基本情報技術者単語帳 - システム監査

監査の対象となるのは、情報システムの企画・開発・導入から運用・保守・廃棄までの各段階、および、情報システムに関連する組織体制や業務手順、情報資産の管理状況、コンプライアンス規定、事業継続計画(BCP)などである。

これらについて、主にリスクへの備えの観点から、システムの有用性や費用対効果、障害や災害への耐性や対策、外部からの攻撃などの脅威からの防護、個人情報や機密情報の保護などを総合的に調査する。このような業務を行う専門家や職種を「システム監査人」という。

調査は現場への立ち入りやスタッフへの聞き取り、資料や記録の収集と精査などを伴い、報告や提言などはこれらの活動で得られた証拠を元に組み立てられる。結果は組織の長に報告され、問題点がある場合は改善策の勧告などを行うこともある。その後も実施状況を点検して改善を促すなどフォローアップを行なう。

日本では1985年に当時の通商産業省が「システム監査基準」を策定・公表し、数次に渡る改訂を経て現在も経済産業省が発行を継続している。国内の企業などへのシステム監査はこれを基準として実施されることが多い。

監査の対象となるのは、情報システムの企画・開発・導入から運用・保守・廃棄までの各段階、および、情報システムに関連する組織体制や業務手順、情報資産の管理状況、コンプライアンス規定、事業継続計画(BCP)などである。

これらについて、主にリスクへの備えの観点から、システムの有用性や費用対効果、障害や災害への耐性や対策、外部からの攻撃などの脅威からの防護、個人情報や機密情報の保護などを総合的に調査する。このような業務を行う専門家や職種を「システム監査人」という。

調査は現場への立ち入りやスタッフへの聞き取り、資料や記録の収集と精査などを伴い、報告や提言などはこれらの活動で得られた証拠を元に組み立てられる。結果は組織の長に報告され、問題点がある場合は改善策の勧告などを行うこともある。その後も実施状況を点検して改善を促すなどフォローアップを行なう。

日本では1985年に当時の通商産業省が「システム監査基準」を策定・公表し、数次に渡る改訂を経て現在も経済産業省が発行を継続している。国内の企業などへのシステム監査はこれを基準として実施されることが多い。

通常、事前にある程度の想定や制御、回避などが可能であるような事象のことを意味し、まったく想像もつかないような(あるいは一切の制御や回避が不可能であるような)災厄のことは含まれない。また、行動に伴って必ず支払わなければならない代償は「コスト」(cost：費用)であり、やはりリスクとは区別される。

金融などの分野では結果の不確実性という意味で良い出来事やその利益を含む場合もあるが、IT関連あるいは一般の外来語としては、悪い出来事についてのみ用いるのが普通である。

経営や投資などでは、将来想定されるリスクの洗い出しや評価、見積もりを行い、何らかのコストを支払って損失の回避や軽減を試みるリスク管理(リスクマネジメント)が行われることが多い。

例えば、投資家が資産を株式や不動産や債権、外貨などに分散投資したり、企業が情報システムを地理的に離れた二拠点に構築して災害時などに一方が他方の機能を代替できるようにすることは、リスクの分散や低減のために役立つ。

例えば、オペレーティングシステム(OS)の操作画面で、コンピュータ本体やシステムの設定項目や管理システムを集めたメニューのことを「コントロールパネル」(control panel)という。

GUIのコントロール

図や絵を利用したコンピュータの操作画面(GUI：グラフィカルユーザインターフェース)で、操作を受け付けたり情報を表示したりする表示要素のことをコントロールと呼ぶことがある。アイコンやウィンドウ、ボタン、テキストボックスなど様々な種類がある。「ウィジェット」(widget)と呼ぶこともある。

コントロールキー

キーボードにある、“Control”または“Ctrl”などと刻印されたキーを「コントロールキー」(control key)という。他のキーと組み合わせて使われ、特殊な動作を指示したり、特定の機能を即座に呼び出したりするのに使われる。

コントロールコード

文字コードの一種で、画面には表示されず特殊な動作をコンピュータに指示するのに使われる文字を「コントロールキャラクタ」(contorol character)あるいは「制御文字」と呼び、そのような文字に割り当てられたコードを「コントロールコード」(control code)あるいは「制御コード」という。

