会員番号 0807 浦上 豊蔵(近畿支部)
1.テーマ 「保証型システム監査の実施方法に関する考察
~特定個人情報保護評価書を活用した保証型システム監査の可能性について~」
2.講 師 株式会社バックス 代表取締役、NPO情報システム監査普及機構 理事
上級システムアドミニストレータ、公認システム監査人
金子 力造 氏
3.開催日時 2018年11月16日(金) 18:30~20:30
4.開催場所 大阪大学中之島センター 2階 講義室201
5.講演概要
個人番号の利用に先立って特定個人情報保護評価制度が開始され、地方公共団体は特定個人情報にまつわるリスクを事前に分析し、リスクを軽減するための適切な措置を講ずることを「特定個人情報保護評価書」として公表している。この公開された評価書を「言明書」と見なし、特定個人情報保護に関する保証型システム監査が可能であることが提言された。
講演では、保証型システム監査の概要と「言明書」の役割、特定個人情報保護評価書を用いた保証型システム監査の可能性及び実施方法や留意すべき事項について発表されると共に、システム監査基準や自治体の特定個人情報保護法に対するパブリックコメントを行った活動についても報告があった。
(1)新システム監査基準・システム管理基準に対するパブリックコメント
システム監査基準・システム管理基準の改定にあたり基準案が2018年3月6日に公示され、3月20日までの期間にパブリックコメントの募集があった。システム監査基準のパブリックコメントは総数110件の意見が出され、そのうち40件が講師の所属するNPOから提出されたものであった。
採用された意見として①前文「システム監査の意義と目的」に、「利害関係者に対する説明責任を果たすこと」の追加、②【基準2】監査能力の保持と向上の解釈指針にある認定制度の活用として「公認システム監査人」の追記、③【基準3】システム監査に対するニーズの把握と品質の確保の解釈基準に、システム監査のニーズとして経営陣からのニーズに加えて、委託者のニーズ、受託者のニーズ、社会のニーズの追記の紹介があった。その結果、システム監査基準では40件の意見を提出し26件が、システム管理基準では14件の意見を提出し8件が採用されたと報告があった。
保証型システム監査に関しては、保証型と助言型の監査があることが記述されているにもかかわらずその説明がなされていないことを指摘したが、今後の参考にするとの回答を得たものの修正には至らなかった。
パブリックコメントは、システム監査に携わる人の思いが意見として出されており、貴重な成果物である。
しかし、保証型システム監査については基準作成者や多くのシステム監査人の間でこれが保証型監査であるという共通認識がまだ醸成されていない段階にあり、今後共通の理解を確立していく必要がある。
(2)保証型システム監査の概要
新旧システム監査基準に保証型システム監査と助言型システム監査に関する記述から、保証型と助言型システム監査に関する考え方は大凡下記の通りである。
H16 の旧システム監査基準の前文から、助言型監査と保証型監査の定義は、
• 助言型システム監査は、組織内部の改善を目的とし、判断基準に照らし問題点を指摘し改善を促すこと。 監査意見は、改善勧告、助言。
• 保証型システム監査は、利害関係者を守ることもしくは判断の材料とするため、判断基準に照らし適切であることを保証すること。 監査意見は、保証意見(肯定/否定意見)。 また、H30の新システム監査基準の基準3解釈指針1に、監査の目的に保証と助言がある事が示されている。
• 保証目的として、経営者が取引先等からの信頼を得るために、経営者による「言明書」の範囲内で、時組織の情報システムのマネジメントが有効に機能していることのお墨付きを得たいというニーズに対して、保証を目的としたシステム監査が行われる。
• 助言目的として、経営陣が自組織のシステム開発管理等に不安があり具体的な改善方法を指摘してもらいたいというニーズに対して、システム管理規準に照らして評価・検証し、指摘事項と改善提案を行う。
