ドクターQがお届けするIT統制ブログ　ITサプリ

リリースからわずか1ヶ月で、早くも内部統制に向けた情報システム強化のスタンダードになりつつある、「システム管理基準 追補版(財務報告に係るIT統制ガイダンス)」(※以下、追補版)。

追補版は金融庁からリリースされている「財務報告に係る内部統制の評価及び監査に関する実施基準(公開草案)」と比較して、統制活動に関する具体例が多数掲載されており、システム強化のポイントを明確に理解できます。そこでITサプリでは、追補版の各項目をさらに分かりやすく解説していきます。

シリーズ4回目の今回は、「③.IT全般統制／(3) 内外からのアクセス管理等のシステムの安全性の確保：②.アクセス管理等のセキュリティ対策」のポイントを解説しましょう。アクセス管理等のセキュリティ対策では、アクセス制御、パスワードの管理、ネットワークアクセスの制御、オペレーティングシステムのアクセス制御という、4つの対策が重視されています。追補版ではアクセス管理において想定されるリスクと、その対策としてIT統制(対応策)が豊富に例示されています(Ⅳ章33ページ(PDFの70ページ目)：【統制の例と統制評価手続の例】)。今回はその中でも、情報システムに対するニーズが明確な4つの例示に注目したいと思います。

■リスクの例(1)■
適切な認証がないと、データヘの改ざんや不正な参照が起きる。

↓↓↓↓↓↓↓

○統制の例○
すべての担当者の認証及びアクセス制御機能が存在し、アクセスが記録されている。

■リスクの例(2)■
担当者のアカウントの発行、停止等の管理がなされていないと不正使用されて、データヘの改ざんや漏えいが起きる。

↓↓↓↓↓↓↓

○統制の例○
担当者のアカウントの申請、設定、発行、一時停止、廃止に関する手続が存在しており、手順に従って適時に処理されている。

■リスクの例(3)■
適切なアクセス制御機能がなく、データヘの改ざんや不正な参照が起きる。

↓↓↓↓↓↓↓

○統制の例○
アクセス権に関して適宜見直して、確かめるための統制プロセスが存在し、これに従っている。

■リスクの例(4)■
インターネットを利用する場合は不正侵入対策が実施されている。

↓↓↓↓↓↓↓

○統制の例○
電子商取引等にインターネット等外部のネットワークを利用する場合には、ファイアウォール、侵入検知システム等が用いられている。さらに、脆弱性評価の結果によるパッチ等の適切な統制が存在して、不正アクセスを防いでいる。

以上、4つの例示から、全社的なアクセスログの取得と、ID・パスワード管理、またクライアントPCに対する脆弱性監査というシステム強化のポイントが明確になったと思います。

そして、それら3つの統制活動の実行状況を定期レポート化できる体制の整備が不可欠であることが分かります。さらにに解説すると、下記の機能強化が要求されることが推測できます。

◎ファイル、アプリケーション、サーバに対するアクセスログ取得と、全クライアントPCの操作ログ取得
◎セキュリティポリシ違反のPC(未登録PC、私物PC含む)による基幹システムへのアクセス拒否
◎セキュリティポリシ違反PCを隔離して検査を行い、問題があれば治療できる、検疫ネットワーク機能
◎ID・パスワードの運用管理機能
◎OSのセキュリティパッチの漏れのないインストール
◎ウイルス対策ソフトの定義ファイルの漏れのないインストール

貴社のIT統制の導入準備は万全でしょうか？
上記に掲載した統制活動を実施することで、リスクを確実に軽減できます。
ひとつひとつ確実にITセキュリティ整備を行うことで、強固な内部統制を確立してください。
もちろん、Dr.Qもしっかりお手伝いします。

■特設サイト「内部統制Ｑ救室」はこちら>>　内部統制Ｑ救室

クオリティから、新技術の話からITの活用が明記された新法制度の解説や動向など、
情報システムご担当者様の仕事に役立つ情報をお届けするメールマガジン「情報システムQ救隊」を配信中。購読は無料ですのでぜひご購読ください。※配信は「まぐまぐ」を利用しています。

1月19日、経済産業省から「システム管理基準 追補版(財務報告に係るIT統制ガイダンス)」(以下、追補版)が公開されました。

その内容は、金融庁の「財務報告に係わる内部統制の評価および監査に関する実施基準 草案」(以下、実施基準案)を補完し、システム部門が実施すべき項目が、分かりやすく解説されています。とはいえ、追補版は約150ページのボリューム。そこで、今回から新たなシリーズ「徹底解説!! 財務報告に係わるIT統制ガイダンス」をスタートさせます。

