2007年12月21日金曜日

2007年度 情報セキュリティ監査セミナー IN NAGOYA

一ヶ月以上、ご無沙汰してしまいました。その間、忙しかったのかと言われると、半分その通り(仕事及び忘年会他)、半分はそれほどでもありません、というのが正直なところです。

ところで、このBlogはプロバイダーとしてFC2を利用しています。今まで気がつかなかったですが、FC2のBlogは、一ヶ月以上更新しないと、勝手に広告が記事として掲載されてしまうんです。

三社の広告が掲載されていました。そのうちの1社は日本CA、ITILに関するものでした。これは、まあ良いとして、パチンコ業者はまずかったですね。でも記事を投稿すれば、削除されるようです。

これからは、一ヶ月以上間を空けないようにしないといけませんね。

 



ところで、昨日12月20日は名古屋で「2007年度 情報セキュリティ監査セミナー IN NAGOYA」が開催されました。私もスピーカーの一人として参加してきました。
J-SOXと情報セキュリティということで、内部統制とITガバナンス、情報セキュリティについて、40分ほど話てきました。その他に、監査手続ガイドについて永宮さん、保証型監査については、澤田さんとお二人ともJASA保証型監査普及促進プロジェクトG-タスクメンバー、すっかり幽霊メンバーの私は、久し振りの対面でした。
澤田さんの発表をきいて、G-タスクが大詰めにきていることを感じました。来年辺りからは復帰したいとおもいつつ、今更戻れるかなと不安にもなったしだいです。
参加者は100名強で、話しながら参加者の様子をみてもいると、皆さんいずれも熱心に聴いておられました。関心の高さが肌で感じられ、有意義なセミナーでした。
来年3月、福岡でもスピーチがあるので、いま発表内容を公開することはできませんが、いずれこのBlogで公開したいと思います。
名古屋、久々だったので、駅前の変化にビックリです。かつての最高層ビル、大名古屋ビルヂングが、超高層ビルに囲まれ、すっかり縮こまっていましたね。ホント、驚きました。

2007年11月12日月曜日

CGEIT

12月20日の全国縦断情報セキュリティセミナー名古屋会場でのスピーチ用の資料作成をしています。

情報セキュリティ監査セミナー in NAGOYA

土日や休日を利用しながらですが、段々と完成に近づいてきました。その過程で、IT統制とJ-SOXについて参考資料を読みつつ、考えてみたのですが・・・

IT統制は、IT全般統制とIT業務処理統制とに分類されます。
また、ITに対する、ITのよる統制という言い方もします。ITに対する統制がIT全般統制、ITによる統制がIT業務処理統制になります。
財務報告に係る多くのプロセスがIT化され、また多くの財務関連データが電子化されている以上、その業務プロセスへの統制もITを利用することは(IT業務処理統制)は、自然な流れで当然だと思うのです。
ITを利用する統制が健全である、有効であるためにはIT基盤の維持管理対する統制、つまりIT全般統制が機能していることが重要ということになってきますね。
J-SOXとIT統制の関係では、財務報告に係るIT統制への監査となるのでしょう。
しかし、特にIT全般統制の場合は、財務報告に係るか係らないかと分けて考えることは無意味というか、無理なような気がします。
これは財務で、これは非財務を分けてITの運用や問題管理をしていることは、ちょっと考えられません。アクセスコントロールの場合は、精度の問題としてはあるかもしれませんが。
しかし、全体としてはIT全体を一体として考える方が合理的だと思います。ですから、IT全般統制という観点での監査の場合、被監査主体のIT全体が監査対象なるだろうな、と資料を作りつつ考えました。
当日は、そんなことを考えつつ、J-SOXとIT統制、それと情報セキュリティと情報セキュリティ監査について、40分ほど喋って参ります。名古屋の方、会場でお会いしましょう。
まあ、その前に今月末に迫った資料作成の締切りを守らねばいけませんね。
そして、名古屋のあとは3月に福岡です。久しぶりだな、福岡は!

2007年11月7日水曜日

プリンターを買い換えました

緊縮財政で歳出削減の最中、11月4日日曜日にプリンターを買い換えました。今までのプリンターは、昨年買い換えたPCと共に7年前に購入したものです。A4用紙と葉書に印刷できれば良いので、プリンターは継続して使用していたのですが・・・・

とうとう、ウンともスンとも言わなくなり、使用不能状態なってしましました。自宅で結構、印刷することが多いので、厳しい財政状況の中、思い切って購入した訳です。
有楽町(たまたま用があって出かけたついでに)のビックカメラで、今まで貯めたポイントを使って、9,000円強の支出でした。
A4と葉書の印刷が出来て、コピーやキャプチャー機能付き、デジカメ写真の印刷では、古いプリンターとは比較にならないです。が、写真の印刷は殆どしないのですが。コピーとキャプチャーの両機能は大いに助かりそうです。
ISACA東京支部の理事やJASAのプロジェクトに参加していることもあり、自宅で様々な資料を印刷することが多いので、プリンターは必須です。
会社で印刷する手もあるのですが、休日に自宅で印刷せざるを得ないこともあります。おそらく、同じ立場にある方々も同様なのではないでしょうか。
12月20日のJASA全国縦断情報セキュリティセミナー用の資料作成をしなければならず、参考資料の印刷に早速活用しました。

2007年10月29日月曜日

社会保険庁-内部統制の欠如の典型

10月27日の土曜日に、CPA、CIA、そしてCISAのホルダーが集まっての懇親会がありました。このような機会、そんなにあるものでなく、アルコールが入るにつれ、話も盛り上がってきました。皆さん各々の立場で内部統制に関心というか関係がある人達ばかり、段々にとあるお役所の話になってきました。内部統制の欠如の典型だと・・・・ そう、巷で評判の社会保険庁です。

話してでた統制の欠如の数々、情報セキュリティの観点から
1 機密性の欠如
初回保険庁の職員は、職務権限のないのに、被保険者の個人情報を
 盗み見、あろうことか外部にリーク。しかも、処罰後にまた遣る豪
 の者も。
 しかし、誰でも被保険者情報が検索できるということは、アクセス制
 御、してないんですね。
2 完全性の欠如
 被保険者の名前、住所、生年月日など正しく入力されていない。
 こんなデータ、誰が信用するのでしょうか。
 入力されていないデータ多数、原本も可也の数が廃棄済み。
 検証もできないです。
 
3 可用性
 システムに詳しい担当者もいない。SI業者にお任せ。大丈夫?
4 その他
 契約書のなく、請求されるままにSI業者に数千億の支払い。
 民間企業であったら、会計監査で会計士さんは適正意見、
 付けられないのではと。
政府系機関でも、こんない酷いところ、他にないでしょう。先程、民営化した郵政事業、郵政観察はあるし、民間金融機関、宅配業者等との競争もあるし、まだまともですね。
各々が、各々の観点を披露しての議論、楽しかったです。また、こんな機会が欲しいですね。
しかし、社会保険庁(そして、自治労)、凄い組織です。CPA、CIA、CISAで集まって、この組織の内部統制について実態調査をすると面白いかも。

2007年10月23日火曜日

ITGI Japan カンファレンス 2007

丸一ヶ月ぶりの更新です。この一ヶ月、ご無沙汰してしまった理由は・・・ふ~ん 多分忙しかったということしかありません。じゃあ、更新する暇も無い程かと突っ込まれると、実はそれ程でもないかもしませんね。まあ、正直なところ怠業です。

久し振りの今回は、ISACAの関連団体のイベントの紹介です。

昨年設立されたITGIジャパン(ITGI-J)の主催によるカンファレンスが開催されます。今回のテーマは「企業目標達成のための必須道具としてのITガバナンス」です。
ITが企業活動にとって必要不可欠であることは論を待ちませんが、そのITが本当に企業活動にとって有益であるか、投資した額に見合っているかなど等は一に適切なITガバナンスに係っていると言っても過言ではありません(と私は思います)。
「ITGI Japan カンファレンス 2007」では、そのITガバナンスについて、講演が予定されています。皆さん、奮ってご参加下さい。そして、会場にてお会いしましょう。
カンファレンスについては下記をクリックして下さい。
  ↓
ITGI Japan カンファレンス 2007

