問題
「出典:令和元年度 秋期 情報セキュリティマネジメント試験 午前 問4」
ア 在職中に知り得た重要情報を退職後に公開しないように,退職予定者に提出させる秘密保持誓約書には,秘密保持の対象を明示せず,重要情報を客観的に特定できないようにしておく。
イ 退職後,同業他社に転職して重要情報を漏らすということがないように,職業選択の自由を行使しないことを明記した上で,具体的な範囲を設定しない包括的な競業避止義務契約を入社時に締結する。
ウ 退職者による重要情報の持出しなどの不正行為を調査できるように,従業員に付与した利用者IDや権限は退職後も有効にしておく。
エ 退職間際に重要情報の不正な持出しが行われやすいので,退職予定者に対する重要情報へのアクセスや媒体の持出しの監視を強化する。
かんたん解説
退職する従業員による不正って、ハラハラする言葉ですね。飛び立つ鳥、後を思いっきり濁していく行為で、とんでもねーなって思います。でも人間だもの、恨みがあったらそんな行為もしちゃうんですね。
さて、どんな内容なのか、実際にそのIPAのガイドライン「組織における内部不正防止ガイドライン」を読んでみましょう。
報道などで見られるとおり、組織内部者の不正行為による情報セキュリティ上のインシデントが度々発生しています。顧客情報や製品情報などの漏えいによる賠償や信用失墜など、事業の根幹を揺るがしかねないようなケースが目立ってきています。
https://www.ipa.go.jp/security/fy24/reports/insider/
モチベーションが最初に書かれていますね。
本ガイドラインは、これまで内部不正対策について「考えてこなかった」「何をすればよいかわからなかった」という企業であっても、内部不正対策の整備を可能とすることを目指したほか、内部不正防止だけではなく、発生してしまった際の早期発見・拡大防止をも視野に入れた構成としています。
https://www.ipa.go.jp/security/fy24/reports/insider/
内部不正防止の重要性や対策の体制、関連する法律などの概要を平易な文体で説明しているほか、組織における内部不正の在り方については、基本方針から、資産管理、技術的管理、証拠確保、コンプライアンス、職場環境、事後管理など10の観点のもと、合計30項目からなる具体的な対策を示しました。
具体的な対策を30項目ですって、すごい!
実際のガイドラインには、内部不正防止の基本原則として以下の5つを定めています。なるほど、どれも納得が行きます。
・犯行を難しくする(やりにくくする):
https://www.ipa.go.jp/files/000057060.pdf
対策を強化することで犯罪行為を難しくする
・捕まるリスクを高める(やると見つかる):
管理や監視を強化することで捕まるリスクを高める
・犯行の見返りを減らす(割に合わない):
標的を隠したり、排除したり、利益を得にくくすることで犯行を防ぐ
・犯行の誘因を減らす(その気にさせない):
犯罪を行う気持ちにさせないことで犯行を抑止する
・犯罪の弁明をさせない(言い訳させない):
犯行者による自らの行為の正当化理由を排除する
よくもこんなにまとめて頂きましたね。最後の「正当化理由を排除」の部分は、言い訳をする犯行者が目に浮かんでとほほ感満載です。
さて。答えの選定に行きましょう。ガイドラインの中にこんな部分があります。
雇用終了時及び契約終了時には、以下のような対策を実施することが必要です。
1. 誓約書や契約書には、雇用終了時や契約終了時に情報資産の返却及び契約先所有のPC等からの完全消去に関する記載が必要です。
2. 取り扱いを委託した情報資産及び入館証等の権限(Q&A15:P79) がすべて返却されたことを確認することが必要です。
3. 情報システムから元役職員の利用者 ID や権限が削除されたことを確認することが必要です。
4. 契約先所有の PC 等に保存されていたすべての重要情報を完全消去した旨の確証を契約先からとることが望まれます。
5. 雇用終了間際に情報の持ち出し等の内部不正が発生しやすいことから、雇用終了前の一定期間から、PC 等をシステム管理部門等の管理下に置くことが望まれます(例:アクセス範囲の限定、USB メモリの利用制限等)。
https://www.ipa.go.jp/files/000057060.pdf
敵は内部にありですね。てことで、正解は(エ)の「退職予定者に対する重要情報へのアクセスや媒体の持出しの監視を強化する」です。