情報セキュリティマネジメント試験の令和6年度の公開問題(科目 A・B)を解こう。
今回のテーマは、「社外秘情報の取扱い」である。
令和6年度 情報セキュリティマネジメント試験 公開問題 科目 A・B 問2
問2 情報の取扱基準の中で,社外秘情報の持出しを禁じ,周知した上で,従業員に情報を不正に持ち出された場合に,“社外秘情報とは知らなかった”という言い訳をさせないことが目的の一つになっている対策はどれか。
ア 権限がない従業員が文書にアクセスできないようにするペーパレス化
イ 従業員との信頼関係の維持を目的にした職場環境の整備
ウ 従業員に対する電子メールの外部送信データ量の制限
エ 情報の管理レベルについてのラベル付け
答えを確認する
正解は エ です。
(参考)組織における内部不正防止ガイドライン(IPA)
それでは、各肢を検討していこう。
ア、イ、ウ
誤り。
情報が社外秘情報かどうかを客観的に示せる対策ではない。
エ 正解。
「社外秘情報とは知らなかった」という言い訳をさせないためには、客観的に社外秘情報であるとわかるラベルをつけることが有効である。
「主観」を排除し「客観的」な基準を作る
「これは重要だろう」という判断は人によって異なる。ラベルを貼ることで、情報が「誰から見ても秘密である」という客観的な事実が確定する。
- 属人性の排除: 熟練社員と新入社員で判断がズレるのを防ぐ。
- 過失の防止: 忙しい時に「うっかり」社外にメールしてしまう心理的ハードルを上げる。
法的な保護要件(営業秘密)を満たす
「不正競争防止法」では、情報が「営業秘密」として保護されるために秘密管理性という条件が求められる。
秘密管理性とは: 客観的に「これは秘密情報ですよ」と示されている状態。具体的には、文書に「社外秘」とスタンプが押されている、電子ファイル名に「Confidential」と入っている、アクセス権限が制限されている、といった状態を指します。
このラベルがないと、万が一情報が流出して裁判になった際に、「秘密として管理されていたとは認められない」と判断され、法的な救済(差止請求や損害賠償)が受けられないリスクがある。
(解法のポイント)
常識問題として正解できるが、この機会に知識の整理しておこう。
コメント