【解説】個人情報漏えい対策( セキュアド 平成16年 午後U問1)
→問題を見る
この設問では、企業が扱う個人情報の漏えい対策として、状況を読み取って適切な判断ができるかどうか問われています。また外部監査で指摘を受け、どのような対応を行うかも問われています。
設問1
答え:[a-個人情報取扱事業者、b-ア、c-ク、d-ウ、e-コ]
【空欄a】
個人情報保護法第2条に「個人情報取扱事業者とは、個人情報データベース等を事業の用にともしているもと定められています。
【空欄b】
リスク対策には以下の4つがあります。
・リスクの回避(被害規模大、発生頻度高い): 対策例→事業から撤退する
・リスクの低減(被害規模小、発生頻度高い): 対策例→発生頻度を低くする
・リスクの保有(被害規模小、発生頻度低い): 対策例→リスクを受け入れる
・リスクの移転(被害規模大、発生頻度低い); 対策例→保険への加入
問題文にリスク保険とあるので、リスクの移転が導き出せる。
【空欄c】
問題文に、情報セキュリティポリシに違反した場合の規定とあるので、罰則規定ということがわかります。
【空欄d】
きわめて重要な情報(Aランク)への不正アクセスを防ぐには、次のような方法があります。
・情報の隔離 :書類やメディアをロッカーなどに鍵をかけ保存し、第3者から物理的に隔離した状態にする。
・情報の暗号化: 情報を参照されないように、解読されない状態で保管する
・情報へのアクセス認証: 正当な利用者かどうかを認証する
・情報へのアクセス制限: 読み込み・書き込み権限を設定する
問題では、機器とあるので情報の隔離が導き出せます。
【空欄e】
定期的にチェックするアクセス記録として残すべきものは、一般的にログのことです。
設問2
(1) 答え:[パソコンにダウンロードされた個人データを特定するため]
パソコンから確認できないので、ローカルサーバから盗難されたパソコンにどようなデータがダウンロードされたかを調査するひつようがあります。
(2) 答え:[利用者が特定できない、 個別にアクセス制限ができない]
その他にも、利用者ごとのアクセス履歴が取れない、パスワード変更ができないなどの問題があります。
(3) 答え:[去る9月21日に、弊社のパソコンが盗難にあい、そこに記録していた会員の皆様の氏名、口座情報などが外部に漏えいした可能性があります。架空請求やダイレクトメールの発行を受けるおそればあります。]
以下の観点からおわびの書類を作成します。
・どのような事件であったかを明記
・その事件によってどのような個人情報が漏えいした可能性があるか
・個人情報漏えいによって起こりえる問題
設問3
答え:[不要となった接客カードを回収し破棄する]
この接客カードが管理すべき重要な個人情報であることに気づき、情報漏洩のリスクを低減し、外部に漏れないような仕組みを作ることが大切です。よって改善策にはその項目がないため追加します。
設問4
(1)答え:[情報管理の具体的方法、 アクセス管理の新たなルール]
セキュリティポリシの内容の中で、事件1,2がきっかけで改正された項目について追加する必要があります。
(2)答え:[受講状況を正確に把握する、 受講者からのフィードバックを得て適宜改正する]
セキュリティ教育などの際の留意点として以下があげられる。
・受講状況を正確に把握する。
・受講者のレベルに応じた内容を設定する。
・教育内容を受講者の意見を聴き適宜改正していく
・継続的な受講を促す
設問5
答え:[支配人が不在の場合も許可を与えられるように、同じ権限を持つ別の人間を情報アクセス管理者として任命する。]
→問題を見る
|
|
スポンサードリンク
|