「信じるに足る、期待する水準にある、結果を報告する」――ベストな監査結果はどれ？：経営視点のセキュリティ管理（1/3 ページ）

これまで保証型情報セキュリティ監査はあまり普及していなかった。保証型情報セキュリティ監査の普及を妨げていた原因は、監査の厳格さとコストの高さにあったと考えられる。

[長尾慎一郎，ITmedia]

　情報セキュリティ監査を普及促進させるために、特定非営利活動法人日本セキュリティ監査協会（JASA）では「保証型情報セキュリティ監査の概念フレーム」を作成し、保証型情報セキュリティ監査を「被監査主体合意方式」、「利用者合意方式」および「社会的合意方式」の3つに分類し、その3類型について提案した。

　従来の保証型情報セキュリティ監査を3つに分けた理由は、これまでの画一的な保証型情報セキュリティ監査ではなく、より効率的かつ実務的な方法に切り分け、より簡便に利用できる保証型情報セキュリティ監査を提案するためであると考えることができる。

3類型の特徴

（1）被監査主体合意方式――3者間の合意または確認が大切

　被監査主体合意方式は、もともと監査を受ける側と監査人との2者間契約を指している。いわゆる2者間の契約とは、助言型監査と同じ契約関係である。また、一般的なアドバイザリー業務やコンサルティング業務もこれと同じ契約関係になっている。それなのに、あえて被監査主体合意方式として保証型情報セキュリティ監査に含めている理由は何か？　これは、委託関係にある委託元と委託先において、委託元が要求しているセキュリティの水準を委託先が満たしていることを監査の目的として、監査人が監査を実施している点にある。

　一般的に、このケースでは、委託先と監査人との間で監査手続について合意し、監査人はその範囲内において監査を実施することになる。そのような意味では、監査人と合意した監査手続は、委託元にとっては委託先が勝手に決めた手続として映ることになり、委託元のセキュリティ水準を目的としても委託元が信頼できる監査とはいえない。

　そのような委託元の不安を払拭するために、委託元が合意した監査手続を確認することにより、あるいは承認することにより、委託元のセキュリティの期待に応えることを目指している。したがって、このケースでは、委託元、委託先、監査人の3者により契約が結ばれることが望ましい。

被監査主体合意方式（JASAの資料より）

（2）利用者合意方式――利用者のための適正な監査

　利用者合意方式は、被監査主体合意方式に似ているが、より委託元のセキュリティへの期待に応えることを目的としている。そのため、ここで採用する監査手続は、社会的に合意された基準に従って監査手続を実施することが求められている。被監査主体では、当事者間で決めた監査手続であるから、監査手続の十分性という点で、利用者合意方式は一般の監査の水準を満たしたものである。

　なお、利用者合意方式は、委託元のセキュリティの期待に応えることを目的としているので、監査報告書は、委託元、委託先においてのみ利用されるものである。つまり、それら以外の第三者に報告書が開示されることは認められない。

利用者合意方式（JASAの資料より）