三連休だったそうですね、私は初めて知りましたよ(゜-゜)
ここ一か月、個人情報保護実務検定なるものを受けていました。というのも、顧客情報とかを管理するためですね。そのために一度、個人情報保護法について勉強してみよう、ついでなら資格で能力も証明してもらおうということで始めました。
個人情報保護実務検定って何?
この検定は、全日本情報学習振興協会が主催する民間資格らしいです。類似資格として「個人情報保護士」「情報セキュリティ初級」、「マイナンバー実務検定」、「情報セキュリティ管理士」などがあるようです。
何が違うんでしょうね?
実際のところ、違いは出題範囲でしょうね
個人情報保護実務検定・・・個人情報保護法に関する基礎と応用、情報セキュリティの基礎となる部分
個人情報保護士・・・個人情報保護法とマイナンバー実務、情報セキュリティの基礎に関する部分
マイナンバー実務検定・・・マイナンバー実務の基礎と応用に関する部分
情報セキュリティ初級・・・コンピュータのセキュリティ関係や情報処理部門など、IT分野における情報セキュリティの基礎の部分
などのようです。
つまり、個人情報保護実務検定とマイナンバー実務検定を組み合わせたものが「個人情報保護士」の資格のようです。さらにいえば個人情報保護実務検定とマイナンバー実務検定を取れば、保護士になれるようですが、どうなんでしょうね?
試験内容
全80問の中で70%以上の得点があれば、認定らしいです。ただ点数制なのか、設問数制なのかはわかりませんでした。
問題の構成としては「課題Ⅰ」と「課題Ⅱ」に分かれています。
回答方式は正誤選択問題と四問一答問題です。
課題Ⅰの範囲は個人情報保護法から出題されます。正誤が20問、四問一択が30問程度出題されたかと思います。
体感として必須なのは、個人情報保護法の総説と目的、理念、用語定義、利用目的の特定・変更・制限はわかりやすい問題で、かつ簡単なので押さえておく必要があるという点です。
その他には、要配慮個人情報の取得制限、仮名加工情報や匿名加工情報、第三者提供、取得に際しての利用目的の通知等に関する設問は分かりにくいので、集中して勉強することをお勧めします。
また「義務」と「努力義務」(「しなければならない」と「努める」、「措置を講じる」など)は明確に暗記しておく必要があります。どのような問題で「努力義務」の問題が出てくるかは整理した方が良いでしょう。
同じような問題が多いのは、「改正法に関する問題(不適正利用の制限)」や「罰則」くらいでしょうか。
課題Ⅱの範囲は情報セキュリティから出題されます。正誤が10問、四問一択が20問程度出題されたかと思います。
こちらは専門用語が多いです。BCP、BIA、BYOD等の略語、定量分析と定性分析の違いと内容などは暗記が必要です。特にややこしいのは「リスクの移転」「リスク低減」「リスクの保有」などのリスク問題です。組織的安全措置と人的安全措置の違いも覚えておきましょう。
試験形式は紙で出題・回答をする公開試験とパソコンで出題・回答するCBT試験とに分かれています。注意しなければならないのはCBT試験は試験費用に+2000円のパソコン使用料がかかることです。紙媒体ですと問題用紙を持ち帰ることができるのでお得かなと思います。
どんな人が受ければいいの?
実際のところ、働いている人なら全員受けた方が良いなと思います。結構、個人情報保護法って違反してる人かなりいそうだなという問題が多くあります。特に「第三者提供」や「要配慮個人情報」でミスりそうな人はいるだろうなと。
機密情報を扱う人もそうですが、営業や情報管理などでで取引先や顧客の情報を手にする機会がある人はマストだと思います。
あと、情報リスクマネジメント的なコンサルをやる人にもおすすめです。
個人情報保護法ってどんな感じなの?
