問題
問42
リスクへの対応策は、回避,軽減,受容,転嫁の四つに分類することができる。ある会社で、個人情報を取り扱うシステムの開発を受託した。その開発プロジェクトにおけるリスク対応策のうち、個人情報漏えいに関するリスクの軽減に該当するものはどれか。
- 個人情報の持出しが発生しないように、プロジェクトルームから許可無く物を持ち出すことを禁止する。
- 個人情報漏えいによって賠償金を請求された場合に備えて、損害の全額を補償対象とする保険に加入する。
- 個人情報漏えいの影響は大きいので、実際の個人情報を預からずに架空の情報で代替して作業する。
- 独立したプロジェクトルームで作業する開発環境なので、個人情報漏えいの発生確率は低いと考え、万が一のリスク発生時に備えて予備費を確保しておく。
[出典:ITパスポート試験 平成29年度秋期 問42]
正解
正解は「ア」です。
解説
正解は「ア」です。リスクの「軽減」とは、リスクが発生する確率を減らしたり、リスクが発生した場合の被害を小さくしたりするための対策を指します。具体的には「個人情報の持出しが発生しないように、プロジェクトルームから許可無く物を持ち出すことを禁止する」という行為は、個人情報が外部に漏えいする可能性(発生確率)を物理的に減らすための対策です。
例えば、重要な書類を金庫にしまうことで、盗難のリスクを減らすようなイメージです。この対策によって、個人情報漏えいというリスクの発生を抑えようとしているため、「リスク軽減」に該当します。情報セキュリティにおける物理的な対策の一つとして非常に有効な手段と言えるでしょう。
イ(個人情報漏えいによって賠償金を請求された場合に備えて、損害の全額を補償対象とする保険に加入する。):
これは「リスク転嫁」に該当します。リスクが発生した際の損害を保険会社などの第三者に移転することで、自社の負担を減らす方法です。
ウ(個人情報を預からずに架空の情報で代替して作業する。):
これは「リスク回避」に該当します。リスクが発生する可能性のある活動自体を行わないことで、リスクそのものをなくす方法です。
エ(独立したプロジェクトルームで作業する開発環境なので、個人情報漏えいの発生確率は低いと考え、万が一のリスク発生時に備えて予備費を確保しておく。):
これは「リスク受容」に該当します。リスクは認識しているものの、あえて特別な対策を取らずに、リスクが発生した場合は自社で対応する(予備費で賄うなど)という考え方です。
難易度
この問題の難易度は、ITパスポートの初学者にとって中程度です。リスク対応の四つの分類(回避、軽減、受容、転嫁)の定義を正確に理解していれば解ける問題ですが、それぞれの違いを混同しやすいかもしれません。特に「軽減」と「回避」は似ているように感じることもあるため、具体的な事例と結びつけて覚えることが重要になります。一つ一つの選択肢を丁寧に読み解けば、適切な答えを見つけられるでしょう。
用語補足
リスク回避:
リスク回避とは、リスクを引き起こす可能性のある行動や活動を完全にやめることで、そのリスクが全く発生しないようにする方法です。例えば、ウイルス感染のリスクがあるため、インターネットに接続しないようにすることです。
リスク軽減:
リスク軽減とは、リスクが発生する可能性を低くしたり、万が一リスクが発生した場合の被害を小さくしたりするための対策を取ることです。例えば、インターネットに接続する際にウイルス対策ソフトを導入して感染のリスクを減らすことです。
リスク受容:
リスク受容とは、リスクを認識しているものの、あえて特別な対策を取らず、リスクが発生した場合はその影響を自社で受け入れることです。例えば、リスクが低いと判断し、いざという時のために予備費用を準備しておくことです。
リスク転嫁:
リスク転嫁とは、リスクが発生した際の経済的な損害や責任を、保険会社のような第三者に移転することです。例えば、サイバー攻撃による損害に備えてサイバー保険に加入することです。
対策
この問題を解くためのポイントは、情報セキュリティにおけるリスク対応の「回避」「軽減」「受容」「転嫁」の四つの基本分類を、それぞれ具体的な行動と結びつけて理解することです。特に「軽減」は、発生確率を下げる対策と、発生時の影響を小さくする対策の両方を含むため、他の選択肢との違いを明確に把握しましょう。各分類の定義を暗記するだけでなく、日常の事柄に例えて考え、それぞれの特徴を掴むことが対策となります。
