ITパスポート 2020年 秋期 問84
問題文
ISMSの情報セキュリティリスク対応における、人的資源に関するセキュリティ管理策の記述として、適切でないものはどれか。
選択肢
ア:雇用する候補者全員に対する経歴などの確認は、関連する法令、規制及び倫理に従って行う。
イ:情報セキュリティ違反を犯した従業員に対する正式な懲戒手続を定めて、周知する。
ウ:組織の確立された方針及び手順に従った情報セキュリティの適用を自社の全ての従業員に要求するが、業務を委託している他社には要求しないようにする。(正解)
エ:退職する従業員に対し、退職後も有効な情報セキュリティに関する責任事項及び義務を定めてその従業員に伝え、退職後もそれを守らせる。
🔒 解説は解答すると表示されます
ISMSの人的資源に関するセキュリティ管理策で「適切でないもの」はどれか【ITパスポート 解説】
正解の理由
選択肢の中で適切でないのは ウ です。理由は、ISMS(ISMS(Information Security Management System:情報セキュリティマネジメントシステム))の考え方では、情報セキュリティの適用は自社の従業員だけでなく、業務を委託している他社(委託先、外部ベンダー)にも求める必要があるからです。委託先も組織の情報やシステムに触れるため、同等の管理策や契約(例:機密保持契約、セキュリティ要件)は必須です。したがって「他社には要求しないようにする」という記述は不適切です。
解法ステップ
- 問題のキーワードを確認する:「人的資源に関するセキュリティ管理策」。これは人に関係するセキュリティ対策を問うている。
- 各選択肢が人的資源管理のどの側面を扱っているかを分類する(採用前の確認、懲戒、委託先への要求、退職後の処理)。
- ISMSや一般的なセキュリティガイドライン(例:ISO/IEC 27001の方針)と照らし合わせる。
- 人に関する管理策は「採用時の確認」「教育・訓練」「懲戒」「退職時の処理」「委託先管理」などを含む。
- 「委託先に要求しない」は矛盾していると判断する。よってこれが不適切と決定する。
選択肢別の誤答解説
- ア: 「雇用する候補者全員に対する経歴などの確認は、関連する法令、規制及び倫理に従って行う。」
- 解説: 適切です。採用前のバックグラウンドチェック(経歴確認)は、組織の安全を守る基本策です。ただし個人情報保護や差別禁止などの法令・倫理を守る必要があります(例:履歴書の内容確認は法令に従う)。
- イ: 「情報セキュリティ違反を犯した従業員に対する正式な懲戒手続を定めて、周知する。」
- 解説: 適切です。懲戒手続き(懲戒規程)はルール違反の抑止と一貫性の維持に役立ちます。重要なのは手続きが公正であり、事前に周知されていることです。
- ウ: 「組織の確立された方針及び手順に従った情報セキュリティの適用を自社の全ての従業員に要求するが、業務を委託している他社には要求しないようにする。」
- 解説: 不適切(正答)。委託先管理はISMS上重要な項目です。委託先にも同等のセキュリティ要件を契約や評価で課す必要があります。委託先を無視すると情報漏えいなどのリスクが高まります。
- エ: 「退職する従業員に対し、退職後も有効な情報セキュリティに関する責任事項及び義務を定めてその従業員に伝え、退職後もそれを守らせる。」
- 解説: 適切です。退職後の機密保持(NDA:Non-Disclosure Agreement(秘密保持契約))やアクセス権の解除、機器返却などは必要です。注意点として、強制ではなく法的拘束力のある契約やルールで対応する点を押さえてください。
よくある誤解
- 誤解1: 「委託先は外部だからセキュリティは気にしなくてよい」
- 解説: 委託先が扱うデータやシステムは組織の責任範囲に含まれます。委託先管理を怠ると間接的な情報漏えいや運用停止のリスクが発生します。
- 誤解2: 「退職後の義務は口約束で十分」
- 解説: 口約束は証明が難しく、法的強制力が弱いです。機密保持契約や規程で明文化することが重要です。
- 誤解3: 「経歴確認はどんな方法でも良い」
- 解説: 個人情報保護法や差別禁止規定に従って行う必要があります。合法的で倫理的な範囲で実施します。
補足コラム
- ISMS と委託先管理: ISO/IEC 27001(情報セキュリティ管理の国際規格)では、委託先(サプライヤ、外部ベンダー)との関係にもセキュリティ要求を定めることが推奨されています。実務では、委託契約にセキュリティ要件を盛り込み、定期的な評価(監査、報告)を行います。
- 覚え方のコツ: 人的セキュリティの主要ポイントは「採用(事前)→教育(在職)→懲戒(在職)→退職(事後)→委託先(外部)」と順に考えると整理しやすいです。
FAQ
Q1: 委託先にも同じレベルのセキュリティを要求する必要がありますか?
A1: 必要です。委託先が扱う情報の機密性や影響度に応じて、適切なセキュリティ要件を契約で定め、守らせるべきです。
A1: 必要です。委託先が扱う情報の機密性や影響度に応じて、適切なセキュリティ要件を契約で定め、守らせるべきです。
Q2: 退職後の義務はどのように確保すればよいですか?
A2: NDA(秘密保持契約)や就業規則で義務を明記し、退職時に書面で確認することが一般的です。また、技術的にはアクセス権を速やかに解除します。
A2: NDA(秘密保持契約)や就業規則で義務を明記し、退職時に書面で確認することが一般的です。また、技術的にはアクセス権を速やかに解除します。
Q3: 経歴確認でプライバシーを侵害しない方法は?
A3: 候補者の同意を得て、必要最小限の情報だけを取得します。関連法令(個人情報保護法等)に従うことが前提です。
A3: 候補者の同意を得て、必要最小限の情報だけを取得します。関連法令(個人情報保護法等)に従うことが前提です。
関連キーワード: ISMS、情報セキュリティ、人的資源管理、委託先管理、機密保持、懲戒手続、バックグラウンドチェック

\ せっかくなら /
ITパスポートを
クイズ形式で学習しませんか?
クイズ画面へ遷移する→
すぐに利用可能!

