ITパスポートの過去問
令和2年度 秋期
テクノロジ系 問68

情報セキュリティ対策におけるリスクマネジメントとは、会社が抱えるセキュリティリスクに対して、どのように対処するかを明確にすることをいいます。セキュリティリスクへの対応方法として「リスク低減」「リスク回避」「リスク移転」「リスク保有」という4つの分類があります。

「リスク低減」とは、リスクを発生する可能性をできるだけ小さくして、損害を減らす方法です。
「リスク回避」とは、保有する個人情報を破棄するなど、要因そのものを取り除く方法です。
「リスク移転」とは、システムを他社に委託したり、損害賠償などの保険を掛けたりする方法です。
「リスク保有」とは、リスクに対して特定の対策をせずそれを受容し、リスクが起こった時に対応を考える方法です。

退社時のクリアデスクの導入は、「リスク低減」にあたります。よって３が正解です。

「移転」とは、リスクの影響や責任を第三者に移転する対応策です。

「回避」とは、リスクを発生させないように講じる対応策です。

「低減」とは、リスクの発生頻度、影響度を低減させる対応策です。

「保有」とは、あえて対策を行わない対応策です。


社内ルールとしてクリアデスクを取り決めることで、机上に置かれた書類からの情報漏洩の危険は減ります。しかし、ルールだけでは、実際に守られないケースもある為、完全に危険がなくなるわけではありません。したがって、リスクの低減に該当します。

したがって、３が正解です。

情報セキュリティのリスクマネジメントにおける４つのリスク対応は以下になります。

　リスク回避・・・リスクの原因を取り除くこと

　リスク移転・・・業務委託や保険加入などリスクを他者と共有すること

　　　　　　　　　共有ともいいます。

　リスク低減・・・リスク発生の確立を下げる、損害を小さくすること

　リスク保有・・・リスクをそのまま受け入れること。受容ともいいます

クリアデスクとは、離席する際に机上の書類を整理・保管するルールのことです。

これを導入することで、書類が盗難される可能性は低くなります。

よって、情報漏えいの発生率を下げているため、３が正解です。