sg sg-security-measures data_leakage asset_management it_security_operations
まず結論
情報の持ち出し管理とは、重要情報を社外や管理区域外へ持ち出すときに、事前の許可、持ち出し記録、返却確認、暗号化などで漏えいを防ぐ管理策です。
SG試験では、「持ち出しを全面禁止する」だけでなく、業務上必要な持ち出しを安全に管理するという考え方が重要です。
特に、次のような場面で問われやすいです。
- USBメモリに顧客情報を入れて持ち出す
- ノートPCを社外へ持ち出す
- 紙の資料を出張先へ持参する
- 委託先や取引先に情報を渡す
- 持ち出した情報の返却・削除を確認する
ポイントは、誰が、何を、なぜ、いつまで持ち出すのかを管理することです。
直感的な説明
情報の持ち出し管理は、簡単にいうと「会社の大事な情報を外へ出すときの出入り管理」です。
たとえば、会社の備品を外へ持ち出すときに、何も記録せずに自由に持っていけると困ります。
情報も同じです。
顧客情報や設計情報などを、USBメモリやノートPC、紙資料として外へ持ち出す場合、紛失したときに次のことが分からなくなります。
- 誰が持ち出したのか
- 何を持ち出したのか
- いつ持ち出したのか
- 返却されたのか
- 暗号化されていたのか
情報の持ち出し管理は、持ち出しを見える化して、紛失や盗難が起きたときにも追跡できるようにする対策です。
定義・仕組み
情報の持ち出し管理は、重要情報を社外や管理区域外へ持ち出すときに、持ち出しの可否や方法をルール化して管理することです。
IPAの「初めての情報セキュリティ 対策のしおり」でも、会社の情報を外へ持ち出すときには、紛失や盗難による情報漏えいを防ぐために、持ち出しのルールを守ることが重要とされています。
IPA:初めての情報セキュリティ 対策のしおり
管理する対象
| 対象 | 例 |
|---|---|
| 紙の資料 | 顧客リスト、契約書、設計図、見積書 |
| 電子データ | 顧客情報、売上データ、技術資料 |
| 記録媒体 | USBメモリ、外付けHDD、SDカード |
| 端末 | ノートPC、タブレット、スマートフォン |
基本の流れ
- 持ち出しが本当に必要か確認する
- 上長や管理者の許可を得る
- 持ち出す情報・媒体・期間を記録する
- 暗号化やパスワード設定などの保護を行う
- 持ち出し中は紛失・盗難に注意する
- 返却・削除・利用終了を確認する
記録しておきたい内容
| 項目 | 目的 |
|---|---|
| 持ち出す人 | 責任者を明確にする |
| 持ち出す情報 | 漏えい時に影響範囲を確認する |
| 持ち出し理由 | 業務上必要か判断する |
| 持ち出し先 | 管理外での利用場所を把握する |
| 持ち出し期間 | 返却漏れを防ぐ |
| 返却・削除確認 | 持ち出し後の放置を防ぐ |
SG試験では、細かい申請書の形式よりも、許可なく持ち出さない、記録を残す、保護して持ち出す、返却を確認するという流れを押さえることが大切です。
どんな場面で使う?
使うべき場面
情報の持ち出し管理は、次のような場面で使います。
- 出張先で使うためにノートPCを持ち出す
- 顧客先で説明するために資料を持参する
- 委託先に必要なデータを渡す
- 在宅勤務で業務データを利用する
- 外部の会議で機密資料を使う
このような場面では、持ち出しを完全に禁止すると業務が進まないことがあります。
そのため、必要な持ち出しは、許可・記録・保護・返却確認のルールに沿って管理します。
使うと誤解しやすい場面
情報の持ち出し管理は、単に「外へ持ち出してよい」と認めることではありません。
| 誤った対応 | 問題点 |
|---|---|
| 自己判断でUSBメモリに保存する | 無断持ち出しになる |
| 記録せずに紙資料を持ち出す | 紛失時に追跡できない |
| 暗号化せずにノートPCを持ち出す | 盗難時に情報が読まれる |
| 返却確認をしない | 持ち出した情報が放置される |
選択肢では、「上長の許可」「持ち出し記録」「暗号化」「返却確認」があるかを確認すると判断しやすいです。
よくある誤解・混同
① 持ち出し禁止との違い
- ❌ 情報は一切持ち出してはいけない
- ⭕ 業務上必要な場合は、許可と記録にもとづいて持ち出す
もちろん、機密性が高い情報は持ち出し禁止にする場合もあります。
ただし、SG試験では、業務上必要な持ち出しをどう安全に管理するかが問われることがあります。
② 暗号化だけで十分という誤解
- ❌ 暗号化していれば、自由に持ち出してよい
- ⭕ 暗号化は対策の一部であり、許可や記録も必要
暗号化は、盗難や紛失時に中身を読まれにくくする対策です。
しかし、誰が何を持ち出したのか分からなければ、事故発生時の調査や報告が難しくなります。
③ バックアップとの違い
- ❌ 持ち出し管理は、データを失わないためのバックアップ対策
- ⭕ 持ち出し管理は、社外での紛失・盗難・漏えいを防ぐ対策
バックアップは、障害や誤削除に備えてデータを復元できるようにする対策です。
持ち出し管理は、重要情報を外へ出すときの漏えいリスクを管理する対策です。
④ クリアデスクとの違い
- ❌ 机上に資料を置かないことが持ち出し管理
- ⭕ 外へ持ち出す情報を許可・記録・返却確認することが持ち出し管理
クリアデスクは、机上に重要情報を放置しない対策です。
持ち出し管理は、情報を社外や管理区域外へ出すときの管理です。
確認問題(SG試験対策)
顧客情報を保存したノートPCを、出張先で利用するために社外へ持ち出すことになった。情報漏えい対策として最も適切なものはどれか。
ア. 業務に必要であれば、担当者の判断で自由に持ち出せるようにする。
イ. 持ち出しの許可を得て、対象情報・持ち出し者・期間を記録し、暗号化などの保護を行う。
ウ. 持ち出し後に紛失しても復元できるように、社内サーバにバックアップだけを取得しておく。
エ. 出張中に利用しやすいように、ログインパスワードをメモしてPCケースに入れておく。
▶ クリックして答えと解説を見る(ここを開く)
正解:イ
解説
- ア:担当者の自己判断では、無断持ち出しや管理漏れにつながります。
- イ:許可、記録、保護を組み合わせており、持ち出し管理として適切です。
- ウ:バックアップはデータ復旧には有効ですが、持ち出し中の情報漏えい対策としては不十分です。
- エ:パスワードをPCケースに入れると、盗難時に不正利用される危険があります。
👉 判断ポイント
情報の持ち出し管理では、許可・記録・保護・返却確認をセットで考えます。
まとめ(試験直前用)
- 情報の持ち出し管理=社外へ出す情報を管理する対策
- 許可なく持ち出さない
- 誰が、何を、いつまで持ち出すか記録する
- 暗号化やパスワード設定で保護する
- 返却・削除・利用終了を確認する
🔗 関連記事
- アクセス制御モデルとは?RBAC・ABAC・DAC・MACの違いを整理【SG試験】
- 入退室管理とは?物理アクセス制御の基本【SG試験】
- アクセス管理とは?特権IDとneed-to-knowで権限を適切に制御【SG試験】
- 匿名加工情報の第三者提供とは?公表義務と注意点【SG試験】
- アンチパスバックとは?不正な入退室を防ぐ仕組み【SG試験】