しかし、新システム監査基準には「言明書」の記載があるが、その詳細は述べられていない。講演では、「言明書とは、IT統制のための要求項目(要求レベル)がどのようにコントロールされているかを具体的に記述し、責任者がその要求に対する達成度合を “言明” として表明した文書であり、保証の対象を明確化するもの」と定義され、その例が示された。
保証型システム監査のニーズには、①経営者 ②委託者 ③受託者 ④社会の4パターンのニーズがある。この依頼者の視点から保証型システム監査は ①経営者主導方式 ②委託者主導方式 ③受託者主導方式 ④社会主導方式の4分類がある。
(3)特定個人情報保護評価制度での保証型システム監査
特定個人情報は、法令により目的外の利用が厳しく制限されており、特に地方公共団体は個人番号利用事務者としてより厳格な管理が求められる。地方公共団体等において特定個人情報にまつわるリスクを軽減し、国民・住民の信頼の確保することを目的に、2014年に特定個人情報保護評価制度が開始され、評価の実施が義務づけられた。
「特定個人情報保護法評価書」は、地方公共団体が扱う対象人数の規模に応じて評価項目の詳細度が決められており、「基礎項目評価」「基礎項目評価+重点項目評価」「基礎項目評価+全項目評価」の3種類があり、定められた項目について自己評価を行う。特に「全項目評価書」については、パブリックコメントを求め、指摘があれば対応する。
「全項目評価書」は、入手・使用・委託・移転・接続・保管・消去という特定個人情報のライフサイクルに沿って構成されており、取扱プロセスにおけるリスクに対して、具体的に実施している対策を記載することが求められる。これは、一般的な情報セキュリティ管理の構成とは異なることに注意しなければならない。
総務省では、標的型攻撃メールなどのサイバー・テロにより機密情報が盗まれる事案が増加しており、地方公共団体は個人番号利用事務で扱う個人情報の安全管理措置を今まで以上に厳格に行う必要があり、管理状態を地域住民に公表する必要があるとしている。また、「地方公共団体における情報セキュリティ監査に関するガイドライン」(総務省)には、「情報セキュリティ対策の改善の方向性を助言することを目的とする助言型監査と、住民や議会等に対し情報セキュリティの水準を保証することを目的とする保証型監査がある。どちらの型の外部監査を行うかは地方公共団体の判断次第であるが、一般的には、情報セキュリティ対策の向上を図るため、最初は継続的な内部監査と併せて助言型監査を行い、必要に応じて保証型監査を行うことが考えられる。」との記述があり、助言型監査から始めて成熟度が上がった時点で保証型監査を行う方向性が示されている。 総務省の指針から、特定個人情報保護評価制度に於いては地方公共団体に対して保証型システム監査の実施が求められていることが判る。
(4)特定個人情報保護評価書を用いた保証型システム監査
地方公共団体は、特定個人情報の照会・提供を情報提供ネットワークシステムを通じて行っている。
組織間での情報連携が頻繁に行われることになるため、各地方公共団体において情報システムの管理レベルに大きな差があることは、漏洩等のリスク増大につながる。住民の信頼を高めるため地方公共団体は、個人情報の管理状況について社会主導型の保証型システム監査を受けることで説明責任を担保することができる。
地方公共団体向け保証型システム監査の関係者を保証型システム監査の4分類に当てはめると、「社会主導方式」に該当する。利害関係者は、住民。議会であり、首長が特定個人情報が適切にリスク対応のうえ扱われていることを特定個人情報保護評価書で言明すると共に、保証型システム監査により客観的にそのリスク対応が機能していることを評価し公開することが求められる。
自治体が当初公表した特定個人情報保護全項目評価書は記載に問題のあるものがあり、JーLISが公表した全項目評価書をそのままコピーしたものと思われるものもあった。講師の所属するNPOでは自治体に対してパブリックコメントを提出すると共に、「全項目評価書記載のポイント集」を作成し各自治体が実際に作成・更新する際のヒントになる指摘事項をとりまとめた。また、「特定個人情報保護に関する管理規準」を作成し、特定個人情報の取扱いプロセスにおけるリスク対策と管理方法を示した。
