ドクターQがお届けするIT統制ブログ　ITサプリ

先日、またしても某行政機関から重要な行政情報が、Winnyを介してインターネット上に流出してしまいました。同行政機関では、業務データの持ち出しを禁止し、ファイル交換ソフトについても情報漏洩の危険性をアナウンスしていたものの、結果守られていませんでした。しかし、これが多くの企業や行政機関での「実状」でしょう。通達や告知だけでは、情報漏洩リスク対策はもはや不十分。やはりITによって物理的に情報漏洩リスク対策などを強化できるIT統制が不可欠です。

さて、そんなIT統制の具体的な整備を進めていく上でガイドラインとして有効活用できるのが、経済産業省からリリースされた「システム管理基準 追補版(財務報告に係るIT統制ガイダンス)」(※以下、追補版)です。本シリーズでは、追補版のポイントを一つ一つ分かりやすく解説しています。

本シリーズも、いよいよファイナルゾーンです。今回は、共通業務／委託・受託の章で取り上げられている「委託業務」に関する管理項目と、その趣意、つまり目的に着目したいと思います。システム管理者のみなさんも、外部企業へのシステム開発業務の委託などが想定され、他人事ではありません。統制ポイントを把握しておく必要があります。

契約(委託先契約)では、7つのポイントが取り上げられています。その中でも、制趣旨が明確でシステムの強化ポイントが分かりやすいのは(4)(6)(7)の３つです。今回はその中でも、(4)に着目します。

（4）委託先における誤謬防止、不正防止、機密保護等の対策の実施状況を把握し、必要な措置を講じること。

◎趣旨(目的)
委託契約どおりに誤謬防止、不正利用、漏えい、プライバシーの侵害等を防止する対策を実現するため、誤びゅう防止、不正防止、機密保護等の対策の実施状況を把握し、適切な対策を講ずる必要がある。

◎今後の強化ポイント
以下のポイントが、発注企業サイドは委託先を選定する重要な基準となり、また受託企業サイドは大きなアピールポイントになると考えられます。

• 該当業務に活用するクライアントPCの脆弱性監査を定期的に行っている。
• 機密情報の不正流出防止策として、Winny、Win-MXなどのP2Pソフトのインストール、起動が無いことを立証できる制御機能と監査機能をITで整備している。
• クライアントPCの脆弱性監査レポートを定期的に提出し、セキュリティレベルを立証できる。

いかがでしょうか、今後の委託業務の強化ポイントをご理解いただけたでしょうか。
クオリティのツールを有効活用すれば、委託元と委託先のIT環境を同等のセキュリティレベルに維持することも可能です。ぜひテクノロジーサイトでご確認ください。Dr.QがITサプリをお届けしました。

なお、現在クオリティでは、今回ご紹介した「システム管理基準の管理項目と統制目標の対応」をベースに「内部統制チェックテスト2」を公開しています。質問に答えることで、御社のIT 統制の到達度をチェックできます。ぜひトライしてください。