ITパスポートの「内部統制」「評価手続き」「手順」で迷っていませんか?2026年の試験では、単なる用語暗記だけでなく、出題割合の見極めと、評価フローを流れで理解することが得点の近道です。この記事では、頻出ポイントの確認から覚え方、新傾向のAI・セキュリティ・DX対策まで、受験生が押さえるべき要点を整理します。
この記事でわかること
- ITパスポートの内部統制・評価手続き・手順の出題割合と、2026年に先に確認すべきポイント
- 内部統制の評価フローを、試験で使える形で覚えるための考え方
- AI・セキュリティ・DXに絡む新傾向問題への対策と、取りこぼしを防ぐコツ
SITE GUIDE
このサイトでITパスポート 内部統制 評価手続き 手順を調べるなら、まずこの3本です
今読んでいる記事を起点に、基礎確認・勉強法・比較検討の順で回れるようにしています。
ITパスポート 内部統制 評価手続き 手順とは?2026年の出題割合を先に確認
2026年シラバスで必ず押さえる出題分野の比率
2026年のITパスポート試験は、全100問構成です。内訳は、ストラテジ系35問程度、マネジメント系20問程度、テクノロジ系45問程度で、比率に直すと約35%/20%/45%です。記事内ではこの数値を先に示しておくと、学習の優先順位がぶれにくくなります。とくに内部統制や評価手続きはマネジメント系にまたがる論点ですが、設問の見せ方はテクノロジ系のセキュリティや監査証跡にも接続しやすいため、分野横断で整理しておくと得点効率が上がります。
2026年1月8日掲載の試験要綱Ver.5.5とシラバスVer.6.5では、下請法を削除し、中小受託取引適正化法を追加しました。ただし、ITパスポート試験そのものの出題変更はありません。ここは誤解が起きやすい論点です。法令名の差し替えはあっても、試験の骨格である100問構成や分野比率は変わっていません。
| 分野 | 出題数の目安 | 比率の目安 | 学習の見方 |
|---|---|---|---|
| ストラテジ系 | 35問程度 | 約35% | 経営、法務、DX、AI活用の土台 |
| マネジメント系 | 20問程度 | 約20% | 内部統制、開発管理、サービス管理 |
| テクノロジ系 | 45問程度 | 約45% | セキュリティ、ネットワーク、データ、AI |
🎯 試験に出るポイント
過去問では2024〜2026年にかけて、統制環境・リスク対応・監査証跡の考え方が繰り返し問われやすい。2026年1月度累計の合格率は49.5%で、総合600点以上かつ各分野300点以上が合格基準のため、用語暗記より手順理解が得点差になる。
内部統制と評価手続きの関係を最短で理解する
内部統制は、業務を正しく回すための仕組みです。承認ルール、権限分掌、記録の保存、異常値の検知といった仕掛けを組み合わせ、ミスや不正を抑え込みます。これに対して評価手続きは、その仕組みが設計どおり動いているかを確認する手順です。設計図があるだけでは不十分で、実際に運用されているか、例外処理が放置されていないか、証跡が残っているかまで見る必要があります。
この関係を一言で整理すると、内部統制は「仕組み」、評価手続きは「点検」です。たとえば、発注と検収を別担当に分ける統制があるなら、評価手続きでは、承認ログ、変更履歴、監査証跡、例外承認の記録を確認します。ITパスポートでは、こうした流れを手順として追えるかが問われます。単語の定義だけで止まると失点しやすく、どの証拠を見て、どの順で確かめるかまで意識した理解が必要です。
※本記事には広告・アフィリエイトリンクが含まれます。
よくある疑問
内部統制と評価手続きは、用語として分かれていても、試験ではどこまでの流れを追えば正解に届くのですか?