特定個人情報保護評価書を用いた保証型システム監査のフェーズにおけるポイント
• 「特定個人情報保護評価書」を使用し、すでに言明書が存在している前提でスタートすることができる。
• 依頼内容確認フェーズ
監査人は、依頼者に保証の意味や範囲、制限事項について説明・確認を行い、合意する。
評価書に基づいて監査要点を整理し、言明を担保する証拠の存在を確認する。
• 監査提案・契約フェーズ
依頼者に保証の意味や範囲、監査人の責任限定、監査結果の公開の範囲など制限事項について説明し、依頼者と合意を得る。
• 監査計画・調査実施フェーズ
評価書の内容に沿った監査要点を基に監査計画を策定する。
評価書の管理項目に紐付いた資料を収集する。
• 検出事項分析フェーズ
言明書(評価書)には、リスク対策として「特に力を入れている」「できている」「十分である」などの自己評価が記載されている。「全項目評価書記載ポイント集」には各評価項目に具体的な統制事例を示している。この事例を参照することで自己評価の妥当性を判定し、被監査組織の統制目標レベルの設定が可能となり、監査意見の形成の一助とすることができる。
• 監査報告フェーズ
事実誤認等がないか確認を取る。
依頼者は、システム監査結果を必要に応じ議会や各種委員会、住民等への説明の裏付けとする。
システム監査結果はウェブ等で公開される場合がある。
特定個人情報保護評価書を活用した保証型システム監査の必要性
地方公共団体で、統一の管理項目によりリスクを分析し、適切な対策を講じていると宣言することは画期的なことである。しかし組織内部の自己点検や内部監査だけでは、特定個人情報保護評価書の実効性を評価するには不十分である。そのため、独立かつ専門的な立場のシステム監査人が、実際の運用状況について検証評価する外部監査によってこそ、リスクに対するコントロールが適切に整備・運用されていることが一定の条件において担保され、地方公共団体首長が住民や議会などの利害関係者に対する説明責任を果たすことができる。
日本年金機構は「特定個人情報保護評価書」を公開しており、平成27年3月の評価書には個人情報をインターネット環境下のサーバーに保存することがない仕組みであり、監査も年9回実施されていることが記載されていた。しかし、5月8日の不正アクセスによる個人情報流出が発覚した時点においては、共有ファイルサーバーに個人情報が複製されて業務に利用していたという事実が調査結果報告に記載されている。もし、「特定個人情報保護評価書」に対する外部保証型システム監査を早期に実施していれば、今回の事件を未然に防止できた可能性が有る。
特定個人情報保護評価書を言明書と見なし、保証型システム監査を実施することは十分可能であることを示した。しかし、現状では特定個人情報保護評価書の記述が十分でない。各地方公共団体で特定個人情報保護評価書が言明書として活用できるようレベルアップする必要がある。その上で、保証型システム監査の必要性と有効性を広く認知してもらうことが今後の課題である。
6.所感
私は、電機メーカーでSOX法対応の情報システム内部統制と内部監査体制の導入構築を主導し、全社規定や基準の整備・統制の標準化を推進し監査を行ってきた経験がある。事業部や関係会社の経営者がそれぞれの組織を自己点検し内部統制の有効性を宣言し、監査により全体の内部統制が有効であることを評価する手法は、保証型監査そのものである。
地方自治法改正で都道府県と政令指定都市は2020年4月1日までに内部統制の方針を定め、必要な体制を整備することが義務付けられた(日経2017年8月21日)ことを鑑みると、今後保証型監査の要請が増すものと思われる。講演で提言された特定個人情報保護を事例とした保証型システム監査の手法は具体的で有効な方法である。一方、参加者からの質問で特定個人情報に関して自治体の多くは総務省からのやらされ感があり、特定個人情報保護の監査の実施に納得感が得られていないというものがあった。自治体は住民・議会へ特定個人情報が適切に扱われていることの説明責任を果たすことが必要で、その手段として保証型システム監査を利用し行政組織の評価を高めることができることを理解する必要があると感じた。
以上