2007年9月23日日曜日

No title

2007年後期のCISA/CISM試験まで、あと2ヶ月余りとなりました。受験をされる皆様にとっては、これからの時間の使い方が合否を決めるといっても言い過ぎではないでしょう。

CISA/CISM試験が近づくと当Blogへのアクセスが増える傾向にあります。検索キーワードも’CISA試験‘とか’CISA 問題集’など等、その意図がはっきりと判るものです。受験予定者も皆さんが、インターネットで参考になる情報を集めているのでしょう。

ということで、今回は、受験の参考になる情報を幾つか紹介します。

9月20日に当ブログへのトラックバックがありました。’Julianus’s Blog’というCISAホルダーの方が開設されているBlogなのですが、ご自身の経験からCISA試験勉強方法を紹介されています。Blogの記事の内容、私も全面的に賛成です。参考になると思うので、是非ご参照下さい。
Julianus’s Blog
一部を引用させて頂きます。

この「最も」とか「最初」が、くせ者で、かなり悩まされます。どういう思考経路で答えを導き出したらいいのか、あるいは、どの様な立場で考えれば良いのかが、分かりにくいのです。これは、レビューマニュアルでの知識の説明よりも、サンプル問題集にある「解説」を数多く読んで理解するのがベストだと、私は考えています。答えを憶えるのではなく、考え方(のクセ)を理解する。これが、実際の試験問題を解く時の応用力につながります。


考え方のクセ、問題の傾向を掴むことは重要です。小生の全く同感、その通りです。
過去の当blogの記事も参考にしてください。
CISA/CISM受験対策
CISA/CISM試験、頑張って下さい
民間研修機関でもCISA試験講座が開催されます。
リコー・ヒューマン・クリエイツ
USエデュケーション・ネットワーク
J-SOX対応や情報セキュリティ対策の関心の高まりで、CISA受験者は年々増加しています。受験者の皆さん、残り2ヶ月、頑張って下さい。

2007年9月9日日曜日

年金横領 - 内部統制の欠如

社会保険庁や市町村職員による年金の横領が大問題になっています。国民の財産の横領ですから、問題となって当然ですし、再発防止が必要なのは言うまでもありません。
ある地方自治体では、複数の横領があったことが報道されています。再発防止が為されていなかったからなのでしょうか。これらのケース、民間企業だったらと考えてしまうのは、小生だけではないと思いますが・・・

以下は、産経新聞Webからの引用です。

社保庁職員横領1.4億円 市町村でも2億円
 公的年金の記録不備問題に絡み、昭和36(1961)年度の「国民皆年金」スタート以降、平成13(2001)年度まで国民年金保険料の収納事務を扱っていた市区町村で、職員らによる保険料着服が23都道府県の44自治体で総額2億78万円に上ることが3日、社会保険庁の調査で分かった。
 また社保庁職員による年金保険料などの着服は、昭和37年度の同庁発足から平成18年度までに計50件、総額1億4197万円と新たに判明。いずれも総務省の年金記録問題検証委員会に同庁が資料を提出した。
 納付記録はすべて訂正済みで給付には影響がないとされるが、これまでに不正が指摘されていた社保庁だけでなく、市区町村職員の着服が多数発覚したことで、年金記録をめぐる国民の不信感はさらに高まりそうだ。
 自治体職員の着服は、古くは昭和41年度から、収納事務を国に移管する直前の平成13年度までに各地で発生。回数で最多の3件が起きた栃木県日光市では、昭和59-62年度にまたがる事例だけで5736万円に上った。
 一方、社保庁職員による着服は、年金保険料が22件(約3400万円)、給付された年金が13件(約8000万円)、健康保険関連の給付金などが15件(約2800万円)。計50件のうち3件で被害弁済できていない。41人を免職、3人を停職としたが、ほかは職員の退職や死亡などで処分していない。
 刑事告発したのは277件、うち11件で有罪。社保庁が自発的に公表したのは24件にとどまった、同庁は「平成10年度以降はすべて処分、公表している」という。
 8月31日に閣議決定された政府答弁書では、社保庁職員の着服などの不正は平成7年以降で26件、総額約1億1300万円とされていた。
(2007/09/03 18:39)


例えば、日光市。三件の横領があったとのことです。社会保険庁も負けず劣らず、国民の財産を平然とポケットに入れていたようです。
これが、民間企業だったら、間違いなくSOX法には対応不可の烙印押されるでしょう。財務報告にかかる内部統制が全く整備されず、もしくは機能していないと判定されることは間違いなしです。
不正を防止/発見/是正する仕組みが無かったとしか思えません。これは、やはり社会保険庁や地方自治体の組織構造や意識に問題があるのしょうね。
2年程度で移動し責任を果たす事の無いキャリアの管理職、長官や首長。チェック機能を果たさない議会。多くの認証システムでは、マネジメントの重要性を強調しますが、この年金横領の報道を見聞きす度に、然りと思います。
年金改革、社会保険庁の解体だけでなく、しっかりとした責任をもった、自覚あるマネジメントシステムの構築も必要ですね。

2007年9月4日火曜日

いやー やってしまったようです。監査法人の職員が、監査先の資料を自宅PCにダウンロード、しかもウイニーがインストールされていた・・・  誰もが想像する通りの結果になりますね。

以下は、読売新聞Webからの引用です。

トーマツが監査先資料を流出、自宅でウィニー使用
 監査法人トーマツは4日、監査先企業24社の業務に関する資料と、その取引先などの個人情報約7000件が、職員の私有パソコンを通じてインターネット上に流出していたと発表した。
 トーマツなどによると、この職員は自宅の私有パソコンに監査先企業の情報を保存していた。8月27日、ファイル交換ソフト「ウィニー」を使用して音楽ファイルをダウンロードしようとした際に、情報が流出した。職員は公認会計士ではないという。
 トーマツは、個人所有のパソコンに業務上のデータを保存することを禁止していた。トーマツ広報室は「再発防止のため社員、職員にルールを徹底し、誓約書を提出させる」と話している。
��2007年9月4日21時54分 読売新聞)


内部統制上の問題ですね。どんなに厳密な規則/規約を設け、遵守を徹底させても、結局は個々人のモラルに依るということなのでしょうかね。
自分だけは大丈夫という意識、もしくは無関心、無警戒・・・ どんな対策が必要か、はたまた存在し得るのか。考えてみましょうか。

2007年9月2日日曜日

ネットワーク・セキュリティ・ワークショップ イン 越後湯沢

今年も「ネットワーク・セキュリティ・ワークショップ イン 越後湯沢」の季節になりました。ISACA東京支部もこのイベントの講演をしています。とはいえ、私自身といえば、残念ながら未だ参加したことはねいのですが・・・今年も無理だな!  多分

今年は、「新しいネットワーク技術がもたらす可能性とセキュリティの課題」をテーマに開催されます。
(セミナーについては、下記をクリックして下さい)
ネットワーク・セキュリティ・ワークショップ イン 越後湯沢
ISACA大阪支部が主催者として関わる「サイバー犯罪に関する白浜シンポジウム」(コンピュータ犯罪関する白浜シンポジウムが本年より改称)、毎年初夏に開催されますは、この越後湯沢のシンポジウムが正に初秋。情報セキュリティの世界では、すっかり季節行事の感があります。
白浜シンポジウムも湯沢のセミナーもある共通の人物が、その創設にか関わっています。白浜シンポジウムには和歌山県警本部が主催者として名を連ねています。湯沢セミナーでは、新潟県警本部が後援団体になっています。
白浜シンポジウムにの創設には、当時の和歌山県警本部長が積極的でした。その本部長が新潟県警本部長になり、創設されたのが湯沢のセミナーです。その人物は、その後に防衛庁の移り、最近新聞紙上を賑わせていました。一時期、前防衛次官の後任にとされた前官房長N氏、その人です。報道では、情報セキュリティに精通していることが前大臣人選理由であったとのことですが、私としては大いに頷けるのでありました。機密情報の流出が相次いだ防衛庁の情報保全体制の建て直しには、正に適任だろうと思いました。その後の展開は、皆さんご存知の通りで、一同討ち死にと言ったところでしょうか。
ISACA東京支部は、越後湯沢のセミナーを後援しています。また、理事会メンバーは運営委員として参加しています。今年も国内外からスピーカーを招いています。ちょっと蛇足に流れましたが、万障お繰り合わせの上で、是非とも当セミナーにご参加下さい。

