ホーム > 情報処理安全確保支援士試験 > 2017年 春期
情報処理安全確保支援士試験 2017年 春期 午前2 問09
個人情報の漏えいに関するリスク対応のうち,リスク回避に該当するものはどれか。
ア:個人情報の重要性と対策費用を勘案し,あえて対策をとらない。
イ:個人情報の保管場所に外部の者が侵入できないように,入退室をより厳重に管理する。
ウ:個人情報を含む情報資産を外部のデータセンタに預託する。
エ:収集済みの個人情報を消去し,新たな収集を禁止する。(正解)
解説
個人情報の漏えいに関するリスク対応のうち,リスク回避に該当するものはどれか。【午前2 解説】
要点まとめ
- 結論:リスク回避とは、リスクの原因そのものを排除することであり、個人情報の消去と新規収集禁止が該当します。
- 根拠:リスク回避はリスクを完全に避ける対応策であり、リスクを残す管理強化や外部委託は該当しません。
- 差がつくポイント:リスク回避とリスク軽減(リスク低減)の違いを正確に理解し、リスクを「なくす」対応を選ぶことが重要です。
正解の理由
選択肢エの「収集済みの個人情報を消去し、新たな収集を禁止する」は、個人情報の存在自体をなくすことでリスクの発生源を排除しています。これにより、漏えいリスクが根本的に消滅するため、リスク回避に該当します。
よくある誤解
リスク対応策を「対策を強化すること」と混同し、リスク回避とリスク軽減の違いがあいまいになることが多いです。
解法ステップ
- リスク回避の定義を確認する(リスクの原因を排除すること)。
- 各選択肢がリスクの原因を「なくす」か「減らす」かを判断する。
- 個人情報を消去し収集禁止する選択肢が唯一リスクを根本的に排除していることを確認する。
- 他の選択肢はリスク軽減やリスク受容に該当するため除外する。
選択肢別の誤答解説
- ア: 対策をとらないのはリスク受容であり、リスク回避ではありません。
- イ: 入退室管理の強化はリスク軽減であり、リスク回避ではありません。
- ウ: 外部データセンタへの預託はリスク移転や軽減であり、リスク回避ではありません。
- エ: 個人情報を消去し収集禁止することでリスクの原因を排除し、リスク回避に該当します。
補足コラム
リスク対応には「回避」「軽減」「移転」「受容」の4種類があります。リスク回避は最も根本的な対応策ですが、業務上の制約で実施が難しい場合も多いため、リスク軽減策が一般的に用いられます。
FAQ
Q: リスク回避とリスク軽減の違いは何ですか?
A: リスク回避はリスクの原因を完全に排除すること、リスク軽減はリスクの発生確率や影響を減らすことです。
A: リスク回避はリスクの原因を完全に排除すること、リスク軽減はリスクの発生確率や影響を減らすことです。
Q: 個人情報を消去するときの注意点は?
A: 法令や業務上の保存義務を確認し、適切な手順で安全に消去する必要があります。
A: 法令や業務上の保存義務を確認し、適切な手順で安全に消去する必要があります。
関連キーワード: リスク回避, 個人情報漏えい, リスク対応, 情報セキュリティ, リスク軽減