会員番号 0645 是松 徹 (近畿支部)
1.テーマ 「これまでのシステム監査からこれからのシステム監査を考える」
~事故、犯罪、法制度の歴史的課題からICT時代のシステム監査を考察する~
2.講師 大阪成蹊大学 名誉教授 大阪経済法科大学 客員教授 松田貴典氏
博士(国際公共政策)/技術士(情報工学)/公認システム監査人
3.開催日時 2017年1月20日(金) 19:00〜20:30
4.開催場所 大阪大学中之島センター 2階 講義室201
5.講演概要
ICTの高度化が生み出した豊かな情報化社会に潜む「情報システムの脆弱性」を念頭に置き、システム監査に関連する事故や犯罪、法制度等の歴史的課題からシステム監査を振り返るとともに、これからのシステム監査について課題を含めて幅広くお話しいただきました。
<講演内容>
5-1 ICTの高度化にともなうビジネス活用の進化とシステム監査を俯瞰
電子計算機として普及しはじめた1960年代のEDPSの時代から、現在のICTによる「U-Japan」構想に至るまで、ビジネス活用における進化が続いている。
ICTの高度化に伴い、2010年代からクラウド/IoT/ITガバナンス/ビッグデータといった概念が監査対象となり、情報システムの多様性やコンプライアンス問題等が監査の課題として浮上してきた。
5-2 銀行が体験したコンピュータ犯罪と脆弱性
1981年に某銀行行員がオンライン端末を不正操作して巨額の現金他を横領するオンライン横領・詐欺事件が発生した。本事件は、裁判官により社会インフラとなったコンピュータシステムが内部要員により容易に悪用され得る弱点(脆弱性)を潜在化させることを明らかにされ、社会に大きな影響を与えた。
本事件を契機に法改正がなされ、「電子計算機使用詐欺罪」が新設された。このように何かがあると法律が変わる流れであり、先行して予防するまでにはなかなか至らないのが現実である。
5-3 個人情報の漏洩と法・制度への影響
1989年に行政機関を対象とした旧法が施行されたことを皮切りに、個人情報保護法の全面施行(2005年)、番号法の施行(2015年)と運用開始(2016年)、改正個人情報保護法/番号法の施行(2017年)と法・制度の整備が進められてきた。
その一方で、1999年に発生した地方自治体での住民票データ22万人分の流出以降、国内における個人情報漏洩事件等が続いている。IC乗車券の利用履歴のベンダー提供や大手教育出版系企業における事例は個人情報保護法改正の背景ともなった。
これらを通し、社会における大量の個人情報の散在、組織の隠蔽体質、プライバシー侵害への危険性・不安の増大、プライバシーパラドックス、ビッグデータとしての個人情報の利用が困難等の問題がクローズアップされてきた。
監査との関連では以下のように考える。
特定個人情報保護評価では、リスク対策の監査と自己点検が求められる。また、罰則が強化されるためコンプライアンス視点での監査も重要となる。
ネットワークビジネスの高度化を背景に社会は厳格な個人情報保護を求めており、ビジネスプロセス全体や経営視点での監査の実施、外部監査の義務付け等の監査の進化が要請される。
個人情報保護マネジメントシステムの監査は内部監査として行うが、監査意見の強化と指摘改善を図るために、少なくとも年1回の外部監査が必要である。
5-4 情報資産の保護とコンプライアンス監査
情報システムに関する法的な問題は、経営者自身の無知、従業員の無知・考慮不足等による違法行為が多い。システム監査人は助言・勧告のみならず、緊急改善を指摘することが求められる。
【著作権法の侵害行為】:ソフトウェア不正コピーの重大事件(事例紹介4件)が散発している。さらに、ビジネス情報に関連した著作権侵害行為(一般的侵害行為、企業や組織内での違法行為)が発生しているが、企業や組織ぐるみの犯罪行為を引き起こすことがあり、当事者の違法性認識が薄い場合も多い。最近のDeNA事件(まとめサイトでの他人の著作物の無断転用等)は、組織的な「情報倫理」「企業倫理」の欠如例と言えよう。
【インターネット取引の対応】:ビジネスプロセスとして以下があり、それぞれに対応する法律・制度等が存在する。①Web広告・宣伝、②通信による契約、③商品発送、④決済、⑤その他(Webサイトの安全性確保) 例えば、①のWeb広告・宣伝プロセスでは、特定商取引、景品表示法、著作権法、消費者契約法、不正競争防止法等による法的規制が存在する。
【不正競争防止法の侵害行為】:代表的な事例としてインターネット「ドメイン名」事件がある。(事例紹介3件) また、話題となった不正競争防止法関連事件が見受けられる。(事例紹介8件)ICT関連として、事例を通して不正競争行為とされる行為の類型が整理できる。