ポイント整理
公開情報ベースでは、評価手続きは統制の設計・運用・記録を確認する流れで押さえると整理しやすいです。IPAの公式資料では、情報セキュリティ管理を扱う際に「セキュリティ管理基準」や「情報セキュリティポリシーに関するガイドライン」が参照点になります。名称を覚えるだけでなく、何を確認する資料かをセットで整理しておくと混同しにくくなります。
2026年〜2027年の学習では、単純な暗記よりも「統制があるか」「統制が動いているか」「記録が残っているか」の三段階で確認する見方が有効です。たとえば、2026年度試験の最新情報として、試験要綱Ver.5.5とシラバスVer.6.5の改訂では法令名の更新が入りましたが、出題範囲の基本構造は維持されています。このため、2026年の受験者は、改訂情報を追いながらも、2024年や2025年の過去問で頻出だった統制環境、リスク対応、監査証跡を引き続き重点確認するとよいです。
📌 学習のコツ
内部統制は「仕組み」、評価手続きは「確認方法」と分けて覚えると、設問文の言い回しに振り回されにくくなります。さらに、承認、記録、証跡、例外処理の4点をセットで読むと、マネジメント系の問題文でも見落としが減ります。AIやセキュリティの設問が混ざった場合も、まずは統制の目的に立ち返ると整理しやすいです。
新傾向としては、AI・セキュリティ・DXを組み合わせた設問が増えています。たとえば、社内の生成AI利用を許可した企業が、情報漏えいを防ぐために入力禁止ルールとログ監査を導入した場面が出題されることがあります。この場合、設問は「どの管理策が内部統制として妥当か」を問う形になりやすいです。
| 新傾向テーマ | 設問例 | 見抜き方 |
|---|---|---|
| AIの社内利用管理 | 生成AIへの機密情報入力を防ぐ統制として最も適切なものはどれか。 | 利用規程、入力制限、ログ監査、例外承認の組み合わせを見る |
| セキュリティ監査 | 不正アクセス対策が設計どおり運用されているかを確認する手順はどれか。 | 設定値だけでなく、実運用の証跡と監査ログを確認する |
| DX推進 | 業務自動化の導入後に確認すべき統制はどれか。 | 自動化により承認や分離が弱まっていないかを見る |
2026年のITパスポートでは、ストラテジ系35問程度、マネジメント系20問程度、テクノロジ系45問程度という比率を前提に、内部統制をマネジメント系の核として押さえつつ、AI・セキュリティ・DXの新傾向に接続して読む姿勢が欠かせません。2027年に向けても、この構図は大きく変わりにくいと見てよく、出題の中心は「何を守るか」より「どう確認するか」に寄っています。評価手続きの問題では、仕組みの名称を知っているだけでは足りず、確認対象、確認資料、確認順序まで追えるかどうかが分かれ目になります。
NEXT ACTION
ITパスポート 内部統制 評価手続き 手順とは?2026年の出題割合を先に確認まで読んだ方におすすめの次アクション
ITパスポート 内部統制 評価手続き 手順の覚え方と評価フロー
内部統制の評価手続きは、用語を暗記するだけでは崩れやすく、流れで押さえたほうが安定します。覚え方は「設計の確認 → 運用の確認 → 証跡の確認 → 是正」の4段階です。ITパスポートでは、承認、職務分掌、アクセス制御、ログ管理のような基本統制が、具体例として問われやすく、設問の選択肢も実務の感覚に寄せられます。なお、2026年1月8日掲載のシラバスVer.6.5では、ITパスポート試験に関する変更はなく、法令名だけが「下請法」から「中小受託取引適正化法」へ更新されています。出題分野はストラテジ系35問程度、マネジメント系20問程度、テクノロジ系45問程度で、100問構成の比率を見ておくと、学習配分がぶれません。
🎯 試験に出るポイント
