委員会が果たすべき中心的な業務です。

【解説】

正解: 2 国際的なデータ保護基準の調和のため

この問題は、インターネットの普及によりデータが国境を越える現代において、個人情報保護委員会が担う国際的な役割について理解しているかを確認するものです。

正解の選択肢2の通り、現代ではデータが瞬時に国境を越えて転送・処理されます（越境データ移転）。各国の個人情報保護のルール（基準）がバラバラだと、円滑な経済活動と個人の権利保護の両立が難しくなります。そのため、他国の監督機関と連携し、「データ保護基準の調和」を図ることが重要な業務の一つとなっています。

選択肢1の「海外企業の業務停止」や選択肢3の「外国政府のデータ収集支援」は、個人情報保護委員会の目的や権限から逸脱しています。

【解説】

正解: 1 マイナンバー

この問題は、個人情報の中でも特に厳格に扱われる「個人識別符号」の定義と、その典型例を理解しているかを確認するものです。

正解の選択肢1の「マイナンバー（個人番号）」は、法律によって「個人識別符号」の典型例として定められています。これは、マイナンバーだけで特定の個人を識別できるためであり、取り扱いに厳重な制限がかけられています。

選択肢2の「生年月日」や選択肢3の「氏名」は、それ単体では同姓同名や同じ誕生日の人がいるため、個人識別符号にはあたりません。（ただし、これらが含まれる情報は「個人情報」には該当します）

【解説】

正解: 2 クレジットカード番号

この問題は、法律や政令で定められた「個人識別符号」に該当するものと、該当しないものを正確に区別できるかを確認するものです。

正解の選択肢2の「クレジットカード番号」は、特定の個人と結びつく重要な情報ですが、それ自体は個人情報保護法や政令で定められた「個人識別符号」には該当しません（カード会社と個人の契約に基づく番号であるため）。

選択肢1の「顔認証データ」や選択肢3の「指紋データ」は、個人の身体的な特徴をデータ化したものであり、政令によって個人識別符号に定められています。

【解説】

正解: 3 電子メールアドレスの登録

この問題は、「個人識別符号」に該当しないものの具体例を理解しているかを確認するものです。

正解の選択肢3の「電子メールアドレス」は、それ単体では特定の個人を識別できるとは限らないため、法律や政令で「個人識別符号」としては定められていません。（ただし、氏名などと紐づけば「個人情報」には該当します）

選択肢1の「指紋認証のデータ」や選択肢2の「マイナンバー」は、法律や政令で定められた個人識別符号そのものであり、その取り扱いには厳格なルールが適用されます。

【解説】

正解: 2 健康診断の結果

この問題は、個人情報の中でも、特に不当な差別や偏見を生じさせる可能性があるとして、より厳格な取り扱いが求められる「要配慮個人情報」の具体例を理解しているかを確認するものです。

正解の選択肢2の「健康診断の結果」は、個人の病歴や健康状態に関する情報であり、法律で定められた「要配慮個人情報」に該当します。

選択肢1の「名前と住所」や選択肢3の「メールアドレス」は、通常の「個人情報」ではありますが、それ自体が機微な情報とはいえないため、要配慮個人情報には該当しません。

【解説】

正解: 3 第三者提供時に同意は不要

この問題は、「要配慮個人情報」が、通常の個人情報と比べて、取り扱いがより厳しく制限されていることを理解しているかを確認するものです。

正解の選択肢3の「第三者提供時に同意は不要」は、重大な誤りです。要配慮個人情報は、その機微な性質から、第三者に提供する際には、原則として必ず本人の明確な「同意」が必要とされています。

選択肢1の「本人の同意が必要」は、要配慮個人情報を「取得」する際にも原則として必要であり、正しい記述です。 選択肢2の「必要な安全管理措置を講じる」ことも、要配慮個人情報に限らず、個人情報取扱事業者の当然の義務です。

