情報セキュリティマネジメント平成30年春期 午前問4
問4
退職する従業員による不正を防ぐための対策のうち,IPA"組織における内部不正防止ガイドライン(第4版)"に照らして,適切なものはどれか。
- 在職中に知り得た重要情報を退職後に公開しないように,退職予定者に提出させる秘密保持誓約書には,秘密保持の対象を明示せず,重要情報を客観的に特定できないようにしておく。
- 退職後,同業他社に転職して重要情報を漏らすということがないように,職業選択の自由を行使しないことを明記した上で,具体的な範囲を設定しない包括的な競業避止義務契約を入社時に締結する。
- 退職者による重要情報の持出しなどの不正行為を調査できるように,従業員に付与した利用者IDや権限は退職後も有効にしておく。
- 退職間際に重要情報の不正な持出しが行われやすいので,退職予定者に対する重要情報へのアクセスや媒体の持出しの監視を強化する。
- [出題歴]
- 情報セキュマネ R1秋期 問4
分類
テクノロジ系 » セキュリティ » 情報セキュリティ対策
正解
エ
解説
- 秘密保持誓約書には、秘密保持の対象となる重要情報を客観的に特定できる記載が必要です。何が秘密情報なのかそうではないのかの判断は退職者個々に異なるため、期待に反して情報漏えいのリスクが高まってしまうことになりかねません。
- 職業選択の自由は日本国憲法で認められた権利であり、これを侵害する規定は憲法違反となります。競業避止義務を記載する場合には、職業選択の自由を侵害しないように公序良俗を考慮した適切な範囲を設定しなければなりません。
- 異動または退職により不要となった利用者ID及びアクセス権は、不要となった時点で直ちに削除しなければなりません。放置しておくと退職者による不正アクセスに発展する可能性があります。
- 正しい。内部不正防止ガイドラインによると、営業秘密の漏えいがあった企業に対する調査では、漏えい経路のうち「中途退職者(役員・正規社員)による漏えい」が大きな割合を占めています。雇用終了間際に情報の持ち出し等の内部不正が発生しやすいことから、雇用終了前の一定期間から、PC等をシステム管理部門等の管理下に置くことが望まれます。