内部監査人資格が注目中です

今日、興味ある記事がありました。以下は、産経新聞Webからの引用です。

注目集める内部監査人　米では公認資格　時流先取り専門講座も

　

米国の資格である公認内部監査人（ＣＩＡ）に対する注目度が高まっている。西武鉄道、カネボウ、ライブドアなど上場企業で有価証券報告書の虚偽記載や粉飾決算などの不祥事が相次いだことをきっかけに、金融庁が平成二十年三月から、企業の内部統制導入に向けた制度づくりを進めているためだ。時流を先取りし、資格取得のための講座を開設した専門学校も出始めた。

　「これまではたまたま社内で配属された人がやっていたが、日本でも法制度が導入されれば専門知識を持つプロの内部監査人が不可欠になる」

　ＣＩＡ資格取得のための講座を今年二月に開講したＵ・Ｓ・エデュケーション（東京都渋谷区）の三輪豊明社長は、時代に先駆けて講座を開講した理由をそう説明する。同社の講座は、すでに商社や電機メーカー、金融機関などの大手企業社員を中心に百人以上が受講しており、その多くが五月中旬か十一月中旬の資格試験に挑戦するという。

　エネルギー大手のエンロンや、通信大手ワールドコムの不正会計事件を受けて米国で導入された企業改革法（ＳＯＸ法）が求める内部統制とは、正しい財務諸表を開示できる体制を整えることで、違反すれば経営者は最高五百万ドルの罰金、二十年の禁固刑のリスクにさらされる。このため企業はあらゆる部門に対して内部監査を行い、監査法人のチェックを受けて正しい情報を開示する。この内部監査を手がけるのがＣＩＡだ。

　米内部監査人協会が認定するこの資格は現在、七十八カ国、十三の言語で受験可能で日本語も含まれる。米国と異なり、日本の内部監査人には資格は不要だが、専門知識を求めて九百人余りが資格保有者となっている。金融庁が内部統制導入に向けた準備を進めている中で、「体系的な知識習得のために資格取得を目指すことにした」（大手電機メーカー社員）といったケースが増えている。

　金融庁が進める証券法改正の動きとは別だが、新会社法も企業に内部統制を求めており、人材は不足気味。企業経営者は、短期間のうちに人材育成、人材獲得を迫られており、内部監査人の需要はますます高まりそうだ。

　日本版SOX法に関係する記事です。企業の内部統制が重視され、それに伴い内部監査が重視されているというのが趣旨のようです。
　内部統制に関しては、システム監査や情報セキュリティ監査などでも重視されてきたのですが、今までは注目されたとは言えませんでした。しかし、SOX法対応にのキーワードして頻繁にマスコミに取り上げられるようになりました。

　内部監査人(CIA)、注目されているようです。CISAやCISMも同じようになれたらいいのですが。
　CIAを目指す方、CISA保持者はほんの少し有利なようです。目指すのは如何でしょうか。

内部監査人協会

このBlogを開設して1年が過ぎました。昨年の白浜シンポジウムに参加し、そこで多くの人がBlogを開設しているのを知り、それに触発されてのことです。更新の間が空いたりすることありましたが、兎にも角にも一年はもちました。2年に突入、情報発信というか情報共有、自己啓発/発展の場として、これからも宜しくお願いします。

CISA受験対策講座が閉校に

CISA受験対策講座を開講していたANJOインターナショナルが事業の継続が困難になり、破産に向けて法的処理を進めると発表しました。以下は、朝日新聞のWebからの引用です。

資格取得スクール突然閉校　５５００人が行き場失う
2006年05月27日17時36分
　米国公認会計士（ＣＰＡ）の資格取得スクール大手が突然閉校し、約５５００人の受講生が行き場を失う事態に発展していることが２７日、明らかになった。同業他社が、通常の料金を割り引いて受講希望者を受け入れるなど救済策を発表しているが、新たな負担に二の足を踏む生徒も少なくない。スクール側の無責任な対応ぶりに受講生や業界から批判の声が高まっている。

