個人情報保護士受験に際して過去問を見た上で頻出している用語をまとめました。
それではどうぞ(Mステ風)🕺
IT・セキュリティ・個人情報保護 用語集
第1章:個人情報保護法と関連知識
基本的な法律・原則
-
GDPR (General Data Protection Regulation / EU一般データ保護規則)
EU域内の個人データ保護を定める規則。EU居住者のデータを扱う日本企業にも適用される場合があります。 -
OECDプライバシーガイドライン8原則
日本の個人情報保護法の基礎となった、OECD(経済協力開発機構)が定めた個人データ保護に関する国際的な原則。
日本の法制度と関連用語
-
個人情報保護法
個人の権利利益の保護を目的とし、個人情報の有用性に配慮しつつ、その適正な取り扱いを定める法律。 -
プライバシーマーク制度 (Pマーク)
JIS Q 15001に基づき、事業者の個人情報保護体制が適切であることを評価・認証する第三者認証制度。法人単位で付与され、有効期間は2年です。保護対象は「個人情報」に限定されます。
情報の分類
| 個人情報 | 仮名加工情報 | 匿名加工情報 | 個人関連情報 | |
|---|---|---|---|---|
| 特徴 | 生存する個人を識別できる情報、または個人識別符号を含む情報。 | 他の情報と照合しない限り、特定の個人を識別できないように加工された情報。 | 個人を識別できず、復元も不可能な状態まで加工された情報。 | 個人情報、仮名加工情報、匿名加工情報のいずれにも該当しない、生存する個人に関する情報。(例:Cookie情報) |
| 主な用途 | 事業活動全般 | 事業者内部での分析 | 第三者への提供など | - |
| 漏洩報告 | 必要 | 不要 | 不要 | - |
| 開示請求 | 対象 | 対象外 | 対象外 | - |
| 作成時公表 | 利用目的の公表/通知 | 不要 | 必要 | - |
| 第三者提供 | 原則、本人の同意が必要 | 原則、不可 | 可能 | 提供先で個人データとなる場合は本人の同意確認等が必要 |
(引用:個人情報保護士認定試験公式テキスト[日本能率協会マネジメントセンター]より)
用語詳細
-
個人識別符号: それ単体で特定の個人を識別できる符号。
- 該当: マイナンバー、運転免許証番号、パスポート番号、保険証の記号・番号など。
- 非該当: 携帯電話番号、クレジットカード番号。
- 要配慮個人情報: 人種、信条、病歴、犯罪歴など、不当な差別や偏見が生じないよう特に配慮が必要な情報。取得には原則として本人の事前同意が必要です。
- 個人情報データベース等: 特定の個人情報を検索できるように体系的に構成したもの。(例:名刺情報を入力したExcelファイル、五十音順に整理された紙の顧客カード)
- 個人データ: 「個人情報データベース等」を構成する個人情報。
- 保有個人データ: 事業者が開示や訂正などの権限を持つ個人データ。
個人情報の取り扱いルール
-
利用目的
- 特定: 個人情報の利用目的は、できる限り具体的に特定しなければならない。
- 変更: 変更前の利用目的と「関連性があると合理的に認められる範囲」でのみ変更可能。
- 目的外利用: 特定した利用目的の範囲を超えて取り扱う場合は、原則として本人の事前同意が必要。
- 取得時の通知: 個人情報を取得する際は、利用目的を本人に通知または公表する義務があります。ただし、取得状況から利用目的が明らかな場合(例:修理依頼時の連絡先利用)などは適用が除外されます。
-
第三者提供
- 原則: 個人データを第三者に提供するには、あらかじめ本人の同意を得る必要があります。(グループ会社も第三者に該当)
- オプトアウト: 一定の事項を本人に通知し、個人情報保護委員会に届け出ることで、本人の同意なく第三者提供が可能になる制度。ただし、要配慮個人情報は対象外です。
- 共同利用: 特定の者との間で共同利用する場合、所定の事項を本人に通知等していれば、第三者提供の同意は不要です。
罰則の例
| 違反行為 | 対象 | 罰則 |
|---|---|---|
| 委員会への虚偽報告・資料提出 | 個人・法人 | 50万円以下の罰金 |
| 個人情報データベース等の不正提供 | 個人 | 1年以下の懲役または50万円以下の罰金 |
| 法人 | 1億円以下の罰金 | |
| 委員会の命令違反 | 事業者(個人) | 1年以下の懲役または100万円以下の罰金 |
| 事業者(法人) | 1億円以下の罰金 |
