【問230】個人情報保護士 練習問題|内部不正防止
情報セキュリティ 問50/120難易度C(難しい)
問題文
従業員による内部不正(個人情報の不正持ち出し等)を防止するための対策として、最も効果的なものはどれか。
- 1.従業員を全面的に信頼し、監視やログ管理は行わない
- 2.アクセスログの取得・分析、最小権限の原則の適用、職務分掌の徹底を組み合わせて実施する
- 3.不正防止は技術的対策のみで対応し、組織的・人的対策は不要である
- 4.不正防止のため、すべての従業員のメールを経営者が常時閲覧する
解説
正解
正解は選択肢2です。
各選択肢の解説
選択肢1 → ❌誤り
信頼は重要ですが、適切な管理措置なしでは不正を防止できません。「信頼しつつも検証する」という姿勢が必要です。
選択肢2 → ✅正解
アクセスログの管理、最小権限の原則、職務分掌など、技術的・組織的対策を組み合わせることで、内部不正を効果的に防止できます。
選択肢3 → ❌誤り
技術的対策だけでなく、組織的対策(規程整備、職務分掌)や人的対策(教育、啓発)も必要です。
選択肢4 → ❌誤り
すべてのメールを常時閲覧することはプライバシーの侵害となりうるため、適切な範囲と方法での監視が必要です。
背景知識
内部不正防止は、IPAの「組織における内部不正防止ガイドライン」等で指針が示されています。主な対策としては、最小権限の原則(業務に必要な最小限の権限のみ付与)、職務分掌(承認者と実行者の分離)、アクセスログの取得と定期的な分析、教育・啓発活動、不正行為に対する懲戒規定の明確化などがあります。これらの技術的・組織的・人的対策をバランスよく組み合わせることで、抑止・防止・検知の各段階で内部不正に対応できます。
学習アドバイス
内部不正防止の三つのアプローチ(技術的・組織的・人的)と具体的な対策を整理しましょう。「最小権限の原則」と「職務分掌」は特に重要なキーワードです。
まとめ
- 技術的・組織的・人的対策を組み合わせて実施
- 最小権限の原則と職務分掌が内部不正防止の基本
- 適切な範囲でのログ管理と監視が重要