システム監査　R4午後１自分用メモ

URL　システム監査委

・出典：令和４年度 秋期 システム監査技術者試験 過去問題・解答例
（一部改変）
設問 解答例・解答の要点 備考

問１：個人情報保護の監査

●設問１：[本調査の結果]　
設問１〔本調査の結果〕(①)について答えよ。

(ｉ)当該指摘（消去した短期保存データのリストを他の監査証拠と突合したところ,一部のバックセヤードシステムで短期保存データが適時に消去されていなかったこと）を行うに当たり,消去した短期保存データのリストと同時にシステム監査チームが入手したと考えられる監査証拠を,35字以内で答えよ。
↓
解答：全短期保存データのリストから保存期限を過ぎたものを抽出したリスト

(ｉｉ)表①中の[a]に入れる適切な字句を,⑳字以内で答えよ。
（改正法による影響：取得後6か月後以内に消去する短期保存データも保有個人データとみなされ、会員への開示データに含める必要があること
システム対応の内容：
[バ]：取得後6か月以内でもを消去する機能の追加
[開]：短期保存データを開示データとして構成する機能の追加
（[バ]：バックヤードシステム、[開]：開示請求対応システム、
[シ]：ショッピングサイト）

↓
解答：保存期限を迎えた短期保存データ

---

●設問２：【本調査の結果)
(２)（A社が収集している個人関連情報には,位置情報を含むものがある。それぞれでは特定の個人を識別できないが,蓄積された一連の位置情報に含まれる共通の内容が特定の個人の特徴を示すケースが見られ,氏名と結び付けずに特定の個人を識別できる可能性がある。）
について,システム監査チームは,どのような事項を確認して,特定の個人を譚別できる可能性があると考えたか。
システム監査チームが確認対象とした監査証拠を１５字以内で,確認事項を２０字以内で答えよ。

↓
解答：
監査証拠：蓄積された一連の位置情報
確認事項：同じ位置情報が複数存在すること

---

●設問３：[本調査の結果〕
(３)（バックヤードシステム内の,業務委託先とデータ送受信を行うシステムについては,ログ管理システムによってアクセスログ及び操作ログが取得され,一定期間保存されている。しかし,ログ管理システムがもつ,イベントの監視機能,異常検知時のアラート機能,ログの分析機能,分析結果のレポート機能などのう,ー部の機能の設定が適切に行われておらず,個人情報漏えいの兆候及び発生をすぐに発見できない状態であった。）
について,システム監査チームが考えた,当該状況を改善するために,ログ管理システムでの対応が必要な機能を２つ答えよ。

↓
解答：
・監視機能
・アラート機能

---

●設問４〔本調査の結果〕
（４）（開示請求対応システムで構成された開示データについては,請求した会員がダウンロードできるように,ショッピングサイト内の同会員専用ページにダウンロードページへのリンクが表示される。しかし,ダウンロードページでアドレスを書き換えることで上位ディレクトリにもアクセスできる状態であった。
また,ダウンロードが正常に終了すると,その記録が保存されるが,ダウンロードページには有効朝限の表示がなく,開示データにも消去期限が設定されていなかった。このため,開示済みの開示データが消去されないままの狂態であった。）

について答えよ。
(i)ダウンロードページ経由で上位ディレクトリにアクセスできることにつ
いて,システム監査チームが想定したリスクを,④⑤字以内で答えよ。

↓
解答：上位及びその下位ディレクトリに保存されている情報が窃取され，漏えいするリスク

(ｉｉ)システム監査チームが考えた,開示済みである開示データの最も適切な消去のタイミングを,④⑤字以内で答えよ。

↓
解答：会員による開示データのダウンロードが正常に終了した記録が保存されたタイミング

---

---

問２：ワークフローに関わるシステムの監査

●設問１：〔本調査の実施】
(１）（(1)田請書等をペーパーレス化しても,業務を抜本的に見直していない可腐性がある。その狂況を確かめるために,表①の項番③と項番④の申請書等について,担当部署での検討資料を関覧して,検討のために実施した事項を確認した。）
について,監査チームが両方の申請書等の検討資料について共通して確認した事項を,④0字以内で具体的に答えよ。

↓
解答：紙の申請書等が必要な事務処理の廃止と，記載項目の簡素化を検討したかどうか

---

●設問２：【〔本調査の実施〕
（２）（(②)業務の見直しが各部署の観点で行われており,部署を横断した見直しが行われていない可能性がある。その状況を確かめるために,表①の項畳⑤と項番⑥の申請書等の担当部睨が検討のために他部署に依頼した事項を確認した。）ついて,監査チームが
表①の項番５と項番６の申請書等の担当部景に確認した事項を,
それぞれ②⑤字以内で具体的に答えよ

↓
解答：
項番5；規則管掌部署に押印不要とする改訂を依頼したか
項番6：法務部に電子署名の利用の検討を依頼したか

---

●設問３：
〔本調査の実施〕(３）（(③)表①の項番⑦の申請書等について,タスクフォースの見直し方針に沿った対応となっているかどうかを担当部署に確認した。）について,監査チームが行った騙査手続を,40字以内で答えよ。

↓
解答：担当部署にヒアリングして，押印や署名を不要とする目標時期の設定を確認した。

---

●設問４：〔本調査の実施〕
(４）（表１の項番⑧の申請書等について,事務局からはグループウェアではなくワークフローシステムを使ってペーパーレス化を行うように求めようとしている。しかし,グループウェアでのワークフロー作成を一律に見送った場合には業務効率の観点から支障が生じる可能性があるので,担当部署に検討状況を確認した。）について,監査チームが業務効率の観点から生じる可腐性があると考えた支障の内容を、４0字以内で答えよ。

