平成24年秋期試験午後問題 問12

問12 システム監査

⇱問題PDF⇱解答用紙PDF
個人情報保護監査に関する次の記述を読んで,設問1~3に答えよ。

 家具・日用品を販売しているE社は,以前から行っていた通信販売事業を拡大するために,2年前にインターネット通信販売を開始し,その担当部門を,ネット事業部として,通信販売事業部から独立させた。同時に,インターネット通信販売用にネット通販システムを構築した。
 E社では,以前から個人情報保護の推進に取り組んでいる。JIS Q 15001に準拠した個人情報保護規程(以下,規程という)を策定しており,1年後を目標に,プライバシーマークの取得の準備を進めている。 E社は,規程に基づいて,年に一度,個人情報保護に関する内部監査を行っており,今年は安全管理措置の実施状況を中心に監査を行う予定である。ネット事業部の監査については,内部監査部のF君が監査主任を担当することになった。

〔ネット事業部の業務内容〕
 ネット事業部では10名の社員が,会員管理とマーケティングの担当に分かれて,それぞれの業務を行っている。
  • 会員管理業務
    個人情報に関する問合せや訂正・削除の依頼などに応じて会員情報を管理する業務と,定型的な商品広告メールを定期的に送付するなどの会員サービス業務を行っている。
  • マーケティング業務
    売れ筋商品の受注状況を分析し,キャンペーンなどの企画に反映させる業務を行っている。また,その分析結果を用いて,商品のアピール方法にきめ細かい工夫をしたメールマガジンの発行を試行している。
〔ネット通販システムの概要〕
 ネット通販システムの概要は,次のとおりである。
  • 会員管理
    氏名,住所,電話番号,メールアドレスなどを保有する会員データベース(以下,会員DBという)に対する,会員自身によるインターネット経由での入会・退会・照会・更新の機能,及び,E社社内の端末からの照会・更新・削除の機能をもつ。
     E社では,会員の個人情報の利用目的を,商品の送付と,受注・送付の連絡に限定する旨,個人情報保護方針で公表している。商品広告メールの送付は,①商品情報を提供するメールの送付に同意した会員に限定している。
  • 受注処理
    会員が注文を入力すると,ショッピングカートの注文内容を受注管理データベース(以下,受注管理DBという)に格納するとともに,会員DBを参照し,商品の送付先,支払方法などを確定する。受注データを後続の処理へ引き渡すとともに,受注が確定した旨のメールを注文した会員宛てに送付する。
  • マーケティング用ファイル作成
    受注管理DBと会員DBから,マーケティング業務で使用する受注分析ファイルとメールマガジン送付用ファイルを作成する。
     受注分析ファイルは,注文ごとの商品情報と,注文した会員が登録した年齢層,性別,家族構成などの会員属性をもつ。会員個人が特定されないように,会員番号などはもたせていない。会員属性は商品の購買傾向との関連性の分析に使用される。
     メールマガジン送付用ファイルは,商品情報を提供するメールの送付に同意した会員のデータだけを含むファイルで,会員の氏名,メールアドレス,及び会員属性をもっている。また,メールマガジン送付用ファイルは個人情報の管理対象データに指定されており,マーケティング担当者全員のユーザIDにアクセス権が付与されている。

〔監査の実施〕
 F君は,ネット事業部の安全管理措置の実施状況を確かめるために,視察とヒアリングを開始した。
 F君は,視察の際,別の部屋での会議に出席していたマーケティング担当のGさんのPCが,会員の氏名とメールアドレスの一覧が画面に表示されたままになっていて,データの複写や印刷ができる状態になっていることを発見した。Gさんにヒアリングしたところ,スクリーンセーバはネット事業部の情報セキュリティマニュアルどおり,5分以内に起動する設定にしてあるので問題ないと思う,とのことであった。
 規程では,PCで個人情報を取り扱っている途中で離席する場合は,必ず,パスワードで保護された"コンピュータのロック"の状態にすることになっている。
 F君は,GさんのPCの状況は,Gさん以外の人による不正な操作や,画面に表示された情報をのぞき見する行為などによって,個人情報が漏えいするリスクにつながると考え,今回の状況を②指摘事項にすべきと判断した
 次に,F君は,メールマガジン送付用ファイルのアクセス権リストを管理者から入手した。アクセス権が付与されたユーザIDと,マーケティング担当者の名簿を突き合わせたところ,1か月前にネット事業部から営業部へ転出し,個人情報を取り扱わなくなった社員のユーザIDにアクセス権が付与されたままになっていることが判明した。管理者にヒアリングした結果,ネット事業部の情報セキュリティマニュアルには,転出者の不要なアクセス権を削除せよと記されているので,半年ごとにまとめて実施しており,来月末に削除する予定である,とのことであった。

〔改善勧告〕
 F君は,監査報告書に,転出した社員に対する,メールマガジン送付用ファイルのアクセス権管理の不備を指摘事項として挙げた。そして,ネット事業部の情報セキュリティマニュアルの,社員が転出する際の手続に③明記すべき具体的な記述の追加,及び,④その追加した記述どおりに実行されなかった場合に,それを検出できる対策の実施を,安全管理措置に関する改善勧告として挙げた。