　閉校したのは、国際会計資格大手のＡＮＪＯインターナショナル（東京）。帝国データバンクなどによると、同社は９５年設立。受講生は社会人が多く、一時は東京や札幌、大阪、福岡など全国で１１校を運営。派手な広告戦略でピークの００年１２月期には売り上げは約２０億円に達した。だが、急拡大路線が裏目に出て資金繰りに行き詰まり、５月１６日に閉校。１０億円余りの負債を抱え、事業譲渡や破産など事後処理を弁護士に一任した。

　受講生の一人、東京都江東区の男性会社員（３９）は昨年１１月に受講料の全額の５５万円を前払いした。実際に受講したのは予定の半分。閉校で講座を修了できなくなり、国の教育訓練給付金（最大２０万円）の受給資格も失った。「経営内容は公開されていなかったが知名度があったので安心していた。全部受講生の『自己責任』で終わるのはおかしい」と憤る。

　同社によると、現時点で未受講の講座がある受講生は約５５００人。４月７日まで新規募集をしていたため、受講料４０万～８０万円を前払いしたものの教材すらほとんど受け取っていない受講生もいるという。斎木修次社長は閉校１カ月半前まで募集していたことについて「経費削減で立て直そうとしていた。決して作為ではない」と弁明。「返金する資産はなく、他社への受講生引き継ぎのメドも立っていない」と話す。

　こうした事態に、ＣＰＡ取得最大手のＵ．Ｓ．エデュケーション・ネットワーク（東京）は、同等コースを７５％引きにして希望者を受け入れる救済策を発表。プロアクティブ（同）は半額程度、ＴＡＣ（同）も６割引きなどの措置を打ち出した。同業経営者の一人は「受講生投げだしはあまりに無責任。業界の信用失墜が怖い」と漏らす。

　民間教育訓練施設を巡っては閉校で受講生が行き場を失う事態が続いている。今年１月には、約５４００人の受講生を抱えた英会話スクール中堅、日本エヌ・シー・ビー（東京）が突然、閉校。被害者の会ができるなど波紋が広がった。業界団体の全国産業人能力開発団体連合会は「過去に例がない事態」と危機感を募らせる。受講生の需要が細分化し、ネット授業など教育形態の多様化も進んで、競争が激しくなっていることが背景にあるという。

　同連合会によると、閉校に備えた保険や基金など制度的な受講生救済措置はなく、現状では同業他社の好意に頼るしかないのが実情という。

冒頭にも記したように、CISA受験対策講座もあったのですが、今年は募集していなかったと思われるので、CISA受験希望者の方に被害はでなかったたようです。ISACA東京支部とは独立して開催されていたのですが、CISA受験者の便宜を図るということで、講師に募集には協力していました。実は、私もこの受験対策講座の講師を2度ほど務めたことがあり、講座のビデオも発売されていました。それだけに、色々と考えずにはいられないニュースでした。

支部で開催したCISAレビューコースには、100人を越す参加者がありました。とわいっても、ボランティアベースの講座は、マンパワーの確保の点からも質の維持の面でも限界があります。需要はあるので、他の研修機関が引き継いでくれるとあり難いのですが・・・

個人的見解ですが、いずれにしても、ISACA東京支部として、今後の方針を検討してCISA受験希望者の皆さんへのサポートを明らかにする必要があると思います。

新しいリンクです

情報セキュリティプロフェッショナル(自称)の長谷川さんが、CISSPの話題に絞った支店ブログを開設されました。

CISSPになって情報セキュリティプロフェッショナルをめざそう！

早速、このお気楽Blogからもリンクさせていただきました。CISSPを目指す方、参考になさって下さい。

二つのBlogの更新、長谷川さん頑張って下さい。小生は、このBlogで精一杯です。

個人情報漏洩の損害賠償金額

YahooBBの個人情報漏洩に対する損害賠償請求裁判の判決が言い渡されました。以下は、産経新聞Webからの引用です。

ヤフーＢＢ運営会社に賠償命令　顧客情報流出で１人６０００円
　インターネット接続サービス「ヤフーＢＢ」の顧客情報流出事件で、個人情報が漏らされて精神的苦痛を受けたとして、大阪や兵庫など２０―７０代の会員と元会員５人が運営会社「ＢＢテクノロジー（旧ソフトバンクＢＢ）」とグループ企業の「ヤフー」の２社を相手取り、１人当たり１０万円の慰謝料を求めた訴訟の判決が１９日、大阪地裁であった。山下郁夫裁判長は、「不正アクセスを防止するための措置を講じなかった」などとして、ＢＢ社に１人当たり６０００円の支払いを命じた。
　原告側代理人によると、インターネットを通じたデータベース管理体制の不備を理由に、企業に賠償を命じた司法判断は初めてという。急速に拡大するネット社会で企業側の個人情報管理のあり方に一石を投じそうだ。

