sg sg-security-measures data_leakage security_training vendor_management
まず結論
人的対策とは、従業員、委託先、派遣社員、退職者など、人の行動によって起きる情報漏えい・不正利用・誤操作を防ぐための管理策です。
SG試験では、人的対策を「教育だけ」と考えると引っかかりやすいです。
人的対策には、次のような幅広い管理策が含まれます。
- 情報セキュリティ教育・訓練
- 守秘義務契約や秘密保持契約
- アクセス権限の付与・変更・削除
- 退職時のアカウント停止や貸与物の回収
- 委託先との契約・監督
- 違反時の対応ルール
つまり、人的対策は、人を責めるための対策ではなく、人が安全に行動できるようにルールと仕組みで支える対策です。
直感的な説明
情報セキュリティというと、ファイアウォール、暗号化、ウイルス対策ソフトのような技術を思い浮かべやすいです。
しかし、実際の情報漏えいは、技術だけでなく、人の行動からも起こります。
例えば、次のようなケースです。
- メールの宛先を間違えて送信する
- 退職者のアカウントが残ったままになる
- 委託先が顧客情報を目的外に利用する
- 従業員がUSBメモリに情報を持ち出す
- フィッシングメールにだまされてIDとパスワードを入力する
- 秘密情報をSNSや会話で外部に話してしまう
このような問題は、技術対策だけでは防ぎきれません。
そのため、組織は、教育、契約、権限管理、手続、確認、監査などを組み合わせて、人に起因するリスクを下げます。
SG試験では、人的対策を人の注意力だけに頼る対策ではなく、組織としてミスや不正を起こしにくくする仕組みとして考えると理解しやすいです。
定義・仕組み
人的対策は、人が関わる情報セキュリティリスクに対して行う管理策です。
情報セキュリティ管理基準では、人的資源に関する管理策や、秘密保持契約・守秘義務契約、教育・訓練、雇用終了時の責任などが重要な管理策として扱われます。
公式情報は、経済産業省の情報セキュリティ監査制度のページで確認できます。
人的対策は、従業員のライフサイクルで整理すると分かりやすいです。
| 場面 | 主な管理策 |
|---|---|
| 採用・契約時 | 守秘義務、秘密保持契約、情報セキュリティルールの説明 |
| 配属・利用開始時 | 必要最小限のアクセス権限を付与する |
| 在職中 | 教育・訓練、ルール遵守、ログ確認、権限見直し |
| 異動時 | 業務変更に合わせてアクセス権限を変更する |
| 退職時 | アカウント停止、貸与物回収、秘密情報の返却・削除確認 |
| 委託時 | 契約、再委託管理、秘密保持、事故時の報告ルール |
ここで大切なのは、人的対策は一度実施して終わりではないことです。
入社時に教育をしただけ、契約書に署名しただけでは不十分です。
業務の変化、異動、退職、委託先変更などに合わせて、継続的に見直す必要があります。
どんな場面で使う?