設問1

〔ネット通販システムの概要〕において,E社が商品広告メールの送付先を,本文中の下線①に限定する理由は何か。個人情報保護法に基づいて,30字以内で述べよ。

解答例・解答の要点

個人情報の目的外利用には,本人の同意が必要だから (24文字)

解説

個人情報保護法では、「個人情報取扱事業者は、あらかじめ本人の同意を得ないで、前条の規定により特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはならない。」とし、個人情報を利用目的の範囲を超えて取り扱うことを原則禁止しています(個人情報保護法16条1項)。また、利用目的はあらかじめ公表しておくか、個人情報を取得する際に本人に通知する必要があります(個人情報保護法18条1項)。

E社では、広く公表している個人情報保護方針内で「会員の個人情報の利用目的を,商品の送付と,受注・送付の連絡に限定」しています。下線①の「商品広告メールの送付」については公表している利用目的の範囲外であるため、同意を得ずに行うと個人情報の目的外利用となり、個人情報保護委員会からの勧告または是正措置の対象となります。よって、商品広告メールの送付を行う際には、個人情報保護法に基づき、会員ごとに事前に同意を得る必要があります。

∴個人情報の目的外利用には,本人の同意が必要だから

なお、「個人情報の本来の目的外利用に、本人の同意が必要になる」という論点は、過去の午前試験でも頻出しているので確実に押さえておきましょう。

設問2

〔監査の実施〕において,本文中の下線②の判断をする前に,F君が追加して実施すべきであった監査手続は何か。35字以内で述べよ。

解答例・解答の要点

他のマーケティング担当者に,規程の遵守状況をヒアリングする (29文字)

解説

下線②を含む一文では、F君の監査手続について以下のように記載されています。

「F君は,GさんのPCの状況は,Gさん以外の人による不正な操作や,画面に表示された情報をのぞき見する行為などによって,個人情報が漏えいするリスクにつながると考え,今回の状況を②指摘事項にすべきと判断した。」

システム監査の本調査では、監査結論を裏付けるために、量的十分性を備えた客観的かつ確証的な証拠を入手しなければなりません。ヒアリング(インタビュー法)においては1人だけでなく、上長など複数人の関係者に問い合わせ実態を把握するよう努める必要があります。

今回のケースでは、ヒアリングの対象はGさんに限定されており、規程違反の原因がGさん本人によるものなのか、利用部門全体の習慣によるものなのかが判断できません。この状態では、指摘事項とするのに裏付けとなる証拠が揃っているとは到底言えず、監査報告書の内容が論理の飛躍となってしまうことが懸念されます。よって、十分な監査証拠を得るために追加の監査手続を実施する必要があります。よって、Gさんと同じマーケティング担当者に規程の遵守状況をヒアリングする必要があります。

∴他のマーケティング担当者に,規程の遵守状況をヒアリングする

設問3

〔改善勧告〕について,(1),(2)に答えよ。
  • 本文中の下線③の記述とはどのような内容か。30字以内で述べよ。
  • 本文中の下線④の対策とは具体的にどのような内容か。30字以内で述べよ。

解答例・解答の要点

  • 転出者のアクセス権を,不要になった時点で削除する (24文字)
  • アクセス権が付与されたユーザIDの定期的な点検 (23文字)

解説

  • ネット事業部の社員の転出については〔監査の実施〕に、「1か月前にネット事業部から営業部へ転出し,個人情報を取り扱わなくなった社員のユーザIDにアクセス権が付与されたままになっていることが判明した。」と記述されています。メールマガジン送付用ファイルは、マーケティング担当者のみにアクセス権限が付与されるので、営業部の社員にアクセス権が付与されたままになっているのは「最小権限の原則」の観点から問題です。個人情報の漏えいを防ぐには、個人情報へアクセスできる人数を可能な限り少なくする必要があるからです。

    情報セキュリティマニュアルには「転出者の不要なアクセス権を削除せよ」とありますが、削除する時期までは明記されておらず、このために半年ごとにまとめて削除する運用になってしまっています。適切なアクセス権管理を行うには、ネット事業部から社員が転出するのに合わせてメールマガジン送付用ファイルへのアクセス権限を削除しなければなりません。これが、情報セキュリティマニュアルに追記すべき手順です。

    ∴転出者のアクセス権を,不要になった時点で削除する

  • (1)の削除手続きが行われなかった場合に、それを検知できる補完的コントロールを解答することになります。

    今回の不適切なアクセス権管理は、F君がアクセス権リストとマーケティング担当者の名簿を突き合わせることにより判明したものです。よって、この手続きを定期的に実施することにより、削除手続きが実行されなった場合でも、アクセス権が付与されたままになっているユーザIDを検出可能であると判断できます。解答としては「アクセス権リストとマーケティング担当者名簿の定期的な突合せ(29文字)」が最も適切だと思いますが、字数がギリギリなので模範解答では「アクセス権が付与されたユーザIDの定期的な点検」としています。アクセス権の付与状況を定期的にチェックするという旨であればOKでしょう。

    ∴アクセス権が付与されたユーザIDの定期的な点検

Pagetop