情報セキュリティマネジメント試験 情報セキュリティマネジメント試験 平成30年度春期 午前 問4: 退職する従業員による不正を防ぐための対策のうち，IPA “組織における内部不正防止ガイドライン（第4版）”に照らして，適切なものはどれか。

問題本文

退職する従業員による不正を防ぐための対策のうち，IPA “組織における内部不正防止ガイドライン（第4版）”に照らして，適切なものはどれか。

選択肢

• ア.在職中に知り得た重要情報を退職後に公開しないように，退職予定者に提出させる秘密保持誓約書には，秘密保持の対象を明示せず，重要情報を客観的に特定できないようにしておく。
• イ.退職後，同業他社に転職して重要情報を漏らすということがないように，職業選択の自由を行使しないことを明記した上で，具体的な範囲を設定しない包括的な競業避止義務契約を入社時に締結する。
• ウ.退職者による重要情報の持出しなどの不正行為を調査できるように，従業員に付与した利用者IDや権限は退職後も有効にしておく。
• エ.退職間際に重要情報の不正な持出しが行われやすいので，退職予定者に対する重要情報へのアクセスや媒体の持出しの監視を強化する。

正解

エ. 退職間際に重要情報の不正な持出しが行われやすいので，退職予定者に対する重要情報へのアクセスや媒体の持出しの監視を強化する。

解説

内部不正防止ガイドラインは，退職者による情報漏えいなどの不正を防ぐため，退職前後の管理を適切に行うことを求めている。退職間際は不正な持出しが行われやすいため，退職予定者に対するアクセスや媒体持出しの監視を強化する選択肢エが適切な対策である。

選択肢ごとの解説

• ア.秘密保持の対象を明示せず重要情報を特定できないようにすると誓約の実効性が失われるため不適切で，対象は明確に特定すべきである。
• イ.職業選択の自由を一律に制限し具体的範囲を定めない包括的な競業避止義務契約は無効とされやすく不適切で，目的・期間・範囲を合理的に限定すべきである。
• ウ.退職後も利用者IDや権限を有効のままにすると不正アクセスの温床になるため不適切で，退職時に速やかに権限を無効化すべきである。
• エ.不正な持出しが行われやすい退職間際に，アクセスや媒体持出しの監視を強化するのは適切な対策である。