目次 [ close ]
  1. 対象試験と出題頻度
  2. 用語の定義
  3. 解説
    1. 漏えいの原因は「技術的」と「人的」に大別できる
    2. 対策の3方向:技術・物理・人的
  4. 試験ではこう出る!
  5. 【確認テスト】理解度チェック
  6. よくある質問(FAQ)

対象試験と出題頻度

情報漏えいは、ITパスポート・情報セキュリティマネジメント・基本情報技術者・応用情報技術者のすべてで出題されるテーマです。

セキュリティ分野の中でも最も身近で実務に直結する概念であり、「漏えいの原因と分類」「漏えいを防ぐ具体的な対策」「機密性(Confidentiality)との関係」が繰り返し問われています。

 

令和6年度 ITパスポート 問91、令和2年度 応用情報 午後問1など、出題実績が複数あり、今後も出続けることが確実です。

詳細をクリックして確認
対象試験:
ITパスポート
情報セキュリティマネジメント
基本情報技術者
応用情報技術者
出題頻度:
★★★★★
ランクS(超重要)絶対に覚える必要あり

用語の定義

情報漏えいとは、一言で言うと

 「組織や個人が保有する機密情報・個人情報などが、許可なく外部に流出すること」

 

イメージとしては、「社外秘の書類をカフェに置き忘れてしまう」状況を思い浮かべてください。

 

📊 情報漏えいの基本情報

項目 内容
主な原因 不正アクセス、マルウェア感染、人的ミス(紛失・誤送信)、内部不正
参照元 IPA「情報漏えい対策のしおり」、JIS Q 27000:2019

解説

情報漏えいが重大視される背景には、デジタル化の進展で企業が扱う個人情報や技術情報の量と価値が急増したという事情があります。

 

漏えいの原因は「技術的」と「人的」に大別できる

技術的原因:外部からのサイバー攻撃(SQLインジェクションフィッシング、マルウェア感染など)によるもの。

人的原因 :PCやUSBメモリの紛失、メールの誤送信、従業員による持ち出しなど。

 

対策の3方向:技術・物理・人的

漏えいを防ぐ対策は3つの方向に整理可能。

 

技術的対策:暗号化やアクセス制御、ログ監視があります。

物理的対策:PC廃棄時のHDD物理破壊やサーバルームの入退室管理。

人的対策 :セキュリティ教育の実施や持出し規程の策定が該当します。

 

では、この用語が試験でどのように出題されるか見ていきましょう。

💡 情報漏えいの核心を3行で

・機密情報や個人情報が許可なく外部に出ることが情報漏えい
・原因は「サイバー攻撃」だけでなく「人的ミス・内部不正」も大きな割合を占める
・対策は技術面(暗号化)・物理面(HDD破壊)・人的面(教育)の3方向で押さえる

試験ではこう出る!

情報漏えいは、セキュリティ分野の基本知識として幅広い試験区分で出題される超頻出テーマです。

📊 過去問での出題実績

試験回 出題内容 問われたポイント
ITパスポート
R6 問91		 不要になったPCを廃棄する場合の情報漏えい対策として最も適切なものを選ぶ問題。 ・OS標準のファイル削除では不十分
・専用ソフトでの上書き消去や物理破壊が正解
SG
H31春 問22		 ノートPCの紛失・盗難時における情報漏えいリスクの低減策を選ぶ問題。 ・HDDの暗号化やパスワード設定が有効
・ウイルス対策ソフトは漏えい防止策としては不適切
応用情報
R2秋 午後問1		 内部不正による情報漏えい対策を題材としたケーススタディ。 ・アクセス権の最小権限の原則
・操作ログの取得と監視

📝 IPA試験での出題パターン

ITパスポートでは「PC・HDD廃棄時の対策」「データ保護の手段としての暗号化」が定番の出題です。

 

セキュリティマネジメントと応用情報では、組織内部の不正防止やインシデント発生後の対応手順まで踏み込んだ出題になります。

いずれの試験区分でも「漏えい=機密性の問題」であることを前提に解答する必要があります。

【確認テスト】理解度チェック

ここまでの内容を理解できたか、簡単なクイズで確認してみましょう。

Q. 顧客名簿の電子データからの情報漏えいを防ぐ方法として、最も適切なものはどれでしょうか?

  • A. データにデジタル署名を付与する
  • B. データのバックアップを頻繁に取得する
  • C. データを暗号化して保存する

正解と解説を見る

正解:C

解説:
暗号化は、データが第三者の手に渡っても内容を読めなくする対策であり、情報漏えい(機密性の喪失)を防ぐ手段として最も直接的です。

選択肢Aのデジタル署名は、データの「改ざん検知」と「送信者の本人確認」を行う技術です。完全性や真正性を守る対策であり、漏えい防止とは目的が異なります。選択肢Bのバックアップは、データの消失や破壊に備える対策で、可用性を守るためのものです。情報が外部に流出することを防ぐ効果はありません。

よくある質問(FAQ)

Q. 「情報漏えい」と「情報流出」は同じ意味ですか?

IPA試験では「情報漏えい」が正式な表記として使われます。「情報流出」はニュースなどで使われる一般的な表現であり、意味はほぼ同じですが、試験の解答では「漏えい」を使うのが安全です。なお、「漏洩」ではなく「漏えい」(「洩」が常用漢字外のため)とIPAは表記しています。

Q. 個人情報保護法との関係は試験で問われますか?

ITパスポートや情報セキュリティマネジメントでは、個人情報保護法の基本的な義務(利用目的の公表、安全管理措置など)と漏えい時の報告義務が問われることがあります。2022年施行の改正法で、漏えい発生時の個人情報保護委員会への報告と本人への通知が義務化された点は押さえておく価値があります。

Q. 漏えいが発生した後の対応手順は試験に出ますか?

応用情報やセキュリティマネジメントの科目Bでは、インシデント発生後の初動対応が問われます。IPAの「情報漏えい発生時の対応ポイント集」では、発見・報告→初動対応(拡大防止)→調査→通知・公表→再発防止の流れが示されています。デジタルフォレンジックス(証拠保全)との関連も出題実績があります。

Q. 情報漏えいと「不正アクセス禁止法」の関係は?

不正アクセス禁止法は、他人のIDやパスワードを無断使用してシステムに侵入する行為を禁止する法律です。不正アクセスの結果として情報漏えいが起きるケースは多いですが、法律の対象は「侵入行為そのもの」であり、漏えい全般をカバーする法律ではありません。試験では、不正アクセス禁止法と個人情報保護法を混同させるひっかけ選択肢が出ることがあります。