問題本文
リスクへの対応策は,回避,軽減,受容,転嫁の四つに分類することができる。ある会社で,個人情報を取り扱うシステムの開発を受託した。その開発プロジェクトにおけるリスク対応策のうち,個人情報漏えいに関するリスクの軽減に該当するものはどれか。
選択肢
- ア.個人情報の持出しが発生しないように,プロジェクトルームから許可無く物を持ち出すことを禁止する。
- イ.個人情報漏えいによって賠償金を請求された場合に備えて,損害の全額を補償対象とする保険に加入する。
- ウ.個人情報漏えいの影響は大きいので,実際の個人情報を預からずに架空の情報で代替して作業する。
- エ.独立したプロジェクトルームで作業する開発環境なので,個人情報漏えいの発生確率は低いと考え,万が一のリスク発生時に備えて予備費を確保しておく。
正解
ア. 個人情報の持出しが発生しないように,プロジェクトルームから許可無く物を持ち出すことを禁止する。
解説
リスク対応の4分類を正確に理解する。回避=リスクの原因を取り除いてリスク自体を消す。軽減(低減)=リスクの発生確率や影響度を下げる。転嫁(移転)=リスクによる損害負担を第三者(保険会社等)へ移す。受容(保有)=リスクの存在を認識しつつ対策費用を確保して受け入れる。持出し禁止はリスク発生可能性を下げる「軽減」。正解はア。
選択肢ごとの解説
- ア.プロジェクトルームからの無断持出しを禁止することで,個人情報が外部に持ち出されて漏えいする機会・可能性を削減する管理策である。リスクの発生確率を低下させる「軽減(低減)」に該当する。正解。
- イ.損害賠償に備えて保険に加入し,賠償金を保険会社が負担する仕組みを使うのは,リスクによる経済的損失の負担を保険会社という第三者へ移す「転嫁(移転)」に該当する。リスク自体の発生確率は下がらない。
- ウ.実際の個人情報を預からず架空情報を使うことで,個人情報漏えいというリスクの原因となるデータ自体を取り扱わない対応である。リスクを引き起こす条件を消す「回避」に近い対応。リスクを完全に除去する点が軽減との違い。
- エ.独立環境なので発生確率は低いと判断して予備費を確保するのは,リスクが生じた際の対処コストを事前に準備して受け入れる「受容(保有)」に該当する。リスクを積極的に下げるのではなく,起きたときに対応できるよう準備する。
ITパスポート 2017年 (平成29年 秋期) の過去問一覧へ戻る・問42