基本情報技術者試験「委託先管理」の問題
Q社は顧客の個人情報の処理を外部業者へ委託している。契約書には機密保持条項を記載しているが、委託先が実際にどのような安全管理を行っているかは確認しておらず、再委託の有無も把握していない。委託先経由の情報漏えいリスクを下げる対策として、最も適切なものはどれか。
ア契約に違約金条項を新たに加え、漏えいが起きた場合の賠償額をあらかじめ引き上げておく。
イ委託先の安全管理の実態を周期的に点検し、再委託を含む体制を確認して是正させる。
ウ渡す個人情報を暗号化したうえで、その復号の手順は委託先へ口頭で伝えておく。
エ自社のセキュリティ教育資料を委託先の担当者へ配布し、各自に閲覧を依頼する。
正解
イ.委託先の安全管理の実態を周期的に点検し、再委託を含む体制を確認して是正させる。
問題は『契約はあるが実態を確認・管理していない』点である。委託先の安全管理状況を定期的に監査し、再委託の有無やその管理を含めて実施体制を確認・是正すれば、契約条項が実際に守られているかを継続的に検証でき、委託先経由の漏えいリスクを実効的に下げられる。把握できていないという原因に直接対応している。
?選択肢ごとの解説
ア ×違約金の引き上げは漏えい発生後の経済的補填を厚くするだけで、漏えいそのものを未然に防ぐ実施体制の確認・是正にはならない。
イ ○問題は『契約はあるが実態を確認・管理していない』点である。委託先の安全管理状況を定期的に監査し、再委託の有無やその管理を含めて実施体制を確認・是正すれば、契約条項が実際に守られているかを継続的に検証でき、委託先経由の漏えいリスクを実効的に下げられる。把握できていないという原因に直接対応している。
ウ ×暗号化は有効だが復号方法を口頭で伝える運用が杜撰で、委託先の安全管理体制全体や再委託の把握という本質的課題は解決しない。
エ ×教育資料の配布と閲覧依頼は委託先の自主性に依存し、実際の安全管理が適切かを確認・是正する監督の仕組みにはならない。
✎くわしく
個人情報の委託では委託元に委託先を監督する責任がある。契約による責任の明確化(入口)だけでは不十分で、安全管理の実態確認と再委託の把握・統制という継続的監督(運用)が伴って初めて実効性を持つ。サプライチェーン全体を見渡す視点が要点である。
✓本番での押さえどころ
試験のコツ
委託先・サプライチェーンが論点で『実態を確認していない』なら、定期監査による安全管理状況と再委託の確認・是正が正解。
覚え方
委託は『出して終わりではなく見守る』。契約書を交わすだけでなく、現地を定期点検する。
よくある誤り
契約の罰則強化(ア)で抑止できると考えがちだが、罰則は事後の責任追及であり、平時の実態確認と是正という監督責任を果たすことが先決である点を見落とす。
情報セキュリティの他の問題
A社の経理担当者が、取引先を装ったメールに添付された請求書ファイルを業務PCで開いたところ、見慣れない画面が一瞬表示されて消…B社のWebサービスで、複数の利用者アカウントに対し正しいIDとパスワードの組合せによるログインが短時間に外部から成立する事…C社では、退職予定者や異動者のアカウント権限の見直しが滞り、業務上不要になった共有フォルダへのアクセス権が残り続けている。情…D社のファイルサーバがランサムウェアに感染し、業務ファイルが暗号化された。D社は日次でバックアップを取得しているが、バックア…E社の従業員に、取引先銀行を名乗る『口座情報の更新が必要』というメールが届いた。本文中のリンク先URLにアクセスすると、銀行…F社は社外の従業員が、カフェなどの公衆無線LANを利用して社内システムへアクセスしている。通信内容が経路上で第三者に盗聴・改…
この問題を、AIの8-ways解説つきで。
無料ではじめる →基本情報技術者試験の演習を、一問ごとに「なぜ」まで。まずは無料で。
ukamiru 過去問 · 基本情報技術者試験 · fe-b-sec-0029