平成16年度情報セキュリティアドミニストレータ午後U問題 (問1)
→詳細な解説を見る
問1 個人情報の漏えい対策に関する次の記述を読んで,設問1〜5に答えよ。
V社は,ホテルやスポーツクラブを経営している企業で,従業員数2,000名,年商は500億円である。V社は,ゴルフ場,テニスコートなどを運営する企業が合併することによって10年前に設立され,ホテルとスポーツクラブを全国20都市に展開してきた。ホテルやスポーツクラブの利用者向けに,磁気ストライプを用いた会員制ポイントカードを発行し,それが好評で売上を伸ばしている。本社には,営業企画部,総務部,情報システム部などがある。
〔情報システムの概要〕
V社は,ホテル業務とスポーツクラブ業務用の情報システム(以下,Vシステムという)を開発し,ポイントカード会員の氏名,住所,生年月日,性別,所属スポーツクラブなどのデータベース化された個人情報(以下,個人データという)の管理や,インターネットへのアクセスなどに利用している。図1に,Xシステムの構成を示す。
会員は,インターネットを経由してWebサーバにアクセスし,ポイントカードに記載されている会員番号でホテルやスポーツクラブを予約する。この予約データは,本社サーバに保存される。ただし,スポーツクラブの予約データは,本社サーバから該当するスポーツクラブのローカルサーバに転送される。
ホテルでは,本社サーバにアクセスして予約データを得て,宿泊客リストの印刷などの処理を行っている。また,会員がチェックアウトした際に,ポイントの利用状況を本社サーバに送信している。
スポーツクラブでは,インストラクタがパソコンのブラウザからローカルサーバにアクセスして,会員の予約データと個人データを基に,健康面からの制限事項を考慮したスポーツメニューを作成する。また,会員がスポーツを終えた後に,インストラクタが時間数,会員のポイントの利用状況や特記事項などを入力している。各スポーツクラブの事務所では,毎月20日締めで会員の施設利用状況をローカルサーバからパソコンにダウンロードして,会員への請求書と銀行への口座振替依頼書を作成している。
本社情報システム部は,Vシステムのネットワーク機器やすべてのサーバを運用管理し,ウイルス,不正侵入,情報漏えいなどの対策を行っている。
〔第1の事件〕
Tスポーツクラブ(以下,Tクラブという)では,会員が急増し,1日当たりの利用会員が400名を超えることがある。Tクラブには,クラブ長,管理部長,インストラクタ部長,及び従業員(事務員が3名,インストラクタが30名,派遣社員が5名)がいる。また,インストラクタのうち,20名はアルバイトである。管理部長はTクラブの情報セキュリティ責任者であるが,多忙なこともあって,従業員に対する情報セキュリティ教育がおろそかになりがちで,利用者IDとパスワードの付与については事務員任せになっている。事務員及び派遣社員は,利用者IDを共用している。
請求処理で忙しい9月21日の未明に,Tクラブで事件が起こった。Tクラブの事務所が泥棒に侵入され,現金,預金通帳,及びパソコン1台が盗まれた。21日の朝に,出勤してきたインストラクタが盗難に気付いた。連絡を受けたクラブ長が,盗まれたパソコンを操作していた派遣社員に前日の作業内容をヒアリングしたところ,当該月の会員への請求データと銀行への口座振替データがパソコンに保存されたままであることが分かった。クラブ長は警察に盗難届を出したが,個人データ漏えいの可能性については言及しなかった。
その後,クラブ長が本社に対応の支援を依頼したところ,本社から,防犯対策担当者である総務部長と情報システム部の情報セキュリティ担当者であるH君が,調査のためにTクラブに派遣されてきた。H君は,まず関係者にヒアリングし,次にTクラブのローカルサーバを調査した。調査を終えて,本社に戻ったH君は,上司のB部長と相談して,図2の対応策をまとめた。
図2 対応策
(1) |
“個人データ漏えいの可能性”について警察に届け出るとともに,マスコミに公表すること。また,該当する会員に対して,事件の概要とパソコン上の個人データ項目,今後起こる可能性のある事故とその場合の注意点について説明したおわびの文書を発送すること。
|
(2) |
Tクラブの情報セキュリティ担当者を決めて,個人データへのアクセス履歴を定期的にチェックさせること。
