情報セキュリティアドミニストレータ
平成15年午後I問3
昨年、百貨店X社の情報システム部門を分離して発足したZ社は、情報サービス業
を営んでおり、X社の社内情報システムの運用を主な事業にしている。
X社では、百貨店事業のほかに飲食事業及びホテル事業を長年展開してきたが、経
営の機動力を高めるために、数年前から事業別の分社化を進めてきた。また、分社化
に加えて、スポーツクラブ事業を運営するY社を買収して子会社化するなど、事業領
域の拡大にも積極的に取り組んできた。X社は、Z社を分社化したことによって、グ
ループ経営戦略のテーマの一つである企業グループ(以下、X企業グループという)
経営への移行を完了したと考えている。
X社の経営企画部は、次の展開として、グループ情報化戦略の見直しを検討してい
る。その一環として、X企業グループ内の顧客の囲い込みを図るために、現在、自社
単独でサービスを提供しているポイントカードサービス(以下、Xサービスという)
をX企業グループ内で利用できるサービス(以下、新Xサービスという)に移行する
計画である。図1に、新Xサービスの内容と運営方針(案)を示す。
| (1) 利用者に、利用額に応じたサービスポイント(以下、Sポイントという)を付与する。 (2) Sポイントの合計が一定ポイントに達した利用者に、X企業グループ内で利用できる 商品券を郵送する。 (3) 利用者に対して、利用明細情報及びSポイントの残高の照会サービスを行う。 (4) 希望する利用者に対して、イベントやキャンペーン案内などの情報提供を行う。 (5) 利用者の利用明細情報を分析して販売促進に活用する。 (6) 新Xサービスのカードシステムの運営は、ポイントカード(以下、カードという)の 発行を含めて、すべてZ社が行う。 |
本件の企画立案に向けて、X社の経営企画部のA課長がリーダに任命された。また、
顧客情報の取扱いに万全を期すために、情報セキュリティアドミニストレータである
Z社の企画部のC課長が補佐することになった。
次は、新Xサービスの内容と運営に関するA課長とC課長の会話である。
A課長:システム企画の段階でどのような事項を検討しておくべきだろうか。
C課長:カードの発行、利用明細情報の収集、照会方法などのほかに、カードを発行
する際の申込情報や新たに加わる利用明細情報などの取扱いについて検討す
る必要があります。
A課長:新Xサービスヘの移行に当たって、顧客情報の取扱いについて検討が必要な
のはどうしてなのか。
C課長:Xサービスと比べて新Xサービスでは、顧客情報の取扱いに関して、利用す
る【 a 】と利用する情報の【 b 】が異なるからです。
A課長:新Xサービスでは、“X企業グループの各社がイベントやキャンペーン案内な
どの情報提供や販売促進に活用する”ことが利用する【 a 】に加わり、
“利用明細情報”が利用する情報の【 b 】に加わることになるのか。
C課長:はい。同意を得ずにダイレクトメールを送付した企業がクレームを受けた事
例がありますので、顧客情報の取扱いには注意が必要です。
A課長:ところで、X企業グループ内にカードシステムを導入しているサービスが、
X社以外にあるのだろうか。
C課長:数年前から、Y社がカードシステムを導入しています。
A課長:これら既存のサービスのカード利用を中止して、新Xサービス用の新しいカ
ードを発行したいと考えている。既存のサービスの申込情報については、Y
社が保有する情報を含めて新Xサービスに移行したい。
C課長:新Xサービスのカード申込書の記載項目は、図2のとおりです。
| ・申込日 ・個人基本情報:氏名、郵便番号、住所、電話番号、生年月日、性別、電子メールアドレス ・パスワード ・個人情報を利用して情報提供や販売促進活動を行うことに関する記載 (以下省略) |
〔新Xサービスの運営方法の概略〕
A課長とC課長は、新Xサービスの運営方法の案について、次のように取りまとめ
た。図3に、新Xサービスの運営方法(案)を示す。
(1) 新規発行用の申込書をX企業グループの店舗などに配置しておき、記入内容の確
認と【 c 】を行った上でカードを発行して、申込書とともに手渡す。
(2) 利用時は、店員がPOS端末にカードを読み込ませて、Sポイントを加算する。
(3) 利用者は、店内情報端末にカードを読み込ませて、利用明細情報及びSポイント
の残高を照会することができる。また、インターネットからも照会することができ
る。
(4) 希望する利用者に対して、電子メールやダイレクトメールを用いてイベントやキ
ャンペーン案内などの情報提供を行う。
A課長とC課長は、新Xサービスの運営方法に関して、更に検討を進めた。
C課長:新Xサービスへの新規加入に加えて、既存のサービスから切り替える場合の
カードの発行方法や、カードの紛失及び破損に際しての再発行方法について
も検討が必要になります。
A課長:カードの紛失の場合には再発行して郵送するが、カードの破損に限ってはX
社のサービスカウンタで再発行して、破損したカードと引換えに持参した人
にその場で手渡す方法にしたい。
C課長:手渡す方法をとる場合、情報セキュリティの観点からは【 c 】を行う
ことが必要です。なぜならば、他人が【 d 】によってカードを入手で
きてしまうからです。
A課長:個人情報の利用や管理に関して、利用者からクレームが出ないように、新X
サービスの導入と運営方法について引き続き検討していこう。
設問1
本文中の【 a 】~【 d 】に入れる適切な字句を答えよ。【 a 】,
【 b 】については、それぞれ2字以内で答えよ。【 c 】、【 d 】
については、それぞれ5字以内で答えよ。
設問2
既存のサービスの利用者を新Xサービスに移行するに当たって、個人情報の保
護の観点から留意すべき内容を二つ挙げ、それぞれ40字以内で述べよ。
設問3
図3に示す新Xサービスの運営方法に関する次の問いに答えよ。
(1) この運営方法では、個人情報の保護に関して問題がある。発生すると考えら
れる事故を、50字以内で具体的に述べよ。
(2) 上記(1)の事故の発生を回避するための対策を、15字以内で述べよ。
設問4
図3に示す新Xサービスの運営方法では、個人情報の取扱業者として利用者に
対応すべき事項に漏れがある。JIS Q 15001(個人情報保護に関するコンプライア
ンス・プログラムの要求事項)に基づいて、漏れている事項を、60字以内で述べ
よ。
sponsored link
このページ
のTOPへ
