システム監査 31 巻, 1 号

[学会賞受賞論文] 地方自治体におけるICT 監査の更なる普及にむけて

地方自治体においては、財務や事業についての監査の制度として、監査委員による監査がある。監査委員監査には行政監査、住民の直接請求による監査などの監査の取組みがあるが、地方自治体の行政サービスや行政運営における重要な基盤（インフラ）であるICT 領域については十分な監査が実施できているとはいえない現状にある。

ICT が高度化・多様化する今日、ICT を適正に利用し、住民への行政サービスを向上させ、行政コストや業務の効率化に資すること、また一方で、住民情報の漏えいなど情報セキュリティを確保することは、地方自治体に課せられた命題であり、それらを監査委員の立場から検証する、ICT 監査の役割は非常に大きいものがある。

本稿では、大阪市におけるICT 監査の取組事例などに基づき、地方自治体におけるICT 監査の更なる取組みに向けて、各地方自治体が考慮すべき点などについて提言する。

なお、本提言は、大阪市監査委員及び監査委員事務局としての公式見解ではなく、あくまでも筆者自身の実務経験と研究に基づく個人的見解である。

[®研究論文] 中小企業へのサイバー攻撃を防御するためのCSIRT 導入の考察

高度サイバー攻撃対策として、府省庁や行政機関などに向けては、NISC（内閣サイバーセキュリティセンター）の「サイバーセキュリティ戦略」等で、CSIRT（Computer Security Incident ResponseTeam）の導入を施策化している。民間企業（特に中小企業）については、「サイバーセキュリティ経営ガイドライン」が公表されCSIRT の整備を推奨しているが、対策は一部の企業を除き普及していない。　セキュリティの対策が進まない要因として中小企業の経営者が自社における現実的な高度サイバー攻撃の脅威や影響の大きさを十分に認識することが難しく、また、リスクを認識できたとしても、その後、CSIRT 導入にむけて何をなすべきかの具体的な手順が明確になっていないことが挙げられる。そこで、筆者らは、経営者がサイバー攻撃リスクを明確に認識する方法、CSIRT 導入を決断するまでの手順およびCSIRT 導入のための社内対応について研究した。その研究過程においては、CSIRT 導入を、事業の必要性に合わせて進めることが出来るように考慮した。

[研究奨励賞] システム監査と事業継続マネジメントシステム（BCMS）

当研究プロジェクトは、事業継続マネジメントシステムについてJRMS2010 成熟度モデルを活用して、各レベルにおけるマネジメントスタイルを研究してきた。具体的には、大震災などの重大事故を時間軸（事故発生後の対応スピード）や組織軸（組織の成熟度レベル）から整理し、併せてレピュテーションリスクの観点からも検討した。その結果、サプライチェーンにおいて、許容される復旧時間があり、これを超えると新しいサプライチェーンが生まれて、復旧が遅れた企業に大きなダメージを与えてしまうことが分かった。また、従業員・取引先・地域との日常の関係性が、復旧時間のスピードに大きな影響を及ぼしていることが推測され、「日常訓練の定期的な実施」と「従業員を人財として大切にすること」が復旧につながり、レピュテーションリスクの観点からも重要である。

[研究奨励賞] IT ガバナンス向上に向けたガイドラインの活用に関する提言

企業の経営者がIT ガバナンスを強化するためには、自社の現状を判断する必要があり、良悪の具体的な尺度としてのガイドラインがあることが望ましい。一方、IT ガバナンスに関する国際標準としてはISO/IEC 38500、日本工業規格としてはJIS Q 38500 があるが、具体的な尺度は含まれていない。　IT ガバナンスに関連するガイドラインの内、具体的な判断尺度を含むものとして「システム管理基準」、「情報セキュリティ管理基準」、「金融機関等のシステム監査指針」、「COBIT 5 Enabling Processes」がある。これらのガイドラインがIT ガバナンスと、どの程度関連しているかを分析するため、テキストマイニングを用いて関連性を定量的に評価した。各ガイドラインにおけるIT ガバナンスとの関連性の分布に基づき、企業の経営者がこれらのガイドラインを使用してIT ガバナンスを強化する際に追加が必要となる判断尺度を提言する。