人的対策は、人が情報に触れるあらゆる場面で使います。
従業員が情報を扱う場面
従業員は、日々の業務で多くの情報に触れます。
そのため、組織は次のような対策を行います。
- 情報セキュリティ教育を実施する
- 秘密情報の扱い方を明確にする
- 必要な人だけにアクセス権限を与える
- 定期的にアクセス権限を見直す
- ルール違反時の対応を決めておく
SG試験では、従業員の問題が出たとき、単に「注意する」ではなく、教育・ルール・権限管理・記録を組み合わせる選択肢を選びやすいです。
委託先に業務を依頼する場面
外部委託では、委託先が顧客情報や社内情報に触れることがあります。
この場合、委託先にも人的対策が必要です。
例えば、次のような管理策です。
- 委託契約に秘密保持義務を含める
- 再委託の条件を定める
- 委託先の担当者に教育を求める
- 事故発生時の報告手順を決める
- 委託終了時に情報を返却・削除させる
SG試験では、委託したら責任がなくなるという選択肢に注意します。
委託元は、委託先が適切に情報を扱うように管理する責任があります。
退職者・異動者が出る場面
退職や異動は、情報漏えいが起きやすい重要な場面です。
特に注意するのは、次の点です。
- 退職者のアカウントを速やかに停止する
- 貸与PC、社員証、USBメモリなどを回収する
- 秘密情報を持ち出していないか確認する
- 退職後も守秘義務が続くことを確認する
- 異動者の不要になった権限を削除する
SG試験では、退職者のアカウントや権限が残っている状態は、典型的な不適切例として問われます。
よくある誤解・混同
誤解1:人的対策は、情報セキュリティ教育だけである
これは誤りです。
教育は人的対策の重要な一部ですが、それだけでは不十分です。
人的対策には、守秘義務、アクセス権限管理、退職時対応、委託先管理、違反時の対応なども含まれます。
選択肢で、
人的対策として、年1回の教育だけを実施すれば十分である
のように書かれていたら注意です。
誤解2:従業員を信用していれば、権限管理は不要である
これも誤りです。
信頼と管理は別です。
従業員を信用していても、業務に不要な情報へアクセスできる状態はリスクになります。
SG試験では、必要最小限の権限と定期的な見直しを判断基準にします。
誤解3:退職したら守秘義務も終わる
これはよくあるひっかけです。
退職後も、業務で知った秘密情報を漏らしてよいわけではありません。
雇用契約、就業規則、誓約書、秘密保持契約などで、退職後も一定期間、守秘義務が続くように定める場合があります。
SG試験では、雇用終了後も情報保護の責任が残る場合があると押さえておきます。
誤解4:委託先の従業員教育は、委託先だけの問題である
これも注意が必要です。
委託先の従業員が秘密情報を扱う場合、委託元は、契約や委託先管理を通じて、情報の扱いが適切かを確認する必要があります。
SG試験では、委託先管理を人的対策の一部として考えると、ケース問題で判断しやすくなります。
誤解5:人的対策と技術的対策はどちらか一方でよい
これも誤りです。
人的対策と技術的対策は、組み合わせて使います。
例えば、フィッシング対策では、教育だけでなく、多要素認証、メールフィルタリング、ログ監視なども重要です。
SG試験では、教育だけに頼る選択肢や技術だけで人の運用を無視する選択肢に注意します。
まとめ(試験直前用)
- 人的対策は、人の行動による情報漏えい・不正利用・誤操作を防ぐ管理策である
- 教育だけでなく、守秘義務、権限管理、退職時対応、委託先管理も含む
- 従業員には、必要最小限の権限を与え、異動・退職時に見直す
- 委託先には、契約・秘密保持・事故時報告・終了時対応を明確にする
- SG試験では、「教育だけで十分」「退職後は責任なし」「委託先任せでよい」という選択肢に注意する
確認問題
人的対策に関する説明として、最も適切なものはどれか。
- 従業員や委託先による情報漏えいを防ぐため、教育、守秘義務、アクセス権限管理、退職時対応などを組み合わせて実施する。
- 人的対策は、従業員に年1回の教育を実施すれば十分であり、権限管理や退職時対応は技術的対策に任せればよい。
- 退職者は組織を離れているため、業務中に知った秘密情報について守秘義務を負わせる必要はない。
- 委託先の従業員が扱う情報については、委託先の責任であり、委託元が契約や管理を行う必要はない。
回答と解説
正解は **1** です。 人的対策は、教育だけでなく、守秘義務、アクセス権限管理、退職時対応、委託先管理などを組み合わせて実施する管理策です。 2は誤りです。教育だけでは不十分で、権限管理や退職時対応も必要です。 3は誤りです。退職後も、一定期間、秘密情報を漏らさない責任を負わせる場合があります。 4は誤りです。委託先に情報を扱わせる場合でも、委託元には契約や監督を通じた管理責任があります。🔗 関連記事
- アクセス制御モデルとは?RBAC・ABAC・DAC・MACの違いを整理【SG試験】
- 入退室管理とは?物理アクセス制御の基本【SG試験】
- アクセス管理とは?特権IDとneed-to-knowで権限を適切に制御【SG試験】
- アンチパスバックとは?不正な入退室を防ぐ仕組み【SG試験】
- 認証・アクセス制御まとめ|SSO・MFA・ゼロトラストを体系整理【情報セキュリティマネジメント】