[中問D]
個人情報の取扱いに関する次の記述を読んで、問に答えよ。
A社では、個人情報保護法に従って、個人情報を取り扱っている。
Bさんが所属する営業部では、個人の顧客がインターネット上のA社のWebページに会員登録することで、商品購入ができるという事業を開始することになった。そこで、Bさんは会員登録をするWebページの仕組みとして、次の事項を考えた。
[会員登録をするWebページの仕組み]
① 個人情報の利用目的を記述したWebページを表示し、顧客が同意ボタンを押すと、個人情報を入力するWebページに移動する。
② 会員登録の項目としては、氏名、住所、電話番号、生年月日、性別、メールアドレス、ID及びパスワードがあり、これらは必ず入力してもらう。メールアドレスとパスワードについては、誤入力を防ぐために、同じ情報を2度入力してもらう。
③ Webページでの個人情報の入力が終了し、送信ボタンを押した後、入力情報を確認するWebページを表示し、顧客に入力の間違いがないかを確認してもらう。このとき、入力されたIDが他の会員によって既に登録されている場合、変更を求める。
④ 顧客が入力情報を確認し、登録ボタンを押した後、登録したメールアドレス宛に、A社の会員として登録された旨を伝える電子メール(以下、メールという)を送信する。
⑤ ②及び③における顧客のPCとA社のWebサーバとのデータのやり取りは、暗号化による通信を行う。
A社では、インターネットサービスプ口パイダ(以下、ISPという)のハウジングサービスを使って、Webサーバとデータベースサーバ(以下、DBサーバという)を運用している。会員情報は、ISPのDMZ内にあるWebサーバを経由して、外部から保護されたISPのネットワーク内にあるDBサーバに蓄積される。Bさんは、会員情報をISPのWebサーバ又はDBサーバからA社内のPCに転送する必要があり、その間で個人情報の漏えいが発生しないような仕組みを考えることになった。転送の仕組みとして、適切なものはどれか。
ア:DBサーバに蓄えられた会員情報のファイルを定期的にCSV形式のテキストフアイルとして出力し、メールの本文にテキストファイルの内容を記録し、ウイルスチェックを行ってから自分宛に送信する。
イ:VPNによってISPとA社をつなぎ、DBサーバに蓄えられた会員情報のファイルを定期的にFTPを使って転送する。
ウ:Webサーバに会員情報が登録された時点で、自分宛にその情報をメールの本文に記載して自動的に送信するようにし、メールを受け取った時にウイルスチェックを行う。
エ:Webサーバに会員情報が登録された時点で、自動的にFTPを使って、その情報を転送するようにする。このとき、A社のネットワークに接続する時点で、IDとパスワードによる認証を行う。
答:イ
ア:誤り。メールは暗号化されておらず、ウイルスチェックを行っても漏えいを防げない。
イ:正しい。VPNによって、仮想的な専用回線が結ばれ、高いセキュリティが保証される。
ウ:誤り。メールは暗号化されておらず、ウイルスチェックを行っても漏えいを防げない。
エ:誤り。FTPは暗号化されておらず、情報の漏えいを防げない。