ITパスポート過去問 令和2年度(2020年)問68
リスク対応を,移転,回避,低減及び保有に分類するとき,次の対応はどれに分類されるか。
〔対応〕
職場における机上の書類からの情報漏えい対策として,退社時のクリアデスクを導入した。
選択肢
- ア:移転
- イ:回避
- ウ:低減
- エ:保有
- ア
- イ
- ウ
- エ
正解と解き方・学習ポイント(AI解説)
クリアデスクは、退社時に書類を机上に残さない運用を行い、情報漏えいの発生確率や影響を小さくする対策です。したがって、リスク対応の分類は「低減」です。
Point
リスク対応の4分類(移転・回避・低減・保有)それぞれの意味を整理し、具体的な対策(クリアデスク)がどの分類に当たるかを判断できるようにすることがねらいです。
解くために必要な知識
この問題を解くには、リスク対応(移転・回避・低減・保有)の違いと、クリアデスクが何を目的とする運用なのかの理解が必要です。
用語の整理
リスク対応(移転・回避・低減・保有)
| 分類 | 内容 | 判断の基準(この問題で見る点) |
|---|---|---|
| 移転 | 損失や責任の負担先を変える対応です。 | 費用負担や責任が他者側に移っているかどうかです。 |
| 回避 | リスクが発生し得る活動をやめ、リスクを発生させない対応です。 | 書類の取り扱いなど原因となる活動を中止しているかどうかです。 |
| 低減 | 対策を実施し、発生確率や影響を小さくする対応です。 | ルールや仕組みで起こりにくくしているか、起きても影響を小さくしているかです。 |
| 保有 | 追加の対策を行わず、リスクを受け入れる対応です。 | 新たな対策をせずに許容しているかどうかです。 |
情報漏えい
本来アクセスできない人に情報が知られることです。紙の書類の放置、紛失、盗み見なども含まれます。
クリアデスク
離席時や退社時に、机上の書類や媒体を片付け、必要に応じて施錠保管するなどして、情報の置き忘れや盗み見を防ぐ運用です。
問題の解法手順
注目ポイントは、実施した対応が「リスクをなくす」のか、「他者に負担させる」のか、「発生確率や被害を小さくする」のか、「何もしないで受け入れる」のかを切り分けることです。
各選択肢の整理
| 選択肢 | 対応の種類 | 判断のしかた |
|---|---|---|
| ア | 移転 | 保険加入や外部委託などで損失負担を他者に移す場合です。クリアデスクは該当しません。 |
| イ | 回避 | その業務や行為をやめてリスク要因をなくす場合です。書類業務をやめる話ではないため該当しません。 |
| ウ | 低減 | 発生確率や被害を小さくする対策です。机上放置を防ぐので該当します。 |
| エ | 保有 | 対策をせずリスクを受け入れる場合です。導入しているため該当しません。 |
選択肢ごとの解説
- ア:不正解
リスク移転は、保険加入や外部委託などにより、損失の負担を第三者に移すことです。クリアデスクは社内の運用ルールの整備なので、移転には当たりません。
- イ:不正解
リスク回避は、リスクの原因となる業務や行為をやめることです。クリアデスクは書類を使う業務を中止するものではないため、回避には当たりません。
- ウ:正解
リスク低減は、発生確率や被害を小さくする対策です。クリアデスクは書類の放置を防ぎ、盗み見や紛失などによる情報漏えいの可能性を下げるため、該当します。
- エ:不正解
リスク保有は、対策を行わずリスクを受け入れることです。クリアデスクという対策を導入しているため、保有には当たりません。
まとめ
クリアデスクは、退社時に書類を机上に残さない運用を行い、情報漏えいの発生確率や影響を小さくする対策です。したがって、リスク対応の分類は「低減」です。
テクノロジ系 > 技術要素 > セキュリティ
リスク移転は、保険加入や外部委託などにより、損失の負担を第三者に移すことです。クリアデスクは社内の運用ルールの整備なので、移転には当たりません。
リスク回避は、リスクの原因となる業務や行為をやめることです。クリアデスクは書類を使う業務を中止するものではないため、回避には当たりません。
リスク低減は、発生確率や被害を小さくする対策です。クリアデスクは書類の放置を防ぎ、盗み見や紛失などによる情報漏えいの可能性を下げるため、該当します。
リスク保有は、対策を行わずリスクを受け入れることです。クリアデスクという対策を導入しているため、保有には当たりません。