基本情報技術者 2018年秋期午前（科目A）問58

問題文

JISQ27001:2014(情報セキュリティマネジメントシステム-要求事項)に基づいてISMS内部監査を行った結果として判明した状況のうち、監査人が指摘事項として監査報告書に記載すべきものはどれか。

選択肢

ア：USBメモリの使用を、定められた手順に従って許可していた。

イ：個人情報の誤廃棄事故を主務官庁などに、規定されたとおりに報告していた。

ウ：マルウェアスキャンでスパイウェアが検知され、駆除されていた。

エ：リスクアセスメントを実施した後に、リスク受容基準を決めた。（正解）

ISMS内部監査で監査報告書に記載すべきもの【午前2 解説】

要点まとめ

結論：監査人は規格要求に適合していない事項を不適合として監査報告書に記載しなければなりません。
根拠：JIS Q 27001(ISO/IEC 27001)はリスクアセスメントを実施する際に、事前にリスク受容基準を定めることを求めています。
差がつくポイント：手順通りに対応している事実は観察事項や適合の証拠、規格違反の順序や欠如があると不適合になります。

正解の理由

正解はエです。リスクアセスメントは、事前に定めたリスク受容基準（どの程度のリスクを許容するか）に基づいて実施する必要があります。ところが選択肢エは「リスクアセスメントを実施した後に、リスク受容基準を決めた」としており、規格要求の順序（基準設定→アセスメント）に反しています。監査人はこのような規格要求の不履行を不適合（指摘事項）として監査報告書に記載すべきです。

よくある誤解

「検出して対応していれば問題ない」：是正対応が取られていても、要求されるプロセスや手順自体が規格に合致していなければ不適合になります。
「手順の順序は重要でない」：リスクアセスメントは評価基準に基づいて実施することが前提で、順序の逆転は評価の信頼性を損ねます。
「監査人は是正策を決めるべきだ」：監査人は不適合を記載して証拠を示すことが役割で、是正処置の決定は組織の責任です。

解法ステップ

規格要求（JIS Q 27001 の該当箇所）を確認し、各選択肢が要求に沿っているかを評価します。
「リスクアセスメント」と「リスク受容基準」の関係を規格から把握します（基準→評価の順）。
各選択肢を「適合」「不適合」「観察」のいずれかに分類します。
不適合と判断したものは監査報告書に記載すべき指摘事項とします。
証拠（文書、ログ、手続き）を明示して報告します。

選択肢別の誤答解説

ア: USBメモリの使用を定められた手順に従って許可していた。
- 手順どおりに管理されているなら適合または管理の証拠であり、不適合の指摘対象にはなりません。
イ: 個人情報の誤廃棄事故を主務官庁などに規定どおりに報告していた。
- 規定どおりに報告していることは規程の遵守を示す証拠であり、指摘事項には該当しません。
ウ: マルウェアスキャンでスパイウェアが検知され、駆除されていた。
- 検知と駆除が確認できればインシデント対応が機能しているため、不適合ではなく対応の実績です。
エ: リスクアセスメントを実施した後に、リスク受容基準を決めた。
- これは規格の要求する順序（リスク受容基準を先に定義）に反するため、不適合として監査報告書に記載すべきです。

補足コラム

監査報告における「不適合」と「観察（改善の機会）」の違いを明確にすることが重要です。不適合は規格や内部要求事項に対する実際の不履行であり、証拠に基づき記載して是正処置を求めます。一方、観察は重大な不適合には至らないが改善を検討すべき事項を指します。ISO/IEC 27001 の該当条項（リスク管理に関する箇所）と、監査手順に関するガイダンス（ISO 19011）を参照して判断基準を定めると報告品質が向上します。

FAQ

Q: 軽微な手順違反でも不適合として記載すべきですか？
A: 規格要求の本質と影響度を考慮して判断します。要求未達が安全性に影響する場合は不適合として扱います。
Q: 監査人が是正処置を指示しても良いですか？
A: 監査人は改善提案はできますが、是正処置の決定・実施は組織のマネジメント責任です。
Q: リスク受容基準はどの程度具体的に定めるべきですか？
A: 受容可能なリスクの定量・定性基準や閾値、評価方法を明確にして再現性を確保することが望ましいです。
Q: 観察事項と不適合の表現方法に注意点はありますか？
A: 証拠を明示し、影響範囲と根拠条文を示して客観的に記載することが重要です。

関連キーワード: 情報セキュリティ、ISMS監査、リスクアセスメント、リスク受容基準、内部監査、監査報告、ISO27001、不適合管理