[®研究論文] 地方公共団体向け保証型システム監査の適用アプローチ

筆者等は、過去に保証型システム監査を実施した経験を基に、言明書を用いることで実現可能な保証型システム監査の実施方法について検討を重ねてきた。　一方、個人番号の利用に先立って特定個人情報保護評価制度が開始され、地方公共団体は特定個人情報にまつわるリスクを事前に分析し、リスクを軽減するための適切な措置を講ずることを宣言することとなった。筆者等は、この公開された評価書を言明書と見なし、特定個人情報保護に関する保証型システム監査が可能であると考えた。　本論文では、保証型システム監査の概要と言明書の役割、特定個人情報保護評価における保証型システム監査の可能性及び実施方法や留意すべき事項について述べる。

【®研究論文】第4次産業革命における情報化実践と監査

「第4次産業革命」がビジネス環境を劇的に変化させている。生産性が先進国中最低水準まで落ち込んでいる我が国にとって、これをリードし、勝ち残ることは喫緊の課題である。「第4次産業革命」では、自律的にかつ相互に連携した Cyber Physical Systems (以下「CPS」という) が、「人に代わって働く」。そしてCPS によるIT サービスは「商品」として顧客に提供される。組織は激しい環境変化の中で、「顧客満足」を創出する新たなITサービスを「安心安全」とともに提供し、迅速かつ継続的に改善し、維持し続けなければならない。この課題解決のヒントは、「アジャイル開発」にある。難易度の高い開発手法であるが、リスクを最小にしながら、「迅速」、「高品質」で「柔軟性」のあるソフトウェア開発と「イノベーション」を可能にする。組織が国際競争力のあるITサービスを生み出すためには、この「イノベーション」と「安心と安全」、そして、その担い手である組織の信用が必要である。システム監査人は、「アジャイル開発」の精神と「安心と安全を作り込む技術」を十分理解し、「独立した専門家」としての評価を通じ、組織の信用の確立を効果的に支援することで、第4次産業革命における情報化実践に貢献することができる。

[®研究論文] 大規模な個人情報漏えい事故に対する事業継続計画の監査に関する一考察

筆者らは学会誌「システム監査」第29 巻第1 号[1] において大規模個人情報漏えい事故の発生傾向を把握し、事業に与える影響分析の考え方、対策の必要性について分析を行い事業継続計画(BusinessContinuity Plan：以降「BCP」と言う) の策定とその作成ポイント、有効性評価に対する考察を実施した。本論文ではシステム監査の手法を用いて大規模な個人情報漏えいに対するの有効性の評価を行なう事について考察する。

[®研究論文] 改正個人情報保護法を意識した要件定義工程の進め方と組織点検及びシステム監査に関する研究

2015 年9 月に改正個人情報保護法が成立・公布され、2017 年5 月に全面施行された。個人情報の保有件数の条件が撤廃され、全企業が改正個人情報保護法の適用対象になる。しかし、2017 年3 月時点では改正個人情報保護法への対応が進んでいない状況であった。そこで、システム開発の上流工程の中心である要件定義工程で実施すべきプロセスを研究することにした。本論文では、個人情報保護要件検討シートを作り、改正法への対応漏れを防いだ。実践での使用として、企業2 社の実際の要件定義工程の組織点検に着目し、既存のプロセスに組込みを行った。さらに、組織点検が適切に行われていることを確認するシステム監査で実施すべき10 個のプロセスおよび主な監査項目一覧を具体的に整理した。これから改正個人情報保護法をシステム開発段階で適用される企業の参考になろう。

[®研究論文] マイナンバーカードのおもて面情報を個人情報管理で利用する場合のリスクに関する一考察

マイナンバーカードの利用で懸念されることは、マイナンバーカードの裏面に記載された個人番号による国民総背番号化と、個人番号とともに収集される特定個人情報の漏えいである。これらを防止するために、マイナンバーカードの裏面に記載された個人番号の利用を法律で定めた場合のみに限定している。しかし、マイナンバーカードのおもて面は公的な身分証明書として使用できることが政府や地方自治体から広報されており、個人番号が記載された裏面のような制限はない。ところが、マイナンバーカードのおもて面には氏名、住所、生年月日、顔写真などが記載されており、これらをスキャンしてデジタル情報にすればコンピュータで個人情報管理に利用できる。この情報は運用次第では個人を特定する情報として利用できる。そこで本論では、マイナンバーカードのおもて面の情報を利用した個人情報管理のリスクと影響を検証してその対応について提言した。

