問題本文
[中問D][テクノロジ] N社では,ショッピングサイトの売上増加には,利用者が安心してショッピングができるような配慮が大切であると考え,利用者の信頼を得るための様々な方策を検討している。インターネットを通じた商品の購入を利用者が安心して行えるように,N社が実施する方策として,適切なものはどれか。
選択肢
- ア.Webサイトを利用した個人情報の送受信には,第三者機関によって発行された電子証明書を用いて通信を暗号化する。
- イ.会社情報のページに,ショッピングサイトに利用しているサーバの機種やOSの名称,利用ソフトウェア,IPアドレスなどを公開し,システムの信頼性を示す。
- ウ.決済手続に誤りがないよう,購入手続画面で入力された住所,氏名,クレジットカード番号を平文のメールで利用者に返送し,情報の誤りがないことを確認してもらう。
- エ.個人情報の取扱いに関する不安を与えないよう,個人情報の利用目的や問合せ方法などを明示しない。
正解
ア. Webサイトを利用した個人情報の送受信には,第三者機関によって発行された電子証明書を用いて通信を暗号化する。
解説
本問は中問D(Webサイトを利用した商品販売)のテクノロジ.オンラインショッピングで利用者の信頼を得るには,個人情報(氏名・住所・カード番号等)の送受信に第三者機関(認証局)が発行した電子証明書を用いてSSL/TLSで通信を暗号化することが基本.HTTPSによる暗号化通信で盗聴・改ざんを防ぐ仕組みは現代のECサイト必須要件.イ(サーバ機種・OS・IPアドレス等の公開)はむしろ攻撃者に情報を与えてしまうセキュリティリスク,ウ(個人情報を平文メールで返送)は重大な情報漏洩リスク,エ(個人情報利用目的・問合せ方法を明示しない)は個人情報保護法違反かつ信頼性を損なう.以上から電子証明書による暗号化通信を述べたアが正解.
選択肢ごとの解説
- ア.正解.Webサイトでの個人情報送受信には,第三者機関(認証局CA)が発行した電子証明書を用いてSSL/TLSで通信を暗号化するのが現代の標準対策.HTTPSによる暗号化と認証で盗聴・改ざん・なりすましを防ぎ,ブラウザの鍵マークで利用者にも安全性を視覚的に示せる.信頼確保の基本施策として完全に適切.
- イ.サーバの機種やOSの名称・利用ソフトウェア・IPアドレスなどを公開するのは,攻撃者に脆弱性情報を与え攻撃を容易にしてしまう典型的なセキュリティ上の悪手.信頼性を示すどころか攻撃リスクを高めるため明確に不適切で誤り.セキュリティ情報の不必要な開示は避けるべき.
- ウ.決済手続きで入力された住所・氏名・クレジットカード番号を平文メールで利用者に返送するのは,メールが暗号化されていない以上情報漏洩の重大リスク.信頼を得るどころか個人情報保護違反となる行為で,カード番号の平文送信は決済セキュリティ規格(PCI DSS)にも反するため誤り.
- エ.個人情報の取扱いに関する不安を与えないために利用目的や問合せ方法を明示しないというのは個人情報保護法に反する.同法は利用目的の特定・公表と問合せ窓口の整備を義務付けており,明示しないことは法令違反かつ利用者の信頼を損なう.信頼確保どころか逆効果のため誤り.
ITパスポート 2013年 (平成25年 春期) の過去問一覧へ戻る・問100