「信じるに足る、期待する水準にある、結果を報告する」――ベストな監査結果はどれ？：経営視点のセキュリティ管理（3/3 ページ）

[長尾慎一郎，ITmedia]

　例えば、委託元が委託先の個人情報の管理体制を把握したい場合には、委託先の情報セキュリティ管理体制全体を確認するよりも、委託先が保管している委託元の個人情報の管理に絞って情報セキュリティ監査を行うことで足りる。

　さらに、委託元が確認したい管理体制は、個人情報の安全管理措置の一部かもしれない。このような場合には、委託元は、委託先が被監査主体合意方式の情報セキュリティ監査を実施し、その報告書の提出を求めることが望ましい。

　ただし、被監査主体合意方式には大きなデメリットがあるので、そのデメリットをよく理解して利用することが必要である。つまり、調査対象とならなかった領域に重要な情報セキュリティの欠陥が潜んでおり、それが影響して当該企業に大きな損害を与えないとう可能性を消し去ることができない。また、監査手続が不十分なために、情報セキュリティの欠陥を見逃してしまう可能性も残っているかもしれないということだ。

（2）利用者の信頼獲得の効果が高い――利用者合意方式

　利用者合意方式は、被監査主体合意方式と比べて、実施した監査手続の十分性をもっているところが異なる。つまり、利用者合意方式では十分な監査手続を実施して、監査人が意見を述べるために必要な合理的な証拠を十分に入手しなければならない。また、対象領域についても、監査の対象となっていない領域において今回の対象に影響するような重要な領域がある場合には、それを対象に含めることが必要となる。そのような意味で、利用者合意方式は、監査報告書の利用者が監査人の意見から安心を得るための最良の方法であると考えられている。

　委託元が利用者合意方式の情報セキュリティ監査を求める場合に、その監査対象となるのは委託元に関連する部分の情報セキュリティの管理体制であるが、委託先から利用者合意方式の情報セキュリティ監査の報告書の提出を受けた場合は、その報告書は被監査主体合意方式の報告書よりもより高い安心感をもたらす。

　ただし、利用者合意方式では、十分な監査手続を実施しなければならないため、被監査主体合意方式に比べて監査のコストが高くなることは避けられない。

（3）社会全体が納得する水準――社会的合意方式

　社会的合意方式は、利用者合意方式に比べて、多数の利用者全員が納得できる方式である。そのために、社会的合意方式では、利用者全員が知ることができる情報セキュリティの管理基準が公表されており、その一般に公正妥当と考えられる管理基準に基づいて、被監査主体の情報セキュリティのコントロールを検証しなければならない。

　現時点においても情報セキュリティの管理基準は公表されているので、この管理基準に基づいた評価検証を行えばよさそうなものであるが、同じ一つの管理基準を取り上げても、監査報告書の利用者、被監査主体、監査人の間でその管理の程度に大きな差が存在している。この差を縮めるための努力をJASAでも行っているところであるが、これはなかなか難しい課題として今も残っている。

　この差がなくなるような状況にならなければ、社会的合意方式を実務的に取り入れることは難しいと考えられている。

あらた監査法人 長尾慎一郎（公認会計士）

特定非営利活動法人日本セキュリティ監査協会（JASA）幹事／調査研究部会・部会長／保証型監査促進プロジェクト・コアメンバー、日本公認会計士協会　IT委員会委員兼ITアシュアランス専門委員会専門委員、日本セキュリティマネジメント学会　常任理事、情報システムコントロール協会（ISACA）東京支部　副会長、公認情報セキュリティ主席監査人