委託管理
情報セキュリティマネジメント試験「委託先の管理」の問題
M社は通信販売を営む従業員約300名の企業で、顧客の氏名・住所・購入履歴を扱う。情報システム部のN課長がセキュリティ運用を統括し、社内CSIRTを兼ねる。最近、取引先を装ったメールや在宅勤務の拡大に伴う持出し端末の管理が課題となっている。
M社は発送業務の一部を外部業者へ委託し、その際に顧客の氏名・住所を渡している。委託先での漏えいを防ぐためにM社が果たすべき責任として、最も適切なものはどれか。
ア委託先が適切に安全管理措置を講じているか、必要かつ適切な監督を継続して行う。
イ委託した時点で個人データの管理責任はすべて委託先へ移り、M社の責任はなくなる。
ウ顧客本人の同意さえあれば、委託先の管理状況をM社が確認する必要はなくなる。
エ委託先の選定後は、契約期間中の管理状況を一切確認せず業者の判断に任せる。
正解
ア.委託先が適切に安全管理措置を講じているか、必要かつ適切な監督を継続して行う。
個人データの取扱いを委託しても委託元の責任は消えず、委託先が安全管理措置を講じているかを必要かつ適切に監督する義務がある。契約での取り決めと、状況の確認・監査がその具体策となる。
?選択肢ごとの解説
ア ○個人データの取扱いを委託しても委託元の責任は消えず、委託先が安全管理措置を講じているかを必要かつ適切に監督する義務がある。契約での取り決めと、状況の確認・監査がその具体策となる。
イ ×委託しても委託元には監督責任が残り、責任が完全に移るとする考えは本問の適切な対応と相反する。
ウ ×本人同意の有無にかかわらず委託先の監督は必要で、確認不要とする考えは本問の責任の趣旨に反する。
エ ×委託後も継続的な監督が求められ、確認を放棄して任せきりにするのは本問の適切な監督とは矛盾する。
この問題の「深掘り・誤答の完全解説・試験のコツ・覚え方」はアプリで。
無料ではじめる →情報セキュリティマネジメント試験の全問を、一問ごとにAIの8-ways解説つきで。SRS暗記カード・全真模試・弱点診断まで。まずは無料で。
ukamiru 過去問 · 情報セキュリティマネジメント試験 · sg-b-jirei-0005
