ドクターQがお届けするIT統制ブログ　ITサプリ

先日、またしても某行政機関から重要な行政情報が、Winnyを介してインターネット上に流出してしまいました。同行政機関では、業務データの持ち出しを禁止し、ファイル交換ソフトについても情報漏洩の危険性をアナウンスしていたものの、結果守られていませんでした。しかし、これが多くの企業や行政機関での「実状」でしょう。通達や告知だけでは、情報漏洩リスク対策はもはや不十分。やはりITによって物理的に情報漏洩リスク対策などを強化できるIT統制が不可欠です。

さて、そんなIT統制の具体的な整備を進めていく上でガイドラインとして有効活用できるのが、経済産業省からリリースされた「システム管理基準 追補版(財務報告に係るIT統制ガイダンス)」(※以下、追補版)です。本シリーズでは、追補版のポイントを一つ一つ分かりやすく解説しています。

本シリーズも、いよいよファイナルゾーンです。今回は、共通業務／委託・受託の章で取り上げられている「委託業務」に関する管理項目と、その趣意、つまり目的に着目したいと思います。システム管理者のみなさんも、外部企業へのシステム開発業務の委託などが想定され、他人事ではありません。統制ポイントを把握しておく必要があります。

契約(委託先契約)では、7つのポイントが取り上げられています。その中でも、制趣旨が明確でシステムの強化ポイントが分かりやすいのは(4)(6)(7)の３つです。今回はその中でも、(4)に着目します。

（4）委託先における誤謬防止、不正防止、機密保護等の対策の実施状況を把握し、必要な措置を講じること。

◎趣旨(目的)
委託契約どおりに誤謬防止、不正利用、漏えい、プライバシーの侵害等を防止する対策を実現するため、誤びゅう防止、不正防止、機密保護等の対策の実施状況を把握し、適切な対策を講ずる必要がある。

◎今後の強化ポイント
以下のポイントが、発注企業サイドは委託先を選定する重要な基準となり、また受託企業サイドは大きなアピールポイントになると考えられます。

• 該当業務に活用するクライアントPCの脆弱性監査を定期的に行っている。
• 機密情報の不正流出防止策として、Winny、Win-MXなどのP2Pソフトのインストール、起動が無いことを立証できる制御機能と監査機能をITで整備している。
• クライアントPCの脆弱性監査レポートを定期的に提出し、セキュリティレベルを立証できる。

いかがでしょうか、今後の委託業務の強化ポイントをご理解いただけたでしょうか。
クオリティのツールを有効活用すれば、委託元と委託先のIT環境を同等のセキュリティレベルに維持することも可能です。ぜひテクノロジーサイトでご確認ください。Dr.QがITサプリをお届けしました。

なお、現在クオリティでは、今回ご紹介した「システム管理基準の管理項目と統制目標の対応」をベースに「内部統制チェックテスト2」を公開しています。質問に答えることで、御社のIT 統制の到達度をチェックできます。ぜひトライしてください。

経済産業省からリリースされた「システム管理基準 追補版(財務報告に係るIT統制ガイダンス)」(※以下、追補版)は、内部統制に対応したシステム強化を検討する上で役に立つ資料です。

当ブログでは、この追補版の付録として巻末に掲載され、システム強化ポイントの例示も豊富な「付録2．システム管理基準の統制目標」に注目して連載を行なっています。(「付録2.システム管理基準の統制目標」は追補版PDFの99ページに掲載されています)

前回に引き続いて共通業務／委託・受託の章で取り上げられている「契約(委託先契約)」に関する管理項目と、その趣意、つまり目的に着目したいと思います。

共通業務／委託・受託は、全部で8つのポイントがあります。その中でも情報システム部門に関係するのは(1)(2)(8)の3つです。前回解説した(1)に続いて、今回は(2)と(8)をご紹介します。

(2)コンプライアンスに関する条項を明確にすること。

◎趣旨(目的)
情報の不正利用、漏えい、プライバシーの侵害等を防止するため、契約時に不正防止、機密保護等の対策を明確にする必要がある。

◎今後の強化ポイント
多くの契約書が「適切な措置を講ずる」や「必要な措置を採る」といったあいまいな表現が使われています。しかし、今後は情報セキュリティレベルの維持管理に関する具体的な方策と、また客観的な立証を要求する必要があります。例えば、委託先は業務上どのようなツールとシステムを活用して個人情報の社外へのデータ持ち出しを制御するのか。またWinnyがインストールされた私物PCが委託先の業務ネットワークに接続された場合、どのようなツールとシステムを活用して接続を拒否するのか。今後は契約書の中で、委託先の管理体制を明記して法令遵守を徹底させる必要があります。

(8)システム監査に関する方針を明確にすること。

◎趣旨(目的)
委託先の委託業務内容の信頼性、安全性、効率性の確保を担保するために、委託契約にシステム監査に関する方針を明確にする必要がある。

◎今後の強化ポイント
従来の契約書において「監査」に関する表記は、いわば形式的なものでした。しかし、潜在するリスクを可視化するためにも、今後は定期的な監査が必須となります。ここで有効活用できるのが、セキュリティ監査レポートの定期的な提出です。個人情報の管理状況に関する数値レポート、Winnyなどの起動状況に関する数値レポートなど、客観性の高いセキュリティ監査レポートを委託先から定期的に提出させることが重要になります。

いかがでしょうか、今後の委託先管理の強化ポイントをご理解いただけたでしょうか。クオリティのツールを有効活用すれば、委託元と委託先のIT環境を同等のセキュリティレベルに維持することも可能です。ぜひテクノロジーサイトでご確認ください。Dr.QがITサプリをお届けしました。次回も引き続き「システム管理基準の管理項目と統制目標の対応」を解説します。

