Click here to visit our sponsor 


----------------------------------------------------------------------

 X社ECサイトとリスクを重視したシステム監査

----------------------------------------------------------------------
(設問ア)
----------------------------------------------------------------------
1.X社におけるリスクとコントロール
----------------------------------------------------------------------
1.1.システムの概要と私の立場
----
 X社では一般ユーザに対するオンラインショッピング
を目的としたECサイトを構築している。SIベンダー
に勤務する私は、X社ECサイト構築についてPMとし
て携わってきた。本論文ではシステム監査人の立場とし
て、X社ECサイトを例に監査上の留意点を述べるもの
である。

----
1.2.X社ECサイトのリスク
----
 システムの性格上、顧客個人情報を取り扱うものであ
り、それが漏洩した場合、X社の社会的地位は著しく失
われる。漏洩の危険性としては、主に以下の2点が挙げ
られる。

 a.外部からの侵入
 b.X社内部での管理ミス

----
1.3.X社におけるリスクコントロール
----
 X社では、外部からの侵入に対する対策として、ファ
イヤウォールの設置を行っている。また、定期的にログ
情報を参照し、不正なアクセスが行われていないかを確
認している。また、インターネット上での情報漏洩の可
能性もある事から、ECサイトでは通信データを暗号化
するプロトコルを使用している。
 一方、社内から顧客個人情報を流出させないために、
情報の収集・蓄積・利用・提供の観点から、データの取
り扱い規定を厳しく定めている。一例としては、住所・
氏名・電話番号など、個人が特定可能なデータを取り扱
う場合には、必ず書面を発行し、データ管理者の許可を
得る事となっている。

----------------------------------------------------------------------
(設問イ)
----------------------------------------------------------------------
2.監査上考慮すべきX社ECサイのリスク
----------------------------------------------------------------------
2.1.外部からの侵入
----
 ECサイトを運用するサーバはX社内の計算機室に設
置されている。また、この計算機室はIDカードによる
入退室・施錠管理が行われており、侵入者による情報漏
洩の危険性は低い。つまり、ネットワーク経由での侵入
が最も高い脅威であると言える。

----
2.2.X社内部でのデータ管理
----
 X社では個人情報を取り扱う可能性のある部署全てに
個人情報保護の重要性と、情報の取り扱い規定について
教育を実施している。X社では自社のシステム担当要員
に加え、多くの協力会社を使用しているが、協力会社の
メンバーも教育の対象としている。
 その結果、個人情報保護の重要性はX社内部に根付い
ているが、取り扱い規定を運用するのは最終的に人間で
あり、規程が遵守されないという脆弱性を秘めている。

----------------------------------------------------------------------
3.リスクを重視した監査において考慮すべき事項
----------------------------------------------------------------------
 リスクコントロールは、リスクの洗い出し・測定・低
減の手順で進められる。ここでは各手順において考慮す
べき事項と、監査上のリスクについて述べる。

----
3.1.リスクの洗い出し
----
 まず、監査対象のシステムにおいて、想定されるリス
クが漏れなく洗い出されなければならない。しかしなが
ら、ネットワーク技術の高度化により、全てを網羅する
事は難しく、漏れが発生するという、監査上のリスクが
ある。

----
2.2.リスクの測定
----
 洗い出された各々のリスクに対し、発生する確率と、
発生した場合の損失予測が適切になされていなければな
らない。しかし、X社の例に見るように、外部からのア
タックによりセキュリティが犯される確率、および社会
的地位を失う事による損失予測を行う事は難しい。

----
3.3.リスクの低減
----
 洗い出されたリスクとその評価から、低減すべきリス
クと保持すべきリスクを切り分け、低減すべきリスクに
ついては適切なコントロールが準備されなければならな
い。また、準備されたコントロールが適切に機能・運用
されている事の確認も監査のポイントとなる。
 X社の例では、不正アクセスのログの確認や、顧客個
人情報の取り扱いが、規定に沿って運用されている事を
確認する事になる。
 ここで監査上のリスクとしては、書面による取り扱い
の記録が全ての運用実態を表さない事にある。具体的に
は、顧客個人情報の取り扱いに際し、書面による申請が
義務付けされていたとしても、次のような抜け道が想定
される。

 a.システム障害等の緊急対応時には、書面による確認
  がなされていない。

 b.許可を得たものが開発の効率性を優先し、テスト用
  に複写を行う。

----------------------------------------------------------------------
(設問ウ)
----------------------------------------------------------------------
4.監査実施上のリスク低減の方法
----------------------------------------------------------------------
4.1.リスクの洗い出し
----
 情報技術の高度化に対応し、漏れなくリスクを洗い出
すためには、監査チームにネットワーク・セキュリティ
のスペシャリストを参画させる事が有効である。
 また、コンピュータ不正アクセス対策基準や、OEC
Dプライバシーガイドライン等の標準を参照し、リスク
の洗い出しを行う事も効果的であると考える。

----
4.2.リスクの測定
----
 リスクの発生確率、損失予測について妥当性を評価す
る事は難しい。まず、発生確率については、一般書籍に
よる企業アンケート調査の結果を参考にする事が考えら
れる。
 一方の損失予測については、社会的地位を失う事が、
どのような損失を生み出すかを予測する事は難しく、シ
ステム監査人としても妥当性を評価する事は出来ない。
ここで、損失予測について監査上のリスクを低減するポ
イントは以下2点であると考える。

 a.X社の市場占有率・競合他社の状況を踏まえ損失予
  測が行われている事。

 b.損失予測の値について、トップマネジメントが納得
  している事。

----
4.3.リスクの低減
----
 前述のように、顧客個人情報の取り扱いについて抜け
道が存在する可能性があり、規定に基づく取り扱いの記
録だけでは充分な監査であるとは言えない。
 監査上のリスクを低減するための具体的な方方として
は、顧客個人情報の取り扱いの実態について、無記名に
よるアンケートを行う事が考えられる。アンケートの内
容としては、以下のようなものである。

 a.書面による許可を得ずに顧客個人情報を使用した事
  があるか。

 b.顧客個人情報を複写した事があるか。

 c.顧客個人情報の印刷物をゴミ箱に捨てるなど、規定
  に沿わない処分を行った事があるか。

 尚、無記名とする理由は、システム監査が責任の追及
では無く、問題点の発見と改善勧告にある事を、被監査
部門に理解させるためである。
 また、データベースや担当者のPC上に複写されたデ
ータが残っていないかを直接確認する事も監査の方法と
して有効であると考えられる。
[ 戻る ]