【解説】

正解: 3 購入履歴

この問題は、「要配慮個人情報」の範囲を正しく理解し、該当しないものを区別できるかを確認するものです。

正解の選択肢3の「購入履歴」は、個人の趣味嗜好がわかる「個人情報」ではありますが、法律が定める「要配慮個人情報」（人種、信条、病歴、犯罪歴など）には該当しません。

選択肢1の「人種や信条」、選択肢2の「犯罪歴」は、不当な差別の原因となり得る情報の典型例であり、法律で「要配慮個人情報」として定められています。

【解説】

正解: 2 特定の個人を識別できないよう加工された情報

この問題は、近年のビッグデータ活用などのニーズに応えて導入された「匿名加工情報」の基本的な定義を理解しているかを確認するものです。

正解の選択肢2は、匿名加工情報の定義そのものです。元の個人情報から、特定の個人を識別できる情報（氏名など）を削除したり、一般化（例：30代）したりすることで、特定の個人を識別できず、かつ元の情報に「復元」もできないように加工した情報のことです。

選択肢1の「個人を特定できる情報を含む」のは、元の個人情報です。 選択肢3の「暗号化されたすべての情報」は、鍵を使えば元に戻せる（復号できる）ため、匿名加工情報とは異なります。

【解説】

正解: 1 再識別行為

この問題は、匿名加工情報を取り扱う上で、法律で厳しく禁止されている行為を理解しているかを確認するものです。

正解の選択肢1の「再識別行為」とは、加工されて個人が特定できなくなったはずの情報を、他の情報と照合するなどして、再び特定の個人を識別できるようにする行為を指します。これは匿名加工情報の制度の前提を覆す行為であるため、法律で固く禁止されています。

選択肢2の「統計的な調査の実施」や選択肢3の「マーケティングのための分析」は、個人を特定しない形でのデータ活用であり、匿名加工情報が作られる主な目的（利活用）です。

【解説】

正解: 3 再識別が困難な状態を保つ

この問題は、匿名加工情報を作成したり、取り扱ったりする事業者に課せられる義務について理解しているかを確認するものです。

正解の選択肢3の通り、匿名加工情報を取り扱う事業者は、その情報が再識別されないように、安全管理措置を講じる義務があります。例えば、加工方法に関する情報を漏らさない、他の情報と安易に照合できないようにする、といった管理が求められます。

選択肢1の「本人の同意を必ず得る」必要がないのが、匿名加工情報の特徴（メリット）です。 選択肢2の「匿名化の方法を公開する」義務はありません（むしろ安全管理上、非公開にすべき情報です）。

【解説】

正解: 2 ユーザーの事前同意が必要

この問題は、電子メールの送信や個人情報の取得の許諾方法に関する「オプトイン」という方式の意味を理解しているかを確認するものです。

正解の選択肢2の通り、「オプトイン（Opt-in）」とは、利用者が「参加（in）を選択（Opt）」する、という意味です。つまり、企業がメールを送ったり情報を利用したりする前に、利用者から「許可します」という事前の「同意」を明確にもらう方式を指します。

選択肢1の「自動的にメール配信が行われる」のは、むしろオプトアウト（事後拒否）方式に近い考え方です。 選択肢3の「利用者への通知は不要」ではなく、同意を得るために内容を明示して通知する必要があります。

【解説】

正解: 1 メールマガジンの購読登録

この問題は、「オプトイン」方式が、実際のどのような場面で利用されているか、その具体例を理解しているかを確認するものです。

正解の選択肢1の「メールマガジンの購読登録」は、オプトインの典型例です。利用者が「このメールマガジンを受け取る」という意思を示して、自らチェックボックスにチェックを入れたり、登録ボタンを押したりする行為が、まさに「事前同意」にあたります。

選択肢2の「ウェブサイトのクッキー利用通知」は、国や地域によってオプトインが求められる場合とオプトアウト（拒否の機会を与える）の場合があります。 選択肢3の「システムエラーの報告」は、同意とは関係のない事象です。

