SAAJK

ようこそ!NPO日本システム監査人協会近畿支部サイトへ

本サイトは近畿支部からの情報発信、活動報告、会員間の情報共有を目的として、ITサービスグループによって運営されています。(2009年~)
※協会本部サイトについては、こちらをご参照下さい。

SAAJ近畿支部第175回定例研究会報告 (報告者:浦上 豊蔵)

Clip to Evernote

会員番号 0807 浦上 豊蔵(近畿支部)

1.テーマ  「保証型システム監査の実施方法に関する考察
~特定個人情報保護評価書を活用した保証型システム監査の可能性について~」

2.講 師  株式会社バックス 代表取締役、NPO情報システム監査普及機構 理事
       上級システムアドミニストレータ、公認システム監査人
        金子 力造 氏
3.開催日時 2018年11月16日(金) 18:30~20:30
4.開催場所 大阪大学中之島センター 2階 講義室201
5.講演概要

個人番号の利用に先立って特定個人情報保護評価制度が開始され、地方公共団体は特定個人情報にまつわるリスクを事前に分析し、リスクを軽減するための適切な措置を講ずることを「特定個人情報保護評価書」として公表している。この公開された評価書を「言明書」と見なし、特定個人情報保護に関する保証型システム監査が可能であることが提言された。
講演では、保証型システム監査の概要と「言明書」の役割、特定個人情報保護評価書を用いた保証型システム監査の可能性及び実施方法や留意すべき事項について発表されると共に、システム監査基準や自治体の特定個人情報保護法に対するパブリックコメントを行った活動についても報告があった。

(1)新システム監査基準・システム管理基準に対するパブリックコメント

 システム監査基準・システム管理基準の改定にあたり基準案が2018年3月6日に公示され、3月20日までの期間にパブリックコメントの募集があった。システム監査基準のパブリックコメントは総数110件の意見が出され、そのうち40件が講師の所属するNPOから提出されたものであった。
採用された意見として①前文「システム監査の意義と目的」に、「利害関係者に対する説明責任を果たすこと」の追加、②【基準2】監査能力の保持と向上の解釈指針にある認定制度の活用として「公認システム監査人」の追記、③【基準3】システム監査に対するニーズの把握と品質の確保の解釈基準に、システム監査のニーズとして経営陣からのニーズに加えて、委託者のニーズ、受託者のニーズ、社会のニーズの追記の紹介があった。その結果、システム監査基準では40件の意見を提出し26件が、システム管理基準では14件の意見を提出し8件が採用されたと報告があった。
保証型システム監査に関しては、保証型と助言型の監査があることが記述されているにもかかわらずその説明がなされていないことを指摘したが、今後の参考にするとの回答を得たものの修正には至らなかった。
パブリックコメントは、システム監査に携わる人の思いが意見として出されており、貴重な成果物である。
しかし、保証型システム監査については基準作成者や多くのシステム監査人の間でこれが保証型監査であるという共通認識がまだ醸成されていない段階にあり、今後共通の理解を確立していく必要がある。

(2)保証型システム監査の概要

新旧システム監査基準に保証型システム監査と助言型システム監査に関する記述から、保証型と助言型システム監査に関する考え方は大凡下記の通りである。
H16 の旧システム監査基準の前文から、助言型監査と保証型監査の定義は、

• 助言型システム監査は、組織内部の改善を目的とし、判断基準に照らし問題点を指摘し改善を促すこと。 監査意見は、改善勧告、助言。
• 保証型システム監査は、利害関係者を守ることもしくは判断の材料とするため、判断基準に照らし適切であることを保証すること。 監査意見は、保証意見(肯定/否定意見)。 また、H30の新システム監査基準の基準3解釈指針1に、監査の目的に保証と助言がある事が示されている。
• 保証目的として、経営者が取引先等からの信頼を得るために、経営者による「言明書」の範囲内で、時組織の情報システムのマネジメントが有効に機能していることのお墨付きを得たいというニーズに対して、保証を目的としたシステム監査が行われる。
• 助言目的として、経営陣が自組織のシステム開発管理等に不安があり具体的な改善方法を指摘してもらいたいというニーズに対して、システム管理規準に照らして評価・検証し、指摘事項と改善提案を行う。

