情報セキュリティマネジメント試験 情報セキュリティマネジメント試験 平成30年度秋期 午前 問38: 外部委託管理の監査に関する記述のうち，最も適切なものはどれか。

問題本文

外部委託管理の監査に関する記述のうち，最も適切なものはどれか。

選択肢

• ア.請負契約においては，委託側の事務所で作業を行っている受託側要員のシステムへのアクセスについて，アクセス管理が妥当かどうかを，委託側が監査できるように定める。
• イ.請負契約においては，受託側要員に対する委託側責任者の指揮命令が行われていることを，委託側で監査する。
• ウ.外部委託で開発した業務システムの品質管理状況は，委託側で監査せず，受託側で監査する。
• エ.機密性が高い業務システムの開発を外部に委託している場合は，自社開発に切り替えるよう，監査結果の報告において改善勧告する。

正解

ア. 請負契約においては，委託側の事務所で作業を行っている受託側要員のシステムへのアクセスについて，アクセス管理が妥当かどうかを，委託側が監査できるように定める。

解説

外部委託(請負契約)における監査の在り方を問う問題で、正解はアである。委託側の事務所で作業する受託側要員がシステムにアクセスする場合、不正アクセスや情報漏えいを防ぐため、委託側がそのアクセス管理の妥当性を監査できるよう契約で定めておくことが適切である。請負契約では委託側が受託側要員を直接指揮命令してはならず(イは偽装請負)、品質管理は委託側も監査すべきで、委託形態の是非を一律に自社開発へ切り替えよと勧告するのも不適切である。

選択肢ごとの解説

• ア.委託側事務所で作業する受託側要員のアクセス管理が妥当かを委託側が監査できるよう定めるのは、情報セキュリティ上適切であり正しい。
• イ.請負契約では委託側が受託側要員を直接指揮命令することはできず、それが行われていれば偽装請負となるため不適切。
• ウ.外部委託で開発したシステムの品質管理状況は委託側も自らの責任で確認・監査すべきであり、受託側だけに任せるのは不適切。
• エ.機密性が高いという理由だけで一律に自社開発への切替えを勧告するのは合理性を欠き、監査として最も適切とはいえない。