ITパスポート 2018年 秋期 問78
問題文
情報セキュリティ対策において、情報を保護レベルによって分類して管理するとき、管理方法として、適切なものだけを全て挙げたものはどれか。
a 情報に付与した保護レベルは、廃棄するまで変更しない。
b 情報の取扱い手順は、保護レベルごとに定める。
c 情報の保護レベルは、組織が作成した基準によって決める。
d 保護レベルで管理する対象は、電子データとそれを保存した保存媒体に限定する。
選択肢
ア:a, c
イ:a, d
ウ:b, c(正解)
エ:b, d
🔒 解説は解答すると表示されます
情報を保護レベルで分類して管理するときの管理方法の適切さ【ITパスポート 解説】
正解の理由
情報を保護レベルで分類して管理する基本は、「どの情報をどの程度守るか」を組織ごとに決め、その決まりに従って扱うことです。具体的には、
- 情報ごとに取り扱い手順を保護レベルごとに定める必要があります(扱い方が変わるため)。つまり選択肢(b)は正しい。
- その保護レベルをどう決めるかは、組織が作成した基準(方針)に基づくことが原則です。つまり選択肢(c)も正しい。
以上から、選択肢の組み合わせでは ウ(b, c)が適切です。
解法ステップ
- 設問の趣旨を確認:情報を「保護レベルによって分類して管理する」際の管理方法が問われている。
- 各選択肢の意味をかみ砕く:
- a:保護レベルは一度付けたら廃棄まで変更しない、という主張。
- b:扱い手順は保護レベルごとに定める、という主張。
- c:保護レベルは組織基準で決める、という主張。
- d:対象は電子データとその保存媒体に限定する、という主張。
- 情報管理の原則に照らして正誤を判断:
- b は「どのレベルかで扱いが変わる」ため妥当。
- c は「組織の方針」で決めるのが妥当。
- a は誤り(状況変化で再分類が必要)。
- d は誤り(紙や口頭情報なども対象)。
- 正しい組み合わせを選ぶ → ウ(b, c)。
選択肢別の誤答解説
-
a(保護レベルは廃棄するまで変更しない)
誤り。情報の重要度や法的要求、利用状況は変わります。例えば、機密情報が公開されることで機密性が下がったり、逆に新たな法規制で重要度が上がることがあります。したがって再分類や保護レベルの変更は必要です。 -
b(情報の取扱い手順は保護レベルごとに定める)
正しい。保護レベルごとにアクセス権、保存方法、転送方法、廃棄方法などを定めるのが基本です。たとえば「機密」は暗号化して保管、「社外秘」は印刷禁止や施錠保管、など。 -
c(情報の保護レベルは組織が作成した基準によって決める)
正しい。保護レベルの基準(何が「公開」「社内」「機密」か)は組織ごとの業務やリスクに応じて定めます。外部基準(法律・契約)を踏まえることはあっても、最終的な運用ルールは組織が決めます。 -
d(管理対象は電子データとそれを保存した保存媒体に限定する)
誤り。情報資産には紙の文書、口頭での情報、ホワイトボードの内容、磁気媒体やUSB、印刷物などあらゆる形態が含まれます。従って管理対象を電子データに限定するのは不十分です。
よくある誤解
-
「一度分類したら変更しない方が楽だから固定でよい」
→ 状況変化に応じた見直しが安全運用には必須です。期限やイベントで再評価する仕組みを持ちましょう。 -
「情報は電子データだけ守ればよい」
→ 紙や口頭情報、人的記憶も漏えいリスクがあります。すべての情報形態を対象に分類・管理します。 -
「外部の法律や基準に従えば組織は何もしなくてよい」
→ 法律は最低基準を示すことが多く、業務リスクに応じた細かい基準や運用ルールは組織が定める必要があります。
補足コラム
-
保護レベルの典型例と対応(分かりやすい4段階例)
- 公開:誰でも見られる情報。特別な保護は不要。
- 社外秘(内密):取引先と共有するが外部公開は不可。アクセス制限や伝送時の暗号化が必要。
- 機密:漏れると重大な損害。厳格なアクセス制御、暗号化、物理保管の管理。
- 最高機密:国家や極めて重要な情報。さらに厳格な管理。
-
運用のポイント
- 担当(データオーナー:情報の責任者)を定める。
- 保護レベルの基準書を作る(判断例を明記すると運用が安定する)。
- 定期的な見直しルールと、分類変更の手順を定める。
- すべての形態(電子・紙・口頭・機器)を対象にする。
(用語メモ)
- データオーナー:その情報に対する最終責任を持つ人。取り扱い方や公開の可否を決める役割。
- 暗号化:情報を鍵で読み取れない形に変えること。保存や通信時の対策としてよく使われます。
- ISO/IEC 27001(国際規格):情報セキュリティ管理のしくみ作りに関する国際基準。略語の説明:ISO(International Organization for Standardization:国際標準化機構)、IEC(International Electrotechnical Commission:国際電気標準会議)。
FAQ
Q1. 誰が保護レベルを決めますか?
A1. 組織の方針と基準に基づき、情報の責任者(データオーナー)が決めます。法令や契約での要件も反映します。
A1. 組織の方針と基準に基づき、情報の責任者(データオーナー)が決めます。法令や契約での要件も反映します。
Q2. どれくらいの頻度で見直すべきですか?
A2. 明確な頻度(例:年1回)と、重要な変更時(法改正、事業変更、情報漏えい発覚など)の都度見直す仕組みを用意します。
A2. 明確な頻度(例:年1回)と、重要な変更時(法改正、事業変更、情報漏えい発覚など)の都度見直す仕組みを用意します。
Q3. 紙の書類はどう管理すればよいですか?
A3. ラベリング、施錠保管、不要時の溶解処理やシュレッダー処理など、電子データと同等の保護策を適用します(形態に応じた具体策を決める)。
A3. ラベリング、施錠保管、不要時の溶解処理やシュレッダー処理など、電子データと同等の保護策を適用します(形態に応じた具体策を決める)。
関連キーワード: 情報分類、保護レベル、機密性、アクセス制御、情報資産管理、データオーナー、暗号化、情報のライフサイクル

\ せっかくなら /
ITパスポートを
クイズ形式で学習しませんか?
クイズ画面へ遷移する→
すぐに利用可能!

