これまで保証型情報セキュリティ監査はあまり普及していなかった。保証型情報セキュリティ監査の普及を妨げていた原因は、監査の厳格さとコストの高さにあったと考えられる。
情報セキュリティ監査を普及促進させるために、特定非営利活動法人日本セキュリティ監査協会(JASA)では「保証型情報セキュリティ監査の概念フレーム」を作成し、保証型情報セキュリティ監査を「被監査主体合意方式」、「利用者合意方式」および「社会的合意方式」の3つに分類し、その3類型について提案した。
従来の保証型情報セキュリティ監査を3つに分けた理由は、これまでの画一的な保証型情報セキュリティ監査ではなく、より効率的かつ実務的な方法に切り分け、より簡便に利用できる保証型情報セキュリティ監査を提案するためであると考えることができる。
被監査主体合意方式は、もともと監査を受ける側と監査人との2者間契約を指している。いわゆる2者間の契約とは、助言型監査と同じ契約関係である。また、一般的なアドバイザリー業務やコンサルティング業務もこれと同じ契約関係になっている。それなのに、あえて被監査主体合意方式として保証型情報セキュリティ監査に含めている理由は何か? これは、委託関係にある委託元と委託先において、委託元が要求しているセキュリティの水準を委託先が満たしていることを監査の目的として、監査人が監査を実施している点にある。
一般的に、このケースでは、委託先と監査人との間で監査手続について合意し、監査人はその範囲内において監査を実施することになる。そのような意味では、監査人と合意した監査手続は、委託元にとっては委託先が勝手に決めた手続として映ることになり、委託元のセキュリティ水準を目的としても委託元が信頼できる監査とはいえない。
そのような委託元の不安を払拭するために、委託元が合意した監査手続を確認することにより、あるいは承認することにより、委託元のセキュリティの期待に応えることを目指している。したがって、このケースでは、委託元、委託先、監査人の3者により契約が結ばれることが望ましい。
利用者合意方式は、被監査主体合意方式に似ているが、より委託元のセキュリティへの期待に応えることを目的としている。そのため、ここで採用する監査手続は、社会的に合意された基準に従って監査手続を実施することが求められている。被監査主体では、当事者間で決めた監査手続であるから、監査手続の十分性という点で、利用者合意方式は一般の監査の水準を満たしたものである。
なお、利用者合意方式は、委託元のセキュリティの期待に応えることを目的としているので、監査報告書は、委託元、委託先においてのみ利用されるものである。つまり、それら以外の第三者に報告書が開示されることは認められない。
Copyright © ITmedia, Inc. All Rights Reserved.
「ITmedia エグゼクティブは、上場企業および上場相当企業の課長職以上を対象とした無料の会員制サービスを中心に、経営者やリーダー層向けにさまざまな情報を発信しています。
入会いただくとメールマガジンの購読、経営に役立つ旬なテーマで開催しているセミナー、勉強会にも参加いただけます。
ぜひこの機会にお申し込みください。
入会希望の方は必要事項を記入の上申請ください。審査の上登録させていただきます。
【入会条件】上場企業および上場相当企業の課長職以上
早稲田大学商学学術院教授
早稲田大学大学院国際情報通信研究科教授
株式会社CEAFOM 代表取締役社長
株式会社プロシード 代表取締役
明治学院大学 経済学部准教授