SAAJK

ようこそ!NPO日本システム監査人協会近畿支部サイトへ

本サイトは近畿支部からの情報発信、活動報告、会員間の情報共有を目的として、ITサービスグループによって運営されています。(2009年~)
※協会本部サイトについては、こちらをご参照下さい。

SAAJ近畿支部第172回定例研究会報告 (報告者:荒牧 裕一)

Clip to Evernote

会員番号 0655 荒牧 裕一(近畿支部)

1.テーマ  「【JIS Q 15001:2017】~SAAJ個人情報保護監査研究会の考察~」
2.講師    認定NPO日本システム監査人協会 副会長
        個人情報保護監査研究会主査、プライバシーマーク主任審査員
        斎藤 由紀子 氏
3.開催日時  2018年3月16日(金) 18:30〜20:30
4.開催場所  大阪大学中之島センター 2階 講義室201

5.講演概要

講師はSAAJ個人情報保護監査研究会の主査をされていますが、研究会では、2014年12月の「6ヶ月で構築する個人情報保護マネジメントシステムハンドブック」(以下PMSハンドブック)の上梓後、2013年5月31日の番号利用法制定、2015年9月9日の個人情報保護法の改定を研究テーマとし、これら法令等の個人情報保護マネジメントシステム(以下、「PMS」という。)への影響を考察して、PMSハンドブックの読書会員向けに、改定した規定、および様式を提供されてきました。
2017年12月20日、日本規格協会から「個人情報保護マネジメントシステム-要求事項【JIS Q 15001:
2017】」が発表されました。2018年3月1日現在、その審査基準は十分に示されてはいませんが、研究会ではそれに基づいてできる限り客観的に、普遍的に、事業者が構築できるPMSを提案していこうと活動を行っています。
今回は、その成果の一部をご紹介いただきました。なお、講演の際に配布された資料はSAAJ会報4月号の原稿であり、続きについても順次連載される予定です。

<講演内容>

(1) はじめに

【JIS Q 15001:2017】の附属書A(規定)には、旧版(2006年版)の本文に存在していた、「~すること」等の管理策が示されており、2018年8月1日より、プライバシーマーク付与適格性審査においては附属書Aが基準となる。また、附属書(参考)には、附属書Aの管理策に関する補足が記載されている。これは2006年版規格解説に当たるもので、「~することが望ましい」ことが示されている。PMSをより効率的に確実に運用するために、附属書Bは大いに参考になる。
今回は、これらを踏まえた個人情報取扱規定のサンプルを見ながら、プライバシーマーク(以下、「Pマーク」という。)審査において事業者が勘違いしやすいポイントを説明していきたい。

(2) 適用範囲、用語の定義

PMSの適用範囲は、2006年版と変更なく、事業者単位である。
用語の定義については、「個人情報保護法による」とされたことにより、PMSとしての用語が省略された。

(3) 一般要求事項、個人情報保護方針

トップマネジメントへのインタビュー項目として、①個人情報保護目的を説明できること、②内部向け個人情報保護方針を文書化した情報を、組織内に伝達し、必要に応じて、利害関係者が入手可能にするための措置を講じていること、③外部向け個人情報保護方針を文書化した情報について、一般の人が入手可能な措置を講じていること、等が挙げられる。
内部向け個人情報保護方針には、方針の内容についての問い合わせ先掲載については問わない。
外部向け個人情報保護方針については、組織のトップページから、外部向け個人情報保護方針へのリンクがあることが必要である。

(4) 計画

個人情報の特定にあたっては、台帳の件数は、概数でもよいが、できるだけ人数を記したほうが良い。また、要配慮個人情報を取り扱っている部門では、台帳に「本人同意の有無」の項目が必要となる。個人情報保護法では個人情報と個人データを区別しているが、JISでは同様に取り扱うこととなる。
リスクアセスメント及びリスク対策については、特定したリスクに対する対策については、「運用の確認の記録」により、リスクが顕在化していないかを点検する必要がある。
計画策定においては、計画に含まれるべき項目はあまり変わっていない。ただし、PDCAのすべてのフェーズで是正措置に繋げることが必要である。

