情報セキュアド 平成14年度試験 問題(午後2 問1)
問1 アンケート調査事業に関する次の記述を読んで,設問1〜6に答えよ。
A社は,顧客企業から依頼を受けて一般消費者向けのアンケートを実施し,市場調査を実施する会社である。従業員は100人ほどであり,ビルのワンフロアを借り切って事業を営んでいる。組織構成は,図1のとおりである。
営業部は,顧客企業から詳細な条件を聞き出し,調査の進め方などに関する企画書と必要な費用を積算した見積書を作成する。調査部は,営業部に協力し,企画書や見積書の作成に必要な情報を営業部に提供する。受注に至ると,図2に示す作業手順に沿って業務を実施する。
|
A社は,アンケート調査のために,独自に収集した一般消費者の個人情報データベースを作成して専用サーバに保管しており,これがA社の事業の競争力を維持する源泉になっている。
〔同業他社における事件の発生〕
ある日,A社の同業であるC社で,アンケートの送付先である一般消費者の個人情報が外部に漏えいするという事件が起きた。その結果,C社は,顧客からの信頼を失い,長期間にわたって業績が悪化することが懸念された。この事件の報道記事を読んだA社の社長は,自社でも同様の事件が発生する可能性があると考え,緊急に予防対策を検討することにした。
社長の指示によって,企画部を事務局として,営業部長,調査部長,総務部長及びこれら3部の全課長を構成メンバとする個人情報保護対策検討委員会が組織され委員長には,社長の特命によって常務取締役が就任することになった。
早速,第1回の会合が開催され,その場で,“個人情報保護に関するコンプライアンス・プログラム(以下,CPという)の要求事項”(JIS Q 15001)に沿ってA社内の個人情報保護体制を強化すること,次回の会合までに企画部長が具体的な作業手順を検討することが決定された。その決定を受けて,全画部長は,様々な資料を参照しつつ,図3に示すCP構築の作業手順概要を作成した。
|
企画部長は,第2回の会合に図4に示すA社の個人情報保護方針案を提出し,承認を得た。また,個人情報保護対策検討委員会がCPを策定すること,次回の会合までに企画部長がCP策定のための具体的な作業計画を立案することが決定された。
|
A社個人情報保護方針
代表取締役社長 ○○ ○○
|
第3回の会合では,企画部長が作成した作業計画が承認され,具体的な作業が開始された。これまでA社では,業務で取り扱う情報の台帳類を全く作成していなかった。そこで,企画部長が用意した様式を用いて保護対象にしている個人情報をすべて特定するところから作業を始めることになり,営業部と調査部が保有する全個人情報を対象に調査し,表1に示すA社の個人情報取扱台帳を作成した。
なお,A社では,A社が独自に収集した個人情報,実施中のアンケート調査に関連する情報,顧客企業から特に保管を依頼された情報,及び法律で保管が義務付けられている情報を,すべて専用サーバ上に保管している。それらの情報を除くアンケート調査業務に関する情報は,プロジェクト完了とともに確実に消去,廃棄又は返却している。
| 項目 | XXに関するアンケート調査 | YYに関する意識調査 | ・・・ |
| 個人情報 | 氏名,住所,電話番号,年齢など | 氏名,住所,年齢,性別など | ・・・ |
| 入手元 | 情報主体 | 顧客企業 | ・・・ |
| 入手の形態 | Webアンケートによる直接収集 | 預託 | ・・・ |
| 取扱部署 | 調査部調査二課 | 営業一課経由で調査一課へ | ・・・ |
| 情報の形態 | 専用サーバ上のファイル | 預託を受けたフロッピーディスク上と, 専用サーバ上のファイル |
・・・ |
| 保管場所 | 専用サーバ | 専用サーバ | ・・・ |
| 保管期間 | プロジェクト完了後1年間 | プロジェクト完了まで | ・・・ |
| 提供先 | 顧客企業 | なし | ・・・ |
| 廃棄方法 | ファイル消去 | フロッピーディスク返却とファイル消去 | ・・・ |
| : | : | : | : |
さらに,既存の個人情報取扱システムを評価するため,各種の社内規定類から関連する部分を抜き出して内容を確認した。図5に,例として,サーバ運用規則における関連部分を示す。
第4章 バックアップ
第5章 電源設備 第27条 (省略) |
併せて,バックアップの実施状況を確認したところ,サーバ運用規則の第4章に沿って定期的にバックアップが実施されていた。また,バックアップ媒体は,調査部に備付けの施錠可能なキャビネットに保管されていた。キャビネットのかぎは,調査部長又は調査部長が不在の場合,あらかじめ指定された代行者が保管しており,自由にアクセスされることがないように管理されていた。
〔情報セキュリティマネジメントシステムの構築〕
ここまでの検討結果について,委員長が進捗報告を兼ねて社長に報告したところ,図6に示す社長からのコメントが個人情報保護対策検討委員会に寄せられた。
| 当社が保護すべき個人情報の範囲やそれらの取扱状況はよく分かった。だが,当社が実施すべき情報セキュリティ対策は,これまでの委員会での検討範囲だけで果たして十分なのだろうか。ほかにも実施すべき対策があるのではないか。個人情報保護については,大変重要なので引き続き検討を進めてほしい。加えて,当社が顧客の信頼を獲得し,事業を発展させる上で実施すべき情報セキュリティ対策を広く検討してほしい。 |
