情報セキュリティアドミニストレータ(セキュアド)過去出題問題

平成14年　午後2　問1

最終更新日　2004/01/25
webmaster@tomnetwork.net

Tomのネットワーク勉強ノート

　過去問（午後）

情報セキュリティアドミニストレータ過去問（午後）

情報セキュリティアドミニストレータ過去問平成14年　午後2　問1

問1

アンケート調査事業に関する次の記述を読んで、設問1～6に答えよ｡

A社は、顧客企業から依頼を受けて一般消費者向けのアンケートを実施し、市場調
査を実施する会社である｡従業員は100人ほどであり、ビルのワンフロアを借り切っ
て事業を営んでいる｡組織構成は、図1のとおりである｡

図1　A社の組織構成

営業部は、顧客企業から詳細な条件を聞き出し、調査の進め方などに関する企画書
と必要な費用を積算した見積書を作成する｡調査部は、営業部に協力し、企画書や見
積書の作成に必要な情報を営業部に提供する｡受注に至ると、図2に示す作業手順に
沿って業務を実施する｡

(1)アンケート調査票(以下、調査票という)の原案を作成し、顧客企業の要望を踏まえて
　　加除訂正した上で調査票を確定する｡

(2)A社が独自に情報主体から収集、又は顧客企業からの預託のいずれかの方法でアンケー
　　トの送付先候補リストを作成し、顧客企業の要望を踏まえて加除訂正した上で送付先を確
　　定する｡

(3)郵送アンケートの場合
　①郵送物の印刷、封入及び投かんやアンケート結果のデータ入力を専業にしているB社
　　に調査票と送付先リストを預託し、リストに記載されたあて先に調査票を発送するよう
　　に指示する｡
　②アンケートの回答者から記入済の調査票がA社に送られてくると、その内容を確認の
　　上、B社に預託する｡
　③調査票に記入された回答結果がB社で電子化され入力結果が一時記憶媒体に保管さ
　　れて、調査票とともにA社に返却される｡
　④B社から電子化された回答結果を受け取ると、A社の調査部の担当者がA社のアンケ
　　ート調査業務専用のサーバ(以下、専用サーバという)に、アンケート調査業務専用の
　　クライアントパソコン(以下、専用PCという)から入力する。専用サーバと専用PC
　　は、A社内に設置されており、通常の社内LANやインターネットとは独立したアンケ
　　ート調査業務専用LANに接続されている｡一時記憶媒体の内容は、入力終了後、直ち
　　に消去される｡

(4)Webアンケートの場合
　①調査票を基にしてアンケート記入用のWebコンテンツを作成し、それをWebアンケ
　　ート専用のWebサーバに掲載する｡また、回答結果は、記入後、直ちにファイアウォ
　　ールの内側に設置した安全な作業用サーバに転送することにし、Webサーバには、回答
　　内容を一切保管しないように設定する｡
　②アンケートを掲載したWebコンテンツのURLを、記入依頼及び記入要領とともに依
　　頼先に電子メールを利用して送信する｡
　③作業用サーバに蓄積された回答結果は、ネットワークを介さずに一時記憶媒体を用い
　　て、専用PCから専用サーバに入力する｡一時記憶媒体の内容は、入力終了後、直ちに
　　消去される｡

(5)市販の表計算ソフトを利用して統計処理を実施する｡分析結果を報告書にまとめて顧客
　　企業に納入し、調査業務を完了する｡

図2　アンケート調査業務の作業手順

A社は、アンケート調査のために、独自に収集した一般消費者の個人情報データベ
ースを作成して専用サーバに保管しており、これがA社の事業の競争力を維持する源
泉になっている｡

〔同業他社における事件の発生〕

ある日、A社の同業であるC社で、アンケートの送付先である一般消費者の個人情
報が外部に漏えいするという事件が起きた｡その結果、C社は、顧客からの信頼を失
い、長期間にわたって業績が悪化することが懸念された｡この事件の報道記事を読ん
だA社の社長は、自社でも同様の事件が発生する可能性があると考え、緊急に予防対
策を検討することにした｡
社長の指示によって、企画部を事務局として、営業部長、調査部長、総務部長及び
これら3部の全課長を構成メンバとする個人情報保護対策検討委員会が組織され委
員長には、社長の特命によって常務取締役が就任することになった｡