2007年8月27日月曜日

ITGI-Japanの成果物

日本ITガバナンス協会のホームページから、下記の成果物がダウンロード可能になりました。これは、ITGI国際本部が作成した、CIO向けのガイドで、NRI社の協力で日本語訳しました。

取締役会のためのITガバナンスの手引(69頁)
情報セキュリティガバナンス - 取締役会と役員に対するガイダンス(48頁)
同サプルメント(2頁)

ダウンロードページ

ITガバナンスに興味のある方、参考になさって下さい。

2007年8月23日木曜日

全国縦断 情報セキュリティ監査セミナー

この度、日本セキュリティ監査協会(JASA)主催で「全国縦断 情報セキュリティ監査セミナー」が開催されることとなりました。
JASAのホームページでも公開され、私のところには電子メールでの案内もきました。

実は、この「全国縦断 情報セキュリティ監査セミナー」おいて、12月20日の名古屋会場でスピーカーをします。JASAから依頼があり、所属会社の許可も下りたので、少しばかり貢献することにしました。J-SOXとセキュリティ監査の関係について話す予定です。
全国縦断 情報セキュリティ監査セミナー
東京会場は、12月19日に予定されています。ISACA国内三支部も後援します。私も都合がつけば、東京会場にセミナーには参加しようかと思います。興味深い内容のセミナーなので、皆様も参加されることをお勧めします。

2007年8月19日日曜日

登録証あれこれ

ほぼ一ヶ月振りの登場です。今日まで夏休み、明日から仕事再開なのですが、いやぁ~ この猛暑には流石に参りました。新記録の40.9度を記録した日は、自宅でのびていました。暑さだけで疲労してしまうこともあるんですね。

ところで、私はCISA/CISM、情報セキュリティ監査人補、ISMS審査員補の認定を受けています。その登録証について紹介しようと思います。

登録証あれこれ

(写真をクリックすると拡大表示されます)
情報セキュリティ監査人補、ISMS審査員補の登録証は顔写真付、プラスティック製です。これは、自らの立場を明確にするという目的があるのでしょうね。
CISA/CISMは、有効期限が12月31日までで、毎年新しいカードが送られてきます。しかし、顔写真もなく、プラスティック製なのですが、薄くてペラペラです。貧弱という印象は免れないですね。CISA/CISMでは、認定者にピンバッチが配布されています。が、正直言って着ける機会が少ない気がします。
CISSPなど他の資格認定制度のことは判りません。ご存知の方、情報を寄せて頂ければありがたいです。

2007年7月22日日曜日

公認情報システム監査人試験 ガイドブック&問題集

この度、公認情報システム監査人(CISA)試験のガイドブック&問題集が出版されました。
今まで、CISA試験のための市販の問題集、ガイドブックは存在しませんでした(日本語)。今回の出版は、日本語としては、初めてになります。

公認情報システム監査人試験 ガイドブック&問題集

出版元は、日本能率協会マネジメントセンター、価格は\2,000です。ドメイン毎の解説とサンプル問題が掲載されています。従来のCISAレビューマニュアルと併用すれば、効果的だと思います。
CISA試験用のガイドブックはあるのかとは、最も良く受ける問い合わせの一つでです。CISSPやCIAなどは、市販のガイドブックなどもあるようです。受験を希望される皆さんのとって、このガイドブックが出版されてことは非常に有益でしょう。レビューマニュアルの前に、本書に目を通しておけば、受験勉強に役立つと思います。
私が受験した時にあれば、一回目の試験で合格できたかな?

2007年7月9日月曜日

前回の記事に続き、情報セキュリティ関係したBlogの紹介です。
Blogの主は、新島学園短期大学専任講師の花田経子先生、この6月まではISACA東京支部の理事でもありました。

システム監査や情報セキュリティをアカデミックな観点から研究、教鞭を取られています・・・・というと何か物堅い、金縁のメガネで、俗世のことには超越した、近づきがたい女性というようなイメージも湧いてきますが、実際に話すととても面白い方です。
��月20日のISACA東京支部の総会/懇親会でも、他の会員の方も交えて熱く語り合ってしまいました。
ISACA東京支部の活動にも貢献され、アンケート集計など、学生さんを動員(職権乱用か?)して集計、見事な報告などもされてます。
花田経子先生の「はなけん」
今後は、ITガバナンス方面でも活躍される予定(多分)です。
頑張れ!  花田先生!!

2007年7月2日月曜日

御礼

’セキュリティ推進室 美穂ちゃんの日々’というBlogの管理人、きのこマスターさんから相互リンクのお申し出がありました。
情報セキュリティ関する話題を漫画で発信していくという、この業界関係のBlogでは、今までに無かった新しい試みです。喜んで、お申し出を受けることとしました。今後は月2回程度で更新されていくそうです。
リンクの追加しましたので、皆様も’セキュリティ推進室 美穂ちゃんの日々’をご参照下さい。

セキュリティ推進室 美穂ちゃんの日々

2007年7月1日日曜日

相互リンクのお願い

個人情報保護法の完全施行から丸2年以上が過ぎました。JR西日本の電車脱線事故で、家族を探す被害者親族に、病院が搬送された患者の氏名公開を拒んだり、学校の緊急連絡網の作成が中止されたり・・・・ 一般的な感覚からみても妙な過剰な反応が巷間問題となっています。
個人情報保護法の見直しは見送るとなりましたが、国民生活審議会個人情報保護部会が、この過剰反応の問題について意見書を内閣に提出しました。

以下は、朝日新聞と読売新聞Webからの引用です。

個人情報保護の過剰反応「解消を」 国民生活審が要望書
2007年06月29日15時29分
 施行から2年が経過した個人情報保護法をめぐり、国民生活審議会の専門部会(野村豊弘部会長)は、必要な情報の提供まで控える「過剰反応」への対策強化などを求める「取りまとめ」を29日、高市・内閣府特命担当相に手渡した。この後、高市担当相は関係省庁連絡会議に対し、過剰反応解消に最大限努力するよう要請した。
 高市担当相は「個人情報の保護は大切だが、必要な情報が提供されなくなると、逆に生活が不便になる、有益な活動がしにくくなるなど、不利益も大きくなる」と述べた。関係省庁連絡会議では、どんな場合には本人の同意がなくても個人情報を提供できるかや、地域や学校の名簿の作成などについて事業者や市民の質問に答える「個人情報相談ダイヤル」を設けることを決めた。また、内閣府のホームページに専門のメールボックスを作り、電子メールでも質問を受け付け、よくある質問と答えを随時、掲載していくとしている。
 専門部会が同日、提出した取りまとめでは、過剰反応対策として、本人の同意がなくても情報提供できるケースを広げるなどの法改正をただちに求めることは見送った。ただ、法自体が分かりにくいという指摘は根強く、今後の広報・啓発といった運用での対策の効果を見極めた上で、「法改正の必要性も含め、さらなる措置を検討していく必要がある」として改正に含みを持たせた。
 個人情報相談ダイヤル(03・3581・9778)は、同日から受け付ける。
2007年06月29日15時29分 朝日新聞
個人情報保護、過剰反応への対策促す…内閣府部会
 個人情報保護法の見直しを検討してきた内閣府の国民生活審議会個人情報保護部会(部会長・野村豊弘学習院大教授)は29日、法律をもっと定着させる対策を掲げた安倍首相あての意見書「個人情報保護に関する取りまとめ」を高市少子化相に提出した。
 必要な個人情報が提供されなくなっている過剰反応問題については、「状況を見極め、法改正の必要も含め、さらなる措置を検討していくことが必要」としたが、法改正の提言は見送った。
 提出後、15省庁の連絡会議が開かれ、担当の高市少子化相が「必要な情報が提供されなくなると、生活が不便になり、社会的に有益な活動がしにくくなる。過剰反応への対策には、最大限の努力をしてもらいたい」と指示。内閣府に「個人情報相談ダイヤル」(03・3581・9778)や「個人情報メールボックス」を開設し、市民の疑問に答えていくことを決めた。
 意見書では、過剰反応について、生命や財産の保護に必要な場合、本人の同意がなくても情報提供できるとした個人情報保護法の規定を活用し、各省庁にはガイドライン(運用指針)などを必要に応じて見直して、法律の趣旨を周知徹底するよう求めた。
 このほか、〈1〉市販の企業役員などの名簿は、規制対象から外すよう政令改正を検討する〈2〉ダイレクトメールや電話勧誘の停止を求められたら応じるよう、企業などの取り組みを促す〈3〉「特別の理由」があれば個人情報を第三者に提供できるとした行政機関個人情報保護法を参考に、自治体の条例の運用を改善する――なども盛り込んだ。
��2007年6月29日14時49分 読売新聞)