↓
解答：グループウェアの各機能と連携したワークフローの簡易な作成が難しくなる。

---

●設問５〔本調査の実施〕
(５）（(⑤)ペーパーレス化を行う効果として,単にオフィスへの出社を不要にしたり,事務の手間を削港したりするだけでなく,経営者の指示を踏まえて,業務の効率を更に向上する取組を可能にすることも考えられる。そのような取組を行う予定があるかどうかについて,次年度の活動計画案を閲覧して確認した。）
ついて,監査チームが確認した取組の内容を,40字以内で答えよ。

↓
解答：ワークフローシステムのログを分析して，業務プロセスのボトルネックを解消する。

---

---

問３：システム運用業務の監査

●設問１：表１項番１（

・監査項目：運用管理規定の変更時における運用作業の品質確保
・リスク：運用手順異の作成の経緯を熟知している要員がいない状況で,作成された背景や理由を十分理解しないまま誤った運用作業を実施してしまう。
・監査手続：再委託先要員への敗育記録を査関し,運用管理規程が変更された都度,全ての再如託先要口に対して運用管理規程の研修を実施していることを確認する。）

について,監査部長の指摘を踏まえ,監査チームが追加の監査手続として確認すべき内容を,④0字以内で答えよ。

↓
解答：運用管理規程の変更があったときに運用手順書を見直すルールになっていること

---

●設問２：表１項番２
（
・監査項目：障害対応時における運用管理規定の順守状況
・リスク：[ａ]
・監査手続：再委託先要員にインタビューし、夜間に発生した障害の対応時に、D社運用管理部の責任者の承認のもとに実施されていることを確認する。）
について筑えよ。
(ｉ)監査チームが想定した,表１中の［a］に入れかるリスクを,④0宇以内で答えよ。
↓
解答：[a] 承認されていない作業を実施することによって二次障害を引き起こすおれがある。

(ｉｉ)〔監査手続書の作成〕(２）①を踏まえ,障害管理データを分析,調査するに当たって監査チームが抽出するきデータを10宇以内で筑えよ。また,抽田したデータを使用して確認すべき内容を30字以内で答えよ。

↓
解答：
抽出すべきデータ：夜間に発生した障害

確認すべき内容：作業の実施内容がC社の保守担当者に承認されていること

---

●設問３〔監査手統書の作成〕（２）（障害管理）②（表1項番３

（・監査項目：再発防止策の横展開の状況
・リスク：障害対応が現場レベルでの対応にとどまり、C社の責任において組織的に実施されず、同様の障害が再発する。
・監査手続：D社運用管理部のデータベース管理者ににインタビューし、全システムに再発防止策の横展開が実施されていることを確認する。）

について、経営課題を踏まえシステムの運用状況を確かめるには、D社運用管理部のデータベース管理者だけでなく、障害管理の責任部門であるC社システム管理課にもインタビューすること。）

について,監査部長がシステム管理課にもインタビューする必要があると指摘した理由を、４0字以内で答えよ。

↓
解答：障害対応がC社の責任において実施されていることを確認する必要があるから

---

●設問４：表１項番④
（・監査項目：障害の予防対策の状況
・リスク：再発防止策がその場限りの対応にとどまり、将来の障害に備えた対策が実施できない。
・監査手続：障害DBを査問し、将来の障害に備えた再発防止策が記載されていることを確認する。）

について,〔監査手続書の作成〕(②⑧を踏まえ,監査チームが確認すべき内容を,④0字以内で具体的に答えよ。

↓
解答：データ量の増加を検知するための仕組み及び実施可能な対策が記載されていること

＃＃＃

出典

R5
https://www.ipa.go.jp/shiken/mondai-kaiotu/2023r05.html#aki_au

R4
https://www.ipa.go.jp/shiken/mondai-kaiotu/2022r04.html#aki_au

R3
https://www.ipa.go.jp/shiken/mondai-kaiotu/2021r03.html#aki_au

R2
https://www.ipa.go.jp/shiken/mondai-kaiotu/2020r02.html#aki_au

R1
https://www.ipa.go.jp/shiken/mondai-kaiotu/2019h31.html#haru_au

H30
https://www.ipa.go.jp/shiken/mondai-kaiotu/2018h30.html#haru_au

H29
https://www.ipa.go.jp/shiken/mondai-kaiotu/2017h29.html#haru_au
H28
https://www.ipa.go.jp/shiken/mondai-kaiotu/2016h28.html#haru_au
H27
https://www.ipa.go.jp/shiken/mondai-kaiotu/2015h27.html#haru_au
H26
https://www.ipa.go.jp/shiken/mondai-kaiotu/2014h26.html#haru_au

＃＃＃＃＃＃＃＃

IPA過去問題の利用について
リンク

https://www.ipa.go.jp/shiken/faq.html#seido

抜粋）
当機構で公表している過去の試験問題の使用に関し、許諾や使用料は必要ありません。（ダウンロードでのご利用も特に問題ございません。）
ただし、以下の留意点を必ず確認の上、ご使用ください。

留意点

• 著作権は放棄していません。

• 教育目的など、情報処理技術者試験制度、情報処理安全確保支援士制度の意義に反しない限り、公表されている過去問題を問題集やテキストに使用される際、許諾および使用料の必要はありません。

• 出典を以下のように明記してください。（年度、期、試験区分、時間区分、問番号等）
  [例]「出典：平成31年度 春期 基本情報技術者試験 午前 問1」
  また、問題の一部を改変している場合、その旨も明記してください。

• 公表しているPDF以外の電子データの提供はできません。
  （PDFセキュリティの解除方法は提供できません。）