【解説】

正解: 2 ユーザーの個人情報保護の強化

この問題は、なぜオプトイン方式が（特に法律などで）推奨されるのか、その導入目的を理解しているかを確認するものです。

正解の選択肢2の通り、オプトイン方式の最大の目的は、利用者の「事前同意」を必須とすることで、本人が望まない情報収集や迷惑メールの受信を防ぎ、個人のプライバシーや意思決定の権利を尊重する（＝個人情報保護を強化する）ことにあります。

選択肢1の「メール配信コストの削減」や選択肢3の「サーバー負荷の軽減」は、オプトインの直接的な目的ではありません。むしろ同意を得る手間（コスト）がかかる側面もあります。

【解説】

正解: 2 自動的に情報利用が開始されるが拒否は可能

この問題は、オプトインの対義語である「オプトアウト」という方式の特徴を理解しているかを確認するものです。

正解の選択肢2の通り、「オプトアウト（Opt-out）」とは、利用者が「離脱（out）を選択（Opt）」する、という意味です。つまり、企業による情報利用やメール配信が「自動的に開始」されますが、利用者には「拒否する権利」が与えられており、手続き（配信停止など）を踏めば停止できる方式を指します。

選択肢1の「利用者が事前に同意する必要がある」のは、オプトインです。 選択肢3の「情報収集が完全に禁止される」わけではなく、拒否されるまでは利用が継続されます。

【解説】

正解: 2 ウェブサイトのクッキー追跡通知

この問題は、「オプトアウト」方式の具体例を理解しているかを確認するものです。

正解の選択肢2の「ウェブサイトのクッキー追跡通知」は、オプトアウト方式が採用されやすい例です。多くのサイトでは「当サイトはクッキーを利用します（同意ボタン）」と表示されますが、これは実質的に「拒否しない限り利用します」というオプトアウト的な運用である（または、拒否する設定が別に用意されている）ことが多いためです。

選択肢1の「メールマガジンの購読開始」は、日本の特定電子メール法で原則オプトインが義務付けられています。 選択肢3の「クレジットカードの発行手続き」は、重要な個人情報を扱うため、必ずオプトイン（本人の明確な申込意思）が必要です。

【解説】

正解: 3 利用者が情報利用を拒否できるようにするため

この問題は、オプトアウト方式が導入される目的（建前）を理解しているかを確認するものです。

正解の選択肢3の通り、オプトアウト方式は、オプトイン（事前同意）ほど厳格ではありませんが、少なくとも利用者に対して「情報利用を拒否する選択肢（権利）」を与え、そのための手続き（配信停止リンクなど）を提供することを前提としています。

選択肢1の「利用者に情報収集を強制するため」や選択肢2の「自動的なデータ処理を効率化するため」は、企業側の都合であり、利用者保護の観点に立った制度の目的とは言えません。

【解説】

正解: 3 本人の同意なしに広告会社へ個人情報を渡す

この問題は、個人情報保護法で厳しく規制されている「第三者提供」に該当する行為と、該当しない行為（内部利用や委託）を正しく区別できるかを確認するものです。

正解の選択肢3が「第三者提供」に該当します。自社（情報を取得した事業者）とは異なる「広告会社」という「第三者」に対して、本人の同意を得ずに個人情報を渡す行為は、原則として法律違反となります。

選択肢1の「社内の担当者間で情報を共有する」は、同一の事業者内の「内部利用」であり、第三者提供にはあたりません。 選択肢2の「外部の業務委託先」への提供は、自社の管理監督下で業務を代行させるものであり、法律上「第三者提供」の例外として扱われ、本人の同意は原則不要です。

【解説】

正解: 1 公共の利益のため必要な場合

この問題は、個人情報の「第三者提供」が、本人の同意がなくても例外的に認められるケースがあることを理解しているかを確認するものです。

正解の選択肢1の通り、法律では、本人の同意を得ることが困難な場合であっても、「人の生命、身体又は財産の保護のために必要がある場合」や、「公衆衛生の向上」「法令に基づく場合」など、「公共の利益」が優先される特定の状況下では、例外的に本人の同意なしでの第三者提供が認められています。