情報セキュリティ管理に関する国際規格のISO/IEC 27000シリーズ、およびこれを国内規格化したJIS Q 27000シリーズに準拠したガイドラインで、同規格に基づいて運用されるISMS適合性評価制度の基準とも整合するよう調整されている。

ISMS認証の基準を示したISO/IEC 27001およびJIS Q 27001に基づく「マネジメント基準」と、情報セキュリティ管理のベストプラクティスを示したISO/IEC 27002およびJIS Q 27002に基づく「管理策基準」で構成される。章立てなどもこれらの規格に沿った構成になっているが一部に異なる部分がある。

マネジメント基準は組織体が経営上の仕組みとして情報セキュリティマネジメントシステムを組み入れ、管理体制を組織し業務として運用するための指針を示したもので、原則すべて実施すべきとされる。管理策基準は実際の運用に際して実施する施策の選択肢を示したもので、組織体の実情に合わせて取捨選択すべきとされる。

2003年に初版が公開され、参照している標準規格の改訂に合わせて随時改訂が行われている。最新版はJIS Q 27001:2014等に準拠した平成28年版(2016年公開)である。なお、同省が公開している「情報セキュリティ監査基準」に基づいて監査を行う際には、原則として情報セキュリティ管理基準を判断の尺度として用いられることと定められている。

認定を受けるには日本工業規格(JIS)に定められたJIS Q 15001(個人情報保護マネジメントシステム要求事項)に適合した組織や事業の運営体制が整っていることを証明することが求められる。申請はJIPDECに直接、あるいは国内に約20団体ある指定審査機関に対して行い、書類や立ち会いによる審査を経て認定される。

対象は国内に拠点を持つ事業者で、原則として法人を単位に認定されるが、医療法人と学校法人については法人全体ではなく病院や学校などの組織が認定される。有効期間は2年で、申請により2年単位で更新することができる。

認定を受けると「たいせつにしますプライバシー」のキャッチコピーと「i」「P」の文字をかたどった専用のロゴマーク(プライバシーマーク本体)を使用することができ、店頭や広告、名刺、Webサイト、パンフレットなどに掲載することができる。JIPDECではWebサイトなどを通じて付与事業者や認定取り消し・一時停止事業者を公表しており、消費者などが認定状況を確認できるようになっている。

プライバシーマーク制度は1998年に創設され、個人情報を取得・利用する消費者向け事業を行う企業や、学校・病院など機微情報を取り扱う機関で取得が広まっているほか、政府機関や地方公共団体の中には情報処理関連の委託事業などで入札の参加資格にマークの取得を義務付けている場合もある。

営業秘密の侵害や、複製・模造商品の販売、商品名やロゴなどの模倣、著名人の名前などの無断使用、デジタルデータのコピー制限技術やアクセス管理技術の解除や回避、商品の材料や原産地などの偽装や紛らわしい表示、他社の商標などに一致または類似するインターネットドメイン名の使用、競合相手を誹謗する虚偽情報の流布、外国製品の輸入代理店などが原権利者に無断で商標等を流用することなどを禁止している。

また、外国と交わした条約などに基づいて、外国公務員への贈賄や、外国の国旗や紋章などの不正使用、国際機関の標章などの不正使用も禁じている。

1934年(昭和9年)に、「工業所有権の保護に関するパリ条約」を批准するために制定された法律である。現在施行されているのは1993年(平成5年)に全面改正され、その後何度か部分改正されたもので、全面改正前の旧法を「旧不正競争防止法」と呼ぶことがある。

前文ではシステム監査について「情報システムのガバナンス、マネジメント又はコントロールを点検・評価・検証する業務」と定義し、同基準をその「品質を確保し、有効かつ効率的な監査を実現するためのシステム監査人の行為規範である」としている。

システム監査業務について、「体制整備」「監査人の独立性・客観性及び慎重な姿勢」「計画策定」「実施」「報告とフォローアップ」の5章にわたり、全体で12の基準をまとめている。各基準は「主旨」と「解釈基準」で構成され、細目が列挙されている。内部監査、外部監査のいずれにも適用可能とされ、判断尺度については同省が公表している「システム管理基準」に依ることが望ましいとされる。

同省は以前からシステム監査を行う際のガイドラインである「システム監査基準」を公開していたが、その「実施基準」の主要部分を抜き出し、システム管理者が実践すべき規範をまとめる形で2004年に初版が公開された。