(5) 実施及び運用

2016年の個人情報保護法改正により、要配慮個人情報の概念が加わり、これを取得、利用又は提供する場合は、あらかじめ書面による本人の同意を得ていることが求められる。この概念は、JIS2006で既に規定されており、その範囲も実質的には同じだと考えられる。この面では、法律がJISに追いついて来たともいえる。
個人情報を取得した場合の措置については、公表文書「個人情報の取り扱いについて」に特定された利用目的が公表されていることが必要である。受託によって取得した個人情報についても、その利用目的を公表する。
共同利用する者から個人情報を取得する場合でも、その共同利用者が共同利用に関する公表の措置を講じていない場合は、本人に連絡又は接触する際に本人同意が必要となる。
新規追加された外国にある第三者への提供の制限は、EUの一般データ保護規則(GDPR)の動向次第の面がある。また、匿名加工情報も法改正で新たに加わったが、実際にこれを利用する事業者は少なく、審査基準も明確にはされていない状況である。
委託先の監督については、「委託先の選定記録」に、委託する個人データの内容が記されている必要があるが、何を委託しているのかを把握していない事業者も未だ多い。

(6) 文書化した情報、苦情及び相談への対応

文書化した情報については、「記録を除く情報」と「記録」とに分けて管理の規定を行う。
苦情と開示は別個に規定する必要があるが、これを一緒に規定してしまう事業者が多い。

(7) パフォーマンス評価、マネジメントレビュー、是正措置

パフォーマンス評価のうち「運用の確認」は、残存リスクが顕在化していないか、リスク対策が実施できているかなど、日常業務において気づいた点があれば、それを是正及び予防していくものであるため、小規模な組織であっても、「運用の確認」を行うことが望ましい。
内部監査においては、「JISとの適合性監査」の後、「運用監査」を実施していることが必要である。
トップマネジメントは、マネジメントレビューを実施するために、少なくとも年一回、適宜にPMSの状況について個人情報保護管理者からの報告を受けてPMSを見直さなければならない。
不適合に対する是正措置に含めなければならない事項とその実施者は次のとおりである。
①不適合の内容を確認する(代表者)
②不適合の原因を特定し、是正措置を立案する(個人情報保護管理者)
③期限を定め、立案された措置を実施する(代表者)
④実施された是正措置の結果を記録する(不適合があった部門の長)
⑤実施された是正措置の有効性をレビューする(個人情報保護管理者、代表者)

(8) 質疑応答

講演の後に質疑応答がなされ、以下の質問を始め、多くの質問・感想が寄せられた。
Q:Tポイント等の共同ポイントにおいて、個人情報の利用に関する規約の改定が頻繁に行われることについてどう思われるか。
A:規約の改定ごとに同意をとっていない点に問題があると感じている。

6.所感

 私のように、プライバシーマークの審査機関や取得企業での勤務経験のない者は、審査実務に関する知識も経験も乏しいですが、そのような者でも良く理解できるように具体例を挙げながらポイントを説明してくださり、非常に参考になりました。また、JISの規定に沿って話を進めていただいたので、体系的の中での位置づけも良くわかりました。
講演でも触れられましたが、GDPRのスタートが5月に控えています。また、今年に入ってFacebookからの個人情報漏洩が明らかになるなど、個人情報保護の要求レベルはますます高まってきていると感じます。企業にとって、JISQ15001の基準を守ることは、必要条件ではあっても決して十分条件ではないことを認識しつつ、PMSの維持・改善のための不断の努力を行う必要性を改めて感じました。

以上

   

SAAJ近畿支部第171回定例研究会報告 (報告者: 藤原 敏宏)

Clip to Evernote

会員番号 2508 藤原 敏宏

1.テーマ 「地方自治体におけるICT監査の現状と課題」
2.講師 大阪市 行政委員会事務局 監査部  ICT監査担当課長 片岡 学 氏
3.開催日時 2018年1月19日(金) 19:00〜20:30
4.開催場所 大阪大学中之島センター 2階 講義室201
5.講演概要

講師は、企業内内部監査、監査法人による外部監査、会計検査院でのIT分野の会計検査を経験されており、現在は大阪市でICT監査に携われている。それぞれの監査・検査は、異なる役割を持っているが、今回は、地方自治体におけるICT監査の重要性と取り組み事例についてご紹介頂いた。
地方自治体においてもICTの重要性は高まっており、その中でICTが適正に利用されているか、適正利用を阻害するリスクに対するコントロールが適切に整備されているかを助言・勧告するICT監査がますます重要となっているが、ほとんどの自治体において本格的・定期的に実施されていない現状があり、その中で講師が大阪市で実際に取り組まれているICT監査の事例紹介と今後の課題事項についてご紹介頂いた。

