平成25年度 春期 ITパスポート試験 公開問題 問31 解説 IT統制の分類

この問題は、IT統制を「全体（土台）」と「個別（中身）」のどちらで判断するかを見極めるのがポイントです。選択肢の中で、特定の業務アプリの動きではなく、システム全体に関わるルールや基盤を決めているものを探すと正解が見えてきます。

全般統制と業務処理統制の考え方

IT統制は大きく以下の2種類に分類されます。

全般統制は、システムを利用する環境そのものを守るための仕組みです。例えるなら、建物の防災設備や入館管理のようなものです。どの部屋（業務）を使おうが、まずは建物全体が安全でなければならないという考え方です。開発、運用、保守、セキュリティ対策、物理的な環境管理などがこれに含まれます。

業務処理統制は、その建物の中にある個別の部屋で、正しく作業が行われているかをチェックする仕組みです。例えるなら、書類の二重チェックや、計算間違いを防ぐための自動検算機能です。特定の業務システムにおいて、データの入力から処理、出力までが正確に行われているかを保証します。

問題の選択肢を分解して考える

今回の問題では、選択肢の「何に対してルールを設けているか」に注目します。

正解の「全社で共通に用いるシステム開発規程」は、どんなシステムを作る時にも守るべき開発の作法を定めています。これは特定の業務アプリに依存せず、IT環境全体の品質を保証するためのものなので全般統制に分類されます。

一方で、他の3つの選択肢を見てみましょう。

・人事システムの利用範囲の限定方法 ・経理システムのマスタデータの維持管理方法 ・購買システムの入力エラーの修正手続

これらはすべて「特定のシステム（人事、経理、購買）」という限定された業務において、データの正確性や適正な処理を確保するためのルールです。これらは個別のアプリケーション内で完結する話なので、すべて業務処理統制に該当します。

実務現場におけるIT統制の視点

試験対策としては「全般＝土台」「業務＝中身」という切り分けで十分ですが、実際の現場ではこの二つの統制は相互に補完し合っています。

たとえば、どんなに業務処理統制（入力チェック機能など）を完璧に作り込んでも、そもそも全般統制であるシステム開発規程が守られておらず、テストが不十分なプログラムが本番環境に混入してしまえば、システム全体は信用を失います。逆に、開発規程がしっかりしていても、個別の業務処理が杜撰であればミスは防げません。

このように、IT統制は「システムが正しく働き続けるための二階建て構造」になっていることを理解しておくと、関連する他の問題にもスムーズに対応できるようになります。

参考リンク

• ITパスポート試験 学習サイト：IT統制（ITガバナンス）
• Zenn：システム監査とIT統制のキホンを整理する
• 経済産業省：システム管理基準 追補版（情報セキュリティ編）