この設問でACLがvtyに適用されていないというのは、in/outの記載がないからでしょうか。

これは解説の以下の部分のことですかね？

・ACLはどこにも適用されていない

in/outの記載というか、そもそもaccess-classの設定がないですよね。

Router#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
Router(config)#line vty 0 4
Router(config-line)#?
Line configuration commands:
  absolute-timeout            Set absolute timeout for line disconnection
  access-class                Filter connections based on an IP access list
  activation-character        Define the activation character
（略）
Router(config-line)#access-class ?
  <1-199>      IP access list
  <1300-2699>  IP expanded access list
  WORD         Access-list name

Router(config-line)#access-class 1 ?
  in   Filter incoming connections
  out  Filter outgoing connections

アクセスコントロールのリストだけが登録されているだけ、という意味でよろしいでしょうか?

そうですね。

• アクセスコントロールリスト（ACL）を「作成」
• 作成されたACLをインターフェース、VTYなど必要な場所に「適用」

という使い方なので、ACLが設定にあるからといってそのACLの通りの動作をするかどうかはどこに適用されているか（そもそも適用されているかどうか）によります。