前文では基準の主旨を「どのような組織体においても情報システムの管理において共通して留意すべき基本的事項を体系化・一般化したもの」と定義しており、すべての項目を網羅的に適用するのはなく、業種や業態、自社の組織やシステムの現況に照らして取捨選択や改変、追加を行うべきとしている。

まず全体の枠組みとしてITガバナンスの定義や原則、モデル、前提条件などを定義し、続いて「ITガバナンス」「企画フェーズ」「開発フェーズ」「アジャイル開発」「運用・利用フェーズ」「保守フェーズ」「外部サービス管理」「事業継続管理」「人的資源管理」「ドキュメント管理」の各段階・分野に分けて個別の管理項目を列挙している。

すべての項目には基準を示す本文に加えて、詳細を説明する「主旨」と、考慮すべき具体的な内容の例示などを行う「着眼点」が付記されており、各組織が自らの状況に即して具体的な基準に読み替えることができるよう配慮されている。

組織の目的を達成し、逸脱が起こらないようにするため、組織の管理者、経営者が整備、運用する制度である。企業においては経営陣が従業員を監督する仕組みと解されるが、営利法人に限った概念ではなく、公的な機関や非営利法人においても求められる。

日本では会社法および金融商品取引法の一部(日本版SOX法)がそれぞれ独立に企業に対する内部統制の規定を定めており、前者は主に大企業(大会社)、後者は主に上場企業(有価証券報告書を提出する会社)に適用される。

よく参照される企業会計審議会内部統制部会の報告では、内部統制の目的を「業務の有効性・効率性」「財務報告の信頼性」「法令遵守」「資産の保全」の4つとしており、これを達成するため、「統制環境」「リスクの評価と対応」「統制活動」「情報の伝達」「モニタリング」、「ITへの対応」の6つを基本的な要素と定義している。

内部統制のうちIT分野に属する規定や活動を「IT統制」という。現代の企業活動にITの利用は不可欠であり、ITを適切に利用する統制、ITを活用した内部統制の実施のどちらも重要となる。IT統制はさらに「IT全社的統制」「IT全般統制」「IT業務処理統制」に分類される。

企業コンプライアンスとは、企業が業務の遂行にあたって法律や条例、政令、規制、業界団体などが定めた規則や申し合わせ事項、自主規制といった各種のルールを遵守することを意味する。外部で制定されたものに加えて、自社内で独自に定めた社内規則や倫理規定、行動規範などを対象に含めることもある。

コンプライアンスは企業統治(コーポレートガバナンス)および内部統制の重要な構成要素の一つとされ、担当の部署や体制を設けたり、社内通報制度などの仕組みを整備することもある。株式市場では上場審査などに関連する項目があり、上場後も内部統制報告書などで報告・開示が義務付けられている。

一般的には遵守する対象は何らかの形で明文化されたルールであり、倫理や道徳、社会的規範、常識などモラルやマナーの範疇に属するものは含まれないが、これらを含めてコンプライアンスの対象にすべきであるとする考え方もある。

ITは今や企業活動の根幹に組み込まれ、監督下にない機器やソフトウェア、データが業務に持ち込まれて思わぬ悪影響を及ぼしたり、不意なシステムの機能不全による業務の停滞や損害が頻繁に見られるようになっている。

そこで、ITをシステム部門や各業務部門任せにせず、経営的な視点からその投資や運営、リスク管理などについての方針を示し、確実に監督・執行する仕組みとしてITガバナンスが提唱された。株主や顧客など外部の利害関係者への説明責任を果たす観点からもその整備の必要性が指摘されている。

経済産業省では「ITガバナンスとは経営陣がステークホルダのニーズに基づき、組織の価値を高めるために実践する行動であり、情報システムのあるべき姿を示す情報システム戦略の策定及び実現に必要となる組織能力である」と定義している。

監査の対象となるのは、情報システムの企画・開発・導入から運用・保守・廃棄までの各段階、および、情報システムに関連する組織体制や業務手順、情報資産の管理状況、コンプライアンス規定、事業継続計画(BCP)などである。

これらについて、主にリスクへの備えの観点から、システムの有用性や費用対効果、障害や災害への耐性や対策、外部からの攻撃などの脅威からの防護、個人情報や機密情報の保護などを総合的に調査する。このような業務を行う専門家や職種を「システム監査人」という。

