問題
問22
外部委託先の情報セキュリティ対策状況を確認するために監査を実施した。監査人が指摘事項として監査報告書に記載すべきものはどれか。
- 委託先が、A社から預託された個人情報を、A社の許可なく再委託先の従業員に扱わせている。
- 委託先が、A社との契約に基づき、定期的に従業員への情報セキュリティ教育を実施している。
- 委託先が、A社の定めるセキュリティ基準に従って、サーバへのアクセスログを保管している。
- 委託先が、A社との間で秘密保持契約(NDA)を締結し、それを遵守している。
正解
正解は「ア」です。
解説
正解は「ア」です。監査における指摘事項とは、ルールや契約、基準から逸脱している問題点を指します。選択肢アの「A社の許可なく再委託先の従業員に扱わせている」という行為は、通常、業務委託契約で禁止されている「無断再委託」に該当します。これは、A社が知らない第三者に重要な個人情報が渡ってしまうことを意味し、重大な契約違反かつセキュリティリスクとなります。監査人はこのような契約違反やセキュリティ上の問題点を発見した場合、それを「指摘事項」として監査報告書に記載し、経営層や関係者に報告する責任があります。
もしあなたが誰かに大切なペットを預けたのに、その人があなたに無断で別の人に預けていたら不安になりますよね。それと同じで、企業もデータの管理は信頼できる相手にしか任せたくないのです。したがって、この行為は明確な問題点として指摘されるべきです。
イ(委託先が、A社との契約に基づき、定期的に従業員への…):
契約に基づいて適切にセキュリティ教育を実施しているため、これは遵守事項であり、指摘事項にはあたりません。
ウ(委託先が、A社の定めるセキュリティ基準に従って、サーバへの…):
定められた基準に従って適切にログを保管しているため、これは遵守事項であり、指摘事項にはあたりません。
エ(委託先が、A社との間で秘密保持契約(NDA)を締結し、…):
秘密保持契約を締結し遵守していることは、適切な対応であり、指摘事項にはあたりません。
解法のポイント
この問題のポイントは、「監査の指摘事項」が何であるかを理解することです。指摘事項とは、監査の過程で発見された「ルール違反」「契約違反」「基準からの逸脱」などの問題点を指します。したがって、選択肢の中から「適切でない行為」や「問題のある状況」を探すことが解答への近道です。選択肢イ、ウ、エは契約や基準を遵守している適切な状況を説明していますが、選択肢アだけが契約違反の可能性が高い不適切な行為を記述しています。外部委託監査では、契約内容が遵守されているかが重要なチェックポイントとなります。
用語補足
システム監査:
専門家が独立した立場で、情報システムが適切に管理・運用されているかを点検・評価することです。会社の健康診断のように、システムの信頼性や安全性をチェックします。
指摘事項:
監査を通じて発見された、ルールや基準から外れている問題点のことです。健康診断で見つかった「要改善」の項目のようなものです。
再委託:
仕事(業務)を請け負った会社が、その仕事の一部または全部をさらに別の会社に発注することです。「下請け」や「孫請け」とも呼ばれます。
秘密保持契約(NDA):
仕事を通じて知った相手の秘密情報を、外部に漏らしたり他の目的で使ったりしません、と約束する契約です。取引前に「ここだけの話」を守るための公式な約束事です。