早速、第1回の会合が開催され、その場で、"個人情報保護に関するコンプライア
ンス･プログラム(以下、CPという)の要求事項"(JISQ15001)に沿ってA社内
の個人情報保護体制を強化すること、次回の会合までに企画部長が具体的な作業手順
を検討することが決定された｡その決定を受けて、全画部長は、様々な資料を参照し
つつ、図3に示すCP構築の作業手順概要を作成した｡

(1)個人情報保獲方針を定めて文書化する｡
(2)CP策定のための組織を編成する｡
(3)CP策定の作業計画を立てる｡
(4)個人情報保護方針を社内に周知する｡
(5)社内外の個人情報を特定する｡､
(6)既存の個人情報取扱システム(規定、標準様式、体制など)を評価する｡
(7)CPの構成を検討する｡
(8)CPの基本になる規定を策定する｡
(9)CPの詳細規定を策定する｡
(10)CPを文書化する｡
(11)CPに準じた体制を整備する｡
(12)役員及び従業員に対して、CPの【 a 】を実施する。
(13)CPに対する【 b 】を定期的に実施する｡
(14)CPを見直し、改善する｡

図3　CP構築の作業手順概要

企画部長は、第2回の会合に図4に示すA社の個人情報保護方針案を提出し、承認
を得た｡また、個人情報保護対策検討委員会がCPを策定すること、次回の会合まで
に企画部長がCP策定のための具体的な作業計画を立案することが決定された｡

A社個人情報保譲方針
　　　　　　　　　　　　　　　　　　　　　　　　　　　代表取締役社長　○○　○○

当社は、多数の個人情報を取り扱う企業の社会的責務として、個人情報の保護が当社の最
優先課題であると認識しております｡個人情報の保護を適切に実施するため、次の方針に沿
つて安全対策を推進いたします｡

(1)個人情報の収集、利用及び提供に関する方針(省略)
(2)個人情報に関連するリスクの予防及び経減に関する方針(省略)
(3)個人情報に関連する法令及びそのほかの規範の遵守に関する方針(省略)
(4)CPの縦続的改善に関する方針(省略)

図4　A社の個人情報保護方針案(抜粋)

第3回の会合では、企画部長が作成した作業計画が承認され、具体的な作業が開始
された｡これまでA社では、業務で取り扱う情報の台帳類を全く作成していなかった｡
そこで、企画部長が用意した様式を用いて保護対象にしている個人情報をすべて特定
するところから作業を始めることになり、営業部と調査部が保有する全個人情報を対
象に調査し、表1に示すA社の個人情報取扱台帳を作成した｡

なお、A社では、A社が独自に収集した個人情報、実施中のアンケート調査に関連
する情報、顧客企業から特に保管を依頼された情報、及び法律で保管が義務付けられ
ている情報を、すべて専用サーバ上に保管している｡それらの情報を除くアンケート
調査業務に関する情報は、プロジェクト完了とともに確実に消去、廃棄又は返却して
いる｡

表1　A社の個人情報取扱台帳(抜粋)

項目	XXに関するアンケート調査	YYに関する意識調査	･･･
個人情報	氏名、住所、電話番号、年齢など	氏名、住所、年齢、性別など	･･･
入手元	情報主体	顧客企業	･･･
入手の形態	Webアンケートによる直接収集	預託	･･･
取扱部署	調査部調査ニ課	営業一課経由で調査一課へ	･･･
情報の形態	専用サーバ上のファイル	預託を受けたフロッピーディスク上と、専用サーハ上のファイル	･･･
保管場所	専用サーバ	専用サーバ	･･･
保管期間	プロジェクト完了後1年間	プロジェクト完了まで	･･･
提供先	顧客企業	なし	･･･
廃棄方法	ファイル消去	フロッピーディスク返却とファイル消去	･･･
･･･	･･･	･･･	･･･

