問題
企業の情報管理体制の構築に関する次の記述のうち、最も適切でないものはどれか。
選択肢
- 1従業員に対する情報管理に関する教育・研修や、秘密保持に関する誓約書の取得は、情報漏えいの抑止に資する。
- 2取締役は、会社の規模・業種に応じて、情報漏えいを防止するための内部統制システム(リスク管理体制)を構築・運用すべき善管注意義務を負う場合がある。
- 3一度情報管理規程を策定すれば、その後の法改正や事業内容の変化にかかわらず、規程を見直す必要は一切ない。
- 4営業秘密や個人データの管理については、情報の重要度に応じてアクセス権限を区分し、組織的・人的・物理的・技術的な安全管理措置を組み合わせて講じることが望ましい。
正解
3. 一度情報管理規程を策定すれば、その後の法改正や事業内容の変化にかかわらず、規程を見直す必要は一切ない。
詳しい解説を見る解説を閉じる
解説
情報管理体制は、法改正(個人情報保護法は3年ごと見直しが行われている)や事業内容・取扱い情報の変化、新たなサイバーリスク等に応じて継続的に見直し・改善(PDCA)を図る必要がある。一度情報管理規程を策定すればその後の法改正や事業内容の変化にかかわらず見直す必要は一切ないとする記述が誤り。情報の重要度に応じてアクセス権限を区分し、組織的・人的・物理的・技術的の各側面の安全管理措置を組み合わせることは適切な実務である(重要度に応じてアクセス権限を区分し各側面の安全管理措置を組み合わせるとする記述は適切)。従業員教育・研修や秘密保持誓約書の取得は漏えい抑止に有効である(教育・研修や秘密保持誓約書の取得が漏えい抑止に資するとする記述は適切)。取締役は会社の規模等に応じて情報漏えい防止を含むリスク管理体制(内部統制システム)を構築・運用すべき善管注意義務を負い得る(会社法362条4項6号等、取締役が内部統制システムを構築・運用すべき善管注意義務を負う場合があるとする記述は適切)。体制は継続的に運用・改善してこそ機能する。
一問一答
全400問を繰り返し学習