<講演内容>

(ア) 地方自治体における監査制度

地方自治体での監査と民間上場企業での監査について、比較して説明頂いた。
そのうえで、地方自治体における監査委員の役割、監査委員監査の流れ等、監査委員監査全体の説明と大阪市での実例を紹介頂いた。その概要は、以下のとおり。
監査委員は、地方自治法によって、人数が定められており、大阪市では、識見を有する者から選任された委員2名(企業経営経験者1名、弁護士1名)、議員のうちから選任された委員2名の計4名で構成されている。識見委員は4年ごとの任期となっている。監査報告書は監査委員4名の連名で作成される。
監査委員監査における事務局スタッフは、監査委員が監査意見を行うための指摘材料等を監査委員に提供する役割を担っており、監査委員の目線にたった監査が必要となる。内部監査等におけるシステム監査では、IT統制上の細かな部分の指摘に留まることもあるが、特に大阪市の監査委員監査では、大阪市のICTに係る経営、戦略などの統制環境上の課題など、より本質的な原因分析や指摘を行う事を目指している。

(イ) 地方自治体におけるICTとICT監査の重要性

地方自治体におけるICTとICT監査の重要性について、その役割やリスクの観点から説明頂いた。その概要は、以下のとおり。
地方自治体においても、住民利便性向上や業務効率化の観点から、ICTを抜きにして語る事は出来ない。加えて昨今では災害に強い基盤作りや情報セキュリティにより配慮したシステム構築も必要となっている。地方自治体におけるICTの重要性が高まる中において、ICTの適正利用を阻害するリスクに対するコントロールが適切に整備されているかを点検・評価するICT監査も重要となってくる。
地方自治体独自の部分として、入札で実施されたシステム化の経費適正化も必要な観点となる。また自治体におけるICT担当職員は、ICTの専門家でなく、事務セクションで、かつ人事ローテーションで異動していく為、情報システムに精通していないケースもあり、ベンダー任せとなってしまう事がある。
また、地方自治体を担当しているICTベンダーにおいても、民間企業を対象としているICTベンダーと比較すると、ICTに係るリスクやコントロールについての認識が必ずしも十分でないように感じられる。
情報セキュリティの領域では、情報セキュリティポリシーについて責任者となる所属長が十分に認識していないケースがあり、個人の資質の問題とせず、組織としてリテラシーを身につけさせていく等、組織としての体制づくりが必要となっている。地方自治体においても、ICT監査が重要であるとの認識を持っているが、平成25~27年度の政令指定都市のホームページで確認した所、ほとんどの団体で本格的・定期的なICT監査は実施されておらず、大阪市を除く19都市の中で単発的に11テーマ程度の実施に留まり、3年間一度も実施していない団体が10都市もあった。
セキュリティ監査の実施については必ずしも多くないものの、総務省からガイドラインも提示されており、ICT監査よりは取り組みが多い状況にある。

(ウ) 大阪市におけるICT監査の取組事例

大阪市におけるICT監査の取組事例について紹介頂いた。その概要は、以下のとおり。
現在の大阪市におけるICT戦略は、ICTの徹底活用とICTの適正利用の二本柱となっているが、そのうちICTの適正利用に着目し、監査に取り組んでいる。
監査委員監査のアプローチとして、どんなリスクを抱えているかに着眼し、リスクを想定し、本質的な問題、経営に係る問題を探っていくことになるが、そのために、大阪市のICT監査では、①本質的な原因を常に探り、個々の問題を掘り下げ、共通的な課題を探る②未然防止に注力することに、特に留意して取り組んでいる。
監査取組みのひとつとして、ICT調達に係る事務の監査を行ったが、ICT調達のガイドラインが有効に機能しておらず、仕組み・手順をICT統括部門が整備しなければならないこと、仕組み、制度がうまくいっているかをモニターする力が弱く、ICT統括部門はモニタリングを十分にする必要があるなどの指摘を行った。
その他の監査事例の指摘も踏まえ、監査委員監査の総括として、ICT管理体制の再構築を行うべしとの監査指摘に至っており、現在、大阪市では、外部人材の活用などによるICT管理体制の見直しの検討が進められている。