|
(3) |
Tクラブの従業員などに対して,個人データの取扱方法について教育すること。その場合,情報システム部が作成したWebベースシステムを活用して,習得させること。
|
(4) |
パソコン上の個人データは,作業終了時には消去させること。
|
(5) |
事務員及び派遣社員には,利用者IDを共用させないこと。
|
|
クラブ長は,対応策を受けて警察に届け出て,マスコミにも公表した。同時に,H君の調査で個人データの漏えいが判明した512名の会員に対して,図3に示すおわびの文書を郵送した。
図3 Tクラブからのおわびの文書
平成16年9月25日 |
会員各位 |
V社Tスポーツクラブ長△△○○ |
おわび |
拝啓 秋冷の候,皆様にはますますご健勝のこととお慶び申し上げます。また,平素よりTスポーツクラブをご利用いただきありがとうございます。
当クラブでは,皆様の個人情報管理には十分配慮してまいりましたが,[ ア ]。お客様には十分注意していただき,何か,ご不明な点,お気付きの点などがございましたら,下記までお問い合わせください。
このたびは,当クラブの不十分な管理によって,皆様に大変ご迷惑をおかけしましたことを心からおわび申し上げます。今後とも,皆様のご利用をお待ちしております。
|
敬具 |
お問合せ先:Tスポーツクラブ管理部長××◇◇,電話:0#-1###-5###
受付時間:午前9時〜午後6時(月〜金),午前10時〜午後3時(土,日,祝日)
|
|
〔第2の事件〕
Sホテルは,部屋数が200室あり,きめ細かいサービスと料理で人気がある。Sホテルには,K支配人のほか,従業員が45名(アルバイト25名を含む)いる。繁忙期には得意客で満室になるので,近隣のホテルに応援者を頼み,フロント業務を手伝ってもらっている。Sホテルの従業員や応援者は,必要の都度,Sホテルのフロントと事務所に設置されているパソコンからVシステムにアクセスする。この際,上司の許可を得てアクセスし,宿泊客リストを印刷して,部屋割りと食事のメニューを決めている。この宿泊客リストは,従業員や応援者が利用後,自らの判断によって廃棄している。ただし,宿泊者名簿は,旅館業法に従って別に紙で保管している。
ある日G氏が,宿泊とスポーツがセットになった,Sホテルの“ダイエットプラン”に申し込んだ。G氏には,会員の登録情報どおり,禁煙室,Lサイズの浴衣及び低カロリ食が用意された。ところが,宿泊した日の2週間後から,ダイエット食品に関する不審なダイレクトメールがG氏に郵送されるようになった。G氏へのあて先が,ポイントカード登録時の記載誤りのある住所であったことから,G氏はV社に問い合わせた。V社が調査したところ,G氏が宿泊した日の宿泊客リストが盗まれていたことが分かり,V社は,当日利用した宿泊客に謝罪し,公表した。
〔リスク分析と情報セキュリティポリシの見直し〕
V社のA社長は,二つの事件を受けて,V社としての対策が必要と判断し,個人情報の管理体制とVシステムの改善をB部長に指示した。B部長は,H君と個人データ漏えいに関するリスク分析を行った。次は,B部長とH君の会話である。
H君: |
現在,ホテルとスポーツクラブで利用されている個人データの管理は不十分で,漏えいリスクは高いと思います。当社は,2005年に全面的に施行される個人情報保護法に規定されている[ a ]に該当し,個人データの安全管理措置が義務付けられます。ですから,個人データ漏えいに対するリスク対策は必須です。
|
B部長: |
そうか。リスクとリスク対策について詳しく説明してくれないか。
|
H君: |
リスク対策には4種類あり,リスクの被害規模と発生頻度によって対策を選択するという考え方があります。例えば,被害規模が大きく,発生頻度が高いリスクの場合には,リスクを回避します。また,被害規模が大きいリスクの場合には,発生頻度が低くても,リスク保険などに[ b ]します。
一方,被害規模が小さく,発生頻度が高いリスクの場合には,リスク対策の費用対効果が最適となるように,発生頻度の低減対策を行います。
|
B部長: |
では,TクラブやSホテルの場合には,どうすべきなのか。
|
H君: |
