問21 情報セキュリティに関する従業員の責任について、「情報セキュリティ管理基準」に基づいて監査を行った。指摘事項に該当するものはどれか。

ア 雇用の終了をもって守秘責任が解消されることが、雇用契約に定められている。
イ 定められた勤務時間以外においても守秘責任を負うことが、雇用契約にさだめられている。
ウ 定められた守秘責任を果たさなかった場合、相応の措置がとられることが、雇用契約に定められている。
エ 定められた内容の守秘義務契約書に署名することが、雇用契約に定められている。


正解 ア


解説

情報セキュリティ管理基準とは、経済産業省が発行する情報セキュリティ監査制度のガイドラインである。
指摘事項とはつまり、ガイドラインに違反している状態を指摘されることである。

ア 正解
情報セキュリティ管理基準から引用
「4.3.1.2 雇用終了後もなお有効な責任及び義務を、従業員、契約相手及び第三者の利用者の契約に含める」

上記のように規定されているため、雇用の終了をもって守秘責任が解消されるのは指摘事項にあたります。

イ 不正解
情報セキュリティ管理基準から引用
「4.1.3.7 雇用条件には、組織の構外及び通常の勤務時間外に及ぶ責任(例えば、在宅勤務における責任)を含める」

上記のように規定されているため、指摘事項には当たりません。

ウ 不正解
情報セキュリティ管理基準から引用
「2.1.5.11 秘密保持契約又は守秘義務契約には、契約違反が発生した場合に取られる処置を含める」

上記のように規定されているため、指摘事項には当たりません。


エ 不正解
情報セキュリティ管理基準から引用
「4.1.3.2 雇用条件には、取扱いに慎重を要する情報へのアクセスが与えられる、すべての従業員、契約相手及び第三者の利用者による、情報処理施設へのアクセスが与えられる前の、秘密保持契約書又は守秘義務契約書への署名を含める」

上記のように規定されているため、指摘事項には当たりません。