保証ということ

日本セキュリティ監査協会(JASA)で、保証型セキュリティ監査の促進を目的としたプロジェクトが進行中です。私も、メンバーの1人としてこのプロジェクトに参画しています。プロジェクトの発足後、間も無くして構造計算偽造問題が発覚し、プロジェクトの会合の席でも酒席でも、この話題がでないとことはありません。

①建物の設計/構造計算　→　②建築確認申請　→　③審査機関(民間/自治体)による審査

①の段階での不正や不備(リスク)を③の審査で低減する、というのがこのシステムの要諦だと思います。しかし、初めから想定された①のリスクを③でコントロールできず、システム全体の信頼性が大きく揺らいでいます。では、このシステムは不要なのでしょうか。それは断然否だと、私は思います。一戸建てであろうとマンションであろうと、建築の専門家でない一般の消費者が設計図や構造計算書を見て、耐震強度を自らチェックするなど不可能です。そこで、審査機関(民間/自治体)による審査を通過したことで信頼/信用する、言わば代行のシステムは必要であろうと思います。今回は、その代行システムが全く機能しなかったという深刻な問題が露呈した訳です。
では、システム(制度)が必要だとして、どこを改善改革すべきでしょうか。元々、①のリスクは想定済です。そのリスクを③で回避しようと図り、機能しなかった訳ですから、改善改革ポイントは③でしょうね。そこで、私案であうが、

1
審査機関(民間/自治体)は、被審査者が初回の審査の場合、構造計算書の強い審査を行う。再計算も辞さない強さが必要でしょう。

2
被審査者の申請が一定回数、例えば10回に達した場合は、再度強い審査を行う。

3
強い再審査を回避するために、所定の回数に達する直前に審査機関を変更することも予想される。そこで、審査機関(民間/自治体)は無作為抽出による強い審査を行う。

所定審査回数とランダムの審査を組み合わせることで、被審査者への牽制効果を期待できます。これで、リスクをゼロにすることはできません。また、この私案の前提として、審査機関(民間/自治体)に一定の力量を要求することになります。審査機関(民間/自治体)の淘汰も必要です。審査業務量が増えることに審査機関(民間/自治体)は抵抗するでしょう。しかし、失われた信頼を取り戻すには、かなりの改革が必要です。

JASAの保証型情報セキュリティ監査促進プロジェクトで、「保証」を与えることの難しさ、責任の重さを感じています。まあ、びびっているとも言えるかもしれません。これは、他のメンバーも多かれ少なかれ同様だと思います。その上で、なんとか保証型情報セキュリティ監査を広がっていけばと念じています。