記事から察すると、民間向けと自治体向けの新たなガイドラインが作成されるようです。しかし、施行前にも各種ガイドラインが作成され、その解説をするセミナーが盛んに開催されました。ISACA東京支部の月例会でも、個人情報保護法関連のテーマだと定員を上回る参加申込みがあり、苦労したものでした。
現在でも、身体生命に関わる場合などは本人の承諾なし情報の提供は可能です。脱線事故の場合など、それに該当しますし、法改正でななく運用見直しでも十分対応可能というのが政府の判断のようですし、国民生活審議会の意見取り纏めも、それを受けてのことなのでしょう。
新たなに作成されるガイドラインを受けて、法の運用がどのように替わっていくのか。業界関係者の注目の的になるのかもしれませんね。

2007年6月24日日曜日

さる6月20日、ISACA東京支部の2007年度総会が開催されました。
この総会では、2006年-2007年の活動報告、功労者表彰、新年度活動報告が行われ、並びに懇親会が開かれました。

今回の総会では、支部会長の交代がありました。支部の定款で、会長及び常務理事は2期2年を超えて再任できないので、前会長が2期の任期を全うし、交代になりました。その他にも任期満了の常務理事の交代、新理事の就任が行われました。
今回の理事会から、外国籍メンバーへのサービス向上のために英語に堪能(というより日本語に堪能)な理事の登用が実現しました。日英両言語に達者で、増え続ける外国籍会員の代表です。
私はというと、理事には再任されましたが、教育担当から広報担当になりました。長いこと、教育担当として月例会の運営をしてきましたが、次回からは十年ぶりに一参加者として月例会に出席することになります。懇親会では、月例会の顔だったのにといわれましたが、これだけ長く月例会に関わるのが前例にないことでしたので、これ以上は事情が許さなかったと思います。
懇親会後は、有志で会場近くの居酒屋「さくら水産」で2次会でした(これも恒例)。11時頃まで、散々語って、解散、ほろ酔い気分で帰宅です。
新体制の発足したISACA東京支部、宜しくお願いします。

2007年6月18日月曜日

年金情報と住基ネットの連携が検討されているようです

巷の話題は、年金と社会保険庁の話題一色と言っても過言でもないですね。年金記録の杜撰な管理、社会保険庁の労使協定、一日当りのキータッチが5,000タッチ以内(文字数で2,000文字)なんかは職場で大笑いでした。30分で一日の仕事が終わりかと・・・・
それでいて、公務員共済はしっかり管理されていて、今のところ瑕疵がないようです。さすが、公僕意識など欠片もなく、国民に君臨する日本の公務員です。

で、今後の年金改革の一環として、年金加入記録と住基ネットを連携 させることが検討されているようです。

以下は、毎日新聞Webからの引用です。

年金問題:加入記録を住基ネットと連携 政府方針
 政府は年金保険料の納付記録漏れ問題への対策として、年金の加入記録を住民基本台帳ネットワークと連携させることによって、住所を移転した人たちの年金記録を照合できるようにする方針を固めた。19日に閣議決定する予定の経済財政運営の基本方針「骨太の方針2007」に盛り込む。
 また年金、医療、介護の各制度にまたがって国民1人に一つの番号を割り振る社会保障番号を導入した上で、各制度を総合的に利用できるITカードにして国民に配布する方針。12日の経済財政諮問会議で示された「骨太の方針」原案でも、社会保障記録の管理システムについて「健康ITカードの導入に向けた検討を行い、07年内をめどに結論を得る。同年度内に個人情報の保護などに留意しつつ、基本構想を作成する」としている。
毎日新聞 2007年6月17日 0時24分


前々から、住基ネットには疑問を持っていました。住民基本台帳情報のみに番号をつけて管理してもメリットが感じられないからです。例えば、各国民に固有の番号を割り振るのであれば、年金や健康保険、納税などにも利用しない限り、大きなメリットが見出せないからです。米国の社会保障番号(SSN)の日本版ですね。読売新聞は、社説で社会保障番号を考えてはと提起しています。以下は、読売新聞Webからの引用です。

社会保障番号 超党派で前向きに議論しては(6月17日付・読売社説)
 自分がどれだけの負担をし、どれほどの恩恵を受けているのかが、見えにくい。国民が社会保障制度に不信や不満を抱く一因は、そこにある。
 安倍首相は、年金や医療、介護などの負担と給付の記録を一元的に管理する「社会保障番号」の導入を急ぐ方針を表明した。
 まだ健康で年金受給年齢にも遠い世代は、社会保障制度から“利益”をあまり得ていない。年金や健康保険の保険料徴収率が低い要因だ。
 この状況を改善し、社会保障制度の信頼を培うため、一元的な番号制度の導入は大いに検討に値する。
 各制度の保険料をこれまでにいくら納付し、医療などの公的サービスをどれだけ受けてきたか、年金は将来いくら受け取れるのか、といった情報が個人単位でまとめられる。
 現状では、次々と保険料を徴収され、窓口負担を負わされている印象ばかりが強い。これまでの収支や将来の受益見通しの情報がきちんと提供されれば、社会保障制度への理解は深まるだろう。
 利点はまだある。結婚や転職などの届け出は、年金、医療など各制度に反映され、事務も簡素化されるため、年金の支給漏れのようなことは起こりにくい。
 社会保障番号は、政府がかねて導入を検討してきた。だが、個人情報保護の観点から、多岐にわたる記録を集約することに慎重論が根強く、足踏みを続けていた。個人情報の適切な保護策を講じるのは、当然であろう。
 安倍首相が改めて導入を表明するきっかけとなった年金記録の不始末を引き起こした原因は、何よりもまず、社会保険庁の組織体質上の欠陥にある。これについては、総務省に設置された検証委員会が、原因と責任の追及に当たる。
 だが、中途半端な形で基礎年金番号制度が作られたことも見逃せない。法律ではなく省令で導入されたうえ、年金制度に限った番号であるため、受給年齢が近づくまで関心のない人も多かった。
 最初から包括的な社会保障番号制度としていれば、医療や介護、雇用など他の保険情報とともに年金記録も速やかに集約され、今日のような混乱は避けられたかも知れない。
 公明党は、基礎年金番号を発展させた「総合社会保障口座」を提言している。民主党も「年金通帳」や納税者番号制度の創設を主張しており、社会保障番号の考え方と通じるものがある。
 年金をはじめ、社会保障制度への不信感を払拭(ふっしょく)するために、与野党で本格的に議論を進めてはどうか。
��2007年6月17日1時57分 読売新聞)


私も大筋で、この社説に同意するのですが、この制度のリスクについて厳密に評価し、適切な内部統制、コントロールを導入することが大前提です。ですから、個人情報保護法の改正なども必要でしょうし、公務員の守秘義務の強化も必須かもしれません。制度の運用を一部民間に任せるのであれば、公務員に準ずる守秘義務が必要かもしれません。一つの番号の下に、年金記録から医療記録、納税記録、住民基本情報などが一括してぶら下がるのですから、正に機微なる情報のオンパレードです。この情報が漏洩した場合のリスクは計り知れません。また、米国のように社会保障番号の民間利用を許すのかなど、個人情報保護の観点の議論が絶対に必要です。今後も政府内、国会内での議論を注視する必要がありますね。
参考
私は、最寄の社会保険事務所で、昨年の8月に年金記録を調べました。セーフでした。