さらに、既存の個人情報取扱システムを評価するため、各種の社内規定類から関連
する部分を抜き出して内容を確認した｡図5に、例として、サーバ運用規則におけ
る関連部分を示す｡

　第4章　バックアップ
第23条　重要な情報を収めたサーバは、別途定める期間ごとに定期的にバックアップ作業
　　　　を実施すること｡
第24条　バックアップ媒体は、3世代管理を実施すること｡
第25粂　バックアップ媒体は、安全に保管すること｡
第26条　バックアップ媒体は、耐用年数などを考慮して、定期的に新品に交換すること｡
　第5章　電源設備
第27条　(省略)

図5サーバ運用規則(抜粋)

併せて、バックアップの実施状況を確認したところ、サーバ運用規則の第4章に沿
って定期的にバックアップが実施されていた｡また、バックアップ媒体は、調査部に
備付けの施錠可能なキャビネットに保管されていた｡キャビネットのかぎは、調査部
長又は調査部長が不在の場合、あらかじめ指定された代行者が保管しており、自由に
アクセスされることがないように管理されていた｡

〔情報セキュリティマネジメントシステムの構築〕

ここまでの検討結果について、委員長が進捗報告を兼ねて社長に報告したところ、
図6に示す社長からのコメントが個人情報保護対策検討委員会に寄せられた｡

当社が保護すべき個人情報の範囲やそれらの取扱状況はよく分かった｡だが、当社が実施
すべき情報セキュリティ対策は、これまでの委員会での検討鞄囲だけで果たして十分なのだ
ろうか｡ほかにも実施すべき対策があるのではないか｡個人情報保護については、大変重要
なので引き続き検討を進めてほしい｡加えて、当社が顧客の信頼を獲得し、事業を発展させ
る上で実施すべき情報セキュリティ対策を広く検討してほしい｡

図6　社長からのコメント

この社長のコメントを受けて、委員会のメンバで調査、検討を重ねた結果、企業の
情報資産を守るためには、情報セキュリティマネジメントシステム(以下、ISMSと
いう)を構築することが重要であるとの結論に達した｡そこで、個人情報保護対策検
討委員会の名称を情報セキュリティ委員会に変更し、個人情報保護対策とISMSの構
築について、両者の整合を図りながら同時に進めることになった｡進め方についての
基本的な方針は、次のとおりである｡

(1)情報資産を保護するため、ISMSを構築する｡個人情報もこの情報資産に含まれ
　　る｡
(2)ISMSの適用範囲は、図7に示すとおりにする｡ただし、ISMSを構築する中で必
　　要に応じて調整する｡
(3)ISMSの要求事項の一つである"準拠"の中に、個人情報保護に関するCPを位
　　置付ける｡

業　　　　務　：アンケート調査事業
組　　　　織　：調査部、営業部
場　　　　所　：A社所在地(ビルのワンフロア)
情報システム：専用サーバ
情　　　　報　：アンケート調査事業にかかわるすべての紙文書、電子ファイルなど

図7　ISMSの適用範囲

上記の方針を踏まえた上で、A社のISMSの適用範囲に関連するリスクの概要を把
握するため、ISMSの要求事項の実施状況を点検し、表2を作成した｡

表2 ISMSの要求事項の実施状況(抜粋)

