応用情報技術者 2016年 春期 午前2 問38
問題文
重要情報の取扱いを委託する場合における、委託元の情報セキュリティ管理のうち、適切なものはどれか。
選択肢
ア:委託先が再委託を行うかどうかは委託先の判断に委ね、事前報告も不要とする。
イ:委託先の情報セキュリティ対策が確認できない場合は、短期間の業務に限定して委託する。
ウ:委託先の情報セキュリティ対策が適切かどうかは、契約開始前ではなく契約終了時に評価する。
エ:情報の安全管理に必要な事項を事前に確認し、それらの事項を盛り込んだ上で委託先との契約書を取り交わす。(正解)
重要情報の取扱いを委託する場合における、委託元の情報セキュリティ管理【午前2 解説】
要点まとめ
- 結論:委託元は情報の安全管理に必要な事項を事前に確認し、契約書に明確に盛り込むことが必須です。
- 根拠:情報セキュリティの責任は委託元にもあるため、委託先の管理体制を契約前に評価し、契約書で義務化する必要があります。
- 差がつくポイント:再委託の管理や契約前のセキュリティ評価を怠らず、契約書に具体的な安全管理措置を明記することが重要です。
正解の理由
選択肢エは、情報の安全管理に必要な事項を事前に確認し、それを契約書に盛り込むことで委託先の責任範囲や管理体制を明確にしています。これにより、委託元は情報漏えいや不正利用のリスクを低減でき、法令遵守や内部統制の観点からも適切な管理が可能となります。
よくある誤解
委託先の判断に任せることや契約後に評価することは、責任の所在が曖昧になりリスクが増大します。短期間の委託だからといってセキュリティ対策を軽視するのも誤りです。
解法ステップ
- 問題文の「委託元の情報セキュリティ管理」に注目する。
- 委託元の責任として「事前確認」と「契約書への明記」が必要かを考える。
- 各選択肢が委託元の管理責任を果たしているかを比較する。
- 再委託の管理や契約前評価の有無をチェックする。
- 最も適切に管理責任を果たしている選択肢を選ぶ。
選択肢別の誤答解説
- ア: 再委託の判断を委託先に任せ、事前報告も不要とするのは管理責任放棄で不適切です。
- イ: セキュリティ対策が確認できない場合に短期間に限定するだけではリスク管理が不十分です。
- ウ: 契約終了時に評価するのは事後対応であり、事前のリスク回避になりません。
- エ: 事前に安全管理事項を確認し契約書に盛り込むことで、委託元の管理責任を適切に果たしています。
補足コラム
情報セキュリティ管理においては、委託先の選定から契約締結、契約期間中の監査、契約終了後の評価まで一連の管理プロセスが重要です。特に再委託の管理は、情報漏えいリスクを増大させるため、委託元が明確なルールを設ける必要があります。
FAQ
Q: なぜ契約書に安全管理事項を盛り込む必要があるのですか?
A: 契約書に明記することで、委託先の責任範囲が明確になり、違反時の対応や法的根拠が確保されるためです。
A: 契約書に明記することで、委託先の責任範囲が明確になり、違反時の対応や法的根拠が確保されるためです。
Q: 再委託はなぜ委託元の管理下に置くべきですか?
A: 再委託先も情報を扱うため、委託元が管理しないと情報漏えいリスクが高まるからです。
A: 再委託先も情報を扱うため、委託元が管理しないと情報漏えいリスクが高まるからです。
関連キーワード: 情報セキュリティ管理、委託契約、再委託管理、契約書、リスク管理
\ せっかくなら /
応用情報技術者を
クイズ形式で学習しませんか?
クイズ画面へ遷移する→
すぐに利用可能!