なお、現在クオリティでは、今回ご紹介した「システム管理基準の管理項目と統制目標の対応」をベースに「内部統制チェックテスト2」を公開しています。質問に答えることで、御社のIT 統制の到達度をチェックできます。ぜひトライしてください。

2007年7月31日、総務省の指導に対して某公社が発表した個人情報漏洩再発防止策。その内容をご覧になったでしょうか。防止策で残念だったのが、「USBメモリやCD-Rの持ち込みを禁止する指導を徹底する」という内容にとどまっていて、「IT統制によって個人情報の持ち出しを物理的に不可能にする」という本来盛り込まれるべき表現が見当たらなかった点です。とにかくIT統制の必要性を、強く感じた事案でした。

さて、そんな中、IT統制の実務ガイドとして各方面で注目されているのが経済産業省からリリースされている「システム管理基準 追補版(財務報告に係るIT統制ガイダンス)」(※以下、追補版)です。

25回目となる今回は、共通業務／委託・受託の章で取り上げられている「契約(委託先契約)」に関する管理項目と、その趣意、つまり目的に着目したいと思います。

業務システムの開発や顧客向けダイレクトメールの発送などにおいて、委託先の業務がずさんであったために委託先から個人情報などが漏洩した場合も、責任を問われるのは委託元企業です。システム管理者のみなさんから見ても、委託先管理は他人事ではありません。いま一度、委託先管理の重要性を認識してください。一方、受託側のみなさんは、今回の解説を通して自社のシステム強化のポイントをクリアにできるはずです。

契約(委託先契約)では、8つのポイントが取り上げられています。その中でもITサプリでは(1)(2)(8)に着目したいと思います。

(1)契約は、委託契約ルール又は受託契約ルールに基づいて締結すること。

◎趣旨(目的)
委託契約を確実に行うため、委託契約ルール又は受託契約ルールに基づいて締結する必要がある。

◎今後の強化ポイント
ここで重要なのは、委託先選定において明確な統一基準を策定しておくことです。例えば、個人情報の利用や加工、保管、廃棄などを委託する場合であれば、統一基準に盛り込むべきポイントは次のようになります。

※プライバシーマークなどの認証を取得している企業
※一定の情報セキュリティレベルの維持と管理
※年2回のセキュリティ監査レポートの提出

これら3つに対応できる企業こそ、今後の委託先にふさわしい企業と考えられます。
コストだけを見るのではなく、リスク対策の観点から委託先を選定することも非常に重要になるでしょう。

いかがでしょうか、今後の委託先管理の強化ポイントをご理解いただけたでしょうか。
クオリティのツールを有効活用すれば、委託元と委託先のIT環境を同等のセキュリティレベルに維持することも可能です。
Dr.QがITサプリをお届けしました。 次週は委託・受託／契約(委託先契約)に関する残りの(2)(8)について解説していきます。

なお、現在クオリティでは、今回ご紹介した「システム管理基準の管理項目と統制目標の対応」をベースに「内部統制チェックテスト2」を公開しています。質問に答えることで、御社のIT統制の到達度をチェックできます。ぜひトライしてください。

経済産業省からリリースされた「システム管理基準 追補版(財務報告に係るIT統制ガイダンス)」(※以下、追補版)は、内部統制に対応したシステム強化を検討する上で役に立つ資料です。

当ブログでは、この追補版の付録として巻末に掲載され、システム強化ポイントの例示も豊富な「付録2．システム管理基準の統制目標」に注目して連載を行なっています。(「付録2.システム管理基準の統制目標」は追補版PDFの99ページに掲載されています)

先週に引き続き、今週も運用業務／情報システムの廃棄に関する管理項目とその趣意の続きを解説したいと思います。では早速、趣旨から、システム強化ポイントをチェックしていきましょう。

情報システムの廃棄では、2つのポイントが取り上げられています。先週解説した(1)に続いて、今回は(2)をご紹介します。

(2)旧情報システムの廃棄方法及び廃棄時期は、不正防止及び機密保護の対策を考慮して決定すること。

◎趣旨(目的)
不正防止、機密保護及びプライバシー保護のため、廃棄方法及び廃棄時期は、不正防止及び機密保護の対策を考慮して決定する必要がある。

◎システム強化ポイント
単なるファイル削除やハードディスクフォーマットでは、不正防止・機密保持対策は不十分です。今後、個人情報保護法が改正され個人まで罰則対象が拡大されることが予測されます。

こうした法改正の動向も考慮し、企業には「ハードディスク消去ツール」の導入が必須になるでしょう。またハードディスクの中のデータを完全に消去するだけでなく、その管理情報をDB化することも重要です。廃棄PCごとに、最終設置場所、最終PC使用者、HD消去実行日、HD消去責任者などの各情報を管理すべきです。

こうした管理体制が、万一の情報漏洩発生時に漏洩経路確認などにおいても有効活用できることは言うまでもありません。

いかがでしょうか、今後のシステム強化ポイントがクリアになったでしょうか。クオリティでは、これらシステム強化に即活用できるツールをご用意しています。ぜひテクノロジーサイトでご確認ください。Dr.QがITサプリをお届けしました。次回も引き続き「システム管理基準の管理項目と統制目標の対応」を解説します。

なお、現在クオリティでは、今回ご紹介した「システム管理基準の管理項目と統制目標の対応」をベースに「内部統制チェックテスト2」を公開しています。質問に答えることで、御社のIT統制の到達度をチェックできます。ぜひトライしてください。