しかし、新システム監査基準には「言明書」の記載があるが、その詳細は述べられていない。講演では、「言明書とは、IT統制のための要求項目(要求レベル)がどのようにコントロールされているかを具体的に記述し、責任者がその要求に対する達成度合を “言明” として表明した文書であり、保証の対象を明確化するもの」と定義され、その例が示された。
保証型システム監査のニーズには、①経営者 ②委託者 ③受託者 ④社会の4パターンのニーズがある。この依頼者の視点から保証型システム監査は ①経営者主導方式 ②委託者主導方式 ③受託者主導方式 ④社会主導方式の4分類がある。

(3)特定個人情報保護評価制度での保証型システム監査

特定個人情報は、法令により目的外の利用が厳しく制限されており、特に地方公共団体は個人番号利用事務者としてより厳格な管理が求められる。地方公共団体等において特定個人情報にまつわるリスクを軽減し、国民・住民の信頼の確保することを目的に、2014年に特定個人情報保護評価制度が開始され、評価の実施が義務づけられた。
「特定個人情報保護法評価書」は、地方公共団体が扱う対象人数の規模に応じて評価項目の詳細度が決められており、「基礎項目評価」「基礎項目評価+重点項目評価」「基礎項目評価+全項目評価」の3種類があり、定められた項目について自己評価を行う。特に「全項目評価書」については、パブリックコメントを求め、指摘があれば対応する。
「全項目評価書」は、入手・使用・委託・移転・接続・保管・消去という特定個人情報のライフサイクルに沿って構成されており、取扱プロセスにおけるリスクに対して、具体的に実施している対策を記載することが求められる。これは、一般的な情報セキュリティ管理の構成とは異なることに注意しなければならない。
総務省では、標的型攻撃メールなどのサイバー・テロにより機密情報が盗まれる事案が増加しており、地方公共団体は個人番号利用事務で扱う個人情報の安全管理措置を今まで以上に厳格に行う必要があり、管理状態を地域住民に公表する必要があるとしている。また、「地方公共団体における情報セキュリティ監査に関するガイドライン」(総務省)には、「情報セキュリティ対策の改善の方向性を助言することを目的とする助言型監査と、住民や議会等に対し情報セキュリティの水準を保証することを目的とする保証型監査がある。どちらの型の外部監査を行うかは地方公共団体の判断次第であるが、一般的には、情報セキュリティ対策の向上を図るため、最初は継続的な内部監査と併せて助言型監査を行い、必要に応じて保証型監査を行うことが考えられる。」との記述があり、助言型監査から始めて成熟度が上がった時点で保証型監査を行う方向性が示されている。 総務省の指針から、特定個人情報保護評価制度に於いては地方公共団体に対して保証型システム監査の実施が求められていることが判る。

(4)特定個人情報保護評価書を用いた保証型システム監査

地方公共団体は、特定個人情報の照会・提供を情報提供ネットワークシステムを通じて行っている。
組織間での情報連携が頻繁に行われることになるため、各地方公共団体において情報システムの管理レベルに大きな差があることは、漏洩等のリスク増大につながる。住民の信頼を高めるため地方公共団体は、個人情報の管理状況について社会主導型の保証型システム監査を受けることで説明責任を担保することができる。
地方公共団体向け保証型システム監査の関係者を保証型システム監査の4分類に当てはめると、「社会主導方式」に該当する。利害関係者は、住民。議会であり、首長が特定個人情報が適切にリスク対応のうえ扱われていることを特定個人情報保護評価書で言明すると共に、保証型システム監査により客観的にそのリスク対応が機能していることを評価し公開することが求められる。
自治体が当初公表した特定個人情報保護全項目評価書は記載に問題のあるものがあり、JーLISが公表した全項目評価書をそのままコピーしたものと思われるものもあった。講師の所属するNPOでは自治体に対してパブリックコメントを提出すると共に、「全項目評価書記載のポイント集」を作成し各自治体が実際に作成・更新する際のヒントになる指摘事項をとりまとめた。また、「特定個人情報保護に関する管理規準」を作成し、特定個人情報の取扱いプロセスにおけるリスク対策と管理方法を示した。

