システム監査人

FSAが、４月に全ての金融機関に指示した個人情報管理態勢の一斉点検の回答期限（６月末）が迫ってきました。　FSAの質問内容は、以下の２項目。

（１）　外部委託先を含む個人情報管理態勢の点検と監査
（２）　個人情報漏洩の点検と監査

監査としての回答に関して考察する。

（１）に関しては、キーワードは外部委託先。　監査コンセプトは、単純に考えれば個人情報保護に関する金融庁のガイドラインに沿った外部委託先の選定・契約書締結（見直し）・管理態勢確立の検証である。　言うまでもないが６月末の段階では、ガイドラインに沿った外部委託先管理が十分にできていないのが普通と思われるが、なぜ金融庁がこの段階でこの指示を出してきたのか、その狙いは？　私は、各金融機関にその管理態勢の遅れを認識させることにより、その対応を催促しているように思われてならない。　監査としては、管理態勢の現状を正しく認識、その対応策・スケジュールが明確化されていることを検証することが要。

（２）の回答は、かなり厄介。　まず漏洩の定義（紛失・過失も含む）をはっきりさせること。　組織的な漏洩点検の方法が確立され、その方法に沿って、今回の点検が実施されたのかがポイントとなる。　監査としては、漏洩点検方法の有効性とその点検の実効性を検証する必要となる。　ここで問題となるのが、点検の有効性・実効性をどのように観るかである、全ての漏洩ポイントを網羅性を確保して点検するのは不可能。　抽出点検となるが、厳密に言えば、抽出（できて１０％）では点検の有効性は低いと言わざる終えない。　特に、個人情報を含んだ電子ファイルのコピーが、十分管理できておらず、またインターネットによる情報流出が十分に管理できていないj現状では、漏洩の事実を点検（発見）できないのが真実だろう。　金融庁へは、正直に現状を報告し、今後の点検の有効性向上策を提示・実施する必要があると思われる。

リスクベースのシステム監査の計画（準備）においてリスクアセスメントの実施が必須である。システム監査に於けるリスクアセスメントに関して考察してみる。

リスクアセスメントの基本として最も重要なことは、余りに当たり前で忘れやすいことであるが、まず”何を守るのか”を認識することである。　この基本的なことを外すと次のステップである、脅威・脆弱性の認識がぼけてしまう。

”何を守るのか”、システム監査に於いては一義的には情報資産（データ、業務アプリケーション、インフラ（ネットワーク、各種システム）等）ではあるが、その情報資産を使用している業務の重要性を考慮すべきである。

リスクアセスメントの第一ステップは、
情報資産の一覧表（どの業務で使用しているか、重要性順）作成。