名刺管理にも「データベース」になり得る法則性を持つと個人情報保護の対象になるそうですよ。そもそも名刺に掲載されている情報自体が個人情報ですがね。例えば、Excelで氏名や会社名を検索できるようなリスト管理をしていたり、名刺管理ソフトを使っていたり、ファイリングしていてアルファベット順や五十音で整理しているなら「データベース」になるそうです。逆に、雑多に束ねられていて検索性がない場合は「データベース」とは見なされません。
このようなことを知っておくだけでも、個人情報の取り扱いに慎重になるのではないでしょうか?
よくあるのが個人事業主から漏洩する。これは結構な確率であるそうです。明らかになっていないだけで。実は、2015年までは個人事業主って入るのか入っていないのかわからなかったのですが、法改正されてから「個人情報を取り扱う全事業者が個人情報保護法の適用対象」になっているようです。5000件以上なら問題ないともいわれていましたが、2017年の改正法ではそれも無関係になりました。
無論、NPO法人や自治会、同窓会なども対象になります。
ちなみに純粋な個人は対象外です。個人情報保護法はあくまでも個人情報を取り扱う事業者が対象です。
じゃあ、個人は個人情報流し放題やん!ひゃっほう!(/・ω・)/
となるかもしれませんが、それをすると民法上の問題になります。さらに「プライバシーの侵害」などにも関わってくる可能性があり、、民法第709条の皆大好き損害賠償請求に発展するかもしれません。
あと個人情報保護とプライバシーというのは似て非なる概念のようです。
個人情報とは「本人を識別できる情報」です。それは氏名、生年月日、住所などです。
名前のないPというのはハンドルネームですが、名前のないPの顔写真と本名が公開されると、それは本人を識別できる情報になるので、ハンドルも個人情報になる場合があるようです。例えばこれが、「名前のないP」というだけでは個人情報になりません。いま、私は本名も、住所も、年齢も何もかも晒していないので、名前のないPというハンドルネームだけでは個人情報の保護対象にはなりませぬ。
それに対して、プライバシーとは「他人から干渉されない権利」です。
プライバシーとは、「他人に知られたくない情報」を意味します。個人情報は本人と特定できるような情報ですが、プライバシーの場合は、特定できない情報も含まれます。そのため、プライバシーという大きな領域があって、個人情報はその一部と覚えておくとわかりやすいかもしれません。
例えば、「名前のないPは家の中で日常的に全裸である」、「名前のないPがホテル街で男の娘と共に消えていった」、「名前のないPは野獣先輩の彼女である」という情報が出回ると、これはプライバシーの問題になります。自分の性事情やライフスタイルを知られたくない人は多いですよね?
※女性向け水着を着させられる名前のないPの図
このように性癖、思想・信条、病歴、人間関係、生活習慣を公開されてしまい、それによって不利益を被るならば例え匿名であってもプライバシーの侵害になります。あるいはそういう性癖や思想があるという情報が虚偽である場合も、同様です。
本人が公開していない情報を無断で暴露する性的指向・恋愛関係・病歴などのセンシティブ情報を晒す、あるいは虚偽の内容を流布して社会的信用を傷つける場合、法的な問題に発展する可能性が高いです。
逆に、「本人が公にしている情報」、「すでにSNSなどで発信している内容」、「一般的な事実(例:「名前のないPはアイマス好き」)」などの情報はプライバシーには相当しません。
こうしてみると、個人情報保護法って面白いのでまた、機会があれば一本記事を作ってみますね。
参考文献
実際のところ、協会発行のテキストは非常に分かりづらいです。
上のテキストは過去問等はあるものの、公式過去問や必要な情報が掲載されていません。特に情報セキュリティの内容は壊滅的です。
そのため、「個人情報保護士のテキスト」と実務検定の公式問題集、「個人情報保護士の問題集」を併用して使用することがおすすめです(協会もそのように推奨しています)。
また情報セキュリティに関しては、「情報セキュリティマネジメントのテキスト」がおすすめです。
なぜなら、「個人情報保護士」と「個人情報保護実務検定」は出題範囲が被るからです。
以上になります。