特定個人情報保護評価書を用いた保証型システム監査のフェーズにおけるポイント

• 「特定個人情報保護評価書」を使用し、すでに言明書が存在している前提でスタートすることができる。
• 依頼内容確認フェーズ
監査人は、依頼者に保証の意味や範囲、制限事項について説明・確認を行い、合意する。
評価書に基づいて監査要点を整理し、言明を担保する証拠の存在を確認する。
• 監査提案・契約フェーズ
依頼者に保証の意味や範囲、監査人の責任限定、監査結果の公開の範囲など制限事項について説明し、依頼者と合意を得る。
• 監査計画・調査実施フェーズ
評価書の内容に沿った監査要点を基に監査計画を策定する。
評価書の管理項目に紐付いた資料を収集する。
• 検出事項分析フェーズ
言明書(評価書)には、リスク対策として「特に力を入れている」「できている」「十分である」などの自己評価が記載されている。「全項目評価書記載ポイント集」には各評価項目に具体的な統制事例を示している。この事例を参照することで自己評価の妥当性を判定し、被監査組織の統制目標レベルの設定が可能となり、監査意見の形成の一助とすることができる。
• 監査報告フェーズ
事実誤認等がないか確認を取る。
依頼者は、システム監査結果を必要に応じ議会や各種委員会、住民等への説明の裏付けとする。
システム監査結果はウェブ等で公開される場合がある。

特定個人情報保護評価書を活用した保証型システム監査の必要性

地方公共団体で、統一の管理項目によりリスクを分析し、適切な対策を講じていると宣言することは画期的なことである。しかし組織内部の自己点検や内部監査だけでは、特定個人情報保護評価書の実効性を評価するには不十分である。そのため、独立かつ専門的な立場のシステム監査人が、実際の運用状況について検証評価する外部監査によってこそ、リスクに対するコントロールが適切に整備・運用されていることが一定の条件において担保され、地方公共団体首長が住民や議会などの利害関係者に対する説明責任を果たすことができる。
日本年金機構は「特定個人情報保護評価書」を公開しており、平成27年3月の評価書には個人情報をインターネット環境下のサーバーに保存することがない仕組みであり、監査も年9回実施されていることが記載されていた。しかし、5月8日の不正アクセスによる個人情報流出が発覚した時点においては、共有ファイルサーバーに個人情報が複製されて業務に利用していたという事実が調査結果報告に記載されている。もし、「特定個人情報保護評価書」に対する外部保証型システム監査を早期に実施していれば、今回の事件を未然に防止できた可能性が有る。
特定個人情報保護評価書を言明書と見なし、保証型システム監査を実施することは十分可能であることを示した。しかし、現状では特定個人情報保護評価書の記述が十分でない。各地方公共団体で特定個人情報保護評価書が言明書として活用できるようレベルアップする必要がある。その上で、保証型システム監査の必要性と有効性を広く認知してもらうことが今後の課題である。

6.所感

私は、電機メーカーでSOX法対応の情報システム内部統制と内部監査体制の導入構築を主導し、全社規定や基準の整備・統制の標準化を推進し監査を行ってきた経験がある。事業部や関係会社の経営者がそれぞれの組織を自己点検し内部統制の有効性を宣言し、監査により全体の内部統制が有効であることを評価する手法は、保証型監査そのものである。
地方自治法改正で都道府県と政令指定都市は2020年4月1日までに内部統制の方針を定め、必要な体制を整備することが義務付けられた(日経2017年8月21日)ことを鑑みると、今後保証型監査の要請が増すものと思われる。講演で提言された特定個人情報保護を事例とした保証型システム監査の手法は具体的で有効な方法である。一方、参加者からの質問で特定個人情報に関して自治体の多くは総務省からのやらされ感があり、特定個人情報保護の監査の実施に納得感が得られていないというものがあった。自治体は住民・議会へ特定個人情報が適切に扱われていることの説明責任を果たすことが必要で、その手段として保証型システム監査を利用し行政組織の評価を高めることができることを理解する必要があると感じた。

