【問260】個人情報保護士 練習問題|情報資産の棚卸し
情報セキュリティ 問80/120難易度C(難しい)
問題文
個人情報を含む情報資産の棚卸しに関する記述として、最も適切なものはどれか。
- 1.情報資産の棚卸しは初回のみ実施すればよく、定期的な見直しは不要である
- 2.棚卸しの対象は電子データのみであり、紙媒体は含まれない
- 3.情報資産台帳を作成・更新し、資産の所在・管理者・機密区分・保存期限を明確にする
- 4.部門ごとに異なる基準で棚卸しを行えばよい
解説
正解
正解は選択肢3です。
各選択肢の解説
選択肢1 → ❌誤り
情報資産は新規取得、廃棄、変更が継続的に発生するため、定期的な棚卸しと台帳の更新が必要です。少なくとも年1回の見直しが推奨されます。
選択肢2 → ❌誤り
棚卸しの対象は電子データだけでなく、紙媒体の書類、記録媒体(USB、CD等)、ハードウェアなど、個人情報を含むすべての情報資産です。
選択肢3 → ✅正解
情報資産台帳を作成し、各資産の所在場所、管理責任者、機密区分、保存期限、アクセス権限などを明確にすることで、適切な管理が可能になります。台帳は定期的に更新します。
選択肢4 → ❌誤り
棚卸しの基準は組織全体で統一すべきです。部門ごとに異なる基準では、情報資産の全体像を把握できず、管理に漏れが生じる恐れがあります。
背景知識
情報資産の棚卸しは、個人情報保護の管理体制を構築する上での基礎となる作業です。保有する個人情報の種類、量、所在、管理者を正確に把握しなければ、適切な保護措置を講じることができません。棚卸しの結果は情報資産台帳として文書化し、リスクアセスメントや安全管理措置の策定に活用します。プライバシーマーク制度やISMS認証においても、情報資産の特定と台帳管理は基本的な要求事項となっています。業務プロセスの変更や新規サービスの開始時には随時更新を行うことも重要です。
学習アドバイス
情報資産の棚卸しは、安全管理措置の出発点となる重要なプロセスです。台帳に記録すべき項目(所在、管理者、機密区分、保存期限)を列挙できるようにしておきましょう。リスクアセスメントとの関係も理解しておくと総合的な知識になります。
まとめ
- 情報資産台帳に所在・管理者・機密区分・保存期限を記録する
- 棚卸しは電子データだけでなく紙媒体やハードウェアも対象
- 定期的な見直しと台帳の更新が必要