どちらの場合も,大量の個人データを扱っています。現状のままでは,個人データ漏えいによる被害規模が大きく,発生頻度も高いので,リスクを回避すべきです。Tクラブでは,個人データをパソコン内に保存しないようにするか,保存するときにはデータを暗号化して,漏えいしても読まれる可能性を減少させるべきです。また,Sホテルでは,宿泊客リストを印刷すべきではありません。個人データ漏えいの発生頻度を減少させるには,アクセスを厳しく制限する必要があります。
|
B部長: |
分かった。まず,個人データへのアクセス制限の強化から始めよう。当社の情報セキュリティポリシの見直しと遵守させるための方策を検討してもらいたい。
|
〔V社の情報セキュリティポリシ〕
V社の情報セキュリティポリシは,情報システム部が中心となって4年前に作成されていた。しかし,ホテルやスポーツクラブの役員,管理職,従業員などへの周知やWebベースシステムを活用した教育が十分に実施されておらず,必ずしも遵守されていない。そこで,H君はB部長の指示を受けて,ホテルやスポーツクラブの情報セキュリティ責任者で構成される情報セキュリティ委員会において,情報セキュリティポリシの問題点と改善策について検討した。その結果を図4に示す。
図4 情報セキュリティ委員会で決定した改善項目
(i) |
ホテルやスポーツクラブでは,派遣社員やアルバイトが多く,しかも頻繁に入れ替わるので,利用者IDとパスワードの発行,停止は,本社で迅速に行う。
|
(ii) |
従業員などが情報セキュリティポリシに違反した場合に備え,[ c ]規定が必要となる。
|
(iii) |
ホテルやスポーツクラブを対象に,情報セキュリティを定期的に評価する。
|
(iv) |
情報システム部によるSホテルの事故対策では,個人データ漏えいを防ぐために,事実上,宿泊客リストの印刷を禁じている。これでは,ホテルのサービス低下を招くので,上司が宿泊客リストの中からサービス提供に必要な最小限の項目を抜き出して印刷した接客カードを,従業員や応援者に渡す。
|
|
情報セキュリティ委員会は,図4の(i)〜(iv)の改善項目を盛り込んだ情報セキュリティポリシの改訂案を作成した。この改訂案は,V社の経営会議で承認された(図5)。
図5 V社の情報セキュリティポリシ(改訂後)
情報セキュリティポリシ |
社長 |
T.基本方針
|
V社は,ホテルとスポーツクラブの運営を通じて,お客様に満足していただけるサービスを提供する企業である。お客様サービスにとって重要な個人情報に関する情報セキュリティの確保を最優先に行動する。
|
U.対策基準
1. |
適用範囲
(1) |
本基準は,役員,管理職及び従業員に適用する。
|
(2) |
本基準は,V社で利用するすべての情報資産(ハードウェア,ソフトウェア,ネットワーク,データベース,記録媒体及び書類)に適用する。
|
|
2. |
情報セキュリティ委員会
(省略)
(3) |
情報セキュリティ委員会は,必要に応じて情報アクセス管理者を任命する。
|
(省略)
|
3. |
情報の管理
(1) |
V社が守るべき情報には,その重要度に応じてA(きわめて重要)〜D(重要でない)のランクを付ける。
なお,個人情報は,Aランクとする。
|
(2) |
Aランクの情報をパソコンで取り扱う場合には,業務終了時に消去する。
|
(3) |
Aランクの情報の印刷,コピー及び破棄は上司の許可を得てから行い,管理記録を残す。
|
|
4. |
アクセス管理
(1) |
Aランクの情報を保存する機器は,物理的に[ d ]する。
|
(2) |
情報資産への適切なアクセス権限を設定する。
|
(3) |
従業員が個人データにアクセスする場合には,その都度,情報アクセス管理者の許可を得る。
|
(4) |
利用者IDとパスワードの発行,停止は,本社で迅速に行う。
|
(5) |
利用者IDは,共用しない。
|
(6) |
本社サーバと各スポーツクラブのローカルサーバへのアクセス記録は,すべて[ e ]に残し,その内容を定期的にチェックする。
|
|
5. |
インターネットアクセス
(省略)
|
6. |
事故対応
(省略)
|
7. |
Webベースシステムによる教育
(省略)
|
8. |
情報セキュリティ監査
(省略)
|
9. |
[ c ]規定
|
(以下,省略)
|