評価手続きは『何を確かめるか』より『どう確かめるか』が問われる。特に、証跡の保存・承認記録・職務分掌の確認は過去問で取りこぼしやすい。2026年の受験動向では、試験制度自体の変更よりもCBT運用変更の案内確認が実務上重要。2026年5月以降の試験申込は2026年3月24日21時30分以降に開始され、当初予定されていた休止時期は2026年12月28日以降へ延期されています。2027年1月以降の実施は、2026年秋頃に案内予定です。
評価手続きを3ステップで覚える
覚え方の芯は、最初に設計、次に運用、最後に証跡です。ここに是正を足すと、監査や内部統制評価の流れと接続しやすくなります。設計が整っていても運用が回っていなければ不十分で、運用されていても証跡が残っていなければ確認不能です。評価のゴールは「適切に設計され、継続的に運用され、記録で裏づけられること」の確認にあります。
| 段階 | 見る対象 | ITパスポートでの見分け方 |
|---|---|---|
| 設計の確認 | ルール、権限、分担 | 承認手続き、職務分掌、アクセス制御が仕組みとして定義されているかを見ます。 |
| 運用の確認 | 日々の実施状況 | 実際に承認が通っているか、ログ管理が回っているかを確認します。 |
| 証跡の確認 | 記録、ログ、申請書 | 監査や評価で追跡できる形の記録が残っているかが焦点です。 |
| 是正 | 不備への対応 | 欠陥が見つかった後に、手順の修正や再発防止へつなげます。 |
この順番で覚えると、「設計はあるが運用されていない」「運用はされているが証跡がない」という典型的なひっかけを避けやすくなります。評価手続きの設問では、単なる知識確認ではなく、どの段階の確認をしているのかが問われます。設計だけを見て合格ラインを超えた気になるのは危険で、運用証跡までそろって初めて評価対象になります。
よくある疑問
評価手続きは、設計と運用のどちらを先に見ればよいですか?
ポイント整理
先に設計を確認し、そのうえで運用記録と証跡を突き合わせます。IPAの公開資料では、内部統制や情報セキュリティの考え方を確認するときに、「中小企業の情報セキュリティ対策ガイドライン 第4.0版」付録2「情報セキュリティ基本方針(サンプル)」や付録5「情報セキュリティ関連規程(サンプル)」のような一次情報が参照しやすく、評価の観点を具体化しやすくなります。
試験で混同しやすい内部統制用語の整理
ITパスポートでは、内部統制そのものよりも、統制の具体例をどう識別するかが頻出です。承認は「誰が認めるか」、職務分掌は「誰が何を分けるか」、アクセス制御は「誰がどこまで入れるか」、ログ管理は「何がいつ起きたかを残すか」という切り分けで見ます。AI、セキュリティ、DXの新傾向では、生成AIの利用統制や権限管理、ログ保存を組み合わせた設問が出やすく、内部統制の言い換えに注意が必要です。
| 用語 | 意味 | 試験での具体例 |
|---|---|---|
| 承認 | 実行前に権限者が認める手続き | 経費精算の上長承認、システム変更の申請承認 |
| 職務分掌 | 業務を分けて相互牽制を働かせる考え方 | 発注担当と検収担当を分ける、開発と本番反映を分ける |
| アクセス制御 | 利用者ごとに操作範囲を制限する統制 | 閲覧のみ、編集不可、特権IDの限定付与 |
| ログ管理 | 操作履歴やイベント記録を保存・点検する管理 | 不正アクセス痕跡の確認、AI利用時の操作履歴保存 |