 最後に地方自治体におけるICT監査の今後の方向性の検討につながるものとして、平成29年6月の地方自治法の改正により、ICTなどの専門領域については監査専門委員の創設がされること、都道府県及び政令指定都市では内部統制評価報告書の作成が必要となることなどが紹介された。これらを踏まえると、今後は、地方自治体においても、「IT統制」及び「IT統制監査」の実施が必須となり、また、合わせて、マイナンバーの本格展開がされていく中においてはより一層のセキュリティ確保が求められる環境が予想されることから、ICT監査の役割がますます重要となってくるとの講師認識が示された。

6.所感

本講演ではシステムを導入するユーザー側の視点において、経営層がどのような観点でシステム導入を見ているかが紹介されており、システムを販売する側にいる筆者として勉強になった。
普段、ユーザー側の実際の利用者、ICT担当者と会話する中においては、システムの部分的な機能の有無といった個別部分に目がいってしまう事が多いが、システム導入時及び運用においても、適切な情報セキュリティが維持された環境で利用出来ているかはシステム機能だけにとどまらない部分もあり、そういった事も含めて提案していく事の重要性を感じた。

以上

   

研究論文、研究成果、コラム&エッセイ、活動報告等のコーナー

Clip to Evernote

日本システム監査人協会近畿支部では、支部会員を始め各研究プロジェクト等で活発な研究活動を行っています。このコーナーでは、発表者の許諾をいただき研究論文研究成果活動報告などを掲載しています。

New!
「システム開発作業を外部委託 する場合の留意事項について」

コンテンツの一覧表が表示されていない場合は、ここをクリックしてください。

   

