情報処理安全確保支援士試験 情報処理安全確保支援士試験 平成29年度春期 午前Ⅱ 問9: 個人情報の漏えいに関するリスク対応のうち，リスク回避に該当するものはどれか。

問題本文

個人情報の漏えいに関するリスク対応のうち，リスク回避に該当するものはどれか。

選択肢

• ア.個人情報の重要性と対策費用を勘案し，あえて対策をとらない。
• イ.個人情報の保管場所に外部の者が侵入できないように，入退室をより厳重に管理する。
• ウ.個人情報を含む情報資産を外部のデータセンタに預託する。
• エ.収集済みの個人情報を消去し，新たな収集を禁止する。

正解

エ. 収集済みの個人情報を消去し，新たな収集を禁止する。

解説

リスク回避は、リスクの原因となる活動そのものをやめてリスクを消し去る対応。個人情報を消去し新規収集も禁止すれば漏えいリスクの源泉が無くなるため、エが回避に該当する。アはリスク保有(受容)、イは入退室管理によるリスク低減、ウは外部委託によるリスク移転にあたる。実務では回避は事業上の必要性と両立しにくく、慎重な判断が要る。

選択肢ごとの解説

• ア.費用対効果から対策をとらないのはリスク保有(受容)であり、回避ではない。
• イ.入退室管理を強化して発生可能性を下げるのはリスク低減(軽減)である。
• ウ.外部データセンタへ預けるのはリスク移転(共有)に該当し、回避ではない。
• エ.個人情報を消去し新たな収集も禁止してリスク源そのものを無くす対応がリスク回避で、正解。