ドクターQがお届けするIT統制ブログ　ITサプリ

経済産業省からリリースされた「システム管理基準 追補版(財務報告に係るIT統制ガイダンス)」(※以下、追補版)は、内部統制に対応したシステム強化を検討する上で役に立つ資料です。

当ブログでは、この追補版の付録として巻末に掲載され、システム強化ポイントの例示も豊富な「付録2．システム管理基準の統制目標」に注目して連載を行なっています。(「付録2.システム管理基準の統制目標」は追補版PDFの99ページに掲載されています)

先週に引き続き、今週も運用業務／情報システムの廃棄に関する管理項目とその趣意の続きを解説したいと思います。では早速、趣旨から、システム強化ポイントをチェックしていきましょう。

情報システムの廃棄では、2つのポイントが取り上げられています。先週解説した(1)に続いて、今回は(2)をご紹介します。

(2)旧情報システムの廃棄方法及び廃棄時期は、不正防止及び機密保護の対策を考慮して決定すること。

◎趣旨(目的)
不正防止、機密保護及びプライバシー保護のため、廃棄方法及び廃棄時期は、不正防止及び機密保護の対策を考慮して決定する必要がある。

◎システム強化ポイント
単なるファイル削除やハードディスクフォーマットでは、不正防止・機密保持対策は不十分です。今後、個人情報保護法が改正され個人まで罰則対象が拡大されることが予測されます。

こうした法改正の動向も考慮し、企業には「ハードディスク消去ツール」の導入が必須になるでしょう。またハードディスクの中のデータを完全に消去するだけでなく、その管理情報をDB化することも重要です。廃棄PCごとに、最終設置場所、最終PC使用者、HD消去実行日、HD消去責任者などの各情報を管理すべきです。

こうした管理体制が、万一の情報漏洩発生時に漏洩経路確認などにおいても有効活用できることは言うまでもありません。

いかがでしょうか、今後のシステム強化ポイントがクリアになったでしょうか。クオリティでは、これらシステム強化に即活用できるツールをご用意しています。ぜひテクノロジーサイトでご確認ください。Dr.QがITサプリをお届けしました。次回も引き続き「システム管理基準の管理項目と統制目標の対応」を解説します。

なお、現在クオリティでは、今回ご紹介した「システム管理基準の管理項目と統制目標の対応」をベースに「内部統制チェックテスト2」を公開しています。質問に答えることで、御社のIT統制の到達度をチェックできます。ぜひトライしてください。