まず、第1回目の今回は、追補版を読み解く上で必要になる、用語を解説したいと思います。追補版で新たに追加された用語もあります。実際に追補版では、第一章で各用語の概念が解説されています。その概念をベースに進めたいと思います。

■IT統制
今回の追補版では、「IT統制」の概念が明確化されました。IT統制に含まれるのは、ふたつです。金融庁の実施基準案では、「ITへの対応」が、1)IT環境への対応、2)ITの利用、3)ITの統制と、3つのカテゴリーで解説されましたが、IT統制の概念には、2)と3)の双方が含まれます。

※補足解説
1)IT環境への対応　(社内外のITの活用状況)
2)ITの利用　(財務情報の信頼性に係る内部統制の実現におけるITの利用)
3)ITの統制　(ITを利用した情報システムに対する内部統制)

また追補版では、IT統制が、次の3つに分類され、それぞれの概念が明確化されています。

■IT全社的統制
企業の統制が全体として有効に機能する環境を保証するためのITに関連する方針と手続等、情報システムを含む内部統制。

■IT全般統制
業務処理統制が有効に機能する環境を保証するための統制活動を意味しており、通常、複数の業務処理に関係する方針と手続のうち、IT基盤を単位として構築する内部統制。

■IT業務処理統制
業務を管理するシステムにおいて、承認された業務がすべて正確に処理、記録されることを担保するために業務プロセスに組み込まれたITに係わる内部統制。

さらに、金融庁の実施基準案で解説がなかったIT基盤に関しても、今回の追補版で概念が明確化されています。

■IT基盤
ITに関与する組織の構成、ITに関する規程及び手順書等、ハードウェアの構成、ソフトウェアの構成、ネットワークの構成、外部委託の状況。

追補版を理解する上でポイントになるのは、上記の5つです。それでは次回から、追補版の中身を解説していきますのでお楽しみに。

さて、クオリティでは、ユーザID・パスワード管理やアクセスログデータの取得、アプリケーション起動記録などに有効な、内部統制システム構築に最適なツールを多数ご用意しています。また12月1日より内部統制に関する特設サイト「内部統制Ｑ救室」もオープンしました。ぜひ一度、お立ち寄りください。

■特設サイト「内部統制Ｑ救室」はこちら>>　内部統制Ｑ救室

クオリティから、新技術の話からITの活用が明記された新法制度の解説や動向など、情報システムご担当者様の仕事に役立つ情報をお届けするメールマガジン「情報システムQ救隊」を創刊しました。購読は無料ですのでぜひご購読ください。※配信は「まぐまぐ」を利用しています。

「MIJSコンソーシアム」が主催するイベント“MIJSカンファレンス「Japan」2007”
が、「MIJSが日本のソフトウェアビジネスを変える」をテーマに、東京コンファ
レンスセンター品川にて2007年2月1日(木)に開催されます。

今回のカンファレンスにおいて、クオリティは【製品連携セッションB-5】にて、株式会社ビーエスビーの「Loganizer」と連携した監査証跡ソリューションをご紹介いたします。

本ソリューションは「MIJSカンファレンス B-5製品連携セッション５で発表いたします。

【詳細・申込はこちら】
http://www.mijs.jp/conference/070201.html
※お申込みの際には、セミナー認知経路欄で「クオリティ」を選択いただけますようお願いいたします。

カンファレンスには、基調講演としてソフトブレーン株式会社マネージメントアドバイザーの宋 文洲氏や、「プロジェクトＸ」の生みの親、日本放送協会エグゼクティブ・プロデューサ、今井 彰氏の講演が予定されているほか、参加企業による【製品連携トラック】の展示、著名な出演者によるパネルディスカッションも予定されています。

【B-5製品連携セッション５】 15:30-15:55
「監視証跡ソリューション（QAW/QND、Loganizer連携ソリューション）」各企業に存在する多数のPCとサーバには、企業活動を支える重要なデータベースや個人情報が散在しています。これらの情報漏えいと不正アクセスを抑止するとともに、万が一の場合に原因調査や査証追跡を支援するソリューションをご提案します。
（講演：株式会社ビーエスピー）

【クオリティ出展内容】
・QNDインテル「vPro」対応ソリューション
・監視証跡ソリューション（QAW/QND、Loganizer連携ソリューション）

【MIJSカンファレンス「Japan」2007 開催概要】
・日程　　：2007年2月1日(木)　10:30～ (10:00 受付開始)
・会場　　：東京コンファレンスセンター品川 5F
・最寄駅　：JR山手線・京浜東北線・東海道線・横須賀線「品川」駅または京浜急行「品川」駅から徒歩約5分
・参加費用：無料
・主　　催：MIJSコンソーシアム
・協　　賛：日本アイ・ビー・エム株式会社
　　　　　　：日本オラクル株式会社
　　　　　　：日本BEAシステムズ株式会社
　　　　　　：マイクロソフト株式会社
　　　　　　：インテル株式会社
　　　　　　：デル株式会社