第2章:事業継続とリスクマネジメント
BCP / BCM
-
BCP (Business Continuity Plan / 事業継続計画)
災害などで事業が被害を受けた際に、どのように事業を復旧・継続するかを示す具体的な計画書。緊急時に何をどのように行うかを定めます。 -
BCM (Business Continuity Management / 事業継続マネジメント)
BCPの策定、運用、改善を含む、事業継続に関するマネジメント活動全体を指します。
BIA (Business Impact Analysis / 事業インパクト分析)
事業中断が組織に与える影響を分析・評価するプロセスです。BCP策定の基礎となります。
リスクマネジメント (JIS Q 0073)
リスクを管理するための一連のプロセスです。
-
リスクアセスメント
- リスク特定: 組織の目的達成を妨げる可能性のあるリスクを発見し、認識し、記述するプロセス。
- リスク分析: リスクの性質や特徴(必要に応じてリスクレベルを含む)を理解するプロセス。
- リスク評価: リスク分析の結果に基づき、リスクが許容可能かどうかを判断するプロセス。
-
リスク対応 (Risk Treatment)
リスクアセスメント結果に基づき、対策を決定・実行するプロセス。以下の選択肢があります。- リスク回避: リスクの原因となる活動を中止する。(例:リスクが高い新規事業から撤退する)
- リスク修正(軽減): リスクの発生可能性や影響度を低減させる。
- リスク共有(移転): 保険への加入など、他者とリスクを分担する。
- リスク保有(受容): リスクを認識した上で、そのまま受け入れる。
リスクコントロール関連
-
リスクコントロール (Risk Control)
リスクの発生防止や、発生時の損害を最小限に抑えるための具体的な手段。リスクの「回避」「軽減」「転嫁」「保有」などが含まれます。 -
RCM (Risk Control Matrix / リスクコントロールマトリクス)
業務プロセスにおけるリスクと、それに対応する統制活動(コントロール)の関係を一覧にしたものです。主に内部統制の評価や改善に用いられます。 -
リスク管理支援ツール (Risk Control Platform / RCP)
リスク管理活動を効率化・高度化するためのツールやプラットフォーム。
第3章:システム構成と信頼性
RASIS
コンピュータシステムの信頼性を評価するための5つの指標の頭文字をとったもの。
- Reliability (信頼性): システムが故障しにくいこと。
- Availability (可用性): システムが正常に稼働し続けている時間の割合(稼働率)。
- Serviceability (保守性): 障害発生時の復旧のしやすさ、メンテナンスのしやすさ。
- Integrity (保全性/完全性): データが矛盾なく、正確な状態に保たれていること。
- Security (機密性/安全性): データへのアクセスが許可された者だけに制限されていること。
システム構成方式
- シンプレックスシステム: 冗長化を行わない単一構成のシステム。低コストだが、障害発生時にシステム全体が停止します。
- デュアルシステム: 同じ処理を2つのシステムで並行して行い、結果を照合する方式。信頼性は高いがコストも高い。
- デュプレックスシステム: 主系(現用系)と副系(待機系)の2系統を用意し、主系に障害が発生すると副系に切り替える方式。
- タンデムシステム: 複数のシステムを直列に接続し、連携して処理を行う方式。
- 参考:
- デュアルシステム・デュプレックスシステム・タンデムシステム
障害対策技術
- フェイルオーバー: 主系システムに障害が発生した際、自動的に待機系のシステムに処理を引き継ぐ仕組み。
- フェイルバック: フェイルオーバー後、障害のあった主系システムが復旧した際に、処理を元の主系システムに戻すこと。
- フェイルセーフ: 障害が発生した際に、システムを安全な状態に移行させる設計思想。(例:信号機が故障したら赤信号で停止する)
- フェイルソフト: 障害が発生した際に、一部の機能を停止させてでも、システム全体の停止を避け、限定的ながら稼働を続ける設計思想。
- 参考
- フェイルオーバー、フェイルバック
- フェイルセーフ、フェイルソフトなど
ストレージ技術
-
RAID (Redundant Arrays of Inexpensive Disks)
