情報管理 01/その他の管理技術力の解答例

RCCM試験/その他の管理技術力の解答例の一覧ページです。


スポンサーリンク


情報管理 01/その他の管理技術力の解答例

問い

 建設コンサルタント業務における情報管理の取組みについて、以下の観点から記述しなさい。
① 業務で個人情報を取扱う場合に、必要な措置項目と、その内容を述べなさい。
② 業務で取扱う電子情報に関して、 情報機器の管理、ウィルス対策の観点から、想定される情報流出事故の内容と、その防止対策を述べなさい。


解答例

1.業務で個人情報を取扱う場合に必要な措置項目
 業務で個人情報を取扱う場合には、「不正アクセス行為の禁止に関する法律」、「個人情報の保護に関する法律」、「行政機関の保有する個人情報の保護に関する法律」などの関係法令を遵守し、適正に取り扱う必要がある。「個人情報」とは、生存する個人に関する情報であり、情報に含まれる氏名、生年月日などの記述により特定の個人を識別することができるものをいう。
 業務で個人情報を取扱う場合に、必要な措置項目として、次のものがあげられる。
①個人情報の収集、利用、提供について
 個人情報を直接収集する場合は、適法かつ公正な手段により、本人の同意を得た上で収集しなければならない。収集にあたっては、利用目的を明確にし、その業務目的のために必要な範囲内にとどめる必要がある。個人の利益を侵害する可能性が高い機微な情報は、本人の明確な同意がある場合、法令などの裏付けがある場合以外には収集してはならない。
 個人情報の処理を伴う業務を外部から受託する場合や、外部へ委託する場合は、個入情報に関する秘密の保持、再委託に関する事項、事故時の責任分担、契約終了時の個人情報の返却・消去などについて定め、それに従う必要がある。また、個人情報は、本人の同意を得た範囲内での利用、提供に努めなければならない。
②個人情報の第三者提供について
 個人情報の第三者提供については、個人情報に適用される法律に示されている特別な事情がある場合を除き、本人の同意なしに第三者へ個人情報を提供してはならない。
③法令、その他の規範について
 個人情報の保護に関係する法令、その他の規範を遵守し、個人情報保護方針の継続的改善に努めなければならない。
④個人情報の管理組織・管理体制について
 業務上使用する個人情報について適正な管理を実施するとともに、業務上の個人情報の適正な取り扱いを実現するための管理体制を構築する必要がある。
⑤個人情報を保護する社内ルールの策定・実施について
 個人情報の保護方針を実行するため、個人情報を保護する社内ルールを策定し、これを研修・教育を通じて社内に周知徹底させて実行するとともに、継続的に改善することによって、常に最良の状態を維持していく必要がある。
2.業務で取扱う電子情報の流出事故の内容と防止対策
2.1 情報機器の管理について
 近年の情報漏えい事件や情報セキュリティ事故の急速な増加は、情報通信分野における技術的進歩に伴う情報セキュリティリスクの増大がその背景にある。また、建設コンサルタントにおいても、情報セキュリティリスクが顕在化した場合の影響を正しく認識していないため、適切な対策が実施されていないことも、要因のひとつにあげられている。
 電子情報の流出事故を防止する情報機器の管理については、次のような措置を講じる必要がある。
①情報機器の保護管理について
 パソコンなどの情報機器は、次のような盗難・不正持ち出しの防止対策を行い実施する。
・パソコン等情報機器は、情報セキュリティレベル2以上のエリアに設置する。特に重要な情報を管理するサーバ等は、情報セキュリティレベル3エリアへの設置が望ましい。
・パソコンやサーバなどは、鍵付きのワイヤ等で事務机や床に固定する。
・持出しが容易なノートパソコン等は、利用時以外は鍵のかかる引き出しやキャビネットに格納する。
②パスワードの設定と管理について
 情報セキュリティ担当者は、パスワード設定方針と、パスワードの取扱や有効期限などのパスワード管理方針を定め、その方針に基づいて情報機器の設定を行うとともに、利用者に対してパスワードの設定方法、管理方法の遵守を求める。
③ネットワークへの接続について
 一般的に、ネットワーク設備についてはブラックボックス化しており、セキュリティ上のリスクがある。情報機器がネットワーク経由でウィルスに感染したり、情報機器内のデータがネットワーク上に漏洩・流出する可能性があるため、不用意にネットワークに接続しないよう十分に注意すること。特に無線LANについては、有線LAN以上にネットワーク形態の自由度が高まっているため、セキュリティ管理を十分に行うことが重要である。
④電子データや情報機器の廃棄について
 情報セキュリティ担当者は、廃棄する情報機器に搭載されているHDなどの記憶媒体、CD-Rなどのバックアップ媒体からの情報漏洩を防ぐため、廃棄は情報セキュリティ担当者が一括して行うなど、情報機器やバックアップ媒体の廃棄に係る適切な方針を定め、利用者に周知する。
2.2 ウィルス対策について
 ネットワークに接続されたパソコンがウィルスに感染すると、事務所内だけでなく外部関係者や協力会社の情報システムを停止させてしまう恐れがある。
 そのため、業務で取り扱う電子情報の流出事故を防止するウイルス対策については、次のような措置を講じる必要がある。
①情報セキュリティ担当者は、経営者の策定したセキュリティ・ポリシーに従って、事務所所有のPCやサーバ等のコンピュータにウィルス対策ソフトを導入するとともに、導入後も最新のパターン・ファイルに更新すること。
②情報セキュリティ担当者は、ウィルス感染が発生した場合には、利用者が直ちに当該PCを事務所のネットワークから取り外すとともに、情報セキュリティ担当者に報告するような体制を構築すること。
③ソフトウェアには不具合が含まれている場合や、悪意のあるソフトウェアが存在し、それらのインストールによりセキュリティ上の欠陥を誘発する可能性があるため、情報セキュリティ担当者は、業務利用目的のPCに業務に必要のないソフトウェアをインストールさせないように方針を定め、その方針に従った情報機器の設定を行うとともに利用者へ周知すること。
④特にファイル共有型のソフトウェアについては、データ漏洩の危険性が極めて高いため、その取扱には十分留意すること。
⑤情報セキュリティ担当者は、OSやソフトウェアにセキュリティ上の欠陥が発見され、メーカーによりその対策プログラムが提供されているかどうかの情報に留意すること。これらの対策プログラムが提供されている場合には、対策プログラムを導入することにより既存のソフトウェアに影響がないかテストを行ったのち、利用者に対して対策プログラムの配布とインストールを指示すること。
⑥サポート期間が終了したOSは、セキュリティ上の欠陥が発見されても対策プログラムが提供されないことから、サポート期間が終了したOSを搭載しているPCやサーバをネットワークに接続する場合には、十分留意すること。
                             - 以 上 -


スポンサーリンク




よく読まれている関連記事



シェアする

  • このエントリーをはてなブックマークに追加

フォローする