　ヤフーに対する請求については、「ヤフーが管理していた情報の流出はなく、ＢＢ社に対する監督義務も認められない」として退けた。

　判決などによると、ＢＢ社の元契約社員らは平成１５年６月と１６年１月、社員当時に使用していたパスワードを使って、ネットカフェのパソコンから同社のサーバーにアクセス。会員の住所や氏名など延べ１１００万件の顧客情報を不正に取得した。

　山下裁判長は判決理由で、ＢＢ社の管理体制について、契約社員が退職した際にパスワードなどを変更しておらず、極めて不十分だったと指摘。「電気通信事業者として、個人情報の漏洩や不正アクセスを防止する注意義務に違反した」と認定した。

　さらに、「契約社員による不正アクセスの予見は可能で、適切な管理を行っていれば情報流出は防げた」と述べた。このうえで、損害額について、個人情報の重要度や二次流出が認められないことを考慮し、慰謝料として５０００円、弁護士費用として１０００円の計６０００円が相当との判断を示した。

　この事件をめぐっては、ＢＢ社が全会員に５００円相当の金券を郵送した。また、元契約社員らから個人情報を入手した男らが親会社のソフトバンクから現金を脅し取ろうとして逮捕され、恐喝未遂などの罪で有罪判決を受けている。

(05/19 21:02)

今後は、個人情報漏洩が発生した場合は1人(1件)当り\6,000という損害賠償義務があるということが前提となりますね。数年前、とある地方自治体の住民基本台帳の情報が漏洩し、損害賠償請求が提訴された裁判で、当該自治体とシステムの運用を受託していた企業に原告1人当\30,000の支払いを命ずると判決され、最高裁まで争われ判例として確定しました。この例では、漏洩データが名簿会社に渡っているということが判断基準となっているようです。
今回に判決では、2次流失が認められないちうことから、\60,000になったようです。
もし、この金額が判例として確定した場合、今後は、個人情報漏洩のリスク判断では、1人当り\6,000という金額が基本となっていくのでしょうか。ただし、この判決は漏洩による2次被害については対象としていませんので、2次被害については、個々に判断されるのが妥当なのでしょうね。

ファイル交換ソフト

ファイル交換ソフトによる情報漏洩は、Winnyに止まらないようです。以下は、産経新聞Webからの引用です。

「シェア」介し情報流出　従業員のＰＣから　中部電力

　中部電力の尾鷲三田火力発電所（三重県尾鷲市）の敷地内の見取り図や不審者への対応マニュアル、同発電所の防災警備を行う中電防災尾鷲三田事業所の従業員の名簿などが、ファイル交換ソフト「Ｓｈａｒｅ（シェア）」を介してインターネット上に流出していたことが十四日、分かった。
　同事業所によると、同事業所の男性従業員（４０）の私用パソコンに入っていたシェアがウイルスに感染、保存してあった内部情報が流出した。

　見取り図は防災マップの形式で、ボイラー、変電所、煙突、貯蔵庫、計器室、制御室などの施設や設備の位置関係を明示。不審者対応マニュアルには、話し掛ける際の注意事項や不審者の目撃情報がありながら発見できなかった場合の対処方法が記載されている。


　名簿は同事業所の職員十数人の住所、氏名、生年月日、電話番号、雇用時期などを明記。いずれも男性が平成十二年前後に作成したという。ほかに、十七年度の業務運営計画や苦情対応要領なども流出した。

　別のファイル交換ソフト「ウィニー」を介した情報流出が相次いだのを受けて男性は二月下旬、ウィニーをパソコンから削除したが、三月に入ってから新たにシェアを使いだしたという。

　男性は「仕事の情報がパソコンに残っているとは思わなかった。認識が甘かった」と反省しているという。　

　中部電では今年一月にも、関連会社社員の私用パソコンからウィニーを通じ川越火力発電所（三重県川越町）の検査記録などが流出している。

【2006/05/15 東京朝刊から】

(05/15 08:05)