複数のハードディスクを組み合わせて、仮想的な一つのドライブとして運用する技術。データの冗長性(耐障害性)や読み書き速度を向上させます。詳細はこちら
第4章:サイバーセキュリティの概念と技術
セキュリティ概念
-
ゼロトラスト (Zero Trust)
「何も信頼しない」を前提とし、全てのアクセス要求に対して厳格な認証と認可を行うセキュリティモデル。「適切な認証を受けた端末とユーザーだけが、許可されたリソースにアクセスできる」という考え方です。 -
SASE (Secure Access Service Edge)
ネットワークサービスとセキュリティサービス(ゼロトラストを含む)をクラウド上で統合的に提供する概念。利便性や運用最適化まで含みます。ゼロトラストが「考え方」であるのに対し、SASEは具体的な「ソリューション」を指す点で異なります。
セキュリティ対策・運用
-
MDM (Mobile Device Management / モバイルデバイス管理)
企業が業務で使用するスマートフォンやタブレットを一元的に管理・監視するシステム。セキュリティ強化や情報漏洩対策に寄与します。 -
UTM (Unified Threat Management / 統合脅威管理)
ファイアウォール、アンチウイルス、IPS/IDSなど、複数のセキュリティ機能を一つの機器に統合した製品。ネットワークの出入口で様々な脅威から保護します。 -
SIEM (Security Information and Event Management)
様々な機器やソフトウェアからログ情報を収集・分析し、サイバー攻撃やインシデントの兆候を検知・通知する仕組み。 -
SOC (Security Operation Center)
ネットワークや機器を24時間365日監視し、サイバー攻撃の検知と分析を専門に行う組織。インシデント対応を行うCSIRTとは異なり、事前の監視を重点的に行います。 -
IDS / IPS
- IDS (Intrusion Detection System / 不正侵入検知システム): 不正アクセスや異常な通信を「検知」して管理者に通知します。
- IPS (Intrusion Prevention System / 不正侵入防御システム): 不正な通信を検知し、さらにその通信を「遮断」することで被害を未然に防ぎます。
認証・アクセス制御
-
タイムシンクロナス (時刻同期方式)
ワンタイムパスワードの生成方式の一つ。サーバーとトークン(認証デバイス)が時刻を同期させ、一定時間ごとに新しいパスワードを生成します。 -
インターロックゲート
二重扉で構成され、一方の扉が開いている間はもう一方の扉が開かない仕組み。共連れによる不正入室を防ぎ、セキュリティレベルの高い区画へのアクセスを一人ずつに制限します。 -
アンチパスバック機能
入室記録がない人物の退室を許可しない仕組み。共連れなどで不正に入室した者が、正規の手順で退室することを防ぎます。 -
RADIUS (Remote Authentication Dial In User Service) サーバー
ネットワーク機器やサービスへのアクセス要求に対し、ユーザー認証を一元的に行うサーバー。
暗号化・証明書
-
共通鍵暗号 / 公開鍵暗号 / ハイブリッド暗号
- 共通鍵暗号方式: 暗号化と復号に同じ鍵を使用する方式。処理は高速だが、鍵の受け渡しを安全に行う必要があります。
- 公開鍵暗号方式: 暗号化と復号に異なる鍵(公開鍵と秘密鍵)のペアを使用する方式。安全に鍵を交換できるが、処理は低速です。
- ハイブリッド暗号方式: 共通鍵暗号と公開鍵暗号を組み合わせた方式。データの暗号化には高速な共通鍵を使い、その共通鍵自体の受け渡しには安全な公開鍵暗号を使います。SSL/TLS通信などで利用されます。
-
電子証明書
公開鍵が正当な所有者のものであることを、認証局(CA)が証明する電子的な書類。なりすましを防ぎ、通信の信頼性を保証します。印鑑登録証明書と類似しています。- 印鑑登録証明書 印鑑が本物か市役所に確認してもらったことを証明する証。なりすまし犯が自分の印鑑をたまたま拾って家など高額商品買おうとする時に印鑑だけでなく示す必要性をもうけることで見破れる
-
CRL (Certificate Revocation List / 証明書失効リスト)
有効期限内に失効した(無効になった)電子証明書のシリアル番号が登録されたリスト。
その他
-
C&Cサーバ (Command and Control server / C2サーバ)
サイバー攻撃者が、マルウェアに感染させたコンピュータ群(ボットネット)を遠隔操作するために使用する指令サーバー。 -
