ドクターQがお届けするIT統制ブログ　ITサプリ

つい先日、某大手保険会社の代理店で発生した個人情報流出事件。原因は、またしても「Winny」でした。同社の対応策は、「今後代理店に対して、ファイル共有ソフトの利用中止など注意喚起を実施していく」とのことでしたが、こうした対応策にこそ「IT統制」を採用すべきだと改めて強く感じました。今後は、 IT統制によって物理的に制御することがWinny対策のスタンダードになっていくでしょう。

さて、そんな中、IT統制の実務ガイドとして非常に役立つのが経済産業省からリリースされている「システム管理基準 追補版(財務報告に係るIT統制ガイダンス)」(※以下、追補版)です。

今回も引き続き、追補版の付録として巻末に掲載され、システム強化ポイントの例示も豊富な「付録2．システム管理基準の統制目標」に注目したいと思います。(「付録2.システム管理基準の統制目標」は追補版PDFの99ページに掲載されています)

ではさっそく運用業務／情報システムの廃棄に関する管理項目と、その趣意、つまり目的に着目したいと思います。ここでいう「情報システムの廃棄」には、期間満了にともないリース会社に返却されるクライアントPCなども含まれます。

情報システムの廃棄では、2つのポイントが取り上げられています。(1)(2)ともに、統制趣旨が明確でシステムの強化ポイントが分かりやすい内容となっています。

(1)旧情報システムは、リスクを考慮して廃棄計画を策定し、ユーザ、運用及び保守の責任者の承認を得て廃棄すること。

◎趣旨(目的)
旧情報システムの廃棄を円滑かつ確実に実施するため、リスクを考慮した廃棄計画を策定し、ユーザ、運用及び保守の責任者の承認を得て廃棄する必要がある。

◎システム強化ポイント
廃棄計画のベースとなる「基準」を明確にする必要があります。基準を策定する上で重要なのは、全社的なIT資産管理ツールの導入によるクライアントPCの稼動状況に対するモニタリングです。スペック的観点廃棄すべきか、稼動率的観点から廃棄すべきか、あるいはHD稼働期間的観点から廃棄すべきか、全ての基本はIT資産管理ツールによるインベントリ情報収集です。インベントリ情報収集によって、リスクの洗い出しも可能となります。

いかがでしょうか、今後のシステム強化ポイントがクリアになったでしょうか。クオリティでは、これらシステム強化に即活用できるツールをご用意しています。ぜひテクノロジーサイトでご確認ください。Dr.QがITサプリをお届けしました。次回も引き続き「システム管理基準の管理項目と統制目標の対応」を解説します。

なお、現在クオリティでは、今回ご紹介した「システム管理基準の管理項目と統制目標の対応」をベースに「内部統制チェックテスト2」を公開しています。質問に答えることで、御社のIT統制の到達度をチェックできます。ぜひトライしてください。