情報セキュリティマネジメント試験 情報セキュリティマネジメント試験 令和元年度秋期 午前 問4: 退職する従業員による不正を防ぐための対策のうち，IPA“組織における内部不正防止ガイドライン（第 4 版）”に照らして，適切なものはどれか。

問題本文

退職する従業員による不正を防ぐための対策のうち，IPA“組織における内部不正防止ガイドライン（第 4 版）”に照らして，適切なものはどれか。

選択肢

• ア.在職中に知り得た重要情報を退職後に公開しないように，退職予定者に提出させる秘密保持誓約書には，秘密保持の対象を明示せず，重要情報を客観的に特定できないようにしておく。
• イ.退職後，同業他社に転職して重要情報を漏らすということがないように，職業選択の自由を行使しないことを明記した上で，具体的な範囲を設定しない包括的な競業避止義務契約を入社時に締結する。
• ウ.退職者による重要情報の持出しなどの不正行為を調査できるように，従業員に付与した利用者 ID や権限は退職後も有効にしておく。
• エ.退職間際に重要情報の不正な持出しが行われやすいので，退職予定者に対する重要情報へのアクセスや媒体の持出しの監視を強化する。

正解

エ. 退職間際に重要情報の不正な持出しが行われやすいので，退職予定者に対する重要情報へのアクセスや媒体の持出しの監視を強化する。

解説

IPA「組織における内部不正防止ガイドライン」では、退職予定者は不正な情報持出しのリスクが高まるため、アクセスや媒体持出しの監視を強化することを推奨している。退職予定者への監視を強化するとした「エ」がこの方針に合致するため正解となる。

選択肢ごとの解説

• ア.秘密保持誓約書では対象を明示し重要情報を客観的に特定できるようにすべきであり、特定できないようにするのは誤りである。
• イ.競業避止義務は範囲を限定せず職業選択の自由を一律に制限すると無効となりやすく、具体的範囲を設定しない包括契約は不適切である。
• ウ.退職者の利用者IDや権限は速やかに無効化すべきであり、退職後も有効にしておくのは不正アクセスを招くため誤りである。
• エ.退職間際は不正持出しのリスクが高まるため、アクセスや媒体持出しの監視を強化する記述はガイドラインに沿っており正しい。