Winnyでなければ大丈夫、という認識はしてはならないということですね。おそらくShare以外のファイル交換ソフトでも、その機能を利用するウイルスが作成されて、情報漏洩に至るのだろうと思います。

Winnyの開発者が著作権侵害で起訴され、裁判中です。ファイル交換ソフトウェアは、この情報漏洩の問題以外にも、著作権等の知的所有権に関する社会的合意がなされていないと、私は考えています。それに加えて、情報流失ですから、今は社会的脅威になっていると言っても言い過ぎではないと思います。
現在のところ、技術的な対策が存在しない以上、
　①ファイル交換ソフトを業務で使うPCにインストールしない
　②ファイル交換ソフトがインストールされたPCに重要データを保存しない
という事を守る以外に方法は見当たらないのが現状でしょう。
企業のネットワークは兎も角、個人のPCについては、所有者の良識に期待するしかないですね。

米国情報セキュリティ事情

米国の個人情報の保護に関して、興味深いニュースがありました。以下は、日経BPのHPからの引用です。

個人の機密情報保護を怠った米不動産会社，FTCの和解案に合意

　米連邦取引委員会（FTC）は米国時間5月10日，個人情報保護に関して適切なセキュリティ対策を怠っていた不動産会社米Nations Holding（NHC）が和解に応じたと発表した。FTCは，NHC社とその子会社Nations Title Agency（NTA）が，顧客情報を保護するよう義務づけた法規「Safeguards Rule」に違反したとして提訴していた。

　NHC社はカンザスに拠点を置く非公開企業で，米国44州において不動産業を展開している。NTA社は住宅ローン関連のサービスを手がけている。

　FTCによると，NHCとNTAの両社は，顧客名，社会保障番号，銀行やクレジットカード情報，信用履歴などを取り扱っていたにもかかわらず，それら個人情報の保護に関して，適切かつ基本的なセキュリティ対策を怠った。さらに，個人情報を含む書類を，第三者が出入りできるゴミ捨て場に投棄した。またNHC社は，ごく一般的な手口を用いたハッカー攻撃によって，社内ネットワークへの侵入を受けたという。

　ちなみにNTA社は，「顧客情報を保護するために，連邦政府が定める規制に準拠した物理的および電子的対策と適正手続きを導入している」とするプライバシ・ポリシーを明記していた。

　FTCの和解要件は，両社が包括的な情報セキュリティ・プログラムを導入し，今後20年間はセキュリティ・プログラムが適切な水準に達しているか，専門の第三者機関の監査を受けるよう定めている。また，2005年6月1日に施行されたFTCの「Disposal Rule」に従い，顧客の信用履歴に関する情報を適切な方法で処分するよう義務づける。

　FTC委員長のDeborah Platt Majoras氏は，「消費者の個人情報を不注意に取り扱うと，身元詐称などの犯罪を誘引することになる」と警告する。同氏によると，FTCはこれまでデータ保護に関する不適切な慣行を，今回の和解を含め13件取り締まったという。

　

個人情報保護のための適切な情報セキュリティ対策がとられていないとのことですが、連邦取引委員会(FTC)の所管なのですね。消費者保護の範疇なのでしょうか。
それと、漏洩したことに対する処置ではなく、適切な対策がないということの和解。企業が情報セキュリティ対策を施すのは当たり前ということなのですね。

’今後20年間はセキュリティ・プログラムが適切な水準に達しているか，専門の第三者機関の監査を受けるよう定めている’とありますが、これは保証型の情報セキュリティ監査なんですかね。

色々と、考えさせられるニュースした。

FTC発表資料

経年変化

皆さん　ＧＷから仕事モードへの復帰は完璧でしょうか？
ところで、自慢する訳ではないのですが、9年乗った自家車を買い替えました。連休開始の4月29日が納車だったのですが、その際に感じたこと、考えたこと少々。

助手席エアバッグとかABSなど安全に関するものは、標準装備となっていました。この9年間の嫌煙権の高まりのためでしょうか、灰皿とライターははオプションです。カーナビは、事実上標準みたいなものです。後付だと高くつきますから。ETC、9年前はなかったのです。

