ドクターQがお届けするIT統制ブログ　ITサプリ

内部統制システムの「本番稼動」まで、残りわずか。本番前のテスト稼動期間に非常に役立つ資料が、本シリーズで取り上げている経済産業省が公開した「システム管理基準 追補版(財務報告に係るIT統制ガイダンス)」(※以下、追補版)です。

前回に引き続き、運用業務/出力管理に関する管理項目と、その趣意、つまり目的に着目します。運用業務/出力管理でのポイントとなるのは、全7項目のうち、(1)(3)(5)(7)の4項目です。その中から今回は、(5)と(7)に関するシステム強化ポイントを解説します。

（5）出力情報の保管及び廃棄は、出力管理ルールに基づいて行うこと

◎趣旨(目的)
出力情報の紛失、盗難、漏えい等を防止するため、保管及び廃棄は、出力管理ルールに基づいて行う必要がある。

↓↓↓↓↓↓↓↓

◎システム強化ポイント
今後は、全ての機密文書や個人情報に対して、「ファイルの有効期限」を設定することが要求されます。具体的には、重要なファイルはつねに認証キー付きでの配信(出力)を行い、ファイルの有効期限を設定。有効期限後は、ファイルの閲覧自体を不可能にすることが重要となります。こうしたシステム整備によって、機密文書の漏洩リスクを確実に低減できます。

（7）出力情報の利用状況を記録し、定期的に分析すること

◎趣旨(目的)
出力情報の有効活用を図るため、利用状況を記録し、定期的に分析する必要がある。

◎システム強化ポイント
出力された(配信された)全ての機密文書や個人情報に対して、操作ログを取得できる体制整備が必須です。

◎ 誰が
◎ いつ
◎ どのファイルを
◎ どう操作したのか

などの操作ログを取得し、情報の利用状況を分析することが要求されます。

いかがでしょうか、今後のシステム強化ポイントがクリアになったでしょうか。クオリティでは、これらシステム強化に即活用できるツールをご用意しています。ぜひクオリティ テクノロジーサイトでご確認ください。Dr.QがITサプリをお届けしました。次回も引き続き「システム管理基準の管理項目と統制目標の対応」を解説します。

なお、現在クオリティでは、今回ご紹介した「システム管理基準の管理項目と統制目標の対応」をベースに「内部統制チェックテスト2」を公開しています。質問に答えることで、御社のIT統制の到達度をチェックできます。ぜひトライしてください。