戦国IT - 情報処理技術者試験の過去問対策サイト
ブログお知らせお問い合わせ料金プラン

ITパスポート 2010年 秋期 76


問題文

情報セキュリティポリシに関する考え方のうち、適切なものはどれか。

選択肢

いかなる情報資産に対しても、実施する対策の費用は同一であることが望ましい。
情報セキュリティポリシの構成要素の最上位にある情報セキュリティ基本方針は、経営者を始めとした幹部だけに開示すべきである。
情報セキュリティポリシの適用対象としては、社員だけでなく、パートなども含めた全従業者とすべきである。(正解)
情報セキュリティポリシを初めて作成する場合は、同業他社のポリシをサンプルとして、できるだけそのまま利用することが望ましい。

🔒 解説は解答すると表示されます

情報セキュリティポリシーに関する考え方【ITパスポート 解説】

正解の理由

情報セキュリティポリシーとは「情報を守るための会社の方針」です。情報の漏えいや改ざん、紛失などから守る対象(情報資産:データ、システム、文書、人など)を決め、誰がどう守るかを明確にします。
ポリシーの適用範囲は「実際に情報に関わる全ての人」に及ぶ必要があります。社員だけでなく、パート(アルバイト)や契約社員、派遣社員なども情報に触れる可能性があるため、全従業者を対象にすべきです。したがってウが適切です。

解法ステップ

  1. 問題文で「情報セキュリティポリシの考え方」とあるので、まず「ポリシーの役割(誰を対象に、何を守るか)」を確認する。
  2. 各選択肢がポリシーの基本原則(範囲、公開、コスト配分、流用)に合致するかを検討する。
  3. 「全従業者を対象にするか」「幹部だけか」「費用を一律にするか」「他社のポリシーをそのまま使うか」という観点で、現実的で運用上妥当かを判断する。
  4. 結果として「情報に関与する全員を対象にする」ウが最も妥当であると判断する。

選択肢別の誤答解説

  • ア: いかなる情報資産に対しても、実施する対策の費用は同一であることが望ましい。
    • 誤り。情報資産には重要度や価値に差があります。例えば顧客の個人情報は重要で高コストの対策を優先すべきですが、社内の一般資料では簡易な対策で十分な場合があります。コストと効果(リスクに対する軽減効果)を考えた優先順位付けが必要です(費用対効果の原則)。
  • イ: 情報セキュリティポリシの構成要素の最上位にある情報セキュリティ基本方針は、経営者を始めとした幹部だけに開示すべきである。
    • 誤り。基本方針は組織全体で遵守するための指針です。全従業者に周知し、理解・実行されることが重要です。幹部だけに隠しては運用できません。
  • ウ: 情報セキュリティポリシの適用対象としては、社員だけでなく、パートなども含めた全従業者とすべきである。
    • 正解。情報に関係する全ての人が対象である必要があります。これにより一貫した管理と責任の明確化ができます。
  • エ: 情報セキュリティポリシを初めて作成する場合は、同業他社のポリシをサンプルとして、できるだけそのまま利用することが望ましい。
    • 誤り。他社のポリシーは参考にして良いですが、そのまま使うのは危険です。組織の業務内容、扱う情報、法規制、体制が異なるため、自社に合わせて設計・調整しなければ実効性がありません。

よくある誤解

  1. 「セキュリティは技術担当だけの仕事」という誤解
    • 実際には利用者(営業・事務など)も含めた全員がルールを理解し実行する必要があります。ポリシーは全従業者に適用されるべきです。
  2. 「高い費用をかければ安全になる」という誤解
    • コストをかけるだけでなく、何を守るべきか(重要度)を見定め、優先度をつけて対策を行うことが重要です。
  3. 「他社でうまくいっているから自社でもそのまま使える」という誤解
    • 業務や法的要件が違えば適合しません。テンプレートは調整して使うのが正しい方法です。

補足コラム

  • 「従業者」の範囲について
    • 従業者とは社員だけでなく、アルバイト・パート・契約社員・派遣社員・業務委託先の一部担当者など、組織の情報にアクセスする可能性がある全ての人を含みます。外部の委託先(ベンダー)については、契約で守るべき項目を明確にし、必要に応じて委託先にも同等のセキュリティ要件を求めます。
  • ポリシー作成の進め方(簡単な流れ)
    1. 情報資産の洗い出し(何が重要か)
    2. リスク評価(どんな脅威があるか)
    3. 基本方針と具体的なルールの策定(誰が何をするか)
    4. 周知・教育と実行(全従業者への説明)
    5. 定期見直し(状況に応じて更新)

FAQ

Q1: 派遣社員や外部委託は必ずポリシー対象に入れないとダメですか?
A1: はい。情報に触れる可能性があるなら対象に含めるべきです。外部委託先は契約で義務付ける方法が一般的です。
Q2: 小さな会社でもポリシーは必要ですか?
A2: はい。規模に応じた簡潔なポリシーでも、ルールを明確にし周知することは重要です。無いよりある方が安全です。
Q3: 他社のポリシーを参考にして良い点は何ですか?
A3: 用語や構成、項目の考え方を学べます。ただし、自社の実情に合わせて必ず修正してください。

関連キーワード: 情報セキュリティ、情報資産、内部統制、アクセス管理、リスク評価、ポリシー作成、周知教育
← 前の問題へこの年度をクイズで解く次の問題へ →
戦国ITクイズ機能

\ せっかくなら /

ITパスポート
クイズ形式で学習しませんか?

クイズ画面へ遷移する

すぐに利用可能!

©︎2026 情報処理技術者試験対策アプリ

このサイトについてブログプライバシーポリシー利用規約特商法表記開発者について