【コンピュータウイルス関連】:ウイルス作成による事件を契機にウイルス作成・配布を不正指令電磁的記録に関する罪(コンピュータウイルス作成罪)とする刑法改正が行われた。(2011年施行) 最近のウイルス関連事件では、パソコン遠隔操作事件(男性4名の誤認逮捕を誘発)、スマホ遠隔操作の一斉摘発があげられる。ウイルスの作成やバラマキ防止の法改正は後追いの対応であり、スマホのぞき見等からストーカー行為に発展する事例もあり、「情報倫理」の問題として幼い頃からの教育が必須と考える。
ICTが高度化すると情報システムの多様化が起こり、コンプライアンス監査がより求められる。コンプライアンス監査はICT関連のみではないものの、ICTに関連する監査は「法とICT」の両面からのアプローチが必要であり、システム監査人が監査を行うことになる。
5-5 これから求められる監査技術の進化への対応
2010年に検事による証拠データの改竄事件が発生した。この時にはデジタルフォレンジック技術により証拠データを抽出し、改竄が判明した。当技術は、不正アクセスや機密情報漏洩等の犯罪における捜査手法として注目されているが、外部からの侵入やデータ改竄がないか、情報セキュリティ監査や安全対策の面からも重要な技術であり、システム監査人が修得すべき技術である。
このところ大きな不正会計事件が発生している。(事例紹介2件) 会計監査手法の進化として、試査からCAAT等による精査の方向性が出てきているが、今後(将来)はAIによる精査と分析が考えられる。AIにより常時監視される「継続的監査」が実施されることも想定される。
5-6 これからのIoT時代に備えてIoTセキュリティの監査をどのように考えるか
IoTには固有の課題が存在する。(IPA「IoT開発におけるセキュリティ設計の手引き」参照) これを踏まえて品質管理に「セキュリティ品質」を定義し導入する。
IoTのライフサイクル(方針、分析~運用・保守)における各工程別で監査を実施する。監査では各工程でのガイドライン遵守状況から問題点等の洗い出し・分析を行い、PDCAの「C」だけでなく管理基準の改訂に繋げる「A」の役割も果たす。(IoTコンソーシアム・総務省・経済産業省「IoTセキュリティガイドライン1.0概要」参照)
セキュリティ管理基準は、企業内と業界で統一する。
5-7 これからのシステム監査の課題
高度情報化時代では脆弱性に関して視野を広げる必要がある。(ICTの脆弱性のみが「脆弱性」ではない。)
脆弱性には、①情報技術(IT)側面、②経営管理・組織的側面、③国際・社会的側面、④法・倫理的側面の4つの側面が存在し、潜在化する。
脆弱性は脅威の現実化(顕在化)の誘因となる。脆弱性に対するコントロールの強弱で脅威の現実化(顕在化)する「リスク」が発生し、高くも低くもなる。従って、リスクの起因となる脆弱性を押えることが重要である。
高度化・複雑化・多様化する情報化の時代のシステム監査は、監査対象に特化した専門監査人が必要であり、必要によっては業界や事業活動独自の管理基準の活用やサブコントロールの作成が望ましいと考える。これからの時代にも主旨・体系等が独自基準のベースとなるシステム監査基準・管理基準はさらに重要となると考えられ、まずは時代に即した当基準の改訂が急務である。
システム監査は組織体のITガバナンスの実現に寄与し利害関係者に説明責任を果たす役割があるが、今なおこの実現に十分至っていない。進化と多様化する「情報システムの脆弱性」を俯瞰し、求められるシステム監査を追及することが経営者に寄り添う監査の実施には肝要である。
6.所感
事故・犯罪の過去事例や法制度を振り返り、これらと紐づいたシステム監査の課題を具体的に取り上げていただくことで、改めてシステム監査と社会との接点やシステム監査の全体像を見直す有益な機会となりました。中でも、①多様化する情報システムに対してはコンプライアンスの視点が重要であること、②法的な問題は経営者自身の無知、従業員の無知・考慮不足等に起因することが多いこと、③法とITの両面からのアプローチがシステム監査人に要請されること、④今日では、脆弱性をICTの脆弱性のみが対象になっているが、これでは視点が狭く、経営や組織、社会、法律等の側面まで拡げることが重要である等、システム監査の視点の多様化の必要性が印象に残りました。
また、システム監査基準・管理基準が2004年以降に改訂されずにその実効性が気になっていましたが、将来の動向を見据えた上でその重要性について言及されたことを受け、当基準の位置付けや意義について再認識をさせていただきました。今回のご講演は盛りだくさんの内容であり、1.5時間ではとてももったいない状況であり、また是非続編を拝聴したいと感じた次第です。
以上