情報セキュリティ自己点検に関する次の記述を読んで，設問1～4に答えよ。

　R社は従業員数600名の投資コンサルティング会社である。R社では顧客の個人情報(以下，顧客情報という)を取り扱っていることから，情報セキュリティの維持に注力している。
　R社ネットワークではURLフィルタリングを導入しており，フリーメールサービスを提供するWebサイトやソフトウェアのダウンロードサイトへのアクセスを禁止している。また，従業員にノートPC又はデスクトップPCのどちらかを貸与しており，それらのPC(以下，貸与PCという)ではUSBメモリを使用できないようにしている。貸与PCのうち，ノートPCだけが，リモート接続サービスによる社内ネットワークへの接続を許可されている。
　海外営業部の部員は10人で，顧客は500人弱である。各部員は，担当顧客に，電子メールや電話を使って営業を行っている。海外営業部は他の営業部のオフィスとは離れた海外営業部専用のオフィスで業務を行っている。海外営業部で使用している顧客管理システム(以下，Cシステムという)は，海外営業部だけが使用している。Cシステムでは，アクセスログを3か月分保存している。海外営業部の部員は，出張がなく，全員がデスクトップPCだけを使っている。
　海外営業部では，情報システム部が運用管理を行っているファイルサーバを使用しており，各部員は顧客情報を含むファイルを当該ファイルサーバに一時的に保存する場合がある。その場合は，ファイルのアクセス権を各部員が最小権限の原則に基づいて設定することになっている。R社では，顧客情報を保護するために，次の2点を各担当者が定期的に確認することとなっている。

• ファイルサーバに不要な顧客情報を保存していないか。
• ファイルのアクセス権は適切に設定されているか。

　R社では，情報セキュリティ推進部が実施する情報セキュリティ教育があり，海外営業部では，新たに配属された部員だけが受講することになっている。教育終了後には試験があるが，1回では合格できず，再度教育と試験を受ける部員が時々いる。この教育資料は，世の中で新たなセキュリティ脅威が発見される都度，情報セキュリティ推進部で更新している。

〔海外営業部の簡易チェック〕
　海外営業部のW氏は2か月前に情報セキュリティリーダーに任命された。
　海外営業部では，自部門の情報セキュリティを確保するために，独自の取組みとして，四半期に1回，海外営業部で作成した情報セキュリティ簡易チェックリスト(表1)を全部員に配布し，記入(以下，簡易チェックという)させている。表1のチェックリストは，5年前に作成されたものである。　W氏が全部員にこのチェックリストを記入してもらったところ，全部員が全てのチェック項目にOKを記入して報告してきた。W氏は，念のため，数人に実施状況を確認したが，いずれも確かに報告のとおりであった。チェックリストは作成から5年も経過しており，情報セキュリティ事故のニュースを最近よく目にするようになったことから，W氏は，表2のチェック項目の追加を部長に提案した。　表2を見た部長は，①"部員がOKと記入してきたとしても，その結果が正しいか客観的に判断できないチェック項目がある"として，W氏に再検討するよう指示した。W氏は，次回の簡易チェックに向けて，チェック項目を見直すことにした。

〔監査部による情報セキュリティ監査〕
　R社監査部は，1年に1回，CSA(Control Self Assessment:統制自己評価)方式による情報セキュリティ監査を実施している。CSAとは，監査部が被監査部門を直接評価するのではなく，被監査部門が，自部門の活動を評価することを指す。R社監査部では，被監査部門にCSAの実施を依頼し，その結果を活用して監査を実施している。
　R社では，5年前，監査の方式を決定するに当たり，②監査部が各部門を直接監査する方式とCSA方式の利点，欠点を比較評価した。その結果，R社にとってはCSA方式の方がメリットが大きいと判断し，CSA方式を採用した。
　R社の監査実施の手順を図1に示す。〔CSAの実施〕
　海外営業部にも監査部からCSAを実施するよう依頼があり，W氏が海外営業部の評価を行うことになった。W氏は，監査部から送付されてきたCSAシートに従って，職場の状況を観察したり，部員にヒアリングしたりして評価を行った。評価結果を表3に示す。CSAシートの評価結果は次のルールに従って記入する。

• 評価項目どおりに実施している場合:"OK"
• 評価項目どおりには実施していないが，代替コントロールによって，"OK"の場合と同程度にリスクが低減されていると考える場合:"(OK)"(代替コントロールを具体的に評価根拠欄に記入する。)
• 評価項目どおりには実施しておらず，かつ，代替コントロールによって評価項目に関するリスクが抑えられているわけではないと考える場合:"NG"
• 評価項目に関するリスクがそもそも存在しない場合:"NA"

　W氏が，CSA結果を監査部に提出したところ，監査部から電話があり，評価結果について質問を受けた。
　最初の質問は，表3のNo.26の評価根拠欄についてであった。W氏は，記載内容が事実であることを説明したところ，それであれば監査部としての評価結果も"(OK)"にすると言われた。
　次の質問は，No.29の証跡として提出した利用者ID棚卸記録に，棚卸の際に不要と判断された利用者IDが5個あることについてであった。W氏が部内で事実を確認すると，いずれも棚卸の1か月以上前から，部員の退職又は異動で不要になっていた。これについてはW氏も改善が必要であると考え，③改善計画を策定して監査部に提出したところ，適切であるとの連絡があった。

〔新たな指摘についての改善計画〕
　CSAの評価結果及びその後の事実確認に基づき，監査部から新たな指摘を受けた。それは，"Cシステムにおいて，利用者は自分の担当外の顧客情報に対してもアクセスが可能であり，最小権限の原則が守られておらず，社外への顧客情報の漏えいを防止できるようになっていない"というものであった。そこで，部長とW氏は改善計画について検討を行った。次は部長とW氏の会話である。

部長:

新たな指摘に対応するために，e1が必要だね。

W氏:

はい，そのために全部員に担当顧客を確認しますので，2週間ほど時間を下さい。

部長:

:分かった。その間のリスクを低減するために，e2を実施しておくというのはどうだろう。

W氏:

はい，分かりました。他にも，万が一顧客情報の漏えいが発生してしまったときのことを考えると，e3も有効だと思います。

部長:

それも実施しよう。他に，前から気になっていたのだが，部員が顧客情報を不適切に変更しないように，顧客情報の追加・修正・削除の権限についても考える必要があるね。

W氏:

f1はどうでしょう。

部長:

それでは業務が回らなくなるのではないかな。f2が，効率が良いのではないだろうか。

W氏:

そうですね。しかし，ベンダに開発をお願いするので，半年は掛かります。対策が有効になるまで，負担は増えますが，f3を行うのはどうでしょうか。

部長:

そうだな，ちょっと大変だが実施しよう。今までの話をまとめて監査部に報告しておいてくれ。

W氏:

分かりました。

　W氏が改善計画を監査部に提出したところ，監査部から，"内容に問題がないので，計画に基づいて改善を実施するように"と連絡がきた。
　その後，W氏が再検討した簡易チェックリストは部長に承認され，使われることになった。また，情報セキュリティ監査結果に基づく改善も計画どおりに完了し，海外営業部の情報セキュリティレベルは大きく改善された。