※本情報は解説作成時点のもので、閲覧時点では法改正等により情報が変更になっている場合がございます。あらかじめご理解いただければ幸いです。
正解は「A.従業員による情報セキュリティ違反の可能性を認識したら、直ちに懲戒手続を開始することを定めていた。」です。
情報セキュリティ管理基準では、違反の事実確認や影響度の評価などを踏まえた適切な手続が求められており、可能性の段階で直ちに懲戒手続を開始する定めは不適切と判断されます。
この記事では、情報セキュリティマネジメント(SG)試験(令和7年度)で出題された第8問「情報セキュリティ違反に対する懲戒手続の監査」について、試験対策の観点からわかりやすく解説します。
Contents
情報セキュリティ管理基準の考え方
違反対応=事実確認+影響評価+公平性の確保
情報セキュリティ管理基準では、違反が発生した場合の対応について、公平性や段階的対応、周知徹底などが求められています。
違反の「可能性」だけで直ちに懲戒手続を開始することは、事実確認や影響評価を欠くため適切とはいえません。
他の選択肢との違い
- B:影響度や教育状況を考慮した段階的対応は、合理的かつ適切な規定である。
- C:恣意性を排除し公平な取扱いを定めることは、内部統制上望ましい。
- D:細則の策定や周知徹底を定めることは、実効性確保の観点から適切である。
監査では、不適切又は過度な規定がないかを確認します。
問われているポイント
この問題では、情報セキュリティ管理基準に基づく内部規程の妥当性を判断できるかが問われています。
公平性・段階性・事実確認の重要性を理解しておきましょう。
気を付けてほしい点(勘違いしやすいポイント)
- 違反の「可能性」と「事実確定」は異なる
- 懲戒は段階的かつ合理的に行う必要がある
補足
監査では、過度に厳格又は不公平な規定も指摘対象となります。
情報セキュリティマネジメント(SG)試験での出題パターン
管理基準や内部統制の趣旨を踏まえた妥当性判断問題が出題されます。
単なる暗記ではなく、基準の考え方を理解することが重要です。
この知識が使われている問題
まとめ
- 違反対応には事実確認と影響評価が必要
- 可能性のみで直ちに懲戒開始は不適切
- 公平性・段階的対応・周知徹底が重要