SAAJ近畿支部第117回定例研究会報告(報告者:小河裕一)

SAAJK-20100115-01(1) 日時 : 平成22年1月15日(金)19:15~20:30
(2) 場所 : 大阪大学中之島センター 2階 講義室1
(3) テーマ : 「コンプライアンスのシステム監査」
講師 : 松田 貴典 氏 当支部会員
大阪成蹊大学 教授 大阪市立大学 特任教授
(4) 参加者数:50名

 

 


1.講義概要
1-1 法的脆弱性社会の時代
・脆弱性とは
脆弱性とは
「情報資産や人員の管理方法に由来する弱点(ISMS)」
「ICTの本質的な特性に起因して情報システムの構築に
伴い、その効用に比して不可避的に発生・拡大化して
潜在する欠陥」
である。
脆弱性は、また「効用」との対局面も持ち合わせいる。
例えば,USBメモリは情報を手軽に持ち運べる
ポータビリティという効用がある反面、紛失による大量の情報
漏洩の可能性という「脆弱性」が存在する。
このような「脆弱性」に対して、コントロールが弱いと
「脆弱性」に起因する「脅威」が現実化する。
ICTに関する「脆弱性」を無くす究極的な方法は「情報
システムを全て無くす」ことであるが、現代では無理な
事である。
・法的脆弱性とは
ICTの高度化にともない、さまざまな「法的脆弱性」も
生まれてきている。
例えば、サイバーショッピングシステムの拡大は,仮想社会
(サイバーワールド)のなかで,犯罪や詐欺などが発生し,
現実社会(リアルワールド)で被害に気付くのである。この
時間的ディレーが問題となる。
また、紙から電磁的記録による大量複製社会の形成による
知的財産権の問題や文書性の問題などである。
・法的脆弱性への対応
法的脆弱性に対しては2つの側面から「法的セキュリティ」の
対応が求められる。
(1)自らが法律に抵触しない。
遵法(コンプライアンス)の側面
(2)外部からの違法な侵害から守る。
法的侵害からの保護の側面
1-2 コンプライアンスのシステム監査とシステム監査視点
・情報セキュリティガバナンス
経済産業省が「情報セキュリティガバナンス導入のガイダンス」を
発表した。
情報セキュリティも企業トップの責任として、企業ぐるみで取り組む
必要がある。
・システム監査との関わり
システム監査をはじめとする、情報システムに対する監査は情報
セキュリティガバナンスの確立に向けて大きく寄与する時代になって
きている。
システム監査により法的セキュリティへの合理的な保証ができるなら
確実に企業価値の向上とレピュテーションの向上を実現する重大な
役割を担っていると言える。
・コンプライアンスとシステム監査基準、システム管理基準
現状、システム監査基準およびシステム管理基準には、コンプライアンスに
関する記述が非常に少ない。
システム管理基準の「情報戦略・コンプライアンス」の5項目が規程
されている。
このようなことから、企業が企業自身の監査基準を、以下の3点の視点から
作成すべきであろう。
○企業等の全体に及ぶ内部統制の整備と情報資産の保護を対象とした全社的
視点での情報セキュリティ視点
○組織における固有業務で発生するコンプライアンス視点
○企業等の対外的事業活動を対象にしたコンプライアンス視点
1-3 システム監査事例
・全社的視点でのコンプライアンス監査観点事例で,個人情報の保護の監査がある。
○企業等の機密情報が適正に管理されているか?
○個人情報の取扱者は限定されているか?
○機密情報には技術的保護手段がとられているか?
○不正なアクセスがあった場合には、すぐに発見できる仕組みが講じられているか?
等。
このような事が実施できていない場合、「不正競争防止法」で情報が保護されない
可能性がでてくる。
実際にも判例で秘密管理が否定された事例も存在する。
・情報システム開発でのコンプライアンス監査観点事例
○ソフトウェア開発を外部委託するとき、開発委託契約は適正に実施されているか?
○ソフトウェア等の所有権(主に著作権)や自由改訂(同一性保持権)について,明確になっているか。
○現場で活用するPCに導入されているソフトライセンス契約は適正に実施されているか?
等。
多くは著作権法に関するコンプライアンス違反の無いように業務活動を行うためのシステム監査観点である。
・ビジネスプロセスでのコンプライアンス監査観点での事例としてサイバーショッピングがある。
○Web表示に特定商取引法に則った表示がなされているか?
○Web表示に著作権侵害となる他人の著作物を無断掲載していないか?
○契約の成立は確認データの受信時になっているか?
等。
○その他,景品表示法、特定商取引法、薬事法などの法違反を発生させないように業務を行うための監査観点である。
2.所感
研究会会場は満席となり、このテーマに対する関心が高いということを感じた。
実際の判例や条文からの事例を多く盛り込まれた講演であったために、コンプライアンス
視点からの監査の重要性というものがわかりやすく参加者に伝わったのではないかと思う。
残念であったのは、時間が短かったため「もう少し詳細に聞きたい」という感が残った
点であった。
また、今回の講演は情報セキュリティが中心であったが、企業活動におけるコンプライアンスは
多岐にわたると思うので、各監査人はあらゆる法律に関する情報を仕入れておく必要があるとも
感じた。
今後、研究会でさらに追求をしていくと聞いているので、研究会での結果が楽しみである。

文責:小河
校正:松田