情報管理 02/その他の管理技術力の解答例


RCCM試験/その他の管理技術力の解答例の一覧ページです。


スポンサーリンク


情報管理 02/その他の管理技術力の解答例

問い

 建設コンサルタント業務における情報管理の取組みについて、以下の観点から記述しなさい。
① 業務で個人情報を取扱う場合に、必要な措置項目と、その内容を述べなさい。
② 業務で取扱う電子情報に関して、情報機器の管理、ウィルス対策の観点から、想定される情報流出事故の内容と、その防止対策を述べなさい。


解答例

1.業務で個人情報を取扱う場合に必要な措置項目
 建設コンサルタントにおいては、今日の高度情報通信社会において個人情報が重要な資産であることを理解し、個人情報を正しく扱うことが受注者の重要な責務であると認識し、「個人情報の保護に関する法律」などの法令、方針に基づき、個人情報の保護に努めなければならない。
 業務で個人情報を取扱う場合に、必要な措置項目として、次のものがあげられる。
①個人情報の取得、利用及び提供について
 すべての業務で取り扱う個人情報、従業員の個人情報に関して、利用目的、責従者、必要な範囲を明確に定め、適切な個人情報の取得、利用及び提供を行わなければならない。また、取得した個人情報は利用目的の範囲内でのみ利用し、目的外利用しないための措置を請じる必要がある。
②個人情報の第三者への提供について
 法令に定める場合を除き、個人情報を事前に本人の同意を得ることなく、第三者に提供してはならない。
③個人情報の開示・訂正・利用停止・消去について
 個人情報を提供した本人は、開示・訂正・利用停止・消去などを求める権利を有しているため、これらの要求がある場合には、個人情報相談窓口を設置して、法令に従い、速やかに対応することが求められている。
④個人情報の管理体制について
 業務の実施に関する個人情報の取扱いについて、管理技術者を管理責任者として定め、適切な管理体制を確立するとともに、業務の従事者に対し、個人情報の取扱いに関する必要な事項を周知し、適切に指示しなければならない。個人情報の取扱いについて、管理責任者、管理体制、管理状況の検査体制、個人情報が記録された媒体の保有期間・消去・廃棄の方法について、個人情報に関する管理体制報告書、業務従事者報告書を作成し、発注者に提出する必要がある。
⑤苦情・相談への対応について
 情報提供本人からの個人情報の開示、訂正・削除、利用停止などの要請、苦情や相談に対しては、迅速に対応しなければならない。
2.業務で取扱う電子情報の流出事故の内容と防止対策
2.1 情報機器の管理について
 建設コンサルタントの分野において、業務と一体化した情報セキュリティ管理の仕組みが必要になっており、業務遂行上どのような情報セキュリティリスクが存在するのかを理解した上で、情報セキュリティ対策を実行していくことが求められている。
 電子情報の流出事故を防止する情報機器の管理については、次のような措置を講じる必要がある。
①取り外し可能な記憶媒体の管理運用について
 DVD、MO、USB メモリ、ポータブルハードディスク等持ち運びのできる記憶媒体の利用は原則禁止とするが、業務上必要なときは、次のようなルールを定め管理する。
・持出し可能な記憶媒体を利用するときは、情報セキュリティ責任者の許可を得る。
・情報セキュリティ責任者は、業務上の必要性が認められる場合のみ承認する。
・利用媒体は、会社から貸与されるパスワードロック等のセキュリティ機能付き媒体のみの利用とし、個人のものは利用しない。
・申請および承認の記録は、申請書または台帳等の形式で管理する。
・保管データの有無に関わらず、記憶媒体の保管場所は施錠するなど適切な管理を行う。
・媒体は、ラベル付けを行うなどの識別管理を行う。
・USB メモリやMO などの繰り返し書き込みが可能な記憶媒体に書き込んだデータは、利用後、速やかにデータを消去する。
・盗難・紛失が発生した場合、あるいはその可能性が疑われる場合には、速やかに情報セキュリティ責任者に連絡する。
・情報セキュリティ責任者は、記憶媒体の紛失が発生していないかを確認するため、定期的に棚卸しを実施する。
②電子データ交換の際の留意点について
・業務上必要な範囲での電子データの交換
 電子データには、その物理的なサイズに比し大量の電子データが含まれていることが多く、データが紛失した場合には、大規模な漏洩が発生する可能性がある。また、交換が容易な事から、業務上の必要量以上に電子データを受け取り、結果として未検討資料となる可能性があるため、業務上必要な範囲でデータの交換を行うこと。
・メールを利用して電子データ交換を行う場合
 メールを利用して交換する際には、宛先を誤ることによる情報漏洩を防ぐため、送信前に宛先が正当な受信者であることを確認すること。またメールの搾取などによる情報漏洩を防ぐため、交換される電子データに対し暗号化やパスワードを設定することが必要である。
・携帯型記憶媒体を利用して電子データを交換する場合
 データをUSBメモリなどの携帯型記憶媒体にて交換する場合には、電子データを保管したままUSBメモリなどを紛失する可能性があるため、交換される電子データに対し、暗号化やパスワードを設定することが必要である。
③ログ・記録の取得について
 社内サーバの正確なログを取得しておくことは、不正アクセスの発見や情報セキュリティ事故が発生した場合の有力な証跡となることがあるので、その記録取得・保管に努める。
・社内の情報共有サーバのログを取得する。
・各社の規定に従い、一定期間ログを保管する。
・ウィルス対策ソフトのウィルス検索記録を取得する。
・情報機器の設定情報を記録保管する。
・ネットワーク機器などは、再起動を行うとログが消失する場合があるので機器
の管理者と相談のうえ再起動する。
2.2 ウィルス対策について
 ウィルス対策ソフトが導入できないサーバやパソコンに対しては、ウィルスに感染しないよう社内ネットワーク全体で対策を行う必要がある。多層的な情報セキュリティ対策を行うことで、問題を発生させ難くすることができるため、様々な方法を組み合わせて実施することが望ましい。
 業務で取り扱う電子情報の流出事故を防止するウイルス対策については、次のような措置を講じる必要がある。
・社内のパソコンおよびサーバには、自動更新できるウィルス対策ソフトを必ず導入する。
・ウィルス対策ソフトでは、常に最新のパターンファイルおよび検索エンジンを使用する。
・メールソフトで、添付ファイルやhtml メールを、自動的に開かないように設定するなど、アプリケーションのセキュリティ機能を利用する。
・知らない人からのメールに限らず、意味の分からない表題のメールは開封しない。
・業務上必要のないホームページは閲覧しない。
・情報セキュリティ担当者は、定期的に各パソコンのパターンファイルの更新が実施されているかチェックする。
・OS や利用ソフトウェアのセキュリティ修正プログラムについても、定期的に適用状況をチェックする。
・外部からのデータを利用する場合は、ウィルス感染がないことを確認し、利用する。
                             - 以 上 -


スポンサーリンク




よく読まれている関連記事



シェアする

  • このエントリーをはてなブックマークに追加

フォローする