ITパスポート 2017年 秋期 問42
問題文
リスクへの対応策は、回避、軽減、受容、転嫁の四つに分類することができる。ある会社で、個人情報を取り扱うシステムの開発を受託した。その開発プロジェクトにおけるリスク対応策のうち、個人情報漏えいに関するリスクの軽減に該当するものはどれか。
選択肢
ア:個人情報の持出しが発生しないように、プロジェクトルームから許可無く物を持ち出すことを禁止する。(正解)
イ:個人情報漏えいによって賠償金を請求された場合に備えて、損害の全額を補償対象とする保険に加入する。
ウ:個人情報漏えいの影響は大きいので、実際の個人情報を預からずに架空の情報で代替して作業する。
エ:独立したプロジェクトルームで作業する開発環境なので、個人情報漏えいの発生確率は低いと考え、万が一のリスク発生時に備えて予備費を確保しておく。
🔒 解説は解答すると表示されます
個人情報漏えいに対する対応分類の問題【ITパスポート 解説】
正解の理由
リスク対応の四分類は、回避(リスクの原因を無くす)、軽減(発生確率や影響を小さくする)、受容(そのまま受け入れる)、転嫁(他者に負担を移す)です。本問では、個人情報の持出しを禁止するルールを設けて、漏えいの発生確率を下げる対策が示されています。ルールと運用で「発生確率や影響を減らす」点が特徴なので、アが「軽減(リスクの低減)」に該当します。
解法ステップ
- まず「回避・軽減・受容・転嫁」の意味を短く確認する
- 回避:リスクを起こす行為自体をやめる(例:個人情報を扱わない)
- 軽減:起こる可能性や被害を小さくする(例:仕組みや規則で防ぐ)
- 受容:リスクをそのまま受け入れる(備えはするがリスクを消さない)
- 転嫁:損失を他者に移す(保険や外部委託など)
- 各選択肢を上の定義に当てはめる
- 「規則で持出しを禁止する」は発生確率を下げる運用的対策なので「軽減」と判断する
選択肢別の誤答解説
- ア: 個人情報の持出しを禁止する(正答該当)
→ 持出しを防ぐことで「発生確率」を下げる運用的対策。したがって軽減に該当します。 - イ: 損害を保険で補償する(転嫁)
→ 保険は損失の負担を保険会社に移す行為です。リスクそのものの発生や影響を減らす対策ではなく、「転嫁(トランスファー)」です。 - ウ: 実データを使わず架空データで作業する(回避)
→ 実際に個人情報を扱わないことで、個人情報漏えいのリスク自体を無くす方法です。リスクを発生させないので「回避(アボイド)」に当たります。 - エ: 発生確率は低いと考え、予備費を確保する(受容)
→ リスクを容認しておき、発生時に備える行為です。リスクを減らすわけではないため「受容(アクセプタンス)」です。
よくある誤解
- 回避と軽減を混同する:
「やらない(回避)」と「やるけど防ぐ(軽減)」は違います。ウの「架空データ使用」は回避、アの「持出し禁止」は軽減です。 - 保険を「リスクを減らす対策」と考える誤り:
保険は被害の金銭的負担を移すだけで、発生確率や被害そのものを減らすわけではありません(転嫁)。 - 物理的に安全な環境=十分な軽減、とは限らない:
エのように「発生確率が低い」と判断して放置すると、発生時の被害は大きくなりがちです。評価と対策のバランスが必要です。
補足コラム
実務で「個人情報漏えいの軽減」を行う際は、ルール禁止だけでなく、次のような複数対策を組み合わせると効果的です。
- アクセス制御(アクセス制御:誰がどこまで情報を見たり触ったりできるかを制限する仕組み)
- 暗号化(データを第三者に読めない形に変える技術)や端末のハードディスク暗号化
- DLP(Data Loss Prevention:情報流出防止):怪しい持出しや送信を検知・遮断する仕組み
- 施錠や入退室管理などの物理的対策と作業ログ(誰がいつ何をしたかの記録)
- 教育・運用(社員教育や持出し禁止ルールの周知、違反時の対応フロー)
組織では「回避・軽減・転嫁・受容」を単独で使うのではなく、状況に応じて組み合わせてリスク対応を設計します。例えば、架空データ(回避)+持出し禁止(軽減)+保険(転嫁)を併用することもあります。
FAQ
Q1: 軽減と回避の見分け方は?
A1: 「そのリスクをそもそも起こさないか(回避)」か「起こる可能性や被害を小さくするか(軽減)」で判別します。実データを全く扱わないなら回避、扱うが漏れないようにするなら軽減です。
A1: 「そのリスクをそもそも起こさないか(回避)」か「起こる可能性や被害を小さくするか(軽減)」で判別します。実データを全く扱わないなら回避、扱うが漏れないようにするなら軽減です。
Q2: 保険はリスク対策にならないのですか?
A2: 保険は「被害の金銭的負担を他へ移す」対策で、分類では転嫁です。発生を防ぐわけではないため、発生確率を減らす対策と併用するのが望ましいです。
A2: 保険は「被害の金銭的負担を他へ移す」対策で、分類では転嫁です。発生を防ぐわけではないため、発生確率を減らす対策と併用するのが望ましいです。
Q3: 持出し禁止ルールだけで十分ですか?
A3: ルールだけでは運用が甘くなると効果が下がります。監視、物理的施錠、DLP、教育などの技術的・物理的手段と組み合わせることが重要です。
A3: ルールだけでは運用が甘くなると効果が下がります。監視、物理的施錠、DLP、教育などの技術的・物理的手段と組み合わせることが重要です。
関連キーワード: リスク対応、リスクマネジメント、個人情報保護、情報セキュリティ、回避、軽減、受容、転嫁、DLP、暗号化、アクセス制御

\ せっかくなら /
ITパスポートを
クイズ形式で学習しませんか?
クイズ画面へ遷移する→
すぐに利用可能!