2007年6月11日月曜日

個人情報保護法改正 見送りか

国民生活審議会の個人情報保護法の部会が、同法の改正の見送りを答申するようです。論議の的であった個人への罰則導入は見送り、過剰反応は運用見直しで対応するようです。個人への罰則導入は、刑法との兼ね合いもあるのでしょうか。しかし、運用見直しといいますが、その具体的な指針などについては、報道からはまだ判りません。

以下は、朝日新聞と読売新聞Webからの引用です。

個人情報保護法の問題、「運用で対処」 国民生活審部会
 個人情報保護法のもとで必要な情報まで提供をためらう「過剰反応」をめぐり、国民生活審議会の個人情報保護部会(部会長・野村豊弘学習院大法科大学院教授)は11日、政府に法の正しい理解を広めるよう求める提言をまとめた。05年の全面施行以降の状況を検討してきた同部会が運用改善での対処にとどめたことにより、来年に予定されている見直しで法改正は見送られる見通しになった。
 同法は「個人データ」の第三者提供を本人の同意なしでは原則禁止とし、個人に関する情報を出すことをタブー視する風潮を作り出した大きな要因とされる。審議では本人の同意がなくても情報提供できる例外規定がわかりにくいとして法改正を求める意見も出たが、部会は規定が浸透していないことに問題があるとの立場に立った。
 相次ぐ企業の個人情報流出事件に対応し、個人への罰則や情報窃盗罪の創設なども検討したが、見送った。
 提言に盛り込まれるのは、個人情報をどう取得したか本人に開示する▽個人情報の利用停止を本人が求めたら自主的に利用停止に応じる▽個人情報の取り扱いを外部委託する場合は本人に伝える――といった事業者の取り組みの促進。あわせて、個人情報を委託、共同利用する場合、目的や利用者の範囲を明確にするよう求めている。
 部会はこれらも法改正ではなく、閣議決定した「個人情報保護に関する基本方針」の見直しなどで対応可能としている。
朝日新聞
2007年06月11日19時11分
個人情報保護法の改正見送りへ…内閣府部会で意見書最終案
 個人情報保護法を見直すかどうか検討している内閣府の国民生活審議会個人情報保護部会が、11日開かれ、意見書の最終案が事務局から示された。
 同法の全面施行に伴い、必要な個人情報が提供されなくなっている過剰反応については、「実態を十分に見極めながら、引き続き検討していく」として法改正を見送ることになった。この日の議論を踏まえ、月内にも意見書が安倍首相に提出される。
 同法は、衆参両院の付帯決議で、全面施行(2005年4月)から3年をめどに施行状況を検討し、必要な措置を取ることになっており、05年11月以降、部会で議論が続けられてきた。
 焦点は、地域や学校で名簿、連絡網などが作れないといった過剰反応の問題だった。同法では、「人の生命、身体の保護に必要で、本人の同意を得るのが困難」などの例外を除き、本人の同意がないと個人情報を第三者に提供できない。
 この日も、複数の委員が「同意を必要とする原則が厳しすぎる」などと指摘、本人の同意なしでも個人情報を第三者提供できるケースを広げるべきだと主張した。また、個人情報が有効に活用できることをもっと強調するよう求める意見も多く出された。
 しかし、「過剰反応は落ち着いてきている」との見方もあり、法改正の是非については意見が分かれた。このため、同法の運用について各省庁が作るガイドライン(指針)などで、引き続き法律の周知を図ることとし、法改正の必要性までは盛り込まれなかった。
 また、個人情報漏えい罪の創設には慎重な意見も強く、同罪の導入を求める意見があったことに触れる程度にとどめることになった。
��2007年6月11日21時23分 読売新聞)


個人情報保護法、色々と議論はあります。改正論から廃止論まで、様々な意見がありますが、私は個人的には必要な法律だと思います。何故なら、企業によって、自治体のよって、個人によって個人情報への考え方、取扱など濃淡があるのが現実です。慎重な取扱をする組織/個人とそうでない場合も差は著しいものがあります。そこで、法によるコントロールは、必要だと思うのです。何故なら、個人情報は金になり、悪用により、情報の主体者たる我々の損失に繋がるリスクがあるからです。
個人情報保護法、当初は人権保護法案などともにメディア規制三法案とか、汚職政治家/官僚保護法とも謂われ、亡くなった城山三郎氏も反対であったことは有名ですね。しかし、私は必要な法律という認識は変わりません。ただ、適切であるか、巷間言われるメディア規制の側面は事実なのか、等々見直しの議論、処置は必須であろうとも思います。今回は見送りのようですが、今後も必要であれば適切な議論と改正を望みますね。

2007年6月4日月曜日

CIO ITガバナンス セミナーが開催されます

来る6月20日、ITGI-Japan主催の’CIO ITガバナンス セミナー’が開催れます。ISACA国内三支部は、ITGI-Japanの活動に協力していますので、このセミナーに開催に際しても全面的に支援しています。

CIO ITガバナンス セミナー
セミナーでは、各界の有識者の方々が、ITガバナンスに関するスピーチ、発表を行います。ITガバナンスや情報セキュリティなどの関連する業務に携わる皆様に参考になること請け合いです。万障お繰り合わせの上で、是非ともご参加下さい。

2007年5月28日月曜日

全日空のシステム障害

5月27日に全日空のシステムの大規模な障害が発生、予約・発券システムがダウン、定期便の運行が大混乱でした。

以下は、朝日新聞と読売新聞のWebからの引用です。

全日空障害、ダウン対策不発 サーバー切り替わらず
2007年05月28日15時56分
 27日の全日空の国内線予約・発券システム障害は、システムの多重化策がとられていながら起きていたことが、わかった。システムの根幹部分であるホストコンピューター周辺機器の更新時の設定に問題があった可能性もあるとみられ、全日空が原因を調べている。
 予約・発券システムはホストコンピューターと、全国の空港の窓口や旅行会社の端末が専用のネットワークを通じて結ばれている。
 全日空によると、ホストコンピューターとやりとりされる情報は、ホストコンピューターの手前にある6台のサーバーでどの経路を通って処理するかを整理している。6台のうち何台かがダウンしても、残りで同じ対応ができる設計だった。
 ところが今回は、今月24日までに順次更新されたサーバー3台が、ホスト側から出た情報をネットワーク側に送り出しても反応しないという誤った判断を下し、ホスト側に返していた可能性があるという。しかも3台が対応を続けたため、残りの3台に切り替わらなかった恐れがあると全日空はみている。
 この結果、ホストコンピューターには発信できない情報が大量にたまり、処理速度が大幅に低下。27日の修復作業で3台を更新前のサーバーに戻し、たまっていたデータをはき出すと、処理能力は回復した。
 全日空とメーカーによる原因調査には時間がかかる見込みで、当面は予約・発券システムは元のサーバーで運用する。
     ◇
 全日空のシステム障害から一夜明けた28日、同社は航空機の機材繰りの関係などから鹿児島発大阪(伊丹)行きの初便が欠航した。午後にかけて9便が遅れる予定。システム自体は安定して動いているという。
全日空の国内便のコンピューターシステムに27日未明、障害が発生、各空港で搭乗手続きなどが出来なくなり、羽田空港発着便を中心に全国で欠航や遅れが相次いだ。
 システムは午後3時半に復旧したが、ダイヤの乱れは終日続き、計130便が欠航。到着が1時間以上遅れた便も306便に上り、6万9300人に影響が出た。
 障害が起きたのは、予約と搭乗手続き、手荷物預かりを管理しているシステム。各空港では、27日の始発前から、窓口などにある端末の反応が極端に鈍くなった。全日空では、手作業で搭乗手続きなどを受け付けるとともに、午後1時半から午後6時までの羽田発便を全便欠航させ、間引き運航で対応した。
 最大の遅れは鹿児島―羽田便の4時間45分。全日空のシステムを利用しているスカイネットアジア航空、北海道国際航空(エア・ドゥ)、アイベックスエアラインズにも、多数の便で遅れが出た。全日空では28日も、午前8時発の鹿児島―大阪(伊丹)便が欠航するほか、午前7時台の岡山―羽田、高松―羽田便がともに2時間35分遅れで運航するなど計9便に遅れが出る見通し。
(朝日新聞)
-----------------------------------------------------------------
 全日空では、今月15日から24日にかけ、羽田空港近くにあるホストコンピューターと各空港の端末とを結ぶ接続システムの更新作業を実施していた。この日のトラブルで、システムを更新前の状態に戻したところ復旧したといい、詳しい原因を調べている。
 全日空では、2003年3月にも150便が欠航する大規模なコンピュータートラブルが起きている。
��2007年5月28日1時20分 読売新聞)