以上

   

研究論文、研究成果、コラム&エッセイ、活動報告等のコーナー

Clip to Evernote

日本システム監査人協会近畿支部では、支部会員を始め各研究プロジェクト等で活発な研究活動を行っています。このコーナーでは、発表者の許諾をいただき研究論文研究成果活動報告などを掲載しています。

New!「保証型システム監査の実施方法に関する考察」

コンテンツの一覧表が表示されていない場合は、ここをクリックしてください。

   

発表資料

Clip to Evernote

タイトルをクリックするとドキュメントを閲覧できます。

公開日 区分 タイトル(リンク) 発表者 発表日 更新/備考
2018年12月22日 発表資料 保証型システム監査の実施方法に関する考察 金子力造 2018年11月16日 SAAJ近畿支部第175回定例研究会にて発表
2018年10月29日 発表資料 AI・データの利用に関する契約の実務 福本洋一 2018年9月21日 SAAJ近畿支部第174回定例研究会にて発表
2018年10月29日 発表資料 ブロックチェーン技術とシステム監査 永田淳次 2018年6月30日 SAAJ近畿支部30 周年シンポジウムにて発表
2017年9月28日 発表資料 仮想通貨とブロックチェーン技術の現状と課題 荒牧裕一 2017年9月15日 SAAJ近畿支部第168回定例研究会にて発表
2017年8月9日 発表資料 中小製造業のグローバル化プロジェクト 坂口幸雄 2017年7月21日 SAAJ近畿支部第167回定例研究会にて発表
2017年5月24日 発表資料 事業継続マネジメント(BCM)の本質とは? ⼩⼭俊⼀ 2017年5月19日 SAAJ近畿支部第166回定例研究会にて発表
2017年4月18日 発表資料 事業継続計画(BCP)の概要とIT-BCPについて 野原英則 2017年3月17日 SAAJ近畿支部第165回定例研究会にて発表
2017年2月3日 発表資料 これまでのシステム監査からこれからのシステム監査を考える 松田貴典 2017年1月20日 SAAJ近畿支部第164回定例研究会にて発表
2016年12月26日 発表資料 個人情報を巡る最新動向と企業に与える影響~改正個人情報保護法の施行に備えて~ 福本洋一 2016年12月17日 SAAJ近畿支部第163回定例研究会にて発表
2016年12月26日 発表資料 スクラムと監査についての一考 近藤博則 2016年11月5日 2016年度西日本支部合同研究会にて発表
2016年11月30日 発表資料 情報科学教育の現状について〜経営者から⾼等学校まで〜 松井亮宏 2016年11月18日 SAAJ近畿支部第161回定例研究会にて発表
2016年11月30日 発表資料 個人番号カードの多目的利用の課題と展望 津田 博 2016年9月16日 SAAJ近畿支部第160回定例研究会にて発表
2016年06月21日 発表資料 事例に学ぶ情報漏えい事故とそのセキュリティ対策~情報セキュリティ監査のポイント 粕淵 卓 2016年5月20日 SAAJ近畿支部第159回定例研究会にて発表
2016年04月25日 発表資料 システム監査の多様性について 林裕正 2016年1月15日 SAAJ近畿支部第157回定例研究会にて発表
2016年04月25日 発表資料 標的型攻撃をはじめとするサイバー攻撃の現状と対策 植垣雅則 2015年11月20日 SAAJ近畿支部第155回定例研究会にて発表
2016年04月25日 発表資料 ツールが無くてもここまでできる SAP ERP内部統制監査 浦上豊蔵
梅谷正樹
下田あずさ
木ノ原真由美
中川昭仁
2015年09月18日 SAAJ近畿支部第154回定例研究会にて発表
2015年07月21日 発表資料 ソフトウェア著作権監査のためのツールと監査手法 荒牧裕一 2015年07月17日 SAAJ近畿支部第153回定例研究会にて発表