選択肢2の「マーケティング活動のため」や選択肢3の「営業拡大のため」は、純粋に事業者の営利目的であり、本人の同意を省略できる正当な理由にはなりません。

【解説】

正解: 3 提供された情報がすぐに消去される場合

この問題は、個人情報の「第三者提供」が適法（適切）と判断されるための「条件」を理解しているかを確認するものです。

正解の選択肢3の「提供された情報がすぐに消去される場合」は、第三者提供が適法かどうかを判断する条件とは関係ありません。提供が適法かどうかは、提供する「時点」で、本人の同意があるか、または法令などの例外規定に該当するか、で決まります。提供先が後でどう扱うかは、提供の適法性とは別の問題です。

選択肢1の「本人の同意を明確に得た場合」は、第三者提供が適法となる最も基本的な原則です。 選択肢2の「提供先が法的な業務を遂行する場合」は、法令に基づく提供として、同意が不要な例外規定にあたる可能性があります。

【解説】

正解: 2 行政手続きの効率化と公平な社会の実現

この問題は、マイナンバー制度（マイナンバー法）が導入された主な目的を理解しているかを確認するものです。

正解の選択肢2の通り、マイナンバー法の目的は、「税」「社会保障」「災害対策」の3分野において、これまで別々に管理されていた個人の情報を正確に紐づけることで、「行政手続きを効率化」し、所得や行政サービスの受給状況を正確に把握することで「公平・公正な社会を実現」することにあります。

選択肢1の「個人の医療記録の統一」は、将来的な利活用の一つとして検討されていますが、制度導入時の主目的ではありません。 選択肢3の「国民のプライバシー情報の公開」は、目的とは全く逆であり、法律で厳格な保護と利用制限が定められています。

【解説】

正解: 3 税務申告書の作成

この問題は、マイナンバーの利用が、法律によって非常に厳しく制限されていることを理解しているかを確認するものです。

正解の選択肢3の「税務申告書の作成」は、法律で定められたマイナンバーの利用範囲である「税」に関する事務の典型例であり、適切な利用方法です。

選択肢1の「社内の顧客管理システムへの登録」や選択肢2の「インターネットサービスの会員登録」は、法律で定められた「税」「社会保障」「災害対策」のいずれにも該当しないため、これらの目的でマイナンバーを収集・利用することは固く禁止されています。

【解説】

正解: 2 使用後の廃棄または削除

この問題は、マイナンバー（特定個人情報）の取り扱いにおいて、特にその「廃棄」に関して厳格な義務が課せられていることを理解しているかを確認するものです。

正解の選択肢2の通り、マイナンバー法では、法律で定められた事務（税務申告など）を処理する必要がなくなった場合、そのマイナンバーが記載された書類やデータは、「速やかに廃棄または削除しなければならない」と定められています。不要な情報を持ち続けないことで、漏えいリスクを最小限にするためです。

選択肢1の「無期限での保存」や選択肢3の「業務終了後の保管の継続」は、上記の廃棄義務に違反する違法な行為です。

【解説】

正解: 2 EU域内の個人データを処理するすべての企業

この問題は、EU（欧州連合）の個人情報保護法である「GDPR」が、非常に広範囲の企業に適用される（特に「域外適用」）という特徴を理解しているかを確認するものです。

正解の選択肢2の通り、GDPRは、EU域内に拠点を持つ企業だけでなく、EU域内に拠点がない企業（例えば日本の企業）であっても、EU域内にいる個人の個人データ（例：日本企業のECサイトを利用するEU在住者）を「処理」する場合には、適用対象となります。

選択肢1の「EU域外の個人情報を一切扱わない企業」は、当然ながら適用対象外です。 選択肢3の「個人データを販売しない企業」であっても、収集、保存、利用などの「処理」を行う限り、適用対象となります。

