ITパスポート 2019年 秋期 問61
問題文
IPA “組織における内部不正防止ガイドライン(第4版)”にも記載されている、内部不正防止の取組として適切なものだけを全て挙げたものはどれか。
a システム管理者を決めるときには、高い規範意識をもつ者を一人だけ任命し、
全ての権限をその管理者に集中させる。
b 重大な不正を犯した内部不正者に対しては組織としての処罰を検討するとともに、
再発防止の措置を実施する。
c 内部不正対策は経営者の責任であり、経営者は基本となる方針を組織内外に示す“基本方針”を策定し、役職員に周知徹底する。
選択肢
ア:a, b
イ:a, b, c
ウ:a, c
エ:b, c(正解)
🔒 解説は解答すると表示されます
内部不正防止の取組として適切なものはどれか【ITパスポート 解説】
問題の要点:
IPA(Information-technology Promotion Agency:情報処理推進機構)が示す「組織における内部不正防止ガイドライン」では、内部不正(組織内部の人が行う不正行為)の予防・発見・対応に関する基本的な考え方や具体策が示されています。設問は、そのガイドラインに沿った適切な取組だけを選ぶ問題です。
結論(自然な表現で):
正解は選択肢 エ です。理由は、項目b(重大な不正に対する組織としての処罰と再発防止)と項目c(経営者による基本方針の策定と周知)がガイドラインで推奨される基本的な取組だからです。一方、項目aは権限を一人に集中させる点で不適切です。
正解の理由
- 項目bは、重大な不正が発生した場合に組織として適切に処分し、その原因を分析して再発防止策を実施することを求めています。これはガイドラインの「発見後の対応」と「再発防止」の趣旨に合致します。
- 項目cは、経営者が内部不正対策の方針を策定し、組織内外に示して役職員に徹底させることを求めています。経営者責任(ガバナンス)として、方針の明確化と周知は基本中の基本です。
- 項目aは一見合理的に見えますが、すべての権限を一人に集中させることは「権限の分離(職務分掌)」や「最小権限の原則(least privilege:必要最小限の権限のみ与える)」に反します。権限集中は不正の温床になりやすいので不適切です。
解法ステップ
- 各選択肢(a,b,c)の趣旨を短く読み取る。
- ガイドラインに沿うかを判断するための主要原則を思い出す:
- 経営者による方針策定と周知(ガバナンス)
- 権限の分離・最小権限(内部不正の予防)
- 発見後の適切な対応と再発防止
- aは「権限集中」で他の原則と矛盾するため除外。bとcはガイドラインに合致するので採用。
- よって正しい組合せは b と c を含む選択肢、すなわち エ を選ぶ。
選択肢別の誤答解説
- ア(a, b):
- aが含まれているため誤り。権限を一人に集中させる点で内部不正リスクを高めます。bは正しいがaがダメ。
- イ(a, b, c):
- cとbは正しいが、aが混ざっているため誤り。全部正しいわけではない。
- ウ(a, c):
- cは正しいが、aがあるため誤り。aは権限集中で問題。
- エ(b, c):
- bとcはいずれもガイドラインの基本的な取組を表しており、適切な組合せです。したがって正解。
よくある誤解
- 「信用できる一人に任せれば安全になる」
- 誤解です。どれだけ信頼できる人でも人為的ミスや誘惑、外的圧力で不正が起こる可能性があります。仕組みとして防ぐことが重要です。
- 「処罰だけすれば問題解決する」
- 処罰は必要ですが、原因分析と再発防止策(手続きの見直し、権限管理、監査)がなければ同じ問題が再発します。
- 「方針を作ればそれで終わり」
- 方針の策定は出発点です。周知・教育・実行・監督(モニタリング)が伴わなければ意味が薄れます。
補足コラム
- 職務分掌(しょくむぶんしょう)とは:業務や権限を複数人に分ける仕組みです。会計で言えば「支払を承認する人」と「支払を実行する人」を別にするイメージです。これにより一人で不正が完結しないようにします。
- 最小権限の原則(least privilege):人やシステムに必要最低限の権限だけ与えること。余計な権限を与えると誤操作や不正のリスクが高まります。
- ガイドラインは法令ではありませんが、業界の実務的なベストプラクティスをまとめたものです。組織の対策の手引きとして有用です。
FAQ
Q1. なぜ「一人の高倫理な管理者」に全部任せてはいけないのですか?
A1. どんなに信頼できる人でもミスや不正の誘惑、外圧にさらされる可能性があります。仕組みで防ぐことが安全性を高めます。
A1. どんなに信頼できる人でもミスや不正の誘惑、外圧にさらされる可能性があります。仕組みで防ぐことが安全性を高めます。
Q2. 「処罰」と「再発防止」はどちらが重要ですか?
A2. 両方が重要です。処罰は抑止力になりますが、再発防止(制度改定、教育、監査)がなければ根本対策になりません。
A2. 両方が重要です。処罰は抑止力になりますが、再発防止(制度改定、教育、監査)がなければ根本対策になりません。
Q3. 経営者の基本方針は具体的に何を含めればよいですか?
A3. 内部不正防止の目的、組織の責任体制、遵守すべき行動指針、違反時の対応、連絡窓口(通報制度)などを含め、分かりやすく周知することが大切です。
A3. 内部不正防止の目的、組織の責任体制、遵守すべき行動指針、違反時の対応、連絡窓口(通報制度)などを含め、分かりやすく周知することが大切です。
関連キーワード: 内部不正、職務分掌、最小権限、ガバナンス、コンプライアンス、監査、通報制度、再発防止

\ せっかくなら /
ITパスポートを
クイズ形式で学習しませんか?
クイズ画面へ遷移する→
すぐに利用可能!