要求事項	実施状況				判断根拠
要求事項	Y	P	N	N/A	判断根拠
セキュリティ組織
情報セキュリテイ･インフラストラクチャ
・情報セキュリティについて検討するため、経営　　層を含む委員会を設置すること	○				【 c 】
・組織内の情報セキュリティを管理するため、関　　係する部門を横断的に調整できる体制があるこ　　と｡	○				【 d 】
・個々の情報資産に対する保護責任及び特定の業　　務に関する実施責任を明確にすること。		○			業務手順書やそのほかの規定類に業務の実施責任者が明示されていない｡
・・・
情報資産の分類及び管理
情報資産に対する責任
・情報資産を適切に管理するため資産台帳を作成　　し、重要な情報資産のすべてを登録すること		○			【 e 】
・・・
通信及び運用管理
情報システム管理
・重要な情報及びソフトウェアのバックアップ、コ　　ピーを定期的に取得すること		○			サーバ運用規則は遵守されているが、その内容に不足がある｡
・・・
事業継続管理
事業継続管理
・ISMSの適用範囲全体を含む組織の事業継続計　　画を策定、維持するための管理プロセスを整備　　すること			○		該当する管理プロセスがなく、事業継続計画も災害復旧計画も存在しない｡
・・・

表2では、一番左側の列にISMSの要求事項を、その隣に要求事項の実施状況と判
断根拠を記すことにした｡実施状況は、実施済の場合にはY欄に、部分的に実施済の
場合にはP欄に、実施していない場合にはN欄に、該当しない場合にはN/A欄に、
それぞれ○印を記入することにした｡
実施状況考評価した結果、既に適切な情報セキュリティ対策を実施している項目も
あったが、問題点も指摘された｡情報システムの構成要素のうち、専用サーバは輸入
製品を使用しており、調達に1か月を要する｡ほかの構成要素は、通常の市販製品で
あり、2、3日以内に調達可能である｡調達に要する費用は、A社の事業規模からす
れば、経営に深刻な打撃を与える額ではない｡また、A社の事業の実態を考慮すると、
被災による1週間程度の情報システムの停止は、許容範囲と考えられた｡しかし、専
用サーバ上に存在する一部のファイルは、A社の事業存続に不可欠であり、この点に
関して大きな問題点が指摘された｡

設問1

CPの要求事項によれば、A社が顧客企業から預託された個人情報を更にB社
に預託する際にこ個人情報の管理について顧客企業に確認しなければならない点
がある｡それは何か｡35字以内で述べよ｡

設問2

図3中の【 a 】、【 b 】に入れる適切な字句を答えよ｡また、
【 a 】、【 b 】の作業を実施しないことによって予想される悪影響を、
それぞれ15字以内で述べよ｡

設問3

本文中の下線に示した調査対象に関する次の問いに答えよ｡

(1)第3回の会合時点における調査対象だけでは、CPの要求事項が"保護すべ
　　き対象"として規定しているA社保有の個人情報の中で、収集できない対象が
　　ある｡それは何か｡15字以内で述べよ｡

(2)上記(1)の情報を確実に収集するためには、どのような部署に記入を依頼す
　　べきか｡図1に示した組織名称の中から、最も適切なものを一つ選び答えよ｡

設問4

表2中の【 c 】～【 e 】に入れる適切な字句を答えよ｡

(1)【 c 】、【 d 】については、A社の具体的な組織名称を用いて、
　　それぞれ35字以内で述べよ｡

(2)【 e 】については、A社の情報資産の名称を用いて、30字以内で述べよ｡

設問5

アンケート調査事業を業務範囲と考えた場合に、ISMSの適用範囲に含まれる
べき情報システムの構成要素に欠けているものがある｡本文中の字句を用いて五
つ挙げ、それぞれ15字以内で答えよ｡

設問6

ISMSの構築に際しては、表2に示した要求事項について、具体的な実現方法
を検討する必要がある｡要求事項の一つである事業継続管理に関連して、火災な
どによるA社ビル内の情報システムヘの甚大な被害発生を想定して次の問いに答
えよ｡

(1)被害に遭った情報システムを1週間以内に確実に復旧し、A社のアンケート
　　調査事業を維持するために実施しておくことが望ましい保護対策は何か｡70
　　字以内で述べよ｡

(2)被災時に実施中のアンケート調査業務を継続させるため、更に対策を検討す
　　べきリスクは何か｡20字以内で述べよ｡

(3)上記(2)のリスクを予防するためには、更にどのような対策を実施する必要
　　があるか｡30字以内で述べよ｡