情報セキュリティマネジメント試験 令和7年度 公開問題(過去問) 問8 について解説します。
問題
問8 情報セキュリティ違反を犯した従業員に対する懲戒手続を規定した就業規則を含む社内規程の内容について、情報セキュリティ管理基準(平成28年)に基づき監査を実施した。監査人が、指摘事項として監査報告書に記載すべきものはどれか。
ア 従業員による情報セキュリティ違反の可能性を認識したら、直ちに懲戒手続きを開始することを定めていた。
イ 懲戒手続は、情報セキュリティ違反による業務への影響度、違反を犯した従業員に対する教育の実施状況などを考慮した段階別の対応を定めていた。
ウ 懲戒手続は、情報セキュリティ違反を犯した従業員に対する恣意性を排除した公平な取扱いを定めていた。
エ 懲戒手続を具体化した細則を策定すること、及び従業員に周知徹底することを定めていた。
解説・解答
情報セキュリティ管理基準が懲戒手続に求めること
一般に、情報セキュリティ管理基準では次のようなことが求められます。
1. 違反行為が確認された場合の懲戒手続を規定しておくこと
2. 違反の重大さや影響度に応じて段階的・公平に処分すること
3. 懲戒内容や手続を文書化し、従業員に周知しておくこと
逆に言うと、ただ怪しいというだけで処分に着手したり、手続が恣意的だったり、基準があいまいであるというのは不適切で、監査で指摘されます。
それぞれの選択肢について確認します。
ア: 従業員による情報セキュリティ違反の可能性を認識したら、直ちに懲戒手続きを開始することを定めていた。
懲戒というのは従業員の権利に強く影響する行為なので、事実関係の調査、弁明の機会付与、故意・過失の有無、影響度の確認などを踏まえたうえで行う必要があります。ところがこの規程では、違反の可能性を認識しただけで直ちに懲戒手続に入るとしています。まだ事実が確認されていない、勘違い・誤解の可能性があるのに処分に着手するのは、公平性・妥当性を欠く運用になり得ます。したがって、情報セキュリティ管理基準が求める「公平で妥当な懲戒」の考え方に反しており、監査で指摘すべき内容です。これが正解です。
イ: 懲戒手続は、情報セキュリティ違反による業務への影響度、違反を犯した従業員に対する教育の実施状況などを考慮した段階別の対応を定めていた。
違反の重大さ(業務への影響度)や当該従業員への教育の実施状況を踏まえて処分の重さを変えるのは、違反に応じた合理的・段階的な懲戒であり、基準の趣旨に合致しています。適切な規程であり、指摘事項にはなりません。
ウ: 懲戒手続は、情報セキュリティ違反を犯した従業員に対する恣意性を排除した公平な取扱いを定めていた。
個人的な感情や恣意的判断を排除し、ルールに基づき公平に処分することを定めています。これは基準が求める姿で、適切な規程なので指摘事項にはなりません。
エ: 懲戒手続を具体化した細則を策定すること、及び従業員に周知徹底することを定めていた。
手続を具体的な細則として文書化して従業員に周知徹底することは、ルールの明確化という観点から非常に望ましい運用です。適切な規程であり、指摘事項にはなりません。
以上により、この問題の解答は「ア」になります。
