サイトアイコン やさしいネットワークとセキュリティ

個人情報保護の法規則(EUのGDPR)【情報処理安全確保支援士試験 平成30年度 秋期 午後2 問1 No.1】

情報処理安全確保支援士試験 平成30年度 秋期 午後2 問1 No.1

【出典:情報処理安全確保支援士試験 平成30年度 秋期 午後2問1(一部、加工あり)】

問1 クラウド環境におけるセキュリティ対策に関する次の記述を読んで、設問1〜5に答えよ。

 X社は、日本、米国、欧州に事業を展開している従業員数80,000名の製造会社であり、重要インフラ設備を製造している。日本国内の従業員数は40,000名である。
 X社のシステムは、サーバ、ネットワーク機器及びPCで構成されている。X社の日本国内のネットワークの論理構成を、図1に示す。


 従業員が社内PC、並びにWindowsの業務サーバ及び人事サーバにログオンする際は、認証サーバA1による利用者認証が行われる。従業員がWebブラウザを用いてLinux及び専用UNIXの業務サーバにログオンする際は、認証サーバB1による利用者認証が行われる。認証サーバA1は、人事サーバと連携しており、人事サーバの従業員の情報を日次で反映している。認証サーバB1は、認証サーバA1のLDAPサービスを利用している。
 X社のシステムには、X社の情報セキュリティ標準、X社が事業を展開している各国及び各地域において特定の製品とそれら製品の技術情報を他国又は他地域に持ち出すことを制限した輸出管理規制、並びに①各国及び各地域の個人情報保護に関する法規則の三つに準拠すること(以下、三つに準拠することを基本要件という)が求められる。基本要件の具体的内容は次のとおりである。

 X社は、米国におけるビジネスの強化、ITを活用した新しいビジネスの開発、並びにシステム部門の役割をシステム運用からビジネス企画及びシステム企画へシフトするために、各国及び各地域のシステムをクラウド環境に移行することにした。X社の経営層は、クラウド環境への移行に関して次の方針を示し、X社システム部門に具体的な検討を指示した。

方針1 メールシステムをクラウドベンダM社のSaaS Qに、業務システムのうち二つのシステムをクラウドベンダS社のSaaS Sに、それぞれ1年以内に移行する。各国及び各地域とも同じ方針で移行するが、SaaSの契約はそれぞれの国又は地域で行う。

方針2 他のシステムは、クラウドベンダH社が提供するIaaS Cの仮想マシン上に5年間で段階的に移行する。ただし、移行できないもの又は移行すると基本要件を満たせなくなるものは移行しない。また、IaaS Cの仮想マシン上に移行したサーバのOS及びミドルウェアの運用管理にはSIベンダJ社の運用サービスを利用する。

 IaaS Cの主なサービス仕様の内容は次のとおりである。

①について、2018年5月25日に適用が開始された欧州連合の規則の略称を英字4字で答えよ。:GDPR

 GDPR(General Data Protection Regulation EU一般データ保護規則)とは、EUにおける個人データ保護を強化するために制定された法律です。
 EU圏内で活動している組織が対象になるだけでなく、EU圏内にいるユーザのデータを取得する場合もGDPRの範囲に含まれます。
 つまり、EUに商品やサービスを提供していたり、EUから個人データの処理を委託されている組織もDDPRの対象に含まれることになります。
 また、個人データとしては、IPアドレスやCookieなどネットワーク上の識別情報も個人情報とみなされることに注意が必要です。
 ちなみに、GDPRに違反した場合の罰則としては、企業の売上高の4%以下、または2,000万ユーロ(1ユーロ116円で約23億円)以下のいずれか高い方が適用されるとのことで、非常に高額です。

モバイルバージョンを終了