ホーム > ITストラテジスト試験 > 2018年
ITストラテジスト試験 2018年 午前2 問25
個人情報の漏えいリスクに関するリスク対応のうち、リスク回避に該当するものはどれか。
ア:個人情報の重要性と対策費用を勘案し、あえて対策をとらない。
イ:個人情報の保管場所に外部の者が侵入できないように、入退室をより厳重に管理する。
ウ:個人情報を含む情報資産を外部のデータセンタで保管する。
エ:取得済みの個人情報を消去し、新たな取得を禁止する。(正解)
解説
個人情報の漏えいリスクに関するリスク対応のうち、リスク回避に該当するものはどれか【午前2 解説】
要点まとめ
- 結論:リスク回避とはリスクの原因を根本的に排除することであり、個人情報の消去と新規取得禁止が該当します。
- 根拠:リスク回避はリスクを完全に避ける対応策で、リスクを残したまま管理するのではありません。
- 差がつくポイント:対策の目的が「リスクを残すか排除するか」を見極め、消去や禁止は回避、管理強化は軽減と区別することです。
正解の理由
選択肢エ「取得済みの個人情報を消去し、新たな取得を禁止する」は、個人情報そのものを存在しない状態にすることで漏えいリスクを根本的に排除しています。これによりリスクの発生源を完全に断つため、リスク回避に該当します。
よくある誤解
リスク対応は「対策を強化すること」と誤解されがちですが、リスク回避はリスクの原因を完全に除去することを意味します。管理強化はリスク軽減に分類されます。
解法ステップ
- リスク対応の種類(回避、軽減、移転、受容)を理解する。
- リスク回避はリスクの原因を完全に排除することと認識する。
- 各選択肢の対応策がリスクを残すか排除するかを判断する。
- 個人情報を消去し取得禁止する選択肢がリスク回避に該当することを確認する。
選択肢別の誤答解説
- ア: 対策をとらないのはリスク受容であり、回避ではありません。
- イ: 入退室管理強化はリスク軽減に該当し、リスクを残したまま管理しています。
- ウ: 外部データセンタで保管するのはリスク移転の一種であり、回避ではありません。
- エ: 個人情報を消去し新規取得を禁止するため、リスクの根本原因を排除し回避に該当します。
補足コラム
リスク対応は4種類に分類されます。リスク回避はリスクの原因を完全に排除し、リスク軽減はリスクの影響や発生確率を下げることです。リスク移転は保険や外部委託でリスクを他者に移す方法、リスク受容はリスクを許容し対策を行わないことを指します。
FAQ
Q: リスク回避とリスク軽減の違いは何ですか?
A: リスク回避はリスクの原因を完全に排除し、リスク軽減はリスクの影響や発生確率を下げる対応です。
A: リスク回避はリスクの原因を完全に排除し、リスク軽減はリスクの影響や発生確率を下げる対応です。
Q: 個人情報の消去はなぜリスク回避に該当しますか?
A: 個人情報が存在しなければ漏えいのリスク自体がなくなるため、リスクの根本原因を排除しているからです。
A: 個人情報が存在しなければ漏えいのリスク自体がなくなるため、リスクの根本原因を排除しているからです。
関連キーワード: リスク回避, 個人情報保護, リスク対応, 情報セキュリティ, 漏えいリスク