他の新聞、報道メディアの報道によると、ハードウェア/ソフトウェアの交換をしたところ、障害が発生したようです。事前のシステムテストは十分な時間をかけて実施したとのことですが、結果としてこのような障害が発生したのですから、抜け洩れがあった、十分でなかったということになります。
変更管理上の問題
①システムテスト(受入テスト)のシナリオ、精度が適切であったか
②テスト環境は適切であったか
③切替の手順は適切であったか
など、考えられますね。
問題管理上の課題
①原因の追求体制は適切か
②障害対応が適切であったか
③過去の障害対応の教訓は生かされたか
etc
システム管理上、そして再発防止のためにも、当該企業や関係ベンダーなどから、原因の発表など、機体したいものです。
  

2007年5月22日火曜日

Pマークの現実

日経ネットのITプラスに興味深い記事が掲載されていました。’「Pマーク」への期待と現実’と題して、その現実についての考察です。私も共感することの多い記事でありました。

ちょっと長いのですが、記事前文を引用してみます。以下は、日経ネット ITからの引用です。

「Pマーク」への期待と現実――検証 864万件の個人情報流出(1)
大日本印刷は3月12日、個人情報流出問題について記者会見を開いた。
 個人情報保護法の全面施行から2年以上が経った。施行の準備期間も含めて企業は個人情報保護対策を進めてきたが、依然として情報流出はなくならない。3月に発覚した大日本印刷の事件では、「プライバシーマーク(Pマーク)」認証の取得など個人情報保護対策を進めていたにもかかわらず過去最大の864万件の個人情報が流出した。企業の個人情報保護対策は今後どうしていけばよいのか。今回の事件を契機に検証していく。
 大日本印刷は3月12日、ダイレクトメール(DM)印刷などのために顧客から預った約864万件の個人情報が漏えいしていたと発表した。業務を委託していた企業の従業員が不正に持ち出していた。流出した件数は、ソフトバンクBBの450万件、KDDIの400万件の約2倍となる過去最大の漏えい事故となった。また信販会社から預かった個人情報は実際に不正使用されるなどの被害もあった。
大日本印刷から個人情報が流出した企業と件数 企業名 件数
アメリカンホーム保険--------1,504,857
イオン-----------------------581,293
��ECビッグローブ-----------214,487
��TTファイナンス-----------640,225
カルピス---------------------195,552
近畿日本ツーリスト------------65,043
��DDI----------------------113,696
京葉銀行----------------------56,478
ジャックス-------------------150,000
ソネットエンタテインメント----59,026
千葉トヨタ自動車--------------22,788
ディーシーカード-------------337,480
トヨタカローラ神奈川----------43,953
トヨタ自動車-----------------273,277
ニフティ----------------------33,318
日本ヒューレット・パッカード-163,111
弥生-------------------------164,304
��FJニコス---------------1,190,336
公表企業合計---------------5,809,224
その他非公表25社分---------2,828,181
※大日本印刷の公表資料より
 大日本印刷は、個人情報の取り扱いに関する認証の1つであるPマークを取得していたため、Pマーク認証を出している日本情報処理開発協会(JIPDEC)の対応が注目されていたが、3月23日に今回の事件に関して大日本印刷の認証の「取り消し」はせず、次に厳しい措置である「要請」とすることを発表した。
 この措置に関して、多くのマスコミや識者から「処分が甘いのではないか」「Pマークの信頼性が揺らいだのではないか」という批判が相次いだ。こうした批判に対応してJIPDECは3月27日付で追加の声明を発表し、今回の事件について陳謝すると同時にPマーク制度の改革案を発表した。
 JIPDECはPマークの取り消しを行わないというよりは、できなかったというのが実情だろう。現在の制度では、「事故が起きたこと」「機密対策が不十分」というだけでは取り消しができず、JIPDECから改善の「要請」をし、それに対する対応が不十分だった時に初めて取り消しできるような制度になっているのである。制度に基づいて運用する場合「取り消し」ができないのだ。
 ただし、過去に実際に「取り消し」された企業は1社だけであり、認定事業者数が7514社もあることを考えると非常に少ない数にはなっている。
 そもそもPマークはどこまで信頼されていたのであろうか。広告業界やIT業界などでは、取引先に対してPマークの取得を義務付けるケースが多くあるが、これは決して「Pマークを取得していれば絶対に安全」というところまで期待しているわけではない。個人情報の適正な扱いについて「一応の対策をとっている」という保証を得ることを期待している企業がほとんどだと思われる。
��1
 そういったこともあり、実のところ、今回の事件に対して関係業界からは大きな失望の声は聞こえてこない。逆に言うとそこまで大きな期待をしていなかったという冷ややかな見方が大勢である。JIPDECによると事件後のPマーク認証申請の動きに大きな変化はないという。
 Pマーク自体は「機密保持レベルの保証」ではなく、個人情報に関する「マネジメントシステムが確立していることを保証」するような内容になっている。つまり、機密保持に関する企業としての方針が確立していることをチェックすることを主体にした制度になっているのである。
��2
 例えば、内部社員の犯罪も含めて個人情報の漏えいを防ぐためには「メールによるデータ伝送の禁止」「パソコンの外部記憶媒体の接続禁止」などのシステムを使った具体的な対策が必要と思われるが、このような対策をどこまでとるかは基本的には企業独自の判断に任されている。
��3
 この考え方自体は間違っておらず、数千件の個人情報しか管理していない企業に、それなりのシステム投資がかかる対策を取らせることは費用対効果の観点から無理があるのは確かである。
 今回の事件の一般への反響を考えてみると、個人情報を提供する立場の一般の人々がPマーク認証を持っている企業に抱く期待は「機密保持レベルの保証」であると思われる。つまり一般の人々がPマークという認証に抱く期待と実際の制度にはギャップがある。
 大日本印刷も個人情報保護の方針を決めて、ビデオ撮影や入退室の際の手荷物チェックなどの対策をしてきたが、それだけでは機密保持レベルの犯行抑止効果が働かなかったといえる。個人情報保護法施行の前後にPマークを取得した企業が多かったが、ともするとそれだけでは“お守り”か“厄除け”程度の効果しかないのである。
 この批判を意識して、今回JIPDECは制度の改革案を発表したが、その内容は以下の通りである。
・認定事業者の運用状況を定期的に監視・監督する制度
・事故や事件を起こした事業者に対して、一定期間の後に現地審査によって改善措置の実行状況を確認する制度
・大規模な個人情報取扱事業者に対する適正な現地審査の在り方
・内部監査担当者の監査知識・能力を客観的に評価する仕組み
 現在のPマークは、企業規模や保有する個人情報の件数に関係なく一律の制度になっているのは1つの問題である。今回のJIPDECの改善案にも挙げられているように、大規模な個人情報取扱事業者に対しては、それに合わせた機密保持レベルのチェックという考え方を盛り込んでいくことも必要と思われる。
[2007年5月21日]


��1
取引先企業がどの程度個人情報保護対策をとっているか、Pマーク認証取得がその目安とされているということですね。私も、そう思います。
��2
Pマークだけでなく、ISO27000(旧ISMS認証制度)やISO9000なども全てそうですね。個人情報保護や情報セキュリティなど、その水準を保証するのでなく、当該の目的に合致した管理体系があるとの認証ですから、当然と言えば当然です。ですから、保証型の情報セキュリティ監査制度を確立、普及促進させようとのプロジェクトが活動しているのです。
(私も幽霊メンバーです)
��3
企業が表明した管理策がきちんと運用され、PDCAのサイクルが機能しているか、もしくは機能し得るかが認証の基準です。当然、その効果も企業毎に異なります。
と共感することの多い記事でありました。
他の認証制度も含め、’マネジメントシステムの確立’という本来の認証目的ではなく、安全の保証と思われるという誤解を氷解させる、何らかの対策が必要なのだと、私は思います。

