戦国IT - 情報処理技術者試験の過去問対策サイト
ブログお知らせお問い合わせ料金プラン

ITパスポート 2015年 秋期 84


問題文

社員に対する情報セキュリティ教育の実施に関する記述a~dのうち、適切なものだけを全て挙げたものはどれか。
a 情報セキュリティ違反をした者に対する再教育に当たっては、同じ過ちを繰り返さないための予防処置も含める。 b 新入社員に対する研修プログラムに組み込む。 c 対象は情報システム部門に所属する社員に限定する。 d 定期的な実施に加えて、情報セキュリティに関わる事件や事故が発生した後にも実施する。

選択肢

a, b, d(正解)
a, c, d
a, d
b, c

🔒 解説は解答すると表示されます

社員に対する情報セキュリティ教育の実施【ITパスポート 解説】

正解の理由

設問の記述 a(再教育に予防処置を含める)、b(新入社員研修に組み込む)、d(定期実施と事故後の実施)は、いずれも情報セキュリティ教育の基本方針に合致します。したがって、正しい組合せは に示された a、b、d です。
ポイントをやさしく示すと:
  • 情報セキュリティ教育とは、社員が情報を安全に扱うための学びです。初出:情報セキュリティ教育(社員が情報を守るための知識・行動を身につける教育)。
  • 違反や事故があれば、ただ罰するだけでなく再教育して「同じ過ちを繰り返さない仕組み(予防)」を設ける必要があります(a)。
  • 新入社員は最初に企業のルールと危険を知らないため、入社時に組み込むことが有効です(b)。
  • 教育は一回だけで終わらせず、定期的に行うことが重要です。さらに、事件・事故(インシデント:情報を侵害したり運用を妨げる出来事)発生後にも追加で実施して学びを反映します(d)。
  • c(対象を情報システム部門に限定)は誤りです。情報資産は全社員が触れるため、対象は全社員が原則です。

解法ステップ

  1. 問題のテーマ(社員向けの情報セキュリティ教育)を確認する。
  2. 各記述が「誰が対象か」「いつ行うか」「何を含むか」という観点で正しいかを判断する。
  3. 情報セキュリティ教育の一般原則(全社員対象、定期的、事後対応、予防の重視)と照らし合わせる。
  4. 原則に合致する記述を選び、選択肢の組合せと照合する。
短く言うと、「全社員に継続的かつ事後対応も含めた教育を行い、違反には予防措置を含めた再教育を行う」が正解の基準です。

選択肢別の誤答解説

  • (a, b, d)
    正しい組合せです。上に述べた通り、再教育に予防処置を含めること、入社時研修に組み込むこと、定期+事故後の実施はいずれも実務の基本です。
  • イ(a, c, d)
    a と d は正しいですが、c「対象を情報システム部門に限定する」は誤りです。情報セキュリティは情報を扱う全員の責任であり、全社員を対象にするのが原則です。したがってこの組合せは不適切です。
  • ウ(a, d)
    a と d は正しいものの、b(新入社員研修に組み込む)が抜けています。新入社員を対象にしない教育は不十分なため、完全な正解とはいえません。
  • エ(b, c)
    b は正しいものの、c が誤りです。情報システム部門だけを対象にする考え方は誤りであり、これだけでは不適切です。

よくある誤解

  1. 「情報セキュリティ教育はIT部門だけが受ければよい」
    → 誤りです。経理や営業、受付なども情報を扱います。全社員が対象です。
  2. 「一度教育をしたらそれで終わりでよい」
    → 誤りです。脅威は変化しますし、人の注意力も落ちます。定期的な更新と、事件後のフォローが必要です。
  3. 「違反者にはまず罰則だけ」
    → 罰則も必要な場合がありますが、再発防止のためには原因分析と予防策(再教育、手順改善、仕組みの変更)が重要です。

補足コラム

  • インシデント(incident):業務に支障や情報漏えいなどの問題を起こす出来事。発生後の教育で重要なのは「何が起きたか」を共有し、「なぜ起きたか」を追究して対策を立てることです。
  • 教育の具体例:パスワード管理、フィッシングメール(だまされて情報を出してしまう手口)対策、端末の持ち出しルール、外部記憶媒体の取り扱いなど。実際の業務に近い演習(疑似メールを使った訓練など)を取り入れると効果が高まります。
  • KPI(Key Performance Indicator:重要業績評価指標)を設定して教育効果を測ることも役立ちます。例:研修後の理解度テスト、フィッシングのクリック率低下など。

FAQ

Q1. 誰が教育を企画・実施すべきですか?
A1. 多くは総務・人事部門が主体となり、情報システム部門や外部の専門家と協力して実施します。企画は経営層の方針と連動させることが重要です。
Q2. 教育はどのくらいの頻度で行うべきですか?
A2. 目安は年1回の定期教育に加え、入社時研修、ルール変更時、インシデント発生時の臨時教育です。業種やリスクに応じて頻度を増やします。
Q3. 研修の効果はどう測るとよいですか?
A3. 理解度テスト、実務での違反件数、フィッシング訓練のクリック率などの指標で評価します。数値で確認して改善につなげます。

関連キーワード: 情報セキュリティ教育、セキュリティ研修、再教育、インシデント対応、啓発、社内規程、予防措置、研修設計、遵守(コンプライアンス)
← 前の問題へこの年度をクイズで解く次の問題へ →
戦国ITクイズ機能

\ せっかくなら /

ITパスポート
クイズ形式で学習しませんか?

クイズ画面へ遷移する

すぐに利用可能!

©︎2026 情報処理技術者試験対策アプリ

このサイトについてブログプライバシーポリシー利用規約特商法表記開発者について