PwC有限責任監査法人

三次面接

基本情報

質問内容・回答

①周囲に潜むリスクについて順位付けと対策をプレゼンをしてください（事前に文章提出あり）

パワポを作って説明した。

以下プレゼンで扱った内容

「コンビニ交付システム」

これは、マイナンバーカードを利用しコンビニのマルチコピー機から証明書発行を可能にしたシステム。

●発生しうるリスク

①     システム自体から生じるリスク：本システムは様々なシステムが連動していることから、1つのシステム障害が他のシステムに波及し連鎖的にシステムが停止するリスクがある。実際、データセンタ内の証明書発行サーバーに不具合があり、他人の証明書が誤発行されるインシデントが発生している。

②     外部要因（災害等）によるリスク：災害等により、システムダウンによるサービスの一時停止が考えられる。事前のバックアップやBCPの策定等による早期復旧対策を事前に施す必要がある。これらは現時点で取り組んでいる自治体が多い。

③     人為的要因によるリスク：本システムは、人口の約7割の個人情報を取り扱うものであり、非常に資産価値の高い情報を有するシステムである。しかし、人為的要因によりシステムが停止したり、個人情報が漏洩したりする恐れがある。

実際、このシステムではないのですが、マイナンバーカードと一体化した健康保険証に、別人の情報を紐づけられるインシデントが発生しました。原因は人為的な入力ミスとされている。 上記の中から事象の発生確率×事象の（影響力）のリスクマトリクスにより、最も高水準となったものを重要度の高いリスクとして選定した。結果として、人為的要因、特にサイバー攻撃による個人情報の漏洩を挙げる。

サイバー攻撃は年々増加傾向にあり、2024年において１組織あたりが受ける平均攻撃数は1636件/1週間とのデータがある。加えて、人口約7割に影響を及ぼす個人情報の漏洩は本システムの信用を失墜させるものであり、システムの停止や会社全体の信頼性のみならず、個人にも甚大な被害が及ぶ。

対策として以下を挙げる。

〇短期的スパンの対策として以下3点を挙げます。

・強固なセキュリティシステムの設計、搭載

・サイバー保険への加入によるリスク移転

・サイバー攻撃を受けた後の確実な原因究明により対策につなげる

〇長期的スパンの対策としては

・セキュリティの脆弱性がないか定期的にテストする。（ペネトレーションテスト）

・定期的なアップデート

・情報リテラシー教育（自治体やシステム提供会社社員に施す）

・漏洩後の対策や連携を事前にチェックし訓練する。そうすることで被害を最小限に抑えられる可能性が高まります。

【深堀質問】

これですべてのリスクを網羅できていますか？

【深堀質問への回答】

わかりませんが、外部要因と内部要因に分けて類型化した結果、これが私自身の考えうるすべてでした。

②志望理由

2つあります。1つ目は、私自身の将来のビジョンとの親和性の高さです。現在社会や企業の課題解決にダイレクトに携われる仕事に就きたいと考えており、特にサイバーセキュリティに関する取り組みについて関心が高いです。貴社はサイバーセキュリティに関する分野のトップレベルの取り組みをされているため、将来のビジョンと合致していると考えました。二つ目は、「人」です。グループディスカッションの際に実力が発揮できるよう緊張をほぐす雰囲気づくりをしてくださったり、インターンの際、自分自身がはたらくにあたって文系出身であるという点から生じる不安等に対して質問に細やかにこたえてくださりました。人を大切に思い、寄り添う風土があると感じました。。一方で、インターンシップでは鋭いご指摘も頂き、大変勉強になりました。自分自身を高められる環境でもあると考え、入社したいという想いが強まりました。

③どのようなキャリアプランを考えているか

会社の重要な柱となれるような人材になるとともに、クライアントからも、「あなたにお願いしたい」と思ってもらえるような存在になりたい。そのためにも、様々なライフステージはありながらも着実にキャリア、ポジションを積み重ねていきたい。ゆくゆくは●●さんのようにさらに広い裁量と、会社の重大な責任を背負いながら仕事がしたいです。

面接詳細情報