この社長のコメントを受けて,委員会のメンバで調査,検討を重ねた結果,企業の情報資産を守るためには,情報セキュリティマネジメントシステム(以下,ISMSという)を構築することが重要であるとの結論に達した。そこで,個人情報保護対策検討委員会の名称を情報セキュリティ委員会に変更し,個人情報保護対策とISMSの構築について,両者の整合を図りながら同時に進めることになった。進め方についての基本的な方針は,次のとおりである。
| (1) | 情報資産を保護するため,ISMSを構築する。個人情報もこの情報資産に含まれる。 |
| (2) | ISMSの適用範囲は,図7に示すとおりにする。ただし,ISMSを構築する中で必要に応じて調整する。 |
| (3) | ISMSの要求事項の一つである“準拠”の中に,個人情報保護に関するCPを位置付ける。 |
|
上記の方針を踏まえた上で,A社のISMSの適用範囲に関連するリスクの概要を把握するため,ISMSの要求事項の実施状況を点検し,表2を作成した。
| 要求事項 | 実施状況 | 判断根拠 | |||||
| Y | P | N | N/A | ||||
| セキュリティ組織 | |||||||
| 情報セキュリティ・インフラストラクチャ | |||||||
|
○ | [ c ] | |||||
|
○ | [ d ] | |||||
|
○ | 業務手順書やそのほかの規定類に業務の実施責任者が明示されていない。 | |||||
|
: |
|||||||
| 情報資産の分類及び管理 | |||||||
| 情報資産に対する責任 | |||||||
|
○ | [ e ] | |||||
| : | |||||||
| 通信及び運用管理 | |||||||
| 情報システム管理 | |||||||
|
○ | サーバ運用規則は遵守されているが,その内容に不足がある。 | |||||
|
: |
|||||||
| 事業継続管理 | |||||||
| 事業継続管理 | |||||||
|
○ | 該当する管理プロセスがなく,事業継続計画も災害復旧計画も存在しない。 | |||||
|
: |
|||||||
表2では,一番左側の列にISMSの要求事項を,その隣に要求事項の実施状況と判断根拠を記すことにした。実施状況は,実施済の場合にはY欄に,部分的に実施済の場合にはP欄に,実施していない場合にはN欄に,該当しない場合にはN/A欄に,それぞれ○印を記入することにした。
実施状況を評価した結果,既に適切な情報セキュリティ対策を実施している項目もあったが,問題点も指摘された。情報システムの構成要素のうち,専用サーバは輸入製品を使用しており,調達に1か月を要する。ほかの構成要素は,通常の市販製品であり,2,3日以内に調達可能である。調達に要する費用は,A社の事業規模からすれば,経営に深刻な打撃を与える額ではない。また,A社の事業の実態を考慮すると,被災による1週間程度の情報システムの停止は,許容範囲と考えられた。しかし,専用サーバ上に存在する一部のファイルは,A社の事業存続に不可欠であり,この点に関して大きな問題点が指摘された。
設問1 CPの要求事項によれば,A社が顧客企業から預託された個人情報を更にB社に預託する際に,個人情報の管理について顧客企業に確認しなければならない点がある。それは何か。35字以内で述べよ。
設問1の正解例と解説へ
設問2 図3中の[ a ],[ b ]に入れる適切な字句を答えよ。また,[ a ],[ b ]の作業を実施しないことによって予想される悪影響を,それぞれ15字以内で述べよ。
設問2の正解例と解説へ
設問3 本文中の下線に示した調査対象に関する次の問いに答えよ。
| (1) | 第3回の会合時点における調査対象だけでは,CPの要求事項が“保護すべき対象”として規定しているA社保有の個人情報の中で,収集できない対象がある。それは何か。15字以内で述べよ。 |
| (2) | 上記(1)の情報を確実に収集するためには,どのような部署に記入を依頼すべきか。図1に示した組織名称の中から,最も適切なものを一つ選び答えよ。 |
設問3の正解例と解説へ
設問4 表2中の[ c ]〜[ e ]に入れる適切な字句を答えよ。
| (1) | [ c ],[ d ]については,A社の具体的な組織名称を用いて,それぞれ35字以内で述べよ。 |
| (2) | [ e ]については,A社の情報資産の名称を用いて,30字以内で述べよ。 |
設問4の正解例と解説へ
設問5 アンケート調査事業を業務範囲と考えた場合に,ISMSの適用範囲に含まれるべき情報システムの構成要素に欠けているものがある。本文中の字句を用いて五つ挙げ,それぞれ15字以内で答えよ。
設問5の正解例と解説へ
設問6 ISMSの構築に際しては,表2に示した要求事項について,具体的な実現方法を検討する必要がある。要求事項の一つである事業継続管理に関連して,火災などによるA社ビル内の情報システムヘの甚大な被害発生を想定して次の問いに答えよ。
| (1) | 被害に遭った情報システムを1週間以内に確実に復旧し,A社のアンケート調査事業を維持するために実施しておくことが望ましい保護対策は何か。70字以内で述べよ。 |
| (2) | 被災時に実施中のアンケート調査業務を継続させるため,更に対策を検討すべきリスクは何か。20字以内で述べよ。 |
| (3) | 上記(2)のリスクを予防するためには,更にどのような対策を実施する必要があるか。30字以内で述べよ。 |
設問6の正解例と解説へ
メニューへ戻る