ドクターQがお届けするIT統制ブログ　ITサプリ

先日、動向調査のためにアマゾンで「内部統制」をキーワードに書籍を検索してみました。その結果、なんと600冊もの本が検出されました。2008年4月の内部統制システム本稼動まで残り約10ヶ月となり、出版も最終ラッシュに入ったようですね。

さて、経済産業省からリリースされた「システム管理基準 追補版(財務報告に係るIT統制ガイダンス)」(※以下、追補版)の解説をしている本シリーズも、いよいよ最終段階です。

今回も引き続き、追補版の付録として巻末に掲載され、システム強化ポイントの例示も豊富な「付録2．システム管理基準の統制目標」に注目します(追補版のPDFでは、P99からはじまります)。

6回目は、運用業務/出力管理に関する管理項目と、その趣意、つまり目的に着目します。運用業務/出力管理でのポイントとなるのは、全7項目のうち、(1)(3)(5)(7)の4項目です。その中から今回は、(1)と(3)に関するシステム強化ポイントを解説します。

ここで重要なのは、出力される情報＝単にプリントアウトされた文書ではない、ということです。顧客DBから書き出しされたCSVフォーマットの顧客リストも、ここでの管理対象の出力情報となります。

(1)出力管理ルールを定め、遵守すること。

◎趣旨(目的)
出力方法の誤びゅう率、不正利用、漏えい等を防止し、機密及び個人情報保護のため、情報の出力手続、承認等のルールを定め、遵守する必要がある。

◎システム強化ポイント
情報漏洩の原因のひとつとして話題のP2Pソフトを、管理PCから完全排除したとしても、例えば顧客リストのエクセルをプリントアウトされ、社外に持ち出されてしまった場合、漏洩を防止する手段はありません。重要なのは、個人情報関連ファイル、また機密扱いの文書ファイルを暗号化でき、同時にアクセス制御できる機能の整備です。具体的には、ファイル受信者個々に応じて操作権限を設定し、危険性のある社員には、印刷の権限や、コピーを許可せず、リスク対策を徹底することが要求されます。

(3)出力情報の作成手順、取扱い等は、誤びゅう防止、不正防止及び機密保護の対策を講じること。

◎趣旨(目的)
出力情報の作成、取扱い等を正確に行い、改ざん、盗難、漏えい等を防止するため、誤びゅう防止、不正防止及び機密保護の対策を講ずる必要がある。

◎システム強化ポイント
社員等級が高い管理者に、不正活用の可能性がないとは断言できません。システムには、配信後にアクセス権を変更でき、フレキシブルに対応できる機能が要求されます。例えば、全ての操作権限が許可された管理者のファイルがなんらかの理由でインターネットに流出してしまった場合も、操作権限を全て剥奪し、ファイル自体を無効にできる機能が要求されます。

いかがでしょうか、今後のシステム強化ポイントがクリアになったでしょうか。クオリティでは、これらシステム強化に即活用できるツールをご用意しています。ぜひクオリティ テクノロジーサイトでご確認ください。Dr.QがITサプリをお届けしました。次回も引き続き「システム管理基準の管理項目と統制目標の対応」を解説します。

なお、現在クオリティでは、今回ご紹介した「システム管理基準の管理項目と統制目標の対応」をベースに「内部統制チェックテスト2」を公開しています。質問に答えることで、御社のIT 統制の到達度をチェックできます。ぜひトライしてください。