戦国IT - 情報処理技術者試験の過去問対策サイト
ブログお知らせお問い合わせ料金プラン

ITパスポート 2013年 秋期 28


問題文

IT統制は、ITに係る全般統制や業務処理統制などに分類される。全般統制はそれぞれの業務処理統制が有効に機能する環境を保証する統制活動のことをいい、業務処理統制は業務を管理するシステムにおいて承認された業務が全て正確に処理、記録されることを確保するための統制活動のことをいう。統制活動に関する記述のうち、業務処理統制に当たるものはどれか。

選択肢

外部委託を統括する部門による外部委託先のモニタリング
基幹ネットワークに関するシステム運用管理
人事システムの機能ごとに利用者を限定するアクセス管理の仕組み(正解)
全社的なシステム開発・保守規程

🔒 解説は解答すると表示されます

IT統制の分類と業務処理統制の例【ITパスポート 解説】

正解の理由

業務処理統制とは、業務を実行するシステムが「承認された取引・操作だけを正しく処理・記録する」ことを確保するための仕組みです。ここでいう「承認」は、人やルールによって行為が許可されていることを意味します。
選択肢の中で、業務の機能(人事システムの各機能)ごとに誰が使えるかを限定する仕組みは、まさに「許可された操作だけを行わせる」ための仕組みです。したがって正しいのは の「人事システムの機能ごとに利用者を限定するアクセス管理の仕組み」です。
簡単に整理すると:
  • 業務処理統制 = 各業務システム内で、操作の正当性・完全性を確保する仕組み
  • は機能単位で利用者を制限し、不正な操作や誤操作を防ぐため、業務処理統制に該当します。

解法ステップ

  1. 「全般統制」と「業務処理統制」の定義を確認する
    • 全般統制:情報システム全体を支える環境や仕組み(例:開発規程、ネットワーク運用、外部委託管理など)
    • 業務処理統制:個々の業務システム内で、取引や処理が正確に行われることを保証する仕組み
  2. 各選択肢が「システム全体の環境を整えるもの」か「個々の業務処理の正確さを保証するもの」かを判定する
  3. 「個々の業務処理の正確さ(承認・入力・記録など)」に直接関係するものを選ぶ

選択肢別の誤答解説

  • ア: 外部委託を統括する部門による外部委託先のモニタリング
    → これは外部委託(アウトソーシング)の管理で、組織全体の運用・管理に関する仕組みです。システム環境や外部リスクの管理に該当し、全般統制に分類されます。よって業務処理統制ではありません。
  • イ: 基幹ネットワークに関するシステム運用管理
    → ネットワークの運用管理は、システム全体が安定して動くようにする活動です。これも全般統制(インフラ管理)であり、個々の業務処理の承認や記録の正確性を直接扱うものではありません。
  • ウ: 人事システムの機能ごとに利用者を限定するアクセス管理の仕組み(正答)
    → 各機能に誰がアクセスできるかを制御することで、不正操作や権限を超えた処理を防ぎます。承認されていない処理が行われないようにするため、業務処理統制に該当します。
  • エ: 全社的なシステム開発・保守規程
    → 開発や保守のルールは、システムが適切に作られ運用されるための基準です。これも全般統制に当たるため、業務処理統制ではありません。

よくある誤解

  1. 「アクセス管理=全般統制」と思う誤り
    • ネットワークやOSレベルのユーザ管理は全般統制に近いこともありますが、アプリケーション(業務システム)内部で機能ごとに権限を制御する場合は業務処理統制に当たります。どのレイヤーかを見極めることが重要です。
  2. 「外部委託の監視は現場の業務管理だから業務処理統制」と考える誤り
    • 外部委託の監視は組織全体の管理やリスク管理に関わるため、全般統制です。「業務処理そのものの承認・記録」かどうかで判断します。

補足コラム

  • 認証と認可の違い(初出時に説明)
    • 認証(authentication:身元確認)= その人が誰かを確かめること(例:IDとパスワード)
    • 認可(authorization:権限付与)= その人が何をできるかを決めること(例:人事データの閲覧は許可、編集は不可)
      業務処理統制では特に「認可」の仕組みが重要です。
  • 権限設計の実務ポイント
    • 最小権限の原則(必要最小限の権限だけ与える)を守る。
    • 役割ベースのアクセス制御(RBAC:Role-Based Access Control)を使うと管理が分かりやすい。
    • 操作ログを取って後で誰が何をしたか確認できるようにする。

FAQ

Q1: 業務処理統制はどのレイヤーまで含むのですか?
A1: 主に業務アプリケーションの内部での仕組み(承認フロー、入力チェック、機能ごとのアクセス制御、処理の照合など)を指します。インフラや組織全体のルールは全般統制です。
Q2: アクセス管理があれば業務処理統制は十分ですか?
A2: アクセス管理は重要な一部ですが、入力チェックや承認プロセス、帳票や記録の完全性確認なども必要です。複数の統制を組み合わせて信頼性を高めます。
Q3: 「承認された業務だけが処理される」とはどういう状態ですか?
A3: 例えば、給与計算で上長の承認がない変更は反映されない、という仕組みがある状態です。承認のない取引や操作が勝手に処理されることを防ぎます。

関連キーワード: 全般統制、業務処理統制、アクセス管理、認証、認可、最小権限、RBAC、運用管理、外部委託管理
← 前の問題へこの年度をクイズで解く次の問題へ →
戦国ITクイズ機能

\ せっかくなら /

ITパスポート
クイズ形式で学習しませんか?

クイズ画面へ遷移する

すぐに利用可能!

©︎2026 情報処理技術者試験対策アプリ

このサイトについてブログプライバシーポリシー利用規約特商法表記開発者について