【解説】

正解: 2 自身の個人データの削除請求

この問題は、GDPRが「データ主体」（個人）に対して、どのような強い権利を認めているかを理解しているかを確認するものです。

正解の選択肢2の通り、GDPRは、個人が自身のデータをコントロールする権利を重視しています。これには、企業が保有する「自身の個人データ」の開示を求める権利（アクセス権）や、訂正を求める権利、そして「削除を請求する権利」（「忘れられる権利」の一部）などが含まれます。

選択肢1の「企業の資産情報の開示請求」や選択肢3の「他人の個人データの開示請求」は、GDPRが認める個人の権利の範囲を超えています。

【解説】

正解: 3 多額の罰金

この問題は、GDPRが世界中の企業から注目され、対策が急がれている大きな理由の一つである「罰則（制裁金）」の厳しさについて理解しているかを確認するものです。

正解の選択肢3の通り、GDPRに違反した場合の罰則（制裁金）は、非常に高額になる可能性があります。重大な違反の場合、その企業の全世界における年間売上高の最大4%、または2000万ユーロの、いずれか「高い方」を上限とする制裁金が科されることが定められています。

選択肢1の「口頭注意のみ」や選択肢2の「書面での警告のみ」といった軽いものではなく、企業の経営に重大な影響を与えかねない厳しい罰則が特徴です。

【解説】

正解: 1 自分の情報を含むウェブサイトの削除請求

この問題は、GDPRなどで認められている「忘れられる権利」とは、具体的にどのような権利かを理解しているかを確認するものです。

正解の選択肢1の通り、「忘れられる権利」とは、個人が、ウェブ上の検索事業者やサイト管理者に対し、特定の条件（古くなった、不正確である、など）のもとで、「自分自身に関する」個人情報や検索結果の削除（非表示化）を請求できる権利を指します。

選択肢2の「他人のデータ削除を要求する」ことはできません。 選択肢3の「企業の運営情報の公開請求」は、情報公開請求など別の制度の話であり、忘れられる権利とは異なります。

【解説】

正解: 1 公共の利益に関連する情報

この問題は、「忘れられる権利」が、個人のプライバシー保護のための強力な権利である一方で、絶対的なものではなく、他の利益と衝突した場合には制限されることがある、という点を理解しているかを確認するものです。

正解の選択肢1の通り、個人の「忘れられる権利」と、社会全体の「表現の自由」「報道の自由」「国民の知る権利」といった「公共の利益」が衝突する場合があります。例えば、歴史的な事実や、公人の過去の言動など、公共の議論に必要な情報については、削除請求が認められない（適用対象外となる）ことがあります。

選択肢2の「誹謗中傷の記事」や選択肢3の「古い購入履歴」は、むしろ個人のプライバシー侵害にあたる可能性が高く、削除請求の対象となり得る情報です。

【解説】

正解: 3 削除対象が公共の利益に該当する場合

この問題は、「忘れられる権利」の行使が認められない（制限される）正当な理由と、そうでない理由を区別できるかを確認するものです。

正解の選択肢3は、権利の行使が認められない正当な理由です。（前の問題の解説の通り）個人のプライバシー権よりも、社会全体の「知る権利」や「表現の自由」などの「公共の利益」が優先されると判断された場合、削除請求は認められません。

選択肢1の「削除に多額の費用がかかる場合」や選択肢2の「企業が削除方法を知らない場合」は、削除を求められた企業側の都合や技術的な問題であり、個人の権利の行使を拒否する正当な理由にはなりません。

【解説】

正解: 2 データ解析時のプライバシー保護

この問題は、個人情報の利活用技術の一つである「仮名化」が、どのような目的で行われるかを理解しているかを確認するものです。

正解の選択肢2の通り、「仮名化」とは、個人情報（例：氏名）を、それとは直接結びつかない別の符号（例：顧客ID A001）に置き換える処理です。こうすることで、データ解析者は個人名を知ることなく（プライバシーを保護したまま）データを分析できます。一方、元の氏名と符号の「対応表」を別途厳重に管理することで、必要な場合には元の個人に戻すことも可能です。