設問例としては、「社内で生成AIを業務利用する際、利用者の誤操作や不正利用を後から確認できるようにし、権限の過不足も点検したい。最も適切な統制の組み合わせはどれか」という形が想定しやすいです。ここで問われるのは、単独のIT機能ではなく、アクセス制御とログ管理を軸にした統制の設計です。2026年度は、こうしたAI・セキュリティ・DXの横断問題が目立ちやすく、従来の定義暗記だけでは拾い切れません。2026年3月24日21時30分以降の申込開始、2026年12月28日以降への休止延期、2027年1月以降の再開見込みという試験スケジュールも含め、受験日までの学習計画を組み直す受験者が増えています。
📌 学習のコツ
内部統制は、定義を単発で覚えるより、設計・運用・証跡の対応関係で整理すると崩れにくいです。選択肢に「承認」「職務分掌」「アクセス制御」「ログ管理」が並んだときは、誰が、何を、どこまで、何を残すかを順に分解してください。ひとつの用語を別の統制に置き換えて出題されることが多いため、用語の近さではなく、機能の違いで見分ける練習が有効です。
2026年度の公開情報では、シラバスVer.6.5の更新と、CBT運用の案内変更が同時に動いています。出題分野の比率は、ストラテジ系35問程度、マネジメント系20問程度、テクノロジ系45問程度です。まずこの配分を頭に置き、内部統制はマネジメント系寄り、アクセス制御やログ管理はテクノロジ系寄り、法務やガバナンスはストラテジ系寄りと見ておくと、設問の着地点を外しにくくなります。
ITパスポート 内部統制 評価手続き 手順の新傾向問題とAI・セキュリティ・DX対策
2026年のITパスポートでは、出題割合の目安がストラテジ系35問程度、マネジメント系20問程度、テクノロジ系45問程度です。総合100問の試験で、採点対象は92問となり、分野別の取りこぼしがそのまま失点に直結します。さらに、2026年1月8日掲載のシラバスVer.6.5では、試験内容そのものの大枠に変更はなく、「下請法」を削除して「中小受託取引適正化法」を追加した更新が反映されています。最新情報としては、2026年3月13日にCBT方式の2026年5月以降の実施案内が出され、2027年1月以降の一時休止延期も公表されました。合格率は、令和6年度通年で49.9%、令和7年6月度累計で51.4%と、直近では5割前後の推移です。
| 系統 | 問数の目安 | このセクションでの重点 |
|---|---|---|
| ストラテジ系 | 35問程度 | 内部統制、DX導入時の統制設計、委託先管理 |
| マネジメント系 | 20問程度 | 承認証跡、進捗管理、運用ルールの整備 |
| テクノロジ系 | 45問程度 | アクセス制御、ログ、情報漏えい防止、生成AIの利用管理 |
生成AI時代の内部統制で出る新傾向問題
🎯 試験に出るポイント
AI・セキュリティ・DXは2026年の出題でも押さえるべき重点テーマ。特に、生成AIの利用可否、機密情報の扱い、委託先へのデータ提供は、内部統制と情報セキュリティの両方から問われる。過去問の正答率差がつきやすいのは、便利さと統制の優先順位を誤る選択肢。
新傾向テーマとして最も取り上げやすいのは、「生成AI利用時の情報漏えい防止」です。たとえば、「社員が生成AIに顧客一覧を入力しようとしている。内部統制上、最も適切な対応はどれか」という設問なら、正答の軸は明確です。事前承認を得ていない入力を止めること、顧客一覧のような機密情報を入力禁止情報として定義すること、そして利用ログを残して監査可能にすることが基本になります。ここで選択肢に「便利なので入力を認める」「後から問題があれば削除する」といった文言が出ても、内部統制の観点では優先順位が逆です。
このタイプは、単なるAIの知識問題ではありません。内部統制の評価手続きとしては、ルールがあるか、運用で守れているか、記録が追えるかの3点を見ます。AIの導入可否を問うだけでなく、入力対象の制限、例外承認、ログ保全まで含めて判断するのが出題の中心です。
よくある疑問
生成AIの設問では、どこまでが「便利さの範囲」で、どこからが内部統制違反として止めるべき線引きですか?
