会員番号1709 荒町 弘
1.テーマ (1)「ソフトウェア著作権研究プロジェクト最終報告」
(2)「システム監査の多様性研究プロジェクト(システム監査学会)報告」
2.講師 京都聖母女学院短期大学 生活科学科 准教授 荒牧裕一 氏
(本協会近畿支部会員、システム監査学会理事)
3.開催日時 2015年7月17日(金) 18:30~20:30
4.開催場所 大阪大学中之島センター 7階 講義室703
5.講演概要
ソフトウェア著作権研究プロジェクトはもともと、
「コンプライアンスのシステム監査研究会」の活動成果を受け、 分野別により深い研究を行うために発足した。
「ソフトウェア著作権」を研究対象に選んだ理由は、以下のとおり。
①昔から存在し、頻繁に改正がある。
②どの企業や業種にも共通して問題になる。
③違反には刑事罰があり、リスクが高い。
④内容が複雑でシステム監査学会との共同研究に適している。
本プロジェクトでは最終成果物として「システム監査チェックリスト」を作成した。これは、ソフトウェア著作権に関する注意事項を導入形態別に分類したものである。監査の進め方として、「監査対象」「監査要点」「監査手法」についてまとめてきた。
(ア) ライセンス契約の問題点
ライセンス契約はパッケージ業者とユーザー間の直接契約であり、第三者に対する対抗要件を備えないということが問題である。このため、パッケージ業者がソフトウェアの著作権を含めて別会社に事業譲渡を行った場合、ユーザーのライセンス契約を含んだ移転がなされるか否かにより、ユーザーのソフトウェア利用権が失効してしまうことがあるため注意が必要である。
(イ) ソフトウェア管理台帳
ソフトウェアおよびライセンスの適切な管理を行うための台帳として、JIPDECから公開されているSAMユーザーズガイドの内容をたたき台とし、ソフトウェア管理台帳の項目等を検討してきた。本台帳は、開発したソフトウェアおよび購入したソフトウェアの双方を管理できるように工夫してある。また、媒体などの情報も合わせて管理できるように配慮してある。本台帳の管理で注意が必要なのは、業務システムとして完成したソフトを管理する場合、システムのモジュールごとのライセンス形態についても確認して記載しておくという点である。
(ウ) ソフトウェア著作権管理の成熟度モデル
上記、SAMユーザーズガイドを参考とし、ソフトウェア著作権の管理レベルを0~5の6段階に分類し成熟度モデルを作成した。それぞれの段階において可能な監査の種類を示してあるので、ソフトウェア著作権に関するシステム監査を行う際に、予備調査段階で管理レベルについての評価を行う必要がある。
(2) 「システム監査の多様性研究プロジェクト(システム監査学会)報告」
システム監査学会では、多様化するシステムとそれに対応するシステム監査実務のあり方について研究してきた。多様性に関する視点はいくつかあり、これらの視点で研究発表や意見交換を行ってきた。
<多様性に関する視点>
●監査を実施する組織の多様性・・・「民間企業」を対象とする監査が中心であったが、住基ネットや個人情報保護法施行などの流れも受け、「公共団体」「非営利団体」にもその対象が広がり、ついには大学等の「教育機関」「研究室」や「教員」までもその対象となってきている。従来の「聖域」がなくなりつつある。
●技術の進歩とリスクの多様性・・・「ビッグデータ」「ネットバンキング」「SNS」スマホ利用の拡大など、ICT活用社会の広がりを受け、多様化したリスクに対する「適切なリスク分析」や「監査手法の検討」の必要性が高まっている。
●管理状況(成熟度)の多様性・・・監査が可能な組織なのか、コンサルティングから行い監査可能な成熟度までレベルを上げていく必要のある組織なのか、成熟度からみた監査対象組織も多様化している。
●監査業務の多様性・・・監査の形態は「直接監査」や「間接監査」そしてこれらを組み合わせてものも増えつつあり、手続きも「監査」「レビュー」「合意された手続き」による場合とで監査業務自体が多様化している。
●監査目的の多様性・・・監査目的については、システムの信頼性/安全性/効率性が中心であったが、コンプライアンス/利便性/経営戦略適合性という目的も加わってきている。
●情報提供先の多様性・・・監査報告についても従来は、経営者への情報提供(内部目的)が中心であったが、昨今はステークホルダーへの説明責任(外部目的)が増えてきている。
●アプリ・認証形態・機器の多様性・・・クラウドコンピューティングの普及や認証方式の多様化、タブレットやスマートフォンなど端末機器が多様化しており監査対象業務や範囲の絞込みも難しくなってきている。
●監査の活用場面の多様性・・・経営のPDCAサイクル全体での監査の利用が増えてきている。
6.所感
ソフトウェア著作権に関する紛争は年を経るごとに多くなっている。国際的な著作権保護団体であるBSA(ビジネス・ソフトウェア・アライアンス)では、組織内での不正コピーに関する内部告発を促しており、不正コピーが解決されたときには、情報提供者に謝礼金を払うという対応も行っている。著作権違反は組織にとって大きな経営リスクとなってきていることを再認識した。
また、昨今は企業間での事業譲渡等も盛んに行われており、パッケージソフトウェアの製品名の変更や、ソフトウェア自体のバージョンアップによる製品構成の変更が生じるなど、ソフトウェアのライセンス管理は今後ますます複雑化していくと考えられる。SAM台帳に代表されるようなソフトウェアおよびライセンス管理の強化は喫緊の課題であり、そもそも企業や団体におけるソフトウェア管理に関する一層の意識向上が必要であると感じた。
監査の多様性という視点においては、多様化する経営課題を解決していくために、システム監査に対する期待や監査自体の責任は、今後一層重くなると考える。
情報システムの多様化や変化する経営環境に合わせたシステム監査の必要性について、今後さらに理解を深めて、経営に役立つシステム監査とは、という問いへの解を私自身も見出していきたい。
本日は、コンプライアンスとシステム監査、多様化するシステム監査につき貴重な講演を頂戴しました。
以上