購入した車のカテゴリが-違うので単純な比較してはいけないのですが、9年間で車に対しての需要、要望が変わってきたのは事実であろうと思います。特に安全に関する装備が標準となっていることは、特に感じた点でありました。

情報セキュリティについても同じであろうと思います。9年前は、ちょうどCISAの試験に合格した位に時期です。その時に比べ、個人情報に関する意識であるとか、Internetの普及の度合いであるとか、企業の法令遵守への関心あるとか、劇的な変化があったと言っていいでしょう。

現在有効なコントロールも社会情勢の変化とか新たな情報技術の登場であるとかで、その有効性が維持されるとは、だれも保証できませんね。だから、「継続的改善」が必要なのでしょうね。つまり、現に実施中の管理策の有効性を評価し、改善していく、所謂PDCAのサイクルの必要性の所以あるかと思います。

自動車メーカーが状況の変化に応じ、装備の内容を変えているように、情報セキュリティも絶えず向上していく事が必要なんだと、ふと考えた次第です。

追伸
我が家の奥様は、早速やってくれました。納車から三日目で擦っちゃいました。駐車場にバックで入れる時だったようです。バックが苦手だというから、オプションでリアカメラ付けたのに。前の車は、3ヶ月はもちました。
思わず溜め息でした。

「セキュアジャパン2006（案）」

内閣官房情報セキュリティセンター(NISC)から公表され、パブリックコメントを募集している「セキュアジャパン2006（案）」を斜め読みしてみました。

「セキュア・ジャパン２００６」（案）に関する意見の募集

これは、先週末から情報セキュリティ関係のBlogで取り上げられています。取り急ぎ斜め読みですが、気になる点を幾つか・・・

情報セキュリティ監査
案の中で情報セキュリティ監査の推進について取り上げられています。
政府機関の外部委託先の情報セキュリティ水準を確保する手段として、情報セキュリティ監査制度の活用を図るとなっています。内閣官房及び全政府機関が対象です。

地方公共団体の情報セキュリティ対策の有効性を評価し改善するため、情報セキュリティ監査の実施を推進するとなっています。総務省が主管となるようです。

民間企業向けの情報セキュリティ監査制度の普及促進施策として、情報セキュリティ水準を適正に評価する環境整備ため、質の高い監査サービスを受けられる基準の検討を行うこととなっています。

情報セキュリティ監査制度の促進が明記され、強調されているのはいいのですが、また省庁縦割りの弊害で、制度が乱立しなければいいのすが、気になるところです。確かに、民間企業や政府機関、地方自治体など、その組織の役割や特性もあり、一律の基準の策定が難しいのは理解しています。しかし、基本的な概念や、監査の仕組み、必要な制度の統一性などは確保して欲しいものです。


情報セキュリティ関連資格
政府機関の人材育成に関連し、政府機関の情報セキュリティ対策業務の要員は、全員が情報セキュリティ関係の資格を有することとなっています。これは、公務員の採用試験に情報セキュリティの職分でも追加するでしょか。それとも、情報処理技術者試験の合格を義務付けするのでしょうか。義務付けられる資格に内容など明確なってはいません。ここが気になるところです。

情報セキュリティ関する資格制度の体系化ということも記述されています。「情報処理技術者試験をはじめとする情報セキュリティに関する資格制度の体系化について、その基本方針及び具体策を2006年中に示す。」となっています。
現在の情報処理技術者試験を中心にするように読み取れますが、既存のCISSPやCISMと
いった国外資格、経産省が進めている情報セキュリティ監査人制度などとの整合性
は、どうなるのでしょうか。上記の政府要員に取得が義務つけられる資格とも密接に関係するのでしょうね。ホルダーとしては、気になるところです。

この話題は、冒頭にも触れたように、情報セキュリティ関係の色々なBlogで先週末から取り上げられています。私は、週明けの今日気がつきました。慌てて斜め読みして、自分Blogで記事にしたわけです。４月22日に買い換えた自家用車の納車があり、何せ9年ぶりの新車購入で、土日は浮かれていて、この話題に全然気がつきませんでした。

取り敢えず斜め読みした結果を記事にしましたが、「セキュアジャパン2006（案）」、暇を見付けて読み込んでから、引き続き取り上げていきたいと思います。

皆さんの感想やご意見などもお寄せ下さい。