ITパスポート 2013年 秋期 問57
問題文
ISMSを運用している組織において、退職者が利用していたIDを月末にまとめて削除していたことについて、監査で指摘を受けた。これを是正して退職の都度削除するように改めるのは、ISMSのPDCAサイクルのどれに該当するか。
選択肢
ア:P
イ:D
ウ:C
エ:A(正解)
🔒 解説は解答すると表示されます
退職者のID削除タイミングに関する指摘【ITパスポート 解説】
正解の理由
監査で「退職者が使っていたIDを月末にまとめて削除していた」と指摘を受け、これを「退職の都度削除するように改める」行為は、不適合を是正して運用を改善する活動です。PDCAサイクル(Plan: 計画、Do: 実行、Check: 点検、Act: 改善)のうち、改善を行う段階は Act(改善・是正措置)に当たるため、エが正解です。
(用語補足)ISMS(情報セキュリティマネジメントシステム:情報の安全管理を組織的に行う仕組み)、PDCA(Plan-Do-Check-Act:改善を回すサイクル)、監査(運用がルール通りかを点検すること)
解法ステップ
- 問題文で何が起きたかを整理する
- 事実:退職者のIDを「月末にまとめて」削除していた。
- 監査で指摘を受けた=運用に問題があると判定された(不適合)。
- 指摘に対する是正内容を確認する
- 改める内容:退職時に都度(その都度)IDを削除する運用に変更する。
- PDCAのどの段階かに当たるかを考える
- Plan:方針や手順の策定(新ルールの設計)
- Do:策定したルールに基づく実行(実運用)
- Check:監査や点検で運用状態を確認すること
- Act:不具合の是正・改善を行い継続的に向上させる段階
- 上記から「不適合を是正し運用を改善する」→ Act と判断する
選択肢別の誤答解説
- ア: P(Plan)
- Planは方針やルールを「策定する」段階です。今回の問題は「既に策定された運用に問題があり、それを改める(改善する)」ため、単に計画を立てるだけではなく是正の実行を伴うためPではありません。
- イ: D(Do)
- Doは策定済みの方針を「実行する」段階です。退職ごとに削除するという新しい運用を実行することはDoに見えますが、本件は監査で指摘を受けた不具合を是正する改善行為そのものを問うているため、最も適切なのは改善段階であるActです。
- ウ: C(Check)
- Checkは監査や点検で運用が正しく行われているかを確認する段階です。問題文では既に監査(Check)で指摘を受けており、その後に行う「是正」が問われています。したがってCheckは既に終わった段階で、今回の対応は該当しません。
- エ: A(Act)
- 指摘に基づき運用を改め、再発防止や改善を行うのがActです。したがって本問ではエが正しい選択です。
よくある誤解
- 「監査で指摘されたこと=Checkに該当する」は誤り
- 監査を受ける行為自体はCheckですが、監査後に指摘を受けて改善する行為はActです。問題文は改善のタイミングを問うています。
- 「改善の実行=Doで良い」と考える誤り
- Doは計画を実行する段階ですが、是正(不適合の解消)やプロセス改善を組織的に行うのはActに分類されます。目的が「改善」か「単なる実行」かを区別しましょう。
- 「小さな運用変更はPDCAに関係ない」と考える誤り
- 運用変更もPDCAの改善活動(Act)や新たなPlan→Doで扱う重要なテーマです。監査や法令対応に直結する場合は特にPDCAに乗せる必要があります。
補足コラム
- 是正措置(Corrective action)と予防措置(Preventive action)の違い
- 是正措置:実際に発生した問題(不適合)の原因を取り除くための対策。今回の「退職時のID削除へ改める」は該当します。
- 予防措置:まだ発生していない問題を予測して未然に防ぐ対策。例えば「ID管理の自動化で将来のミスを防ぐ」といった施策です。
- ISMSでのPDCAの流れ(簡単に)
- Plan:リスク評価、セキュリティ方針や手順の作成
- Do:方針に沿った運用(教育、アクセス管理、ログ管理など)
- Check:監査やログ確認で運用の評価
- Act:監査結果に基づく是正・継続的改善(本問はこちら)
- 実務のヒント:退職時のID処理は人的ミスが起きやすいので、可能なら自動化(人事システム連携で退職フラグでアカウント無効化)を検討すると良いです。
FAQ
Q1. 監査で指摘されたら必ずActだけすれば良いですか?
A1. Act(是正措置)で改善策を実施することが必要ですが、その後はPlanで手順を見直し、Doで新手順を運用し、再度Checkで効果を確認するというPDCAの一連の流れを回すことが重要です。
A1. Act(是正措置)で改善策を実施することが必要ですが、その後はPlanで手順を見直し、Doで新手順を運用し、再度Checkで効果を確認するというPDCAの一連の流れを回すことが重要です。
Q2. 「退職の都度削除」は具体的にどう運用すれば良いですか?
A2. 例:人事の退職確定時に人事システムからID管理システムへ自動連携してアカウントを無効化する仕組みを作る、あるいは退職処理チェックリストを作り責任者が確認する運用などがあります。
A2. 例:人事の退職確定時に人事システムからID管理システムへ自動連携してアカウントを無効化する仕組みを作る、あるいは退職処理チェックリストを作り責任者が確認する運用などがあります。
Q3. PDCAの各段階は順番通りしか回せないですか?
A3. 基本はPlan→Do→Check→Actの順ですが、実際は状況に応じて部分的に繰り返したり、並行して進めたりします。ただし「改善」はActに位置付けられる点は変わりません。
A3. 基本はPlan→Do→Check→Actの順ですが、実際は状況に応じて部分的に繰り返したり、並行して進めたりします。ただし「改善」はActに位置付けられる点は変わりません。
関連キーワード: ISMS、PDCA、監査、是正措置、内部監査、アクセス管理、ID管理、セキュリティポリシー

\ せっかくなら /
ITパスポートを
クイズ形式で学習しませんか?
クイズ画面へ遷移する→
すぐに利用可能!