【詳細・申込はこちら】
http://www.mijs.jp/conference/070201.html
※お申込みの際には、セミナー認知経路欄で「クオリティ」を選択いただけますようお願いいたします。

いよいよ公開間近となった「財務報告に係る内部統制の評価及び監査に関する実施基準」。しかし、公開を待ってからの準備開始では遅すぎます。この期間でまずすべきことは、内部統制が情報システムに要求する機能を正確に把握し、現状のシステムとの差分をクリアにすることです。

そこで本シリーズでは、現在金融庁のWebサイトで公開中の「財務報告に係る内部統制の評価及び監査に関する実施基準(公開草案)」に記載されている、「財務報告に係る全社的な内部統制に関する評価項目の例」に注目。それらの評価項目を通して、情報システムの整備・強化ポイントを把握することを目的に進めています。

さてシリーズ5回目の今回は、「情報と伝達」に関する評価項目をチェックしたいと思います。財務報告に係る全社的な内部統制に関する評価項目の例／“情報と伝達”には、以下の6項目があげられています。 このうち、全社的な情報システムに対してニーズが明確なのは、1）、それから3）、4）の3項目です。

1）信頼性のある財務報告の作成に関する経営者の方針や指示が、企業内のすべての者、特に財務報告の作成に関連する者に適切に伝達される体制が整備されているか。

↓↓↓↓↓↓↓

情報システムには、経営者の内部統制に関するメッセージなどを全社員に対して、確実に配信し、また把握させる機能が重要になります。

◎強制POP-UP画面表示機能
◎ファイルの操作ログ取得

などが不可欠になります。特に、ファイルの操作ログを取得することで、「社員に対して配信された社長メッセージが確実に閲覧されているか」をチェックできます。逆に閲覧していない社員のチェックも可能になります。

3）内部統制に関する重要な情報が円滑に経営者及び組織内の適切な管理者に伝達される体制が整備されているか。
4）経営者、取締役会、監査役又は監査委員会及びその他の関係者の間で、情報が適切に伝達・共有されているか。

↓↓↓↓↓↓↓

これらの2項目は共通して、客観的な監査レポートの定期作成を要求していると思われます。レポートを通じて、社内の統制活動の有効性を立証することが可能になります。監査委員会が要求するのは、下記のレポートが統合された監査レポートになるでしょう。

◎ユーザID・パスワード管理状況解析レポート
◎重要アプリケーションへのアクセスログ解析レポート
◎機密文書の操作ログ解析レポート
◎不正アプリケーション起動記録解析レポート
◎セキュリティソフトのパッチ適用状況解析レポート
◎個人情報ファイルの運用状況解析レポート
◎セキュリティポリシ違反PCの接続拒否状況解析レポート

有効性を立証するだけでなく、監査レポートの分析によって、社内に潜むリスクを解析できます。また将来的に必要になる対応策の検討も可能になります。

いかがですか。今後の準備期間でのシステム強化ポイントなどが、少しクリアになったでしょうか。

さて、クオリティでは、ユーザID・パスワード管理やアクセスログデータの取得、アプリケーション起動記録などに有効な、内部統制システム構築に最適なツールを多数ご用意しています。また12月1日より内部統制に関する特設サイト「内部統制Ｑ救室」もオープンしました。ぜひ一度、お立ち寄りください。

■特設サイト「内部統制Ｑ救室」はこちら>>　内部統制Ｑ救室

次回は、「財務報告に係る全社的な内部統制に関する評価項目の例／情報と伝達」についてご紹介します。Dr.QがITサプリをお届けしました。

クオリティから、新技術の話からITの活用が明記された新法制度の解説や動向など、情報システムご担当者様の仕事に役立つ情報をお届けするメールマガジン「情報システムQ救隊」を創刊しました。購読は無料ですのでぜひご購読ください。※配信は「まぐまぐ」を利用しています。

上場企業にとって、2007年は内部統制元年。この準備期間を制する者が、内部統制を制すると言っても過言ではありません。事実、もうすぐ「財務報告に係る内部統制の評価及び監査に関する実施基準」も公開されます。

本シリーズは、金融庁のWebサイトで公開中の「財務報告に係る内部統制の評価及び監査に関する実施基準（公開草案）」記載の、「財務報告に係る全社的な内部統制に関する評価項目の例」にフォーカスを当て、いま一度、情報システムの整備・強化ポイントの把握を目的に進めています。