VNC (Virtual Network Computing) サーバー
ネットワーク経由で他のコンピュータのデスクトップ画面を遠隔操作するためのサーバーソフトウェア。
第5章:サイバー攻撃の手法
攻撃の分類
-
APT (Advanced Persistent Threat / 持続的標的型攻撃)
特定の組織や個人を標的とし、長期間にわたって潜伏しながら執拗に行われる高度なサイバー攻撃。 -
TTP (Tactics, Techniques, and Procedures / 戦術・技術・手順)
攻撃者の行動パターン(戦術)、使用する具体的な攻撃手段(技術)、攻撃の一連の流れ(手順)を体系的に分析するためのフレームワーク。
代表的な攻撃手法
-
ディレクトリトラバーサル
URLなどに「../」のような文字列を挿入することで、本来アクセスが許可されていないサーバー上のファイルやディレクトリに不正アクセスする攻撃。 -
CSRF (Cross-Site Request Forgery)
ログイン中のユーザーの意図しないリクエストをWebアプリケーションに送信させる攻撃。ユーザー本人になりすまして、不正な送金や意図しない投稿などを行わせます。 -
BEC (Business Email Compromise / ビジネスメール詐欺)
経営層や取引先になりすましたメールを送り、従業員を騙して送金や情報提供をさせる詐欺。 -
リプレイ攻撃
ネットワーク上の通信を盗聴し、認証情報などを後で再送信することで正規ユーザーになりすます攻撃。ワンタイムパスワードやタイムスタンプが有効な対策となります。 -
ソーシャルエンジニアリング
人間の心理的な隙や行動のミスを利用して、パスワードなどの機密情報を盗み出す手法。(例:管理者になりすまして電話でパスワードを聞き出す)
マルウェアと不正行為
-
エモテット (Emotet)
主にメールを介して感染を広げるマルウェア。実在の組織や人物からの返信を装うなど、巧妙な手口でマクロ付きの添付ファイルを開かせようとします。 -
ボット (Bot)
感染したコンピュータを外部から遠隔操作するためのマルウェア。感染したPCは「ゾンビPC」と呼ばれ、C&Cサーバーからの指令によりDDoS攻撃やスパムメール送信に悪用されます。 -
サラミテクニック
不正が発覚しないよう、多数の口座などから少量ずつ金銭やデータを盗み出す手法。 -
スキャベンジング
ゴミ箱に捨てられたメモや、廃棄されたハードディスクから機密情報を探し出す物理的な情報収集手法。 -
スクリプトキディ
他人が作成した攻撃ツールを使い、深い技術的知識なしに攻撃を行う者。
第6章:組織と役割、その他
組織・役割・概念
- CPO (Chief Privacy Officer): 組織全体の個人情報保護に関する最高責任者。
- CIO (Chief Information Officer): 組織の情報戦略や情報システムの最高責任者。
- PbD (Privacy by Design): 製品やサービスの企画・設計段階からプライバシー保護を組み込むという考え方。
- CGM (Consumer Generated Media): ユーザーがコンテンツを生成・投稿するメディア(SNS、口コミサイトなど)。ユーザー間のトラブルや著作権侵害などのリスク管理が重要です。
-
MICTS (Management of Information and Communication Technology Security)
情報通信技術(ICT)におけるセキュリティマネジメントの概念。 -
MTBF,MTTR,稼働率
https://xtech.nikkei.com/it/article/COLUMN/20060920/248547/
人的・組織的対策
- ヒューマンエラーへの対策: 複数人でのダブルチェック、マニュアルの整備、操作画面の改善など。
- 内部不正への対策: 入社時の秘密保持契約の締結、罰則規定の周知徹底など。
- 従業者の監督: プライバシーに配慮した上で、安全管理措置の一環としてビデオやオンラインによるモニタリングを行うことは許容されています。
その他
- 真正性 (Authenticity): 情報が偽造や改ざんをされておらず、正当なものであることを保証する特性。
合格体験記も書いたので勉強法などはこちらをどうぞ!
https://qiita.com/cv_carnavi/items/42a9f6a0721c25ede7e5