選択肢1の「永久削除」や選択肢3の「自由な公開」が目的ではありません。あくまで、管理された中での「利活用」と「保護」の両立が目的です。

【解説】

正解: 2 元データと結びつける情報を別に管理する

この問題は、「仮名化」の安全性を確保するために、最も重要な管理方法を理解しているかを確認するものです。

正解の選択肢2の通り、仮名化の安全性のキモは、「仮名化されたデータ（例：A001さんの購買履歴）」と、「仮名と元データを結びつける情報（例：A001＝山田太郎）」、すなわち「対応表」を、物理的・論理的に「分離して（別に）管理する」ことです。これにより、万が一データが漏えいしても、対応表がなければ個人名が特定できないようにします。

選択肢1の「誰でもアクセスできるサーバーに保存する」のは、安全管理として論外です。 選択肢3の「データを公開しても問題ない」のは「匿名化」されたデータの場合であり、仮名化データは対応表と結びつけば個人情報に戻るため、公開できません。

【解説】

正解: 3 法的義務の履行のため必要な場合

この問題は、普段はプライバシー保護のために「仮名化」されているデータが、どのような場合に元の個人情報に戻される（再識別される）か、その正当な理由を理解しているかを確認するものです。

正解の選択肢3の通り、通常は仮名（顧客IDなど）でデータを分析していても、例えばその分析結果に基づき、「法律上の義務」として本人に何かを通知する必要が生じた場合など、正当な理由がある場合に限り、厳重に管理されている「対応表」を用いて本人を特定（再識別）することがあります。

選択肢1の「マーケティング目的」の分析は、まさに仮名化された「まま」行うべきものです。 選択肢2の「企業の意思で必要と判断した場合」というだけでは、再識別する正当な理由としては不十分です。

【解説】

正解: 1 再識別が不可能である

この問題は、「仮名化」と対比される「匿名化」（または匿名加工情報）の最大の特徴を理解しているかを確認するものです。

正解の選択肢1の通り、「匿名化」されたデータは、「仮名化」とは異なり、元の個人情報に戻すための「対応表」を持ちません。氏名などの情報を削除したり、年齢を「30代」のように一般化したりすることで、統計データのように加工し、元に戻せない（＝再識別が不可能な）状態にします。

選択肢2の「一時的に識別可能になる」のは仮名化の特徴です。 選択肢3の「必要に応じて本人同意が求められる」のは元の個人情報です。匿名化データは個人情報ではないとされ、本人同意が不要なのが利点です。

【解説】

正解: 2 市場調査のためのデータ分析

この問題は、「匿名化」されたデータ（再識別が不可能なデータ）が、具体的にどのような用途に適しているかを理解しているかを確認するものです。

正解の選択肢2の通り、匿名化データは、個々の個人を特定することはできませんが、「どの年代の人が」「どの地域で」「どのような傾向があるか」といった、集団としての傾向を分析することに適しています。これは「市場調査」や統計分析に非常に有用です。

選択肢1の「個別の契約更新の通知」や選択肢3の「個人向けメール広告の配信」は、特定の「個人」を識別して行う必要があるため、匿名化データでは実行不可能です。

【解説】

正解: 1 個人情報保護法の適用

この問題は、「匿名化」（正しく加工された匿名加工情報）が、法律上どのような扱いを受けるかを理解しているかを確認するものです。

正解の選択肢1の通り、適切に「匿名化」されたデータ（匿名加工情報）は、もはや「個人情報」ではない、と法律上定義されます。そのため、個人情報であるがゆえに課せられていた「個人情報保護法」の厳しい規制（本人同意のない第三者提供の禁止、開示請求への対応義務など）の多くが適用されなくなります。

ただし、選択肢2の「データの管理責任」や選択肢3の「データの安全対策」が一切不要になるわけではなく、匿名加工情報としての別途の安全管理義務などは課せられます。

【解説】

正解: 2 受信者の明示的な同意

この問題は、迷惑メールを規制する「特定電子メール法」（迷惑メール防止法）の最も重要な原則を理解しているかを確認するものです。

正解の選択肢2の通り、この法律では、広告・宣伝目的のメール（特定電子メール）を送信する場合、原則として、あらかじめ「受信者の明示的な同意」を得なければならないと定められています。これを「オプトイン方式」といいます。