2015年05月17日 発表資料 失敗したITプロジェクトの真の原因に迫るマンダラ図の紹介 松井秀雄 2015年05月15日 SAAJ近畿支部第152回定例研究会にて発表
2015年01月28日 発表資料 IT-BCPの実効性を高める訓練・演習とその監査 松井秀雄 2015年01月16日 SAAJ近畿支部第150回定例研究会にて発表
2014年12月05日 発表資料 システム監査の勘所 ~ITストラテジストとシステム監査~ 林裕正 2014年09月20日 JISTAオープンフォーラム2014in関西にて発表
2014年12月05日 発表資料 クラウドソーシングによる災害対策 吉田博一 2014年11月29日 SAAJ 西日本支部合同研究会にて発表
2014年12月02日 発表資料 BCP研究プロジェクト2014年度活動報告(IT部門の初動対応をモデルとした演習の紹介) 金子力造 2014年11月29日 SAAJ 西日本支部合同研究会にて発表
2014年09月20日 発表資料 情報通信技術者が知るべき著作権(基礎編)-「著作権のシステム監査」の実践のために- 松田貴典 2014年09月19日 SAAJ近畿支部第148回定例研究会にて発表
2014年07月19日 発表資料 暗号通貨ビットコインの脆弱性と可能性 荒牧裕一 2014年07月18日 SAAJ近畿支部第147回定例研究会にて発表
2014年04月22日 発表資料 ソフトウェア資産管理とシステム監査 松井秀雄 2014年04月19日 SAAJ近畿支部第41回定例勉強会にて発表
2013年08月22日 発表資料 J-SOXへの取組みと内部監査の考え方 是松徹 2008年11月21日 SAAJ近畿支部第110回定例研究会にて発表
2013年08月12日 発表資料 コンプライアンスのシステム監査について 雜賀努 荒牧裕一 松田貴典 2013年07月06日 SAAJ近畿支部創設25 周年記念研究大会にて発表
2013年08月12日 発表資料 クラウドコンピューティングのシステム監査 深瀬仁 松田貴典 2013年07月06日 SAAJ近畿支部創設25 周年記念研究大会にて発表
2013年04月10日 発表資料 マネジメントシステム規格の統合的な利用と効果的な認証審査 吉谷尚雄 2013年03月15日 SAAJ近畿支部第139回定例研究会にて発表
2012年11月21日 発表資料 BCP研究会報告(ITを中心とするBCP策定支援の実践 荒町弘 2011年11月19日 SAAJ 西日本支部合同研究会にて発表
2012年11月21日 発表資料 近畿支部サイトWG活動報告 金子力造 2011年08月20日 SAAJ近畿支部2011年度研究大会にて発表
2012年08月25日 発表資料 ASP・SaaSに対する情報セキュリティ監査をふまえたクラウドコンピューティングに対する一考察(プレゼン発表用) 佐々木志津香 古江健一 鬼松嵩 2011年08月20日 SAAJ近畿支部2011年度研究大会にて発表
2012年06月30日 発表資料 「システム監査の法的義務化」等のIT政策提言 田淵隆明 横山雅義 中田和男 神尾博 2012年06月16日 SAAJ近畿支部第32回システム監査勉強会にて発表
2012年05月14日 発表 資料 セミナーWG平成23年度活動報告 三橋潤 2011年11月25日 SAAJ近畿支部2011年度研究大会にて報告した資料より作成

 

   

近畿支部30周年記念シンポジウム 報告(浜田 恒彰)

Clip to Evernote

会員番号:2056  浜田 恒彰(近畿支部)

1.テーマ  近畿支部30周年記念シンポジウム
       ―システム監査@ニューフロンティアー
2.開催日時  2018年6月30日(金) 13:00~17:00
3.開催場所  エル・おおさか(大阪府立労働センター) 6F 大会議室
4.参加者数  93名
5、シンポジウム概要