シリーズ4回目の今回は、「統制活動」に着目します。「財務報告に係る全社的な内部統制に関する評価項目の例／統制活動」には7項目があげられていますが、詳細は金融庁のWebサイトを参照していただくことにして、ここでは、全社的な情報システムに対してニーズが明確な、5）、6）、7）の3項目について解説します。

5）統制活動は業務全体にわたって誠実に実施されているか。
6）統制活動を実施することにより検出された誤謬等は適切に調査され、必要な対応が取られているか。
7）統制活動は、その実行状況を踏まえて、その妥当性が定期的に検証され、必要な改善が行われているか。

↓↓↓↓↓↓↓

3つの項目が総じて要求するのは、社内の統制活動の有効性を立証できる、客観的な監査レポートだと考えられます。下記に記した６つの項目に関する監査レポートを定期的に作成、またチェックできる体制の整備が必要になるでしょう。

◎重要アプリケーション(DB)へのアクセス記録
◎ID・パスワードの利用記録
◎利用禁止アプリケーション起動記録
◎機密文書の活用記録
◎個人情報ファイルの管理記録
◎セキュリティポリシ違反クライアントPCのアクセス記録

特に、項目6）には、「誤謬等は適切に調査され、必要な対応が取られているか。」との指摘があることから、監査サポートの自動作成機能を整備することが極めて重要です。監査レポートは、有事の場合、原因究明の証跡としても有効活用できる訳です。

内部統制では、監査データやレポートによって、その有効性を立証することが求められます。いかがですか。今後の準備期間でのシステム強化ポイントなどが、少しクリアになったでしょうか。

さて、クオリティでは、ユーザID・パスワード管理やアクセスログデータの取得、アプリケーション起動記録などに有効な、内部統制システム構築に最適なツールを多数ご用意しています。また12月1日より内部統制に関する特設サイト「内部統制Ｑ救室」もオープンしました。ぜひ一度、お立ち寄りください。

■特設サイト「内部統制Ｑ救室」はこちら>>　内部統制Ｑ救室

次回は、「財務報告に係る全社的な内部統制に関する評価項目の例／情報と伝達」についてご紹介します。Dr.QがITサプリをお届けしました。

クオリティから、新技術の話からITの活用が明記された新法制度の解説や動向など、情報システムご担当者様の仕事に役立つ情報をお届けするメールマガジン「情報システムQ救隊」を創刊しました。購読は無料ですのでぜひご購読ください。※配信は「まぐまぐ」を利用しています。

11月7日、金融庁は同庁のWebサイトに日本版SOX法の実施基準案を
公開しました。基準確定までにはまだ若干の猶予はありますが、
内部統制システム構築の準備期間は確実に短くなっています。

本シリーズを通して、「内部統制とは何なのか」をいま一度正確に理解し、
「現行システムの機能と運用方法に何が足りないのか」をしっかり把握
することが大切です。さて3回目の今回は、「リスクマネジメントとしての
セキュリティ」に関して解説することにしましょう。

内部統制を通して、企業には「不正やごまかしを一切許さない、
社内管理・点検体制の整備」が要求されます。
こうした健全な企業風土を構築するために不可欠な要素が、
「リスクマネジメント」です。内部統制を成功させることは、
企業としてのリスクマネジメントを強化することに直結します。

リスクマネジメントという観点から、「セキュリティ」もまた内部統制に
おいて特に重視すべき点です。今回は、その中でも情報漏洩と
不正行為の原因となる可能性の高い、ユーザIDとパスワード管理に
フォーカスを当ててみましょう。

内部統制システムのユーザIDとパスワード管理で最も重要なのは、
ユーザの正当性確認機能を強化することです。

■ユーザIDとパスワード管理における主な強化機能

機能面では、具体的に下記のポイントを強化することが
内部統制システムに必須と言えます。

• ユーザIDとパスワードの発行・登録手続は、人事部門の情報とリンクさせる。
• 退職者のID・アクセス権の削除を、適切なタイミングで行う。
• 上記退職者のID・アクセス権の削除に関して、明確な社内ルールを作成。
  それに則って運用する。
• 複数の利用者間でユーザIDやパスワードで共有できない機能を整備する。
• パスワードファイルは、必ず暗号化して保存し、たとえシステム管理者で
  あっても、見ることができないようにする。
• 基幹システムへアクセス時、入力パスワードを一定回数間違えた場合は、
  アクセスできないように徹底する。
• 外部・内部から、アタックと思われる事象が発生した場合は状況が
  自動的にレポート化され、管理者に適宜報告される仕組みを整備する。