|
〔情報セキュリティの支援と情報セキュリティ監査〕
H君は,承認された情報セキュリティポリシを浸透させるために,表に示すような情報システム部による情報セキュリティの支援を提案し,B部長の承認を得た。
表 情報システム部による情報セキュリティの支援
項目 |
支援内容 |
システムの運用支援 |
・ |
利用者IDとパスワードの迅速な発行,停止
|
・ |
Vシステムのログの定期的な監視
|
・ |
ヘルプデスクの設置 |
|
緊急対策の支援 |
・ |
個人データ漏えい対策やウイルス対策など,緊急を要する情報セキュリティ対策に関する対応とアドバイス
|
|
教育の支援 |
・ |
Webベースシステムの教育コンテンツに[ イ ]を追加
|
|
情報セキュリティ評価などの 支援 |
・ |
情報セキュリティ対策の実施状況の定期的な評価
|
・ |
第三者による情報セキュリティ監査への対応
|
・ |
自己点検の支援
|
|
V社のスポーツクラブやホテルでは,情報セキュリティの支援体制が整ったことから,情報セキュリティポリシが浸透するようになり,情報セキュリティの改善が進んできた。しかし,情報セキュリティポリシに対する理解がまだ不十分なところもある。
そこで,A社長は,個人情報保護を実現するための情報セキュリティポリシを更に徹底させるために,社外の情報セキュリティ監査チームに監査を依頼した。図6に,その報告書を示す。
図6 情報セキュリティ監査報告書
情報セキュリティ監査報告書 |
1.全般事項
V社の本社では,個人情報に関するリスクマネジメントが実施され,個人情報保護法に準拠するための情報セキュリティ支援体制が整ったことは評価できる。
ただし,バランスのとれたリスクマネジメント実現に向けた改善と,経営陣によるリーダシップが必要である。
2.指摘事項
(1) |
Sホテルの現在の運用では,個人データへのアクセス権限をもっているのはK支配人だけであり,K支配人の不在時に業務に支障を来している。情報セキュリティポリシのU.4.(3)を踏まえ,アクセス権限の付与を含めてコントロールを見直す必要がある。
|
(以下,省略)
|
|
情報セキュリティ監査報告書を受け取ったA社長は,B部長に,早急に指摘事項を実施するよう指示した。また,A社長は,個人情報に関する情報セキュリティ管理を徹底させるために,自ら,ホテルやスポーツクラブを訪れて,リスク分析の必要性とそれに基づいた個人情報に関する情報セキュリティのマネジメントについて説明することにした。
設問1 本文中の[ a ]〜[ e ]に入れる適切な字句を答えよ。
(1) |
[ a ]については,10字以内で答えよ。
|
(2) |
[ b ]〜[ e ]については,解答群の中から選び,記号で答えよ。
|
解答群
ア 移転 |
イ 移動 |
ウ 隔離 |
エ 採用 |
オ 出力 |
カ 対応 |
キ 入退室 |
ク 罰則 |
ケ 分離 |
コ ログ |
設問2 第1の事件に関する次の問いに答えよ。
(1) |
本文中の下線で示した,H君の調査の目的を,30字以内で述べよ。
|
(2) |
図2中の(5)で指摘している利用者IDの共用による問題点を二つ挙げ,それぞれ20字以内で述べよ。
|
(3) |
図3中の[ ア ]に入れる適切な字句を,100字以内で述べよ。
|
設問3 第2の事件に関する解決策として,図4中の(iv)に示す改善項目が決定された。しかし,このままでは,第2の事件の抜本的な解決には至らない。上司が更に実施すべきことを,25字以内で述べよ。
設問4 Webベースシステムで提供する教育に関する次の問いに答えよ。
(1) |
第1,2の事件への対応策として,表中の[ イ ]に該当する教育項目を二つ挙げ,それぞれ15字以内で述べよ。
|
(2) |
Webベースシステムを使って,ホテルやスポーツクラブの従業員などを教育するとき,教育効果を上げるためにH君が留意すべき点を二つ挙げ,それぞれ30字以内で述べよ。
|
設問5 情報セキュリティアドミニストレータであるあなたは,図6中の2.(1)の指摘事項に基づいた運用改善策を求められている。図5中のU.4.(3)に対応した改善策を,60字以内で述べよ。
→詳細な解説を見る
|
|
スポンサードリンク
スポンサードリンク
|