2007年5月13日日曜日

ITSMS - ITサービスマネジメントシステムの評価制度

とうとう、ISO2000Oに基づく認証制度が本格運用に切り替わりました。情報セキュリティの認証制度に続き、IT業界にとって無関心では居られない制度ですが、その実態というか効果、評価はこれですね。

ITILがISO20000になり、JIS Q 20000-1になり、ITSMS認証として国内でも本格スタートです。
個人的には、IT業界にとっては旧ISMS認証制度、ISO27001よりも自らの業態への評価としては、影響が大きいのではないかと思います。何故なら、ある意味当該企業のITサービスレベル、品質の評価基準として用いられる可能性があるあからです。
ITSMSユーザズガイド
JIPDECがITSMSの発表したユーザズガイドでは、ISO27001とISO9000への言及もありますので、今後はISO27001とISO20000と双方が補完的に利用されるのだと思います。IT抜きの情報セキュリティも情報セキュリティ抜きのITサービスも考えられませんから。
ISO27000の認証を既に取得している企業は、ISO2000の取得を進めていく方向に行くのでしょうか。情報セキュリティの認証と、ITサービスの認証を共に得ていることで、安全と品質双方にマネジメントシステムが整備されているとをアピールすることができますからね。
今後、どの方向にいくか、関係業界の動向に要注意です。

2007年5月8日火曜日

ISACA東京支部月例会

来る5月23日に、ISACA東京支部の月例会が開催されます。テーマは、各企業が追い込み入っているJ-SOX法に関わるものです。会員の関心も高く、今回も多数の皆様の申込み、参加が予想されるのですが・・・

ISACA東京支部月例会
J-SOX法をテーマにした月例会、毎回多数の会員、有効団体関係者、ビジターが参加されます。実数でも500人を超えることがあります。それだけ、関心が高いテーマなのですね。特に今年は、施行前最後の追い込みの年なので、尚更なのだと思います。
個人的な思いで申し訳ないのですが、この5月度月例会は、ISACA教育担当理事としての最後の月例会になります。思えば、支部の教育委員になっていらい、随分長いこと月例会の運営に携わってきました。
教育委員2年(3年かもしれない。記憶が定かでなくて)
  ↓
教育担当理事2年
  ↓
教育担当常務理事2年
  ↓
教育委員1年
  ↓
教育担当理事2年
丸9年(か10年)、月例会の担当でした。最初は、参加者が30名~40名程度、それが最近は500名を越す参加者も珍しくありません。その間の経緯を考えると感慨深いものがあります。
今回の月例会、運営方としては最後になります。皆様、万障お繰り合わせの上、是非ともご参加下さい。
情報システムコントロール協会東京支部 教育担当理事 増田聖一

2007年4月29日日曜日

J-SOX法の影響

金融商品取引法により義務付けられた財務報告に係る内部統制報告制度、所謂J-SOX法の適用が愈々来年に迫ってきました。対象企業は、対応に苦慮しているのが実情なのでしょう。しかし、米国の証券市場に上場している企業は、米企業改革法(米SOX法)への対応で四苦八苦しています。

以下は、産経新聞Webからの引用です。

SOX法にらみ慎重に…電機大手、決算発表延期 相次ぐ
 企業の財務報告に関する規制強化に対応しきれずに、決算発表を延期する電機大手が相次いでいる。2007年から、米国で上場する外国企業に対して米企業改革法(SOX法)が適用されたが、大幅に増えたチェック作業に追いつけない日本企業も出ており、万全を期すために日本国内の決算発表日を延期するところも出始めた。
 すでに、日立製作所、TDK、ソニーなどが従来の4月下旬から5月中旬へと、国内の決算発表日を後ろ倒しした。
 来年度には日本版SOX法が国内上場企業に適用される。決算書の早期開示を求める東京証券取引所は「基本的には投資家保護が目的。スピード感は必要だが、中身を伴うことが肝心」と正確さを求めている。

【用語解説】日本版SOX法
 昨年6月成立した金融商品取引法に定められた内部統制報告制度の通称。米エネルギー大手エンロンの不正会計事件を契機とした米企業改革法(SOX法)がモデル。投資家保護への公正な財務報告のため、取引や業務内容のITによる保存と、その管理体制の外部監査が義務づけられている。すべての上場企業と連結売上高の上位3分の2を占める関連企業が対象。虚偽記載などには経営者に5年以下の懲役か500万円以下の罰金も科される。
(2007/04/28 23:36)


Webではなく、実際の紙面にはもう少し詳細な記事が掲載されていますが、要するにSOX法への対応に慎重になるが故に決算発表を延期する企業が相次いでいるとの報道です。
米SOX法はダイレクトレポーティング方式ですから、監査法人による監査が例年以上に時間がかかったいるようです。そのために某大手総合電気メーカーが米証券取引委員会(SEC)への年次報告書の提出が期限に間に合わない事があったようです。しかし、別の家電大手メーカーは、数年前から準備し、なんとか乗り切ったようです。
企業の対応が明暗を分けたようですが、来年のJ-SOX法適用への影響が必至だと思われます。とうとう一年をきりましたが、関係する皆さん頑張りましょう。

2007年4月28日土曜日

海上自衛隊機密情報漏洩 その3 ---やはり!

海上自衛隊の機密情報漏洩について三度目です。私個人としては、それだけ関心が高いといういうことです。何故なら、おそらく海上自衛隊だけでなく、他の組織体、民間企業でも起こりえることだと考えているからです。

以下は読売新聞Webからの引用です。

イージス艦機密情報、歴代教官が内規違反で引き継ぎ
 海上自衛隊第1護衛隊群の2等海曹(33)がイージス艦の機密情報を持ち出した事件で、この機密情報の入った光磁気ディスク(MO)が第1術科学校(広島県江田島市)で射撃管制を教えていた主任教官らの間で内規に違反して引き継がれていたことが27日、わかった。
 部下の教官の1人は「上司からMOを借り、学生に複写させた」と供述しており、神奈川県警と海自警務隊は、機密情報が学校を舞台に拡散したとみて、教官経験者らから一斉に事情を聞いている。

 捜査当局によると、流出したイージス情報ファイルは、海自プログラム業務隊(当時)内部の解説用資料として1998年ごろ作成された。県警などで2等海曹の同僚だった海士長を調べたところ、パソコンから同じファイルが発見され、海士長は「術科学校で手に入れた」と供述した。
 海士長は砲術科の学生だったため、県警などは同科の教官を経験した佐官らから事情聴取。2002年から約1年半、射撃管制班の班長だった主任教官の3等海佐(41)は「教官就任時に引き継いだMOに情報が入っていた」と供述し、後任に渡したことを認めたが、別の教官や学生への提供は否定した。MOを引き継いでいた主任教官は佐官クラスだった。機密情報へのアクセス権はあるが、MOに情報を移して渡すなど、保管場所以外への持ち出しは内規で禁じられている。
 一方、01年から約2年間、砲術科の教官だった1等海尉(48)は、当時の上司だった主任教官の3佐からMOを借りてCDにコピー、自宅に持ち帰ったことを認めた。提出されたCDには2等海曹と同じ情報が入っていた。1等海尉は、イージス艦に興味を持った学生に「CDを渡してコピーさせていた」と話している。
��2007年4月28日3時4分 読売新聞)


内規に違反した情報の取扱、複写が繰り返されていたことが推測される記事内容です。最初の段階はともかく、問題発覚の切っ掛けとなった二等海曹が入手した時点では、規範に反しているとの認識も無かったのではないでしょうか。前回の記事にも書いたように、コピーが繰り返されていくうちに規範意識が薄れ、忘れ去られていたということ。赤信号、皆で渡れば怖くない、これと同じ意識は働いたのでしょうね。
情報セキュリティ上のどんな管理策も、結局は関係者のモラル、規範意識などに左右されてしまうことの典型例だと思います。しかも、特効薬の無い、非常に頭の痛い問題です。