調査は現場への立ち入りやスタッフへの聞き取り、資料や記録の収集と精査などを伴い、報告や提言などはこれらの活動で得られた証拠を元に組み立てられる。結果は組織の長に報告され、問題点がある場合は改善策の勧告などを行うこともある。その後も実施状況を点検して改善を促すなどフォローアップを行なう。

日本では1985年に当時の通商産業省が「システム監査基準」を策定・公表し、数次に渡る改訂を経て現在も経済産業省が発行を継続している。国内の企業などへのシステム監査はこれを基準として実施されることが多い。

企業の場合は取締役や執行役員、他の法人では理事などの役員、官公庁ではトップを補佐する職位として設置されることが多いが、部門長クラスをCIOとしている場合もある。情報戦略の策定や執行、IT投資の意思決定などを行い、組織内のIT部門を監督する。情報システム部門や情報システム子会社のトップを兼ねる場合もある。

CTOとの違い

企業によってはCTO(Chief Technology Officer：最高技術責任者)と呼ばれる役員を置き、CIOに相当する情報戦略を統括する業務を担当する場合があるが、一般的にはCTOは研究開発や製品の技術的側面を担当する場合が多く、組織内の情報技術活用を管掌するCIOとは別に置かれる。

CISOとの違い

相次ぐ秘密情報の漏洩やサイバー攻撃などを受け、CIOとは別に情報セキュリティ戦略を管掌する独立の役員としてCISO(Chief Information Security Officer：最高情報セキュリティ責任者)を置く企業も増えている。情報システムそのものの管轄はCIOであるため、権限や業務の切り分け、利害の衝突などが課題となる場合もある。

CDOとの違い

近年では、企業活動の全面的なデジタル化(デジタルトランスフォーメーション)の必要性が叫ばれるようになり、従来の情報化の枠を超えて全社的なデジタル化を推進する役員としてCDO(Chief Digital Officer：最高デジタル責任者)を置く企業も増えている。CIOからCDOに移行する場合と、CIOとは独立にCDOを置く場合の両方がある。

政府CIO

日本政府では、2000年に各府省ごとにCIOに相当する情報化統括責任者と情報化統括責任者補佐官(CIO補佐官)が設置された。

また、政府全体の情報戦略を統括するため、2012年に政府情報化統括責任者が置かれたが、2013年に内閣法が改正され、内閣官房の特別職公務員である内閣情報通信政策監に改められた。これを政府CIOと通称し、分野ごとに担当の異なる数十人の政府CIO補佐官が置かれている。

組織が取り扱う情報やデータおよびコンピュータシステムを安全に保つセキュリティ対策の担当役員である。狭義のいわゆるサイバーセキュリティだけでなく、書類の取り扱い、施設や部屋への入退室管理など、情報の保護や管理に関連する物理的な対策も統括する。

個人情報やプライバシーデータの保護や取り扱い、機密情報の管理などについても担当するが、会員制の消費者向け事業を行う企業などでは個人情報の安全について「CPO」(Chief Privacy Officer：最高プライバシー責任者)など専任の役職を別に設ける場合もある。

CIO (最高情報責任者) との違い

組織によっては情報統括役員である「CIO」(Chief Information Officer)職を設置する場合もある。CIOは主に情報システムの企画、導入、運用、更新などを管掌する役員で、CISOが置かれていない組織ではCIOが情報セキュリティ関連の業務・部署も統括する。

両役職とも置かれている場合は情報セキュリティ関連のみをCISOが担当することになるが、情報システムやその管理するデータなどの管轄はCIOであるため、権限や業務の切り分け、利害の衝突などが課題となる場合もある。

CSO (最高セキュリティ責任者) との違い

また、組織によっては保安・防犯(security)を統括する「CSO」(Chief Security Officer)が置かれる場合もある。日本では「セキュリティ」という外来語がほぼ情報セキュリティ、コンピュータセキュリティのみを指すため、CISOと同義とすることが多い。

一方、英語圏でも当初は情報セキュリティ担当役員を指してCSOという呼称が用いられ始めたが、次第に情報セキュリティのみを担当する役職をCISOと呼び、CSOは情報関連に限らず施設・設備や財産、従業員などを含む全社的な保安・防犯対策を担当する役職を表すようになった。

