P社グループは，持株会社P社，小売業Q社，金融業R社，人材派遣業S社(以下，グループ各社という)から構成される企業グループであり，様々な情報システムを利用している。P社システム統括部は，P社グループ全体のシステムリスク管理を所管し，グループ各社におけるアクセス管理状況に関する自主点検(以下，点検という)などを主導している。一方，P社グループでは，アクセス管理策の不備に起因する情報漏えい事案などが発生していた。
　P社内部監査部は，このような状況を踏まえて，グループ各社を対象として，点検の実効性が確保されているかどうか，監査を実施することにした。システム監査チームは，予備調査を実施して，P社グループの情報システムの運用状況及び点検の概要を次のとおり把握し，本調査での監査要点案を作成した。

〔情報システムの運用状況〕

• P社システム統括部は，グループ各社のシステム部からの報告内容に基づき，IT機器管理表及びアプリケーションソフトウェア管理表(以下，各管理表という)を更新している。
• IT機器管理表には，グループ各社が管理するサーバ，PCなどの識別番号，OS，業務委託の有無などが記載されている。また，アプリケーションソフトウェア管理表には，グループ各社が利用するアプリケーションソフトウェア名，取り扱う情報の内容，業務委託の有無などが記載されている。
• P社のアクセス管理規程に定められた管理策は，原則としてグループ各社に適用される。当該規程では，例えば，グループ各社に配置されたPCは，利用者ごとのID及びパスワードでログインすることが定められている。
• グループ各社においてアクセス管理規程に定められた管理策を適用できない場合には，グループ各社のシステム部が代替の管理策を申請し，P社システム統括部長の承認を受ける。
• P社は，グループ各社が共同利用するグループウェア，経理システム，人材管理システムなどのほか，グループ各社の営業情報などを収集，モニタリングする経営情報システムを保有しており，T社に運用，保守を業務委託している。
• Q社は，R社発行のクレジットカードを利用した顧客の購買履歴などを分析する顧客管理システムを保有しており，U社に運用，保守を業務委託している。
• Q社の店舗には，複数の従業員が共用するPCが配置されており，顧客対応上の必要性を考慮して，共用のID及びパスワードでログインする。店舗のシステム管理者は当該パスワードを10営業日ごとに変更し，店舗の従業員に連絡する。P社システム統括部長は，当該管理策を承認している。
• S社は，派遣スタッフの氏名，派遣先，時間単価などを派遣システムで管理している。予備調査の1か月前には，派遣システムのアクセス管理策の運用状況に関する不備に起因して，派遣スタッフの個人情報が漏えいする事案(以下，情報漏えい事案という)が発生していた。

〔点検の概要〕

• 点検プロセスの概要は，次のとおりである。
  1. P社システム統括部は，アクセス管理規程，各管理表などに基づき，点検のポイント，対象などを設定し，グループ各社の点検表を作成して，グループ各社のシステム部に半年ごとに点検を指示する。
  2. グループ各社のシステム部は，点検表に基づき点検を実施し，当該点検の結果，不備についての是正状況などをP社システム統括部に報告する。
  3. P社システム統括部は，点検に関する報告内容を確認し，必要に応じて，不備について是正を進めるよう指導，支援する。
  4. P社システム統括部は，グループ各社のシステム部からの点検に関する報告内容などを踏まえて，点検のポイント，対象などを見直す。
• P社システム統括部の担当者は，各管理表に点検の対象かどうかを記載し，1か月ごとに更新している。システム統括部長は，担当者から更新の内容及び理由について説明を受け，各管理表に承認したことを記録する。
• グループ各社のシステム部は，顧客情報，営業情報などを取り扱う情報システムの運用，保守を業務委託する場合，点検の一環として，委託先のアクセス管理状況を確認し，P社システム統括部に報告することになっている。Q社のシステム部からは当該点検の都度，U社におけるアクセス管理策の不備が報告されていた。
• 予備調査までにS社以外のグループ各社で実施された点検では，何らかの不備が発見されていた。一方，S社で情報漏えい事案の発生時までに実施された点検では，派遣システムのアクセス管理策の運用状況を点検していたものの，不備は全く発見されていなかった。
• P社システム統括部が作成した点検表の例(抜粋)を表1に示す。

〔監査要点案の作成〕
　システム監査チームが予備調査の結果を踏まえて作成した本調査での監査要点案(抜粋)を表2に示す。〔内部監査部長の指示〕
　内部監査部長は，本調査での監査要点案をレビューして，次のとおり指示した。

• 表2項番1の監査要点に関して，グループ各社においてアクセス管理規程に定められた管理策が適用できない場合のaも考慮して，点検のポイントを適切に設定しているか確認すること。
• 表2項番2の監査要点に関して，効率よく監査を実施するために監査対象をサンプリングする場合には，bが形骸化しているおそれが大きいと想定されるS社を含めること。
• 表2項番3の監査要点に関して，グループ各社及びcにおける不備についての是正状況を確認するだけではなく，dがQ社のシステム部に対して，eしているか，確認すること。
• 表2項番4の監査要点に関して，点検の対象が記載されている各管理表の更新について，P社システム統括部長のfを確認するだけではなく，P社システム統括部長がgを把握しているか，インタビューによって確認すること。
• 表2項番1～4の監査要点に加えて，点検の対象を見直した結果に基づき，グループ各社に点検が指示されているか，hとiとを照合して，確認すること。

〔内部監査部長の指示〕(1)のaに入れる適切な字句を，10字以内で答えよ。

〔内部監査部長の指示〕(2)のbに入れる適切な字句を解答群の中から選び，記号で答えよ。

b に関する解答群

• 監査
• 承認
• 情報漏えい事案
• 点検
• 派遣システム
• 予備調査

〔内部監査部長の指示〕(3)について答えよ。

• 本文中のcに入れる適切な字句を，5字以内で答えよ。
• 本文中のdに入れる適切な字句を，10字以内で答えよ。
• 本文中のeに入れる適切な字句を，15字以内で答えよ。

〔内部監査部長の指示〕(4)について答えよ。

• 本文中のfに入れる適切な字句を，5字以内で答えよ。
• 本文中のgに入れる適切な字句を，10字以内で答えよ。

〔内部監査部長の指示〕(5)のh，iに入れる適切な字句を，それぞれ5字以内で答えよ。