設問し、②について、業務遂行能力の観点から、1200～1600の間で記述しなさい。次の8つの用語「情報セキュリティ」「個人情報」「守義務」「データ保護」「コンプライアンス」「管理体制」「アクセス制街」及び「サイバーセキュリティ」の中から4つ以上を用いて記述しなさい。記述文中で用いた用語は「」で囲んで記述すること。
用語は①、②の全体を通して（「①のみ」「②のみ」「①
②併せて」のいずれも可）、4つ以上を用
いていればよい。
①建設コンサルタント業務における情報管理の現状と課題
②建設コンサルタント業務における情報管理の課題への対応

建設コンサルタント業務における情報管理の現状と課題

　我々建設コンサルタントは業務の遂行に当たって、通常知り得ない情報を取り扱うことがある。特に国や地方公共団体発注の業務は機密性の高いものも含み、その取り扱い・保管には大きな責任が伴う。
　このため、建設コンサルタントおよび建設コンサルタント業従事者はその責任を十分に認識することが重要となる。既に「守秘義務」や「コンプライアンス」の徹底等に取り組んでいるところであるが、依然次のような課題が残る。

　①中小企業を対象としたサイバー攻撃の懸念。近年IT技術の発展に伴い、匿名性の高いウェブサイトやAIツールを利用したサイバー攻撃が増加傾向にあり、比較的容易にサイバー攻撃を受けうる環境となっている。
　スキルを有しない未成年がAIツールを利用してコンピュータウイルスを作成したニュースは記憶に新しい。このような状況下で、サイバー攻撃対象が政府や大企業から中小企業にまで拡大されており、全ての建設コンサルタントが早期に「サイバーセキュリティ」に取り組むことが課題となっている。

　②攻撃を受けた際の被害の大きさ。前述の通り建設コンサルタントが有する情報は重要性が高いものが多く、重要インフラに関する情報や防衛関連情報、「個人情報」等が流出した際の被害は計り知れない。
　サイバーセキュリティ戦略本部（内閣府）は“多大な影響を及ぼしかねないサービスは緊密な官民連携を持って重点的に防御していく必要がある”旨を公表している。
　即ち、官民連携のために各組織がサイバー攻撃を受けない、サイバー攻撃を受けた場合に被害を最小限とする具体的対策を確立させることが課題となっている。

　③個々の対応の限界。ITの普及はサイバー攻撃の多様化、高度化を引き起こしており、その動向は刻々と変化している。
　このため、サイバー攻撃を受ける側も常に高いセキュリティレベルを維持することが必要となるが、一企業や個人が単独で取り組むには明らかに限界がある。変化し続けるサイバー攻撃への有効な対策をいかに維持するかが課題となっている。

建設コンサルタント業務における情報管理の課題への対応

　建設コンサルタント業務における情報管理の課題への対応は、次の通りである。

　①対策の必要性の認識：具体的な対応体制樹立の前に、セキュリティ対策の必要性を十分に認識することが効果的となる。
　「情報セキュリティ」対策を怠ることで生じうる被害は、“顧客等による損害賠償請求や不正送金による、金銭の喪失”、“社会的信用の喪失による、顧客の喪失”、“情報システムへの攻撃やランサムウェアによる、操業の停止”、“情報流出等を生じるような職場環境を原因とする、モラル低下等従業員への悪影響”が挙げられる。
　これらはいずれも組織の運営に重大なダメージを与えることを認識し、具体的対応策に取り組むことが効果的となる。

　②組織ごとの具体的対応体制の樹立：官民連携の前提として、各組織が可能な限り強力な対応体制を樹立することが重要となる。
　先ず、内部・外部環境を把握し、必要なセキュリティレベルを設定する。次に、経営層を中心にセキュリティ対策の方針を決定するとともに、対策の役割・責任・権限を明確にする。その後、リスク特定（自組織に対するリスクを特定する）、リスク分析（特定したリスクの大きさを設定する）、リスク抽出（許容できない大きさのリスクを抽出する）を通じて、抽出したリスクに見合う人材・資源・教育を用意する。ここまでを計画（Plan）および実行（Do）に位置付け、PCDAサイクルにより改善・レベルアップを図る。

　③情報共有体制の強化。企業が高レベルの情報セキュリティを維持するためには、官民・分野横断的な情報共有が有効な手段となる。
　官民・分野にとらわれない情報共有により、サイバー攻撃の情報（手段や経路等）を広く取得し続け、政府等に集約する。これを政府等の対策専門組織がとりまとめ対策を立案し、各組織・企業にフィードバックすることで、高レベルな対策を全面的に展開することが可能となる。
　災害やテロ等発生時にサイバー攻撃を受ける可能性もあることから、緊急時における対策専門組織とのホットライン構築もまた重要となる。