金融証券取引法の内部統制報告制度(J-SOX/日本版SOX法)により、上場企業には主に会計や財務報告上の不正や誤りを防止する社内制度の整備と運用が求められるようになった。現代の大企業の業務や会計にはコンピュータシステムが欠かせないため、IT統制により組織内での情報技術の適正な整備と運用が求められる。

金融庁の企業会計審議会による「財務報告に係る内部統制の評価及び監査に関する実施基準」ではIT統制を全般統制と業務処理統制の二段階に分類しているが、経済産業省のシステム管理基準ではこれらの前段階としてIT全社的統制を加え三段階としている。

IT全社的統制では、企業グループ全体の情報システムが適正に構築・運用されるよう、方針や計画、手続き、ルールなどを整備し、実施状況の監視などが求められる。

IT全般統制では、情報システムを業務に適用可能な状態を整備・維持できるよう、システムの開発や調達、運用や保守、安全性の確保、外部委託先との契約の管理などを適正に遂行できる体制や仕組みの整備と実施が求められる。

IT業務処理統制では、具体的な業務におけるシステム利用が適正に行われるよう、データの網羅性や正当性、正確性、維持継続性などを確保する仕組みや活動が求められる。具体的には入力時のデータチェックや、役職に応じたアクセス権限の管理、マスターデータの適時の更新や整合性の維持などの活動が含まれる。

正式な定義などはなく、文脈によって意味が異なるが、狭義には、主に株主が経営者を監視し、不正や暴走、会社の私物化などを防いで企業価値の最大化に集中させるための仕組みや制度を意味することが多い。

広義には、企業活動全般について、組織ぐるみの不正や違法行為、非倫理的な振る舞いを抑え、株主だけでなく従業員や取引先など企業を取り巻くすべての利害関係者(ステークホルダー)にとって、また、社会全体にとって企業活動が害を及ぼさないようにするための仕組みを意味することが多い。

具体的な仕組みには、従来より法律や株式市場のルールなどによって規定された制度(株主総会、株主代表訴訟、監査制度、上場企業の財務情報開示制度など)もあるが、各企業が独自に取り組むものとして、社外取締役や社外監査役の任命、取締役と執行役の分離、指名委員会や報酬委員会の設置、内部通報制度の整備、役員や従業員の行動準則や行動規範の策定などがある。

企業法令遵守とは、企業が業務の遂行にあたって法律や条例、政令、規制、業界団体などが定めた規則や申し合わせ事項、自主規制といった各種のルールを遵守することを意味する。外部で制定されたものに加えて、自社内で独自に定めた社内規則や倫理規定、行動規範などを対象に含めることもある。

法令遵守は企業統治(コーポレートガバナンス)および内部統制の重要な構成要素の一つとされ、担当の部署や体制を設けたり、社内通報制度などの仕組みを整備することもある。株式市場では上場審査などに関連する項目があり、上場後も内部統制報告書などで報告・開示が義務付けられている。

一般的には遵守する対象は何らかの形で明文化されたルールであり、倫理や道徳、社会的規範、常識などモラルやマナーの範疇に属するものは含まれないが、これらを含めて法令遵守の対象にすべきであるとする考え方もある。

企業などの組織内で行われる監査には外部機関による外部監査と自社内の監査部門が業務部門に実施する内部監査がある。内部監査は通常、業務部門からは独立した専門の監査部門や監査人によって実施されるが、統制自己評価では監査部門の依頼や一定の関与のもと、業務部門内部で実際の監査活動が実施される。

具体的な手法として、業務部門の人員を集めて業務上のリスクなどについて議論する「ファシリテーション」「ディスカッション」「ワークショップ」などの形式(議論の進行方法などの詳細に違いがある)、監査部門の作成したチェック事項について業務部門の人員に答えてもらう「アンケート」「インタビュー」などの形式がある。

監査部門が監査を実施する場合に比べ、実際に業務に携わる人が主体的に関わる必要があるため、議論や回答を通じて業務のリスクや問題点、課題について関心や認識を深め、監査の仕組みや結果を「自分ごと」として受け止められるようになることが期待される。

ただし、非監査部門は通常業務に加えて統制自己評価の活動を行うため負担は大きく、監査の客観性や独立性が薄れる危険もある。部門内での議論では問題点の指摘などに際して匿名性を確保することも難しく、職位や年次による力関係、人間関係などに起因する意見の偏りが生じる場合もある。