上記以外にも様々な機能強化が必要視されますが、こうした管理機能を
情報システムに追加採用することで、新法に対応した内部統制システムを
構築できると思われます。

クオリティでは、不要なアカウントや簡易なパスワードなどの脆弱性を
診断するツールをご用意しています。
テクノロジーサイトへぜひ一度アクセスしてみてください。

Dr.QがITサプリメントをお届けしました。

クオリティではメールマガジン「Q-NEWS」を毎週配信中。今回ご紹介した
ドキュメント管理に関するツールなど、即役立つ情報を無料で手に入れる
ことができます。ただいまプレゼントが当たる、キャンペーン実施中です。

日本版SOX法が要求する「内部統制とは何なのか」を今一度正確に理解する
ことで、「現行システムの機能と運用方法に何が足りないのか」をしっかり
把握して、準備期間の作業内容をクリアしていただくことを目的にスタートした、
今シリーズ。

2回目の今回は「モニタリングの重要性」についてです。

モニタリングは、内部統制システムの目的を達成するために不可欠な要素。
内部統制基準の中で、モニタリングは次のように定義されています。

「内部統制が有効に機能していることを継続的に評価するプロセスをいう。
モニタリングにより、内部統制は常に監視、評価及び是正されることになる。」

つまり、内部統制用のシステムが随時その機能と効果を発揮し続けるように
監視することが重要になる訳です。これを情報システムに当てはめてみると、
「監視機能」と「データ化」の2つの強化が要求されていると考えられます。

1／監視機能

監視機能の具体例として、次のような機能が考えられます。

• セキュリティポリシー違反のPCを基幹システムにアクセスさせない監視
• 個人情報を含む重要ファイルの管理方法に対する定期的な確認
• 機密文書の配信時における、パスワードロック等の漏洩防止策採用状況の定期的な確認
• 機密ファイルに対して不正アクセスをさせない監視
• 従業員のコンプライアンスマニュアルの理解と遵守状況に関する定期的な確認

上記以外にも様々な具体例が予想されますが、こうした監視機能を情報システム
に追加採用することで、新法に対応した内部統制システムを構築できると
思われます。

2／データ化

モニタリングは、その全ての結果がデータ化される必要があります。
例えば機密ファイルに対する操作ログが、不正行為の原因究明に多いに
役立ちます。またWinnyなど、P2Pソフト（ファイル交換ソフト）の起動記録が、
社員のコンプライアンス意識分析に活用できます。
モニタリングデータは、社内の問題を明確にできるのです。
内部統制担当者の間で積極的にデータを共有して、
有効活用していくことが重要でしょう。

さて、クオリティでは、こうしたモニタリングに最適なツールを多数
ご用意しています。テクノロジーサイトへぜひ一度アクセスしてみてください。

いかがでしょうか。現行システムの課題が少しクリアになったでしょうか。
一つ一つ着実に対策を講じ、強固な内部統制システムを確立してください。
もちろん、Dr.Qもしっかりお手伝いします。

次回は、「内部統制のホント3/5：リスクマネジメントとしてのセキュリティ」に関して
解説します。 Dr.QがITサプリメントをお届けしました。

クオリティではメールマガジン「Q-NEWS」を毎週配信中。今回ご紹介した
ドキュメント管理に関するツールなど、即役立つ情報を無料で手に入れる
ことができます。ただいまプレゼントが当たる、キャンペーン実施中です。

"セキュリティマネジメント"をテーマに据えて、情報セキュリティの現状をお伝えしている当シリーズ。今回は「セキュリティマネジメント」について考えてみましょう。

「マネジメント」は、一般的に経営や管理と訳されますが、本質的には必要な諸条件を整えて維持し、さらなる成長を目的とした戦略の立案・決定・実行することを指します。その手法をセキュリティにも適用し、セキュリティの向上を目指しているのが「セキュリティマネジメント」です。

　「セキュリティマネジメント」は、企業が情報を適切に管理し、機密を守るためのカギとなる重要なものです。「ISMS(情報セキュリティマネジメントシステム)適合性評価制度」などが注目されているのもセキュリティに対する関心の表れでしょう。

ISMSは、財団法人日本情報処理開発協会が推進するセキュリティ対策の完成度を第三者が評価する制度です。ISMSは評価基準として、10の管理分野と、36の管理目的、127の管理策から構成される「JIS X 5080」がベースとなっています。

　ISMSでは、まず作成したセキュリティポリシーに基づいて、情報セキュリティ対策の具体的計画、方針を策定します(Plan)。次に、その計画に基づいてセキュリティ対策の実施・運用を行って(Do)、実施した結果を監査します(Check)。最後に経営陣による見直しを行い、改善するサイクルを継続的に繰り返すことで(Action)、情報セキュリティレベルの向上を図ります。