発表資料

Clip to Evernote

タイトルをクリックするとドキュメントを閲覧できます。

公開日 区分 タイトル(リンク) 発表者 発表日 更新/備考
2018年1月5日 発表資料 システム開発作業を外部委託 する場合の留意事項について 三橋潤 2017年9月30日 2017年度西日本支部合同研究会にて発表
2017年9月28日 発表資料 仮想通貨とブロックチェーン技術の現状と課題 荒牧裕一 2017年9月15日 SAAJ近畿支部第168回定例研究会にて発表
2017年8月9日 発表資料 中小製造業のグローバル化プロジェクト 坂口幸雄 2017年7月21日 SAAJ近畿支部第167回定例研究会にて発表
2017年5月24日 発表資料 事業継続マネジメント(BCM)の本質とは? ⼩⼭俊⼀ 2017年5月19日 SAAJ近畿支部第166回定例研究会にて発表
2017年4月18日 発表資料 事業継続計画(BCP)の概要とIT-BCPについて 野原英則 2017年3月17日 SAAJ近畿支部第165回定例研究会にて発表
2017年2月3日 発表資料 これまでのシステム監査からこれからのシステム監査を考える 松田貴典 2017年1月20日 SAAJ近畿支部第164回定例研究会にて発表
2016年12月26日 発表資料 個人情報を巡る最新動向と企業に与える影響~改正個人情報保護法の施行に備えて~ 福本洋一 2016年12月17日 SAAJ近畿支部第163回定例研究会にて発表
2016年12月26日 発表資料 スクラムと監査についての一考 近藤博則 2016年11月5日 2016年度西日本支部合同研究会にて発表
2016年11月30日 発表資料 情報科学教育の現状について〜経営者から⾼等学校まで〜 松井亮宏 2016年11月18日 SAAJ近畿支部第161回定例研究会にて発表
2016年11月30日 発表資料 個人番号カードの多目的利用の課題と展望 津田 博 2016年9月16日 SAAJ近畿支部第160回定例研究会にて発表
2016年06月21日 発表資料 事例に学ぶ情報漏えい事故とそのセキュリティ対策~情報セキュリティ監査のポイント 粕淵 卓 2016年5月20日 SAAJ近畿支部第159回定例研究会にて発表
2016年04月25日 発表資料 システム監査の多様性について 林裕正 2016年1月15日 SAAJ近畿支部第157回定例研究会にて発表
2016年04月25日 発表資料 標的型攻撃をはじめとするサイバー攻撃の現状と対策 植垣雅則 2015年11月20日 SAAJ近畿支部第155回定例研究会にて発表
2016年04月25日 発表資料 ツールが無くてもここまでできる SAP ERP内部統制監査 浦上豊蔵
梅谷正樹
下田あずさ
木ノ原真由美
中川昭仁
2015年09月18日 SAAJ近畿支部第154回定例研究会にて発表
2015年07月21日 発表資料 ソフトウェア著作権監査のためのツールと監査手法 荒牧裕一 2015年07月17日 SAAJ近畿支部第153回定例研究会にて発表
2015年05月17日 発表資料 失敗したITプロジェクトの真の原因に迫るマンダラ図の紹介 松井秀雄 2015年05月15日 SAAJ近畿支部第152回定例研究会にて発表
2015年01月28日 発表資料 IT-BCPの実効性を高める訓練・演習とその監査 松井秀雄 2015年01月16日 SAAJ近畿支部第150回定例研究会にて発表
2014年12月05日 発表資料 システム監査の勘所 ~ITストラテジストとシステム監査~ 林裕正 2014年09月20日 JISTAオープンフォーラム2014in関西にて発表
2014年12月05日 発表資料 クラウドソーシングによる災害対策 吉田博一 2014年11月29日 SAAJ 西日本支部合同研究会にて発表
2014年12月02日 発表資料 BCP研究プロジェクト2014年度活動報告(IT部門の初動対応をモデルとした演習の紹介) 金子力造 2014年11月29日 SAAJ 西日本支部合同研究会にて発表
2014年09月20日 発表資料 情報通信技術者が知るべき著作権(基礎編)-「著作権のシステム監査」の実践のために- 松田貴典 2014年09月19日 SAAJ近畿支部第148回定例研究会にて発表
2014年07月19日 発表資料 暗号通貨ビットコインの脆弱性と可能性 荒牧裕一 2014年07月18日 SAAJ近畿支部第147回定例研究会にて発表
2014年04月22日 発表資料 ソフトウェア資産管理とシステム監査 松井秀雄 2014年04月19日 SAAJ近畿支部第41回定例勉強会にて発表
2013年08月22日 発表資料 J-SOXへの取組みと内部監査の考え方 是松徹 2008年11月21日 SAAJ近畿支部第110回定例研究会にて発表
2013年08月12日 発表資料 コンプライアンスのシステム監査について 雜賀努 荒牧裕一 松田貴典 2013年07月06日 SAAJ近畿支部創設25 周年記念研究大会にて発表
2013年08月12日 発表資料 クラウドコンピューティングのシステム監査 深瀬仁 松田貴典 2013年07月06日 SAAJ近畿支部創設25 周年記念研究大会にて発表
2013年04月10日 発表資料 マネジメントシステム規格の統合的な利用と効果的な認証審査 吉谷尚雄 2013年03月15日 SAAJ近畿支部第139回定例研究会にて発表
2012年11月21日 発表資料 BCP研究会報告(ITを中心とするBCP策定支援の実践 荒町弘 2011年11月19日 SAAJ 西日本支部合同研究会にて発表
2012年11月21日 発表資料 近畿支部サイトWG活動報告 金子力造 2011年08月20日 SAAJ近畿支部2011年度研究大会にて発表
2012年08月25日 発表資料 ASP・SaaSに対する情報セキュリティ監査をふまえたクラウドコンピューティングに対する一考察(プレゼン発表用) 佐々木志津香 古江健一 鬼松嵩 2011年08月20日 SAAJ近畿支部2011年度研究大会にて発表
2012年06月30日 発表資料 「システム監査の法的義務化」等のIT政策提言 田淵隆明 横山雅義 中田和男 神尾博 2012年06月16日 SAAJ近畿支部第32回システム監査勉強会にて発表
2012年05月14日 発表 資料 セミナーWG平成23年度活動報告 三橋潤 2011年11月25日 SAAJ近畿支部2011年度研究大会にて報告した資料より作成

 

   

日本システム監査人協会 近畿支部では、システム監査に従事されている方、システム監査にご興味のある方、また支部活動を支援して下さる方を広く募集しております。

詳しくは、こちらよりお問合せください。


[counter 2010.01~]
本日アクセス数:209
累計アクセス数:153392
本日訪問者:27
累計訪問者:20211
2018年7月
« 6月    
1234567
891011121314
15161718192021
22232425262728
293031