選択肢1の「送信者の事前許可」は無関係です。 選択肢3の「広告の対象商品の在庫確認」も、メール送信の可否とは関係ありません。

【解説】

正解: 2 配信停止の方法を明示する

この問題は、「特定電子メール法」に基づき、広告・宣伝メールを送信する事業者が、メール本文に必ず表示しなければならない義務の一つを理解しているかを確認するものです。

正解の選択肢2の通り、送信者は、受信者が将来「もうこのメールは要らない」と思ったときに、簡単に配信を停止（オプトアウト）できるように、メール本文中の分かりやすい場所に、「配信停止の方法（手続き用のURLや連絡先など）」を明示する義務があります。

選択肢1の「メール内容の暗号化」や選択肢3の「商品の返品方法」は、この法律が定める表示義務ではありません。

【解説】

正解: 1 配信停止の要請後も広告メールを送る

この問題は、「特定電子メール法」に違反する具体的な行為の例を理解しているかを確認するものです。

正解の選択肢1の通り、受信者がメールに記載された方法（オプトアウト）に従って「配信停止の要請」をしたにもかかわらず、送信者がそれを無視して広告メールを送り続ける行為は、受信者の意思を踏みにじるものであり、法律で明確に禁止されています。

選択肢2の「無料情報提供のメール」であっても、実質的に広告・宣伝が目的であれば規制対象です。 選択肢3の「取引先への業務連絡」は、主たる目的が広告・宣伝ではないため、原則としてこの法律の規制対象外です。

【解説】

正解: 2 ウイルスの作成と配布

この問題は、いわゆる「コンピュータウイルス罪」と呼ばれる「不正指令電磁的記録に関する罪」が、どのような行為を処罰の対象としているかを理解しているかを確認するものです。

正解の選択肢2の通り、この法律は、正当な理由がないのに、他人のコンピュータにおいて、その人の意図に反する動作をさせるプログラム（コンピュータウイルスなど）を、「作成」したり、「配布」（提供・ばらまく）したりする行為を処罰します。

選択肢1の「セキュリティソフトの開発」は、ウイルスから守るための正当な行為です。 選択肢3の「コンピュータの購入」も、犯罪とは全く関係ありません。

【解説】

正解: 1 セキュリティパッチの適用

この問題は、コンピュータウイルス（不正指令電磁的記録）による被害を防ぐための、最も基本的かつ重要な対策を理解しているかを確認するものです。

正解の選択肢1の通り、多くのウイルスは、OSやソフトウェアに残っている「脆弱性（セキュリティ上の弱点）」を突いてコンピュータに侵入・感染します。「セキュリティパッチ」とは、その弱点を塞ぐための修正プログラムのことであり、これを速やかに「適用」することが、ウイルス感染を防ぐための非常に有効な防止策となります。

選択肢2の「新しいOSのインストール」だけでは、そのOSのパッチが未適用なら危険です。 選択肢3の「インターネットの利用制限」は、対策としては非現実的です。

【解説】

正解: 3 ウイルス感染後の復旧作業

この問題は、「不正指令電磁的記録に関する罪」が、あくまで「正当な理由のない」悪意ある行為を罰するものであり、正当な目的の行為は対象外であることを理解しているかを確認するものです。

正解の選択肢3の「ウイルス感染後の復旧作業」は、悪意を持ってウイルスを作成・配布する行為とは全く異なり、被害を受けたコンピュータを正常な状態に戻すための、正当かつ必要な対応（防御行為）です。したがって、この罪が適用されることはありません。

選択肢1の「悪意のあるプログラムの販売」は、「配布」行為にあたり、処罰対象です。 選択肢2の「自社のシステムに対するテスト目的のプログラム作成」も、そのプログラムの性質や目的によっては「正当な理由」とは認められず、処罰の対象となる可能性があります。