　企業や自治体の中には、「ISMS」を取得していない企業との取引を行わないというケースも増えてきていると聞きます。今後企業がスムーズに他社と取引を行うためには「ISMS」の取得が必須となる時代がやってくるかもしれません。

以上、Dr.QがITサプリメントをお届けしました。
次回は「ISMSが提唱するPDCAモデル」に関してお話します。

クオリティではメールマガジン「Q-NEWS」を毎週配信中。今回ご紹介したドキュメント管理に関するツールなど、即役立つ情報を無料で手に入れることができます。ただいまプレゼントが当たる、キャンペーン実施中です。

セキュリティ＝生産性の低下は本当？

社内の「セキュリティ」を強化すると、社員は「禁止」されることが増えて、作
業効率や生産性が大幅に低下すると思われがちです。しかし、本当に「セ
キュリティを強化すると生産性が低下」するのでしょうか。

　確かに、セキュリティを向上させるために「USBメモリや外部メディアの利
用禁止」、「ノートパソコンの持ち出し禁止」などの制限を設けて、情報漏え
いリスクを低減させるというソリューションも存在します。こういったソリュー
ションは、情報を「出さない」という面では非常に優れています。しかし、機密
情報の如何に関わらず情報をすべて持ち出せないのでは、生産性が低下
するのは当然です。

　生産性が低下する主な要因は、守るべき情報と守らなくてもいい情報を分
類していないという点に起因します。情報を整理しないまま、それも全社一斉、
一律のセキュリティポリシーによって「禁止」してしまっているため、生産性を
大幅に低下させるという事態が引き起こるのです。

　つまり、「生産性が低下する」のは、社内の状況を把握する前に、全社的
に厳しいセキュリティ対策が施され、大幅な運用制限を実施していることが
原因です。セキュリティソリューションの導入により、生産性・運用性が低下
すれば、企業活動が鈍化し、業務効率は低下します。これによって、たとえ
情報漏えいを防ぐことができたとしても、肝心のビジネスがうまくいかないの
であれば意味がありません。作業者にとっても経営者にとっても、こういった
状況が大きな問題となりつつあります。

　「禁止」に軸足をおいたソリューションを適切に利用すれば、強固なセキュ
リティ環境を構築することができます。しかし利用方法をひとつ間違えると、
持ち出してもいい情報まで持ち出せなくなるという不条理な事態を招くことに
なり、企業内の情報のやり取りまでもが困難となってしまいます。このような
トラブルは、セキュリティのPDCAサイクルに代表されるセキュリティマネジメ
ント、「Plan（計画）-Do（実施）-Check（点検）-Action（処置）」を適切に行なわ
なかったために生じるケースが多いようです。

　また、個人情報などを含む「機密情報」や「重要情報」、漏えいしても問題と
ならない「一般情報」など、その情報の重要度に応じた分類をせずに、すべて
の情報をひとまとめにして処理してしまった結果、業務効率が大幅に低下す
るというトラブルも増えてきているようです。
　また、情報にはライフサイクルが存在するということも忘れてはなりません。
ある一定の時期はトップシークレットとして扱われていても、その期間を過ぎ
れば一般に公開されたり、廃棄可能となる情報は多いです。その際、情報を
適切な方法で処理し、情報の漏えいを防ぐことも必要です。このような情報の
ライフサイクルまで含め、作成から運用、廃棄まで管理するソリューションを
使うことで、初めてうまく運用できるといえるでしょう。

なおクオリティでは、USBメモリなど外部記憶媒体からのデータ利用は許可し
たまま、外部記憶媒体へのデータコピーを禁止、すぐに情報漏えい対策を実
現できる『eX WP』をご用意しております。
『eX WP』は利便性を高めるために、書き出しを一時解除する機能を有してい
ます。この一時解除機能は、クライアントPC利用者自身で実行できず、システ
ム管理者管理の許可の下でのみ実行されます。また、『eX CLT』と連携させる
ことで、書き出しを一時解除した際の操作ログを記録することも可能です。

>>『eX WP』、『eX CLT』に関する詳細はクオリティ Webサイトをご覧ください。
   >>コンピュータセキュリティ 対策 - クオリティ株式会社

クオリティではメールマガジン「Q-NEWS」を毎週配信中。今回ご紹介したドキュメント管理に関するツールなど、即役立つ情報を無料で手に入れることができます。ただいまプレゼントが当たる、キャンペーン実施中です。

