応用情報技術者試験 応用情報技術者試験 平成28年度春期 午前 問38: 重要情報の取扱いを委託する場合における，委託元の情報セキュリティ管理のうち，適切なものはどれか。

問題本文

重要情報の取扱いを委託する場合における，委託元の情報セキュリティ管理のうち，適切なものはどれか。

選択肢

• ア.委託先が再委託を行うかどうかは委託先の判断に委ね，事前報告も不要とする。
• イ.委託先の情報セキュリティ対策が確認できない場合は，短期間の業務に限定して委託する。
• ウ.委託先の情報セキュリティ対策が適切かどうかは，契約開始前ではなく契約終了時に評価する。
• エ.情報の安全管理に必要な事項を事前に確認し，それらの事項を盛り込んだ上で委託先との契約書を取り交わす。

正解

エ. 情報の安全管理に必要な事項を事前に確認し，それらの事項を盛り込んだ上で委託先との契約書を取り交わす。

解説

重要情報の取扱いを外部に委託する際、委託元が果たすべき情報セキュリティ管理のあり方を問う問題である。委託元は、情報を安全に管理するために必要な事項をあらかじめ確認し、それらを契約書に明記したうえで委託することで、委託先に守らせる責任を果たすべきである。これを述べたエが適切で、正解はエである。

選択肢ごとの解説

• ア.再委託は情報の漏えいリスクを広げるため、委託先任せにして事前報告も不要とするのは委託元の管理として不適切で誤り。再委託は委託元の承認や事前報告を要するようにすべきである。
• イ.セキュリティ対策が確認できないまま委託すること自体が問題であり、期間を短くしても重要情報の漏えいリスクは残るため不適切で誤り。委託前に対策を確認すべきである。
• ウ.委託先のセキュリティ対策は委託する重要情報を守れるかを契約開始前に評価すべきであり、契約終了時に評価するのでは手遅れで不適切なため誤り。
• エ.安全管理に必要な事項を事前に確認し契約書に盛り込んだうえで委託するのは、委託元の情報セキュリティ管理として適切であり正しい。