ポイント整理
公開情報ベースでは、機密情報の入力制限、管理部門の事前承認、利用ログの保存が基本線です。生成AIは業務効率の手段ですが、内部統制では「入力してよい情報の範囲」を先に決める発想が必要になります。
📌 学習のコツ
問題文に「便利」「効率化」「自動化」と出たときほど、統制の優先順位を確認すると崩れにくくなります。生成AIの設問では、入力禁止情報、承認手続き、ログ管理の3点をセットで覚えると、選択肢の比較が速くなります。迷った場合は、後追い修正より事前抑止を選ぶのが安全です。
設問を解くときは、次の観点で整理すると安定します。誰が承認するか、何を入力禁止にするか、どの記録を残すかです。生成AIの利用を全面否定する問題ではなく、内部統制として許可条件を定義できているかを問う問題として読むと、選択肢の取り違えを減らせます。
IPA公式資料を使ったセキュリティ対策の押さえ方
セキュリティ学習の一次情報源は、経済産業省「情報セキュリティ管理基準」と、IPA「中小企業の情報セキュリティ対策ガイドライン」第4.0版を優先して読むのが近道です。特にIPAの第4.0版では、付録2として「情報セキュリティ基本方針(サンプル)」が用意されており、付録5の「情報セキュリティ関連規程(サンプル)」や付録8の「中小企業のためのセキュリティインシデント対応の手引き」も、内部統制の設問に直結します。
DX文脈では、紙運用から電子ワークフローへ移る場面が頻出です。ここで問われやすいのは、承認証跡、アクセス権限、委託先管理の3点です。承認証跡は「誰が、いつ、何を承認したか」を追える状態、アクセス権限は最小権限の原則、委託先管理は再委託を含む管理責任の確認です。たとえば、紙の稟議書を電子化しただけで満足すると、承認ログが残らない、権限が広すぎる、委託先の保存・廃棄ルールが未整備という落とし穴が残ります。
| DX場面 | 出題されやすい論点 | 見落としやすい点 |
|---|---|---|
| 電子ワークフロー導入 | 承認証跡、承認者の職務分掌 | 承認後の改ざん防止と監査ログ |
| クラウド利用 | アクセス権限、共有設定、アカウント管理 | 退職者アカウントの削除漏れ |
| 委託先へのデータ連携 | 委託先管理、契約条項、再委託の可否 | 委託後の利用目的外提供 |
2026年度の最新動向を踏まえると、ITパスポートの出題は「知識の暗記」だけではなく、業務上の統制判断を問う方向へ寄っています。2026年3月27日公開のIPA「中小企業の情報セキュリティ対策ガイドライン」第4.0版では、サプライチェーンを意識した対策が拡充されました。つまり、社内の規程だけでなく、外部委託やクラウド運用まで含めた統制を理解しているかが重要になります。試験では、経産省の管理基準とIPAのガイドラインを軸に、AI利用、DX移行、情報漏えい対策を横断的に読む姿勢が得点差につながります。
一次情報源としては、ITパスポート試験「試験内容・出題範囲」、ITパスポート試験「統計情報」、2026年5月以降の試験実施についても確認しておくと、出題割合、最新の運用、合格率の変化をひとつの流れで追えます。
ITパスポート 内部統制 評価手続き 手順に関するよくある質問(FAQ)
Q. ITパスポートで内部統制の評価手続きは何問くらい出ますか?
A. 独立した問題数は公表されていませんが、関連するストラテジ系35問程度・マネジメント系20問程度の中で出題されます。100問中の配分を前提に、内部統制は複合テーマとして対策するのが効率的です。
Q. 2026年のITパスポートで、まず何を優先して覚えるべきですか?
A. まずは出題割合の数値です。ストラテジ系35問程度・マネジメント系20問程度・テクノロジ系45問程度、合格基準は600点以上かつ各分野300点以上なので、内部統制はマネジメントとストラテジの横断テーマとして押さえるのが最短です。
Q. 2026年の最新改訂で、内部統制対策に影響はありますか?
A. 試験自体の変更はありません。2026年1月8日掲載の試験要綱Ver.5.5とシラバスVer.6.5で、下請法が中小受託取引適正化法に差し替わっただけなので、対策の中心は内部統制の手順理解と新傾向の生成AI・セキュリティ・DXです。
記事情報
資格講座ナビ編集部が公式情報・公開情報をもとに作成しています。受験要項や日程は必ず公式サイトでもご確認ください。
NEXT READ
次に読む記事
この記事を読み終えたら、関連テーマと一覧ページにも進めるようにしました。
関連記事