日本版SOX法に適用する、より安全性の高いシステム構築に向けての具体的な対策、第17回目です。

さて、今回は個人情報の利用と加工における統制活動に関して解説しましょう。

ホームページやフィードバックハガキによって集められた個人情報は、性別や年齢別に分類したり、居住地で絞り込んだりしながら、マーケティング活動や販促活動の有効なソースに変移します。こうしたプロセスを、個人情報の利用と加工と位置づけます。ここで重要なポイントはふたつ。企業は、取得した個人情報を取得時に通知した利用目的以外に利用できません。また、本人の同意なく第三者へ情報を提供することもできません。
個人情報を利用して加工する段階でも、様々なリスクが存在しています。それでは、どのようなリスクが存在して、どのような統制活動が必要なのか、具体的に解説しましょう。

■個人情報の利用と加工におけるリスク

大きく分けて、下記の3つのリスクが想定できます。
◎取得時に通知してない目的で利用してしまうリスク
◎本人の同意を得ずに、個人情報を第三者へと提供してしまうリスク
◎利用・加工段階の不適切な取扱いによって個人情報が漏洩してしまうリスク

いずれも個人情報保護法に抵触する恐れがあります。ケースによっては、カード偽造などの犯罪へと発展する可能性もあり、企業の信頼性維持の面からも非常に重視すべきリスクと言えます。

■個人情報の利用と加工における統制活動

前述のようなリスクを軽減させる具体的な統制活動は下記の4つがあります。

1：利用および加工に関するルールの明確化

下記のような社内ルールを明文化し、全社員への通達と教育を徹底することが重要です。
◎取得時に通知してない目的での利用禁止(二次利用禁止)
◎個人情報を社外に持ち出す際の許可手続

2：IT統制

ルールに頼るだけでなく、つぎのようなIT統制もリスク軽減で有効的です。

◎不正アクセス対策（個人情報のファイル自体にアクセス制御を施し、仮にデータが第三者に渡った場合もファイルを閲覧できないシステムの構築）
◎受け渡し対策（個人情報受け渡し専用の暗号化などを施した安全性の高いシステムの構築）
◎P2Pソフト(ファイル交換ソフト)対策（WinnyなどのP2PソフトがインストールされたクライアントPCでは、個人情報が受け取れない仕組みを持ったシステムの構築）
◎データ持ち出し対策（CD-Rやフラッシュメモリなどの外部記憶デバイスを使って社外にデータを持ち出させないシステムの構築）

3：確認用フローチャートの確立

個人情報が、いつ、だれによって、どのように利用され、また加工されているかを確認することも重要です。対策例として、確認用のフローチャートを作成し、作業記録を保管するなどの手法が考えられます。
フローチャートには、項目には最低でも下記の5つを含めることが要求されるでしょう。

◎利用者名
◎利用期日
◎利用目的(加工目的)
◎利用後(加工後)の保管体制
◎責任者認証

4：管理者による定期的な確認作業

個人情報の利用と加工に関わる各部署の責任者が、個人情報の利用と加工における社内ルール遵守状況を定期的に確認します。

いかがでしょう
このような統制活動を実施することで、リスクを確実に軽減できます。
御社は大丈夫でしょうか。
ひとつひとつ確実に整備することで、強固な内部統制を確立してください。
もちろん、Dr.Qもしっかりお手伝いします。

次回は、「個人情報の保管における統制活動」に関して解説します。
Dr.QがITサプリをお届けしました。

なお、クオリティではメールマガジン「Q-NEWS」を毎週配信中。今回ご紹介したドキュメント管理に関するツールなど、即役立つ情報を無料で手に入れることができます。ただいまプレゼントが当たる、キャンペーン実施中です。

内部統制に対応した、より安全性の高いシステム構築に向けての具体的な対策、第16回目です。

さて、今回は個人情報取得における統制活動に関してです。

企業のマーケティング活動や販促活動にとって、個人情報の取得は非常に重要です。しかし一方で、個人情報保護法を遵守することも不可欠です。コンプライアンスの観点から、個人情報の取得にあたっては、その利用目的をクリアにすることが要求されます。例えばIT系企業にとって、メールマガジンの会員登録と、セミナーやイベント情報を告知するダイレクトメールの発送は全く別の目的です。登録時に通知することなく、ダイレクトメールを勝手に送付できません。
個人情報取得の段階でも、様々なリスクが存在しています。それでは、具体的にどのようなリスクが存在して、どのような統制活動が必要なのか、具体的に解説しましょう。

■個人情報取得におけるリスク
大きく分けて、下記の3つのリスクが想定できます。
◎利用目的を未通知で取得してしまうリスク
◎間違った利用目的を通知して取得してしまうリスク
◎不適切な方法で取得してしまうリスク

