情報システム導入の決定過程におけるリスク評価に関する監査

令和7年度 秋期 システム監査技術者試験 午後Ⅱ 問題 問1「情報システム導入の決定過程におけるリスク評価に関する監査」についてである。

問題文

組織においては，事業戦略の一環として，未経験の開発手法や新技術を用いた大規模システム，機微情報を海外拠点と共有するシステムなどの新たな情報システムを導入することがある。これらの情報システムでは，現行システムの開発及び運用で既に特定されているリスクだけではなく，当該情報システム導入に伴う新たなリスク（以下，特有のリスクという）が生じる可能性がある。したがって，当該情報システム導入の決定過程においては，特有のリスクを特定して評価するだけではなく，対応策を実施することによって，そのリスクの大きさがリスク許容範囲内まで低減できるかどうかを評価する必要がある。

例えば，国を越えて個人情報を共有するシステムの導入では，他国の個人情報を保有し，活用することで生じるリスクを特有のリスクとして特定する必要がある。また，国内の個人情報保護法に基づいた対応策だけでなく，各国のルールに基づいた対応策が求められる。特有のリスクが顕在化する要因は完全には予測できない可能性があるので，リスク顕在化の防止策だけでなく，顕在化の兆候の発見策も重要となる。これらの対応策によって，特有のリスクの大きさが十分に低減可能と評価できるようになる。

システム監査人は，情報システム導入の決定過程において，特有のリスクが適切な評価方法に基づいて評価され，対応策によってそのリスクの大きさがリスク許容範囲内まで低減できると評価されているかどうかを確かめる必要がある。

あなたの経験と考えに基づいて，設問ア～ウに従って論述せよ。

設問ア

あなたが関係した情報システムの概要及びその目的，並びに導入に伴う特有のリスクについて，400 字以上 800 字以内で述べよ。

設問イ

設問アで述べた特有のリスクを特定した理由，そのリスクの大きさを含めた評価方法，並びにその特有のリスクに対する防止策及び発見策について，700 字以上 1,400 字以内で具体的に述べよ。

設問ウ

設問イを踏まえて，特有のリスクが適切に評価され，対応策によってそのリスクの大きさがリスク許容範囲内まで低減できることが適切に評価されているかどうかを確かめるための監査手続について，700 字以上 1,400 字以内で具体的に述べよ。