ドクターQがお届けするIT統制ブログ　ITサプリ

総務省の調査によると、2006年度の行政機関および独立行政法人における個人情報関連の事故は1807件。中でも1001人以上の個人情報がネットに流出した事故が行政機関で9件、独立行政法人で16件も発生しています。
やはり上場企業や大会社などの基準を抜きにして、日本企業や行政機関全体にIT統制の必要性を強く感じます。

さて、そんなIT統制の具体的な整備を進めていく上でガイドラインとして有効活用できるのが、経済産業省からリリースされた「システム管理基準 追補版(財務報告に係るIT統制ガイダンス)」(※以下、追補版)です。
本シリーズでは、追補版のポイントを一つ一つ分かりやすく解説しています。

本シリーズも、今回が最後のテーマ!!　共通業務／委託・受託の章で取り上げられている「受託業務」に関する管理項目と、その趣意、つまり目的に着目したいと思います。
システム管理者のみなさんも、今後システム開発の受託業務が発生した場合などで的確なアドバイスができるように、ぜひ統制ポイントを把握しておいてください。

受託業務では、4つのポイントが取り上げられています。その中で、(2)と(4)の2つに着目したいと思います。今回はその中でも、(2)に着目します。

(2)受託業務の実施内容は、契約内容を遵守すること。

◎趣旨(目的)
受託業務の内容を過不足なく実施するため、受託業務の実施内容は、契約書に記載された内容と一致させる必要がある。

◎今後の強化ポイント
納期、価格、品質を守るだけではなく、受託企業サイドには今後下記の項目への対応が必須になると考えられます。今後、至急取り組むべきIT統制の強化ポイントとして捉えてください。

◎受託業務担当クライアントPCに対する脆弱性監査システム
◎機密データに対するアクセス制御および機密データ専用の配信・管理システム
◎外部記憶メディアへの安易なデータコピー制御

企業の訴求ポイントは、今後、開発力やコストパフォーマンスだけでなく、確実に「リスク対策力」も重要になります。IT統制＝市場競争力をアップさせる先行投資と考えることが必要です。

いかがでしょうか、今後の委託業務の強化ポイントをご理解いただけたでしょうか。
クオリティのツールを有効活用すれば、委託元と委託先のIT環境を同等のセキュリティレベルに維持することも可能です。
ぜひテクノロジーサイトでご確認ください。Dr.QがITサプリをお届けしました。

なお、現在クオリティでは、今回ご紹介した「システム管理基準の管理項目と統制目標の対応」をベースに「内部統制チェックテスト2」を公開しています。
質問に答えることで、御社のIT 統制の到達度をチェックできます。ぜひトライしてください。