平成28年度 秋期 ITパスポート試験 公開問題 問100 解説 個人情報の漏えい対策

情報セキュリティの3要素で考える

この問題は、情報セキュリティの3要素である機密性・完全性・可用性のうち、漏えい対策として「機密性」を維持するための適切な手段を選べるかを問うています。

解き方のポイントは、各選択肢が「情報の漏えいを防ぐこと（機密性の確保）」に貢献するかどうかを見極めることです。

a：読取りパスワード設定 → 正解。閲覧できる人を制限できるため。 b：ファイル暗号化 → 正解。ファイルが流出しても中身を読めないようにするため。 c：サーバの二重化 → 不正解。これはシステムが停止しないようにするための「可用性」を高める対策であり、漏えい防止には寄与しません。 d：紙の廃棄 → 正解。電子化した後の紙が残っていると、そこから漏えいするリスクがあるため物理的に抹消します。

よって、a、b、dが適切な対策となります。

機密性を守るための具体的手段

個人情報の管理において、漏えいを防ぐためのキーワードは「アクセス制御」と「暗号化」です。

アクセス制御とは、権限のない者がファイルにアクセスできないように制限することです。パスワード設定は最も基本的なアクセス制御の一つです。また、万が一外部の攻撃者や第三者の手にファイルが渡ってしまった場合を想定し、ファイルそのものを暗号化しておけば、中身を判読不能にできます。これらにより、情報が許可された者だけに見える状態、つまり「機密性」が保たれます。

なぜサーバの二重化は漏えい対策ではないのか

情報セキュリティにはCIAという3つの重要な柱があります。

C：機密性（Confidentiality）…許可された人だけが情報にアクセスできること。 I：完全性（Integrity）…情報が正確で改ざんされていないこと。 A：可用性（Availability）…必要な時にいつでも情報が利用できること。

選択肢cのサーバ二重化は、サーバが故障してもサービスを継続できるようにするための手段であり、可用性を確保するための対策です。試験では「漏えい対策（機密性）」を問われているのか、「止まらない仕組み（可用性）」を問われているのかを切り分けて考えることが非常に重要です。

業務における実務的な視点

実務の現場では、デジタルデータだけを保護すれば良いというわけではありません。今回の設問にあるように、紙の資料を電子化するプロセスでは「データの保護」と「物理媒体（紙）の適正処分」の両面からアプローチする必要があります。どれほど強力なパスワードをかけていても、元の紙資料をゴミ箱にそのまま捨ててしまえば、そこから簡単に個人情報が漏えいしてしまいます。セキュリティ対策は、情報のライフサイクル全体（作成から破棄まで）を考慮して行うのが鉄則です。

参考リンク

• 【ITパスポート】情報セキュリティの3要素（CIA）とは？わかりやすく解説
• パスワード付きZIPファイルはなぜダメなのか？仕組みと代替案を考える
• 情報セキュリティの概念（総務省 国民のための情報セキュリティサイト）