■個人情報の取得における統制活動
前述のようなリスクを軽減させる統制活動として、具体的に下記の4つをあげることができます。

1：取得ルールの明確化
取得にあたって、下記のように方針や手続きを明確にし、全社員へ教育を徹底する必要があります。
●全社統一のプライバシーポリシー(個人情報の取り扱いに関する基準・方針)を明文化する
●個人情報を新規に獲得する場合は利用目的や通知内容に関して、法務セクションなどの管理部門に対して必ず事前確認を行う
●個人情報の取得状況を安全性の高いデータベースで管理する
●社内での個人情報の利用状況と利用目的の通知内容を定期的に見直す

2：登録者への通知を徹底でき、かつ安全性の高いホームページ構築
現在では、ホームページ経由で個人情報を登録するケースが大半です。個人情報を取得するためには、登録前に必ず自社のプライバシーポリシーを通知することはもちろん、つねにプライバシーポリシーを閲覧できるようにホームページを構成する必要があります。合わせて、SSLの導入といった安全性を確保することも重要です。プライバシーポリシーには、具体的に下記の内容が網羅されていることが望ましいと思われます。

※個人情報保護方針
※個人情報の利用目的について
※個人情報の外部委託先への開示について
※個人情報の第三者提供について
※開示等の求めに応じる手続き等
※個人情報に関するお問い合わせ窓口
※クッキー(Cookie)について
※SSLについて
※お客様のアクセスログ・履歴情報について

3：職務の分離化
職務を分離させることでチェック機能の二重化が可能になり、リスクを軽減できます。
※個人情報の取得(例：営業部)
※利用目的の通知内容と通知方法に関する確認(例：法務部)

4：管理者による定期的な確認作業
営業部などの管理者が、個人情報の利用目的の通知状況を定期的に確認

このような統制活動を実施することで、リスクを確実に軽減できます。
あなたの企業は大丈夫でしょうか。
ひとつひとつ確実に整備することで、強固な内部統制を確立してください。
もちろん、Dr.Qもしっかりお手伝いします。

次回は、「個人情報の利用と加工における統制活動」に関して解説します。
Dr.QがITサプリをお届けしました。

なお、クオリティではメールマガジン「Q-NEWS」を毎週配信中。今回ご紹介したドキュメント管理に関するツールなど、即役立つ情報を無料で手に入れることができます。ただいまプレゼントが当たる、キャンペーン実施中です。

今回は最終回として、まとめのお話をしたいと思います。

これまでWinnyによる情報漏洩対策として以下の5つのポイントを紹介しました。
１：「ユーザPCの現状把握」が必要
２：「禁止ソフトを起動させない」体制が必要
３：「機密データを持ち出させない」体制が必要
４：「機密ファイルが流出しても情報は漏らさない」体制が必要
５：「私物PCを持ち込ませない」体制が必要

そして、それぞれの課題に対する５つのソリューションをあげました。

１：→ IT資産管理ソフトを用いたユーザPCの状況の一元管理
２：→ IT資産管理ソフトを用いた禁止ソフトの起動制御
３：→ 外部記憶デバイスへのデータの書き込みを禁止するツールの活用
４：→ ファイルアクセス制御ツールの活用
５：→ 私物PCの勝手な持ち込みを規制する体制の構築

以上の点をご参考に、Winnyをきっかけとして、全方位に万全なセキュリティ体制を構築されることをお勧めします。

最後に「Winny対策相談室」のお知らせです。
現在クオリティでは、Winnyによる情報流出対策のご提案として「Winny対策相談室（無料）」を実施しております。ソフトウェアの動作や効果は、紙面や口頭での説明ではなかなか把握しづらいものです。「Winny対策相談室」は、弊社ソリューション・ラボにて、ソフトウェアの動作や効果を目の前でご紹介します。

詳細は「Winny対策相談室【無料】 」をご覧ください。

今回は、第6回、情報漏洩対策として「私物PCを持ち込ませない体制」についてお話します。

これまでの記事は職場のPCを想定した話題でしたが、今回は私物のノートパソコンを職場に持ち込んで作業をする場合の対策です。

職場で私物PCを使い業務をおこなった後、そのまま自宅に持ち帰ったPCでWinnyを利用し、そこからウイルスに感染し機密情報や個人情報データが流出する事件が後を絶たちません。
これらのケースから、職場での私物PCの使用はとても危険なものだということがお分かりでしょう。

しかし、過去、官公庁や企業などが、予算の関係で業務用PCを貸与できなかったため、やむを得ず私物PCを職場に持ち込んで業務をおこなっていたことがあったようです。
また、私物PCの職場での利用を禁止した後でも、私物PCを職場に持ち込んでいるという話をいまだに聞きます。

そこで、Winnyの事件に限らず情報流出リスク低減のための対策には、職場に私物PCを持ち込ませず、職場内のネットワークに接続させないことが重要です。