平成27年度 秋期 ITパスポート試験 公開問題 問24 解説 人的安全管理措置

人的安全管理措置を見抜くポイント

この問題を解く鍵は、措置の対象が「人」であるか、「組織」であるか、「物理的な設備」であるか、「技術」であるかを見分けることです。「人的安全管理措置」は、個人データを取り扱う従業者を対象とした教育や、秘密保持の誓約などを指します。設問の選択肢のうち、人の意識や行動を変えるための「教育」や「周知」に着目しましょう。

安全管理措置の4つの分類

経済産業分野のガイドラインでは、安全管理措置を以下の4つに分類しています。試験では、それぞれの言葉が指す具体例をセットで覚えるのが鉄則です。

組織的安全管理措置 組織体制の整備や、規程の作成、運用のためのルールの策定など「仕組みづくり」に関することを指します。選択肢アは、規程の整備といった仕組みの話なのでこちらに該当します。

人的安全管理措置 従業員の教育、研修、秘密保持契約の締結など「人」に対する教育や管理を指します。今回の正解である選択肢イは、まさに従業員の意識向上やルールの徹底を目的としているため、これに該当します。

物理的安全管理措置 個人データが記録された媒体の管理、情報の廃棄方法、オフィスへの入退室管理など「物理的な設備や空間」を守るための措置です。選択肢エは、鍵や扉といった目に見える物理的なガードであるため、これに該当します。

技術的安全管理措置 情報システムへのアクセス制御、認証、ログの監視、データの暗号化など「システム技術」による防衛策を指します。選択肢ウは、システム上でのアクセス権限の設定であるため、これに該当します。

実務での活用と教育的意図

この知識は、ITパスポートの試験対策だけでなく、実際の現場で情報漏洩事故を防ぐための「セキュリティ対策の全体像」を理解する上で非常に重要です。

例えば、どれだけ強力なウイルス対策ソフト（技術的安全管理措置）を導入しても、従業員がメールの添付ファイルを不用意に開いてしまえば、攻撃を許してしまいます。また、最新の物理的なセキュリティゲート（物理的安全管理措置）を設置しても、従業員が役割と責任（人的安全管理措置）を理解していなければ、入館証の貸し借りなどの隙が生まれます。

この問題の教育的意図は、単に用語を暗記させることではなく、セキュリティ対策には「システム、設備、組織、人」という多角的な視点が不可欠であることを理解させる点にあります。実務では、これらを組み合わせて「多層防御」を行うことが求められます。

参考リンク

• 情報セキュリティの確保に向けた安全管理措置（IPA 独立行政法人 情報処理推進機構）
• 【ITパスポート】情報セキュリティの安全管理措置（動画で解説）
• 情報セキュリティの「人的・組織的・物理的・技術的」な対策とは？（事例解説）