ITパスポート 2020年 秋期 問68
問題文
リスク対応を、移転、回避、低減及び保有に分類するとき、次の対応はどれに分類されるか。
〔対応〕
職場における机上の書類からの情報漏えい対策として、退社時のクリアデスクを導入した。
選択肢
ア:移転
イ:回避
ウ:低減(正解)
エ:保有
🔒 解説は解答すると表示されます
リスク対応の分類(クリアデスク)【ITパスポート 解説】
正解の理由
リスク対応(risk response:発生したり発生し得る危険に対して行う対応)には主に「移転(Transfer)」「回避(Avoid)」「低減(Mitigate)」「保有(Accept)」の4種類があります。
職場で「退社時のクリアデスク(机上の書類を片付けて机を空にする)」を導入する対応は、情報漏えいが発生する可能性(発生確率)や被害の程度を小さくするための対策です。つまり危険を完全に無くすわけではないが、その発生しやすさや影響を下げる行為なので、ウ(低減)に分類されます。
職場で「退社時のクリアデスク(机上の書類を片付けて机を空にする)」を導入する対応は、情報漏えいが発生する可能性(発生確率)や被害の程度を小さくするための対策です。つまり危険を完全に無くすわけではないが、その発生しやすさや影響を下げる行為なので、ウ(低減)に分類されます。
解法ステップ
- 対応が「何を」するかを整理する
- ここでは「机上の書類を片付けて、退社時に情報が外部に漏れる可能性を下げる」こと。
- 4つの分類の意味を思い出す(短く)
- 移転:第三者に損失や責任を移す(例:保険、アウトソース)
- 回避:危険を引き起こす活動をやめて発生自体をなくす(例:危険な業務を中止)
- 低減:発生確率や影響を下げる対策を取る(例:教育、鍵、仕組み)
- 保有:対策を行わずリスクを受け入れる(例:影響が小さいので放置)
- 対応を分類に当てはめる
- 「クリアデスク」は発生確率/影響を下げる行為 → 低減。
選択肢別の誤答解説
- ア: 移転
- 説明:移転(Transfer)はリスクを第三者に移すことです。たとえばサイバー保険に加入して金銭的損失を保険会社に移す、ある業務を外部に委託して責任を移す、などが該当します。クリアデスクは社内の運用ルールであって第三者にリスクを移していないため該当しません。
- イ: 回避
- 説明:回避(Avoid)はリスクの原因となる活動をやめて、リスク自体を排除することです。例えば非常に危険な作業を中止する、機密情報そのものを扱わない等です。クリアデスクは「片付ける」ことでリスクを減らすが、情報を扱う業務自体は継続するため回避ではありません。
- ウ: 低減
- 説明:低減(Mitigate)は発生確率や被害の大きさを下げる対策です。クリアデスクは机上の書類を無くすことで、第三者や通行人に見られる/置き忘れで持ち出されるといった情報漏えいの確率を下げます。従って低減に当たります。
- エ: 保有
- 説明:保有(Accept)はリスクをあえて受け入れることです。対策を取らず発生した場合の損失を受け入れる場合に用います。クリアデスクは積極的な対策なので保有ではありません。
よくある誤解
- 「書類を残さないからリスクがなくなる → 回避では?」
- 誤り:業務で書類を扱う限り、完全にリスクが消えるわけではありません。クリアデスクは発生確率を下げる(低減)措置です。
- 「対策を決めれば移転になるのでは?」
- 誤り:移転は保険や委託など“第三者に責任や損失を移す”場合です。社内ルールや行動でリスクを減らすのは移転ではありません。
- 「厳格なルールだから保有ではない?」
- 誤り:保有は対策を行わないこと。ルールを設けている時点でリスク低減の行動です。
補足コラム
- クリアデスクは「物理的・人的管理」の代表的な対策です。物理的管理には鍵付きキャビネットやロッカー、人的管理には退社時チェックリストや教育が含まれます。
- 低減策は単独で使うより、複数を組み合わせると効果的です(例:クリアデスク + 施錠保管 + 情報の暗号化 + 社員教育)。
- 運用面では「守られているか」をチェックする仕組み(巡回、監査、退社時のチェックリスト)を用意すると、実効性が上がります。
FAQ
Q1: クリアデスクで「完全に」情報漏えいを防げますか?
A1: 完全には防げません。物理的な見られ方や置き忘れの確率は下がりますが、例えばデジタルデータの流出や帰宅途中の持ち出しなど別の経路は残ります。よって補助的対策も必要です。
A1: 完全には防げません。物理的な見られ方や置き忘れの確率は下がりますが、例えばデジタルデータの流出や帰宅途中の持ち出しなど別の経路は残ります。よって補助的対策も必要です。
Q2: クリアデスクは「技術的対策」ですか?
A2: 主に「物理的・運用的対策」です。技術的対策(テクニカル)は暗号化やアクセス制御など、クリアデスクは人の行動と物の管理に当たります。
A2: 主に「物理的・運用的対策」です。技術的対策(テクニカル)は暗号化やアクセス制御など、クリアデスクは人の行動と物の管理に当たります。
Q3: 低減と保有の判断基準は何ですか?
A3: 対策を講じてリスクの発生確率や影響を下げる場合は低減。対策を施さず発生リスクを受け入れる場合は保有です。コスト対効果や対応の可否で判断します。
A3: 対策を講じてリスクの発生確率や影響を下げる場合は低減。対策を施さず発生リスクを受け入れる場合は保有です。コスト対効果や対応の可否で判断します。
関連キーワード: リスクマネジメント、クリアデスク、情報漏えい、移転、回避、低減、保有、物理的セキュリティ、社内規程、人的対策

\ せっかくなら /
ITパスポートを
クイズ形式で学習しませんか?
クイズ画面へ遷移する→
すぐに利用可能!