2007年4月25日水曜日

海上自衛隊機密情報漏洩 その2

海上自衛隊のイージス艦に機密情報漏洩した事件の続報です。当該の機密情報ファイルがコピーを繰り返されてていく内に事件がおきたようですね。

以下は、産経新聞Webよりの引用です。

イージス情報、1尉元教官から拡散
 海上自衛隊第1護衛隊群(神奈川県横須賀市)の2等海曹(33)がイージス艦の中枢情報などを持ち出していた事件で、流出した情報は海自第1術科学校(広島・江田島)元教官の1尉(48)が、学生ら30人以上に内容をコピーさせたことで拡散し、最終的に2曹に渡っていたことが24日、神奈川県警と海自警務隊の調べで分かった。流出情報には「特別防衛秘密」に該当するものが含まれ、海自の秘匿性への認識の甘さと、ずさんな情報管理が改めて浮き彫りになった。
教材…30人以上から複製
 調べでは、流出したイージス艦中枢情報は、海自艦艇のコンピューターシステムの保守・管理を担当する「プログラム業務隊」(既に解散)に所属していた3佐(43)が作成。幹部教育用の資料としてパソコンのファイルに保存していた。
 このファイルのコピーが繰り返され、横須賀地方隊の護衛艦「しらゆき」に勤務する3曹(30)に渡り、2曹は3曹からファイルごとコピーしていた。2人は護衛艦「はつゆき」での勤務で接点があった。
 その後の調べで、第1術科学校の教官だった1尉がプログラム業務隊の3佐が作成したファイルと同一のファイルを所持していることが判明。1尉は捜査当局の聴取に「指導した学生に教材の一種として複製させた」と供述しており、学生ら30人以上が同じファイルをコピーしていたことが新たに分かった。
 3曹は術科学校とは無関係で、学生らに流れたファイルを何らかの形で入手したとみられる。
 1尉はファイルの入手元について「覚えていない」としているが、術科学校の同僚教官だった別の3佐(43)も同じファイルを所持しており、この3佐が着任するまでは1尉がファイルを入手していなかったことなどから、捜査当局はまず、作成者の3佐から術科学校の元教官の3佐へファイルがコピーされたとみて調べている。
 第1術科学校は主に艦艇に乗り組む幹部に砲術、水雷、掃海、航海、通信などの専門知識や技能を習得させる幹部養成機関。イージス艦についての教育も行われていた。
 一方、防衛省は24日、第1回目の「情報流出対策会議」を開催、再発防止策を徹底させる「特別行動チーム」の編成などを決めた。
(2007/04/25 08:01)


プログラム業務隊の三等海佐  幹部教育用に作成
   ↓
第一術科学校の三等海佐 教官 教材用にコピーし保管
   ↓
第一術科学校の一等海尉 教官 教材用にコピーし保管
   ↓
第一術科学校の学生、教官 ファイルのコピー
   ↓
護衛艦「はつゆき」 三等海曹 ファイル入手 経緯は不明
   ↓
護衛艦「はつゆき」 二等海曹
(以上の経路図も産経新聞より)
問題の機密情報ファイルは、何段階もの階層で多くの関係者により複写が繰り返されたようです。電子データですから、何回コピーしても劣化することはありません。しかし、何回ものコピーで明らかに劣化するものがあります。しかも、海上自衛隊だけでなく、あらゆる組織で懸念されるのです。それは、「規範意識」です。このファイルも最初段階では、限定された幹部教育用資料であったのしょうが、コピーが繰り返されて、規範意識も薄れていくうちに問題の二等海曹の手に入ったものと推測されます。
情報セキュリティ、どんな管理策、リスクコントロールを導入しても、最終的には当該組織の規範意識に大きく依存するという実例として、今後の報道を注視していく必要がありますね。

2007年4月18日水曜日

ISACA東京支部の4月度月例会が開催されました

昨日は、ISACA東京支部の月例会が開催されました。監査法人の方を講師に招き、J-SOXに関連するテーマでのスピーチでした。

J-SOX法の施行がカウントダウン状態に入ったことで、関心は高まることがあっても、下がることはないよいうです。
ISACA東京支部4月度月例会
しかし、最近は解説的な内容ではなく、実務に即した実践的なテーマが求められているようです。昨日は、「J-SOXのITの対応に関する実務上の課題」というテーマだったので、月例会史上最多の申込みありました。その数、なんと728名。勿論、全員が当日に来場された訳ではありませんが、おそらく実参加者数でも史上最多であったとおもいます。
ISACA会員以外の有償参加者の申込みも65名あり、手元不如意の支部の財政に僅かながら貢献できたのかもしれません。
しかし、特別に企画したイベントでもないのにこの人数、現在の会場もパンクする日が近いかも。教育担当理事としては、頭の痛いところです。
来月の月例会は5月23日、詳細は近い内にISACA東京支部にHPで公開します。5月は記録更新なるか、楽しみなような困ったような、複雑な気持ちです。

2007年4月16日月曜日

情報セキュリティ監査保証型監査ガイド

日本セキュリティ監査協会(JASA)より、情報セキュリティ監査保証型監査ガイドが公開されています。従来行われたいた助言型の監査に加えて保証型監査の普及促進を目指して制定されたものです。

JASAでは、一昨年より保証型監査の普及促進を目的としたプロジェクトが発足していました。現在も活動継続中ですが、今後もその成果が発表されていくことと思います。
情報セキュリティ監査保証型監査ガイド
保証型監査へのご意見など、お寄せ下さい。

2007年4月10日火曜日

武器庫見取り図流出 - 今度は陸上自衛隊からです

海上自衛隊からイージス艦の情報が漏洩したニュースは、未だ耳に新しいところですが、今度は陸上自衛隊からです。軍事組織というのものは、機密保持に厳しく、厳しすぎて国民への情報公開の度合いが低いとの認識されていると思うのですが・・・  我が陸海空自衛隊例外なのでしょうか。

以下は、産経新聞webからの引用です。

武器庫見取り図流出 ウィニー、陸自松戸駐屯地
 小銃、拳銃の保管場所を明記した陸上自衛隊松戸駐屯地(千葉県松戸市)の武器庫見取り図などの内部情報が、同駐屯地での勤務歴がある2等陸曹の私物パソコンからファイル交換ソフト「ウィニー」を通じて3月末にインターネット上に流出していたことが分かった。
 秘密情報は含まれていなかったが、防衛省は処分する方針。自衛隊では同ソフトによる情報流出が相次ぎ、同省は昨年2月、自衛官を含む全職員に業務用データの私物パソコンへの保存禁止と過去の保存データ削除などを指示したが、2等陸曹は従っていなかった。 2等陸曹は現在、陸自下志津駐屯地(千葉市)に所属し、防空を担う高射部隊の後方支援を担当している。
(2007/04/10 17:00)


ウイニーを通じてというのは、今更という気がします。私が気になるには、頻発した情報漏洩でとられた対策が有効でなかったことです。二等陸曹が指示に従っていれば情報の漏洩は防げていましたね。
過去の報道なども読む限り、防衛省や自衛隊が実施した情報漏洩対策は、決して的違いなものではなさそうです(と私は思います)。では、何故なのでしょうか。海上自衛隊のケースでもそうですが、組織の構成員が規則/基準/手順/手続きを遵守しなければ、どんな管理策も有効ではないんですね。少なくとも陸自では、私物パソコンへのデータ保存禁止と削除を指示していたのですから、対策が未実施だったとはいえないでしょう。問題は、自衛隊/警察のような命令に絶対服従の組織で、指示に従わなかったことです。ちょっと考えてしまいました。自衛隊/警察ですらそうなのですから、他の組織体では尚更でしょう。個々人の意識向上の問題って難しいですね、と思った一連の報道でした。

2007年4月8日日曜日

2週間のご無沙汰でした。風邪がぶり返し、暫く早めの就寝、4月1日は花見で昼間から酔っ払い・・・などなどで更新を怠っておりました。
その間に海上自衛隊から機密情報が漏洩したとの報道、何だ又かと思っていたのですが、今回はちょっと気になる点が幾つかあります。

以下は、産経新聞Webからの引用です。

漏洩の2曹、イージスシステム中枢情報も持ち出し
 海上自衛隊第1護衛隊群(神奈川県横須賀市)の男性2曹(33)がイージス艦の情報を持ち出していた事件で、漏洩(ろうえい)したイージス艦に関する情報は約800ページに及び、極めて秘匿