 1、開会挨拶 日本人システム監査人協会 近畿支部 支部長 荒町 弘氏
2、来賓挨拶 近畿経済産業局 地域経済部 次世代産業・情報政策課長 森下 剛志氏
3、講演1 新システム監査基準/管理基準のポイント
SAAJ副会長 ㈱ビジネスソリューション 代表取締役 松枝 憲司氏
4、講演2 地方自治体のICT監査に求められる役割と課題について
大阪市行政委員会事務局 監査部ICT監査担当課長 片岡 学氏
5、講演3 ブロックチェーン技術とシステム監査
日本情報システムコンサルタント協会 副理事長 永田 淳次氏
6、パネルディスカッション 「次世代を担うシステム監査のあり方について」
モデレーター: 荒町氏
パネラー : 松枝氏、片岡氏、永田氏、吉田博一氏
7、閉会挨拶 日本人システム監査人協会 近畿支部 副支部長  荒牧 裕一氏

<講演内容>

講演1 新システム監査基準/管理基準のポイント 松枝氏 

システム監査関連4団体が中心となって、平成30年4月に11年ぶりに改訂された新システム監査基準/管理基準の改訂のポイントと今後の継続的な改善についてのとりくみ方針等についての報告。

<講演目次>

1、新システム監査基準/管理基準の公開と目的
2、システム監査基準の改訂のポイント
3、システム管理基準の改訂のポイント
4、システム管理基準枠組みのポイント
5、フェーズ別管理基準改訂のポイント
6、ISO38500関連基準の動向

<講演のポイント>

・従来の監査基準では不明確であった誰が、何を、どのようにを明確にした。
・システム管理基準ではITガバナンスに関する記述が強化され、EDMモデルを提唱
・従来は全体最適化の記述があったが、全体とは何か、最適化には正解がなく、環境の変化に追随
しきれない。なのでこれを使わず、ITガバナンスと記述し、経営者がEDMを回して、環境変化に対応していくことを明記した。
・EDMでのITガバナンスモデルは経営者がD)戦略と方針を示し、E)管理者が提案と計画を
フィードバックして経営者の評価を得、M)パフォーマンスと適合度をモニタリングする。
・アジャイル開発の章を新設。ここでの人材の役割はプロダクトオーナであり、多能工となる。
・事業継続管理については事業の継続はITガバナンスにより考慮され、個々の業務の継続はマネジメントの役割となる。
・情報セキュリティ監査基準と併用を可能にするために参照関係を作成。
・さらに日本発のISO基準としてITガバナンスのアセスメントの基準化にとりくみ中。

講演2 地方自治体のICT監査に求められる役割と課題について  片岡氏

AI,ビッグデータ等の新たなICTの進展に伴い、地方自治体においては、それらの徹底活用による一層の市民サービスの向上や行政事務の効率化が求められている。これらはセキュリティを含め、ICTの信頼性や安全性の確保を前提として進められる必要がある。このために、地方自治体におけるICT監査がどのようにな役割を果たすべきかなどについて、大阪市の事例等に基づき報告する。

<講演目次>

1、地方自治体における監査制度
2、地方自治体における監査委員監査およびICT監査の役割
3、大阪市におけるICT監査の実施例
4、地方自治体におけるICT監査の更なる普及に向けて

<講演のポイント>

・地方自治体のICT監査は現状、十分とは言えない状況にある。
・地方自治体の監査委員監査に求められるもの
-常に市民目線に立脚して
-税金が「経済性」「効率性」「有効性」を確保して使われるているか
の観点の基づき監査を行うこと
・地方自治体のICT監査はICTの適正利用を阻害するリスクに対するコントロールを適切に整備、運用するように助言、勧告するもの
・監査報告書にて被監査部門と意見交換を行う。特に問題の発生原因について本質的な原因を追究、対策提言するものでなければならない。
・大阪市のICT監査のスタンス
―ITガバナンス上の課題に踏み込み、抵抗はあるが再発防止策を提言
―監査委員監査におけるICT監査はシステム監査という手法を活用して、ICTに関わる経営上の課題発見とその改善活動を行うこと
・ここ数年は組織的にICTを管理するしくみ、基本的なリスク管理にとりくんできた。
・新システム管理基準はITガバナンスを定着するEDMモデルや実施すべき主体の明確化がな
されていて、地方自治体で今後活用していくべきものと考える。

講演3、 ブロックチェーン技術とシステム監査 永田氏

Bitcoinシステムを代表とする暗号通貨が社会に浸透し始めており、それを視野に入れたシステム監査が求められる。特にブロックチェーン技術は改ざんが困難であるという特徴をもつため、監査証跡の収集に有効であると予想される。本講演では暗号通貨とそれを実現した技術を概観し、それらの考え方や技術に対応することでより実行性のある監査が実現できることについて論じる。

<講演目次>

1、ブロックチェーン技術
2、ブロックチェーンの特徴
3、ブロックチェーン展開の方向
4、情報の記録とシステム監査
5、通貨、価値交換とシステム監査
6、正しい情報の記録とシステム監査

<講演のポイント>

・ビットコインに代表される暗号通貨(仮想通貨)関連案件についてどう監査していくか
・ブロックチェーンの特徴は5つ
①全ての正しい取引を記録し、消さず、全員で共有する「台帳」を持つ
②鍵で個人情報をコントロールするWalletを個人が保有
③大衆が実力発揮可能な環境の「Github」
④トラストレスでトラストを実現
⑤システムを維持するインセンティブの存在。中心的存在がいないけれども
・監査においてはクラウドサービスの監査と同じ考えでいいのでは
・暗号通貨の活躍場所はプレーヤが多く、支配者がいない場合が適用分野となる
・ブロックチェーンの今後の展開と方向
1)情報の記録システムとしての活用
2)通貨、価値交換のシステムとして活用
3)正しい情報の記録システムとして活用
・上記のそれぞれの観点でシステム監査のあり方を考えていく。

パネルディスカッション  パネラー:松枝氏、片岡氏、永田氏、吉田氏、 司会:荒町氏

1、各講演に対する会場からの質問に対する回答

1)講演1 新システム監査基準/管理基準のポイント 松枝氏への質問

質問① 情報システムの定義・範囲が不明確であり、とくに組み込み系のシス
テムが考慮されていないように思われるが
回答① 今回は組み込み系、それに関連するIOT系のシステムについて十分記述できていない。今後、追補版として追加していくべきと考える。
質問② システム管理基準追補版やJSOX制度との関連についてはどう考えるべきか
回答② それらについては、当然排除はしおらず、それらもあわせて活用いただく姿勢である。

2)講演2 地方自治体のICT監査に求められる役割と課題について 片岡氏への質問

質問③ 本質的な原因に迫るほどマネジメントレベルの責任にかかわってきて、現場の抵抗も強くなってくると思われるが、その対処は?
回答③ ICT監査では本質的追究としてマネジメントレベルの責任を追及すべきと考える。本質的原因の課題提起を行い、組織として、所属長としての見解を求め、抵抗が強くても、改善していくのがICT監査のミッションと考える。
質問④ 監査委員、事務局の役職者、スタッフの異動インターバルはどの程度か?異動の時の監査スキルの継承システムはどのようなものか?
回答④ 異動インターバルは他に比べて長く、スタッフでだいたい7~8年である。理由としては専門性を持っていなければできない仕事であるから。異動時は研修制度があり、ICT監査の勉強会も継続的に行っている。
質問⑤ 大阪市のICT監査は吉村市長のICT活用の意向がかなり反映されているのでは?他の自治体でもトップの意向がICT監査の展開に必要なのでは?
回答⑤ ICTに理解のあるトップが必要だと考える。大阪市ではトップの意向により、ICT戦略策定に元ITコンサルの経歴を持つ方が採用されたりしており、推進度合いにかなり影響がある。

3)講演3 ブロックチェーン技術とシステム監査 永田氏への質問

質問⑥ 管理者が不在のシステムでシステム監査を行った結果を誰に報告するのか?
回答⑥ 利用している企業のトップに報告することになる。
質問⑦ ビットコインを扱う取引所への監査として公認会計士やITスペシャリストの利用が予定されているが格付けの確認の利用等などシステム監査人として取り組むべき分野と思われるか?
回答⑦ 私が格付けの必要性を述べたのは例えばビットコインシステムとしての評価のことであり、取引所については過去に事故もあったため、その観点での評価は必要だと思う。
質問⑧ 仮想通貨以外でブロックチェーンのしくみは何に使われていて、監査は行われているか?
回答⑧ 例えば誰が投票したかわからないが、投票の有効性を示す選挙への利用やプレーヤが多い輸出入フロー等に使われているが実験システムであり、システム監査も行われていない。

4)講演者全員への質問

質問⑨ 新たな技術に対応するために日頃から心がけていることは?
回答⑨ 松枝氏:アンテナをつねにはっていくこと
片岡氏:新しい技術に興味をもつこと
永田氏:発想の違う若い人たちと接して自分の基盤をかえる
吉田氏:システム監査人協会の会合に参加してアンテナをはっていただきたい。

2、吉田氏からのコメント

現在、大阪の大学統合を行っているがITガバナンスをどう構築していくかについて、今日のお話は常に参考になった。ブロックチェーンについては海外では卒業証明に使われている話を聞くので今後の大学での対応も必要になってくると考えている。

3、モデレータ荒町氏からの各講演者への質問

1)松枝氏の講演に関する質問

質問⑩ 現在の監査人は従来の基準をベースとして業務を行っているが、それに今回のような新管理基準をどのようにして取り入れていけばいいのか
回答⑩ テーマ、組織に応じて評価基準を個別に作成していってほしい。
今回、新管理基準がカバーできなかった領域は積極的な改訂を行っていきたい。
管理基準は組織にあった必要なところをとりこんでいってほしい。そのための目的別に使いやすい管理基準作成や活用推進を行っていく。

2)片岡氏の講演に関する質問

質問⑪ お話しのあったICT監査専門者育成等で監査人協会のかかわり方は?
回答⑪ ICT監査専門委員は今後、有識者の任命制度を利用して非常勤の有識者の採用、ICT経験者の外部活用を行っていく必要があり、公認システム監査人の活躍の場所だと思う。

3)永田氏の講演に関する質問

質問⑫ ブロックチェーンを使った仮想通貨については一般人は事件もあって不安に思っている。監査人協会としてどうとりくんでいけばいいのか?
回答⑫ 新しい技術が出てきたら、技術を勉強し、先回りして監査基準を作っていくべし

4)元近畿支部支部長の吉田氏への質問

質問⑬ システム監査人協会としてどのようなな場の提供の強化を行っていけばいいか?
回答⑬ 今後のキーワードとなる技術(AI,IOT、RPA等)についての勉強、議論の場の提供
今後のキーポイントとなってくるマイナンバー制度、カード等のセキュリティ問題への対処
システム監査人のフィールド拡大のために社会人の指導等もっと社会に出て行くべき

<所感>

近畿支部の30周年記念シンポジウムとして、約100名の参加をいただき、非常に盛会であった。
講演テーマについても、新管理基準、ICT監査、ブロックチェーン技術への監査対応と統一テーマの
システム監査@ニューフロンティアにふさわしいものばかりで、今後を見据えたシステム監査のあり方、
今後の進んでいく方向性を考えさせられ、非常に有意義であった。
また、パネルディスカッションについても一方通行の講演で終わることなく、会場から、あるいはモデレータから質問に各パネラーが時間をとって、ていねいに答えてくれたことによって、講演内容等の
理解、各講演者が伝えたかったことがより深まったと思い、いい企画であったと考える。
ここで提言された今後のシステム監査人協会のとりくんでいくべき施策について、今後議論を行い、
企画立案を行って着実にとりくんで行きたい。

   

日本システム監査人協会 近畿支部では、システム監査に従事されている方、システム監査にご興味のある方、また支部活動を支援して下さる方を広く募集しております。

詳しくは、こちらよりお問合せください。


[counter 2010.01~]
本日アクセス数:32
累計アクセス数:165697
本日訪問者:27
累計訪問者:22731
2019年1月
« 12月    
 12345
6789101112
13141516171819
20212223242526
2728293031