ITパスポート 2015年 秋期 問24
問題文
個人情報保護法では個人情報取扱事業者に対して安全管理措置を講じることを求めている。経済産業分野のガイドラインでは、安全管理措置は技術的安全管理措置、組織的安全管理措置、人的安全管理措置、物理的安全管理措置に分類している。このうち、人的安全管理措置の具体例として、適切なものはどれか。
選択肢
ア:安全管理に対する規程と従業員による体制の整備
イ:安全管理に対する従業員の役割及び責任についての周知や教育の実施(正解)
ウ:個人データを取り扱う情報システムへの従業員ごとのアクセス制御
エ:従業員の入退出管理や個人データを記録した媒体の施錠管理
🔒 解説は解答すると表示されます
個人情報保護法:人的安全管理措置の具体例【ITパスポート 解説】
正解の理由
経済産業分野のガイドラインは、安全管理措置を「技術的安全管理措置(技術的:システムや機器で守る対策)」「組織的安全管理措置(組織的:ルールや体制を整える対策)」「人的安全管理措置(人的:人=従業員の行動や意識を高める対策)」「物理的安全管理措置(物理的:施錠や入退室管理など場所・機器の対策)」の4つに分類しています。
選択肢のうち、イ「安全管理に対する従業員の役割及び責任についての周知や教育の実施」は、従業員の意識向上や行動変容を目的とするため、まさに人的安全管理措置(人が行う対策)の代表例です。したがってこれが正しい選択です。
選択肢のうち、イ「安全管理に対する従業員の役割及び責任についての周知や教育の実施」は、従業員の意識向上や行動変容を目的とするため、まさに人的安全管理措置(人が行う対策)の代表例です。したがってこれが正しい選択です。
解法ステップ
- 問題文で示された「人的安全管理措置」の意味を確認する。
- 「人的=人に関する対策」で、教育・周知・意識付け・適切な操作の習熟などを指す。
- 各選択肢が「人」「組織」「技術」「物理」のどれに当てはまるかを切り分ける。
- 行為や目的が「誰に向けられているか(人の行動か、システムか、場所か、ルールか)」で判断する。
- 最も人的に該当するものを選ぶ。
- 従業員への教育・周知は人的対策、これが正解。
短い目印:
- 「教育・周知・訓練」は人的、
- 「規程の整備・組織図・責任体制」は組織的、
- 「ユーザーごとのパスワードや権限設定」は技術的、
- 「鍵・施錠・入退室管理」は物理的。
選択肢別の誤答解説
- ア: 安全管理に対する規程と従業員による体制の整備
- これは組織的安全管理措置に該当します。規程(ルール)を作り、誰が責任を持つかという体制を整えるのは組織的対策です。人的対策とは区別されます(ただし連携は必要)。
- イ: 安全管理に対する従業員の役割及び責任についての周知や教育の実施
- これは従業員の意識と行動に直接働きかけるものです。教育・周知は典型的な人的安全管理措置なので正解です。
- ウ: 個人データを取り扱う情報システムへの従業員ごとのアクセス制御
- これは技術的安全管理措置です。アクセス制御(誰がどのデータにアクセスできるかを制限する仕組み)はシステム側で実施する技術的対策に当たります。
- エ: 従業員の入退出管理や個人データを記録した媒体の施錠管理
- これは物理的安全管理措置です。ドアの鍵や媒体(USB・書類)の施錠など、物理的な侵入や持ち出しを防ぐ対策です。
よくある誤解
- 「規程を作ること=人的対策」だと思う
- 規程作成や責任体制の整備は「組織的」対策です。規程自体は文書(仕組み)なので組織的に分類します。規程に基づく教育・周知なら人的対策になります。
- 「アクセス権の設定も『人がやる』から人的対策」だと思う
- 実際に設定を行うのは人ですが、アクセス制御そのものはシステム機能や技術(ログイン、認証、権限制御)で行うため技術的対策です。目的と手段を見分けましょう。
- 「物理的・人的は境界が曖昧」と感じる
- 重なる部分はあります(例:入退室管理を周知するのは人的、入室時のカードロックは物理的)。主目的で分類することが大事です。
補足コラム
人的安全管理措置が重要な理由は単純です。どんなに堅牢なシステムや厳格な規程があっても、人のミスや理解不足が原因で情報漏えいが起きることが多いからです。具体的な人的対策の例:
- 新入社員研修での個人情報の取り扱い教育
- 定期的なセキュリティ研修やフィッシング対策訓練
- 情報漏洩事例を用いた事例共有と注意喚起 教育は「知識を与える」だけでなく、「なぜそれが必要か」「どう行動すべきか」を理解させることが重要です。習ったことを日常業務で実行できるかがカギです。
(用語メモ)アクセス制御(access control:誰がどの情報へアクセスできるかを制限する仕組み)
FAQ
Q1. 人的対策だけで十分ですか?
A1. いいえ。人的・技術的・組織的・物理的は補完関係にあります。例えば教育(人的)で注意を促しても、技術的なアクセス制御がなければ誤操作で情報が漏れる可能性があります。バランスよく対策を組み合わせることが重要です。
A1. いいえ。人的・技術的・組織的・物理的は補完関係にあります。例えば教育(人的)で注意を促しても、技術的なアクセス制御がなければ誤操作で情報が漏れる可能性があります。バランスよく対策を組み合わせることが重要です。
Q2. 「周知」と「規程」の違いは何ですか?
A2. 規程は組織が定めるルール・手順(文書)です。周知はその規程を従業員に伝え、理解させる行為です。前者は組織的、後者は人的対策に強く関係します。
A2. 規程は組織が定めるルール・手順(文書)です。周知はその規程を従業員に伝え、理解させる行為です。前者は組織的、後者は人的対策に強く関係します。
Q3. 小さな会社ではどの対策から始めれば良いですか?
A3. リスクが高い箇所をまず洗い出し(簡単なリスク評価)、基本的なルール(組織的)と簡単な技術的な施策(アクセス制限、パスワード管理)、そして従業員への周知(人的)を同時に進めると効率的です。
A3. リスクが高い箇所をまず洗い出し(簡単なリスク評価)、基本的なルール(組織的)と簡単な技術的な施策(アクセス制限、パスワード管理)、そして従業員への周知(人的)を同時に進めると効率的です。
関連キーワード: 個人情報保護, 安全管理措置, 人的安全管理, アクセス制御, 組織的対策, 物理的対策, 情報セキュリティガイドライン

\ せっかくなら /
ITパスポートを
クイズ形式で学習しませんか?
クイズ画面へ遷移する→
すぐに利用可能!