[®研究論文] マイナンバー制度がもたらすリスクに対するシステム監査の有用性について

　「行政手続における特定の個人を識別するための番号の利用等に関する法律」により全国民にマイナンバーとよばれる個人番号が2015 年10 月より通知され、個人ごとの顔写真やマイナンバーが記載されたIC カードであるマイナンバーカードの交付が2016 年1 月より開始されている。このマイナンバーを利用した制度について、国は法令で利用範囲が限定されている等の措置が講じられており、安心・安全な制度と説明している1)。一方、マイナンバーカードに内蔵されているIC チップには、電子証明書や自治体独自のアプリケーションが格納されているが、利用範囲は限定されていない。また、地方自治体では、マイナンバーの利用に伴うセキュリティ対策が強化されている。　本研究では、このようなマイナンバーに関わる制度全般に関して主に情報システムの観点からリスク分析を行い、リスク対応におけるシステム監査の有用性を論ずる。

[®研究論文] 例外措置を活用した情報セキュリティポリシーの柔軟な運用に関する提案

情報セキュリティマネジメント体制の確立は、官公庁や大企業だけでなく中小企業においても必須の課題である。サイバー攻撃など情報セキュリティに関わるリスクへの対応等のため、各企業では情報セキュリティポリシー（以下、ポリシー）を策定し、ポリシーに則った原則規定に従って日常業務を管理・運用してきている。

昨今、社会情勢や技術革新に伴い、時々刻々と変化するリスクや新規デバイスに対応していくなか、原則規定やそれに関わる管理基準・運用手順に基づいた措置も、迅速かつ柔軟に変更していく対応が求められている。しかしながら予め原則規定にはない措置への一律的な管理策はなく、逸脱した措置への解釈・対応には日常業務へのリスクが存在すると考える。

本稿では、ポリシーに例外措置を策定することで、原則規定からの逸脱によるリスク回避や、ポリシー維持につながることを紹介し、さらには、比較的企業規模が小さい企業にとって、例外措置を活用することが、ポリシーを経営戦略に柔軟に適合させ、新たなビジネスチャンスにつなげていく効果が期待できることを述べる。

[®研究論文] ソフトウェア画面デザインの意匠権制度の開始に伴う新たなリスクとコントロールに関する一考察

平成28年4月からの意匠審査基準の改訂により、画像を含む意匠の登録対象が拡充され、ソフトウェア画面デザインについての意匠権登録制度の運用が開始された。

これに伴い、意匠権に関する新たなリスクとして、意匠権侵害リスク、意匠権逸失リスクが生じる。例えば意匠権侵害リスクに関しては、他社の意匠権侵害により差止請求を受けた場合は、たとえ長期間かけて開発・販売に至ったソフトウェアであっても、製造・販売の延期または中止を余儀なくされる危険性がある。また既に出荷済みの製品の回収や使用停止をする必要もあり、甚大な不利益が生じる。

これらのリスクに対するコントロールとしては、リスクの認識と周知、他社の意匠権の調査、自社の画面デザインの意匠登録の出願、先使用権の確保、無効審判請求・無効の抗弁の主張、意匠権侵害の警告に対する初期対応方針の明確化、守秘義務の徹底、職務意匠に関する社内規程の整備が必要である。

[研究ノート] 現代の情報システム化実践とシステム監査の関わりについての一考察

第４次産業革命に突入したといわれる近年、情報システム化実践の変化によりビジネスのあり方を大きく変容させた。そして、システム監査のあり方に大きく影響し、多様化の方向に向かっている。

その一方で、予測もできないコンピュータ事故や犯罪が激増し、情報システムの安全対策や信頼性の向上対策について強く求められるようになった。それ故に、実効ある情報セキュリティ対策やリスク対策等の向上とともに、対策の実効性を高めるシステム監査の普及が求められている。

筆者はシステム監査を研究するなかで、特にシステム監査のあり方に大きく影響を及ぼしたと考える近年のコンピュータ事故や犯罪等を取り上げて、システム監査との関わりについて考察するとともに、その問題点について筆者の視点で論述した。