ドクターQがお届けするIT統制ブログ　ITサプリ

経済産業省からリリースされた「システム管理基準 追補版(財務報告に係るIT統制ガイダンス)」(※以下、追補版)は、内部統制に対応したシステム強化を検討する上で役に立つ資料です。

当ブログでは、この追補版の付録として巻末に掲載され、システム強化ポイントの例示も豊富な「付録2．システム管理基準の統制目標」に注目して連載を行なっています。(「付録2.システム管理基準の統制目標」は追補版PDFの99ページに掲載されています)

今回でラストとなる本シリーズの最後の解説は、前回に引き続き、共通業務／委託・受託の章で取り上げられている「受託業務」に関する管理項目と、その趣意に着目します。

◎趣旨(目的)
受託業務の内容を過不足なく実施するため、受託業務の実施内容は、契約書に記載された内容と一致させる必要がある。

受託業務では、4つのポイントが取り上げられています。その中でも趣旨が明確でシステムの強化ポイントが分かりやすいのは(2)と(4)の2つです。今回はその中でも、(4)に着目します。

(4)契約に基づき、受託業務終了後、提供されたデータ、資料、機材等を返却又は廃棄すること。

◎趣旨(目的)
業務終了後、不正防止、機密保持の観点から受託業務で提供されたデータ、資料等の回収及び廃棄の確認を行う必要がある。

◎今後の強化ポイント
従来は、業務のためクライアントから提供されたデータの消去に関して、明確なルール等定めていなかった企業も、今後は本当にデータが破棄されたことを証明するための体制整備が不可欠となります。

◎ハードディスク消去ツールによる受託業務担当PC内のデータ消去
◎HD消去証跡の作成と、お客様への提出

上記2点の対応が必要です。もちろん、機密データの消去と同様に、下記の3点への対応も同時に必要となります。

◎機密データに対するアクセス制御および機密データ専用の配信・管理システム
◎Winny、Win-MX、ShareなどのP2Pソフト検出体制の整備
◎クライアントPCに対する脆弱性監査によるセキュリティホール発生リスク低減

いかがでしょうか、今後の委託業務の強化ポイントをご理解いただけたでしょうか。
クオリティのツールを有効活用すれば、委託元と委託先のIT環境を同等のセキュリティレベルに維持することも可能です。
ぜひテクノロジーサイトでご確認ください。Dr.QがITサプリをお届けしました。

なお、現在クオリティでは、今回ご紹介した「システム管理基準の管理項目と統制目標の対応」をベースに「内部統制チェックテスト2」を公開しています。
質問に答えることで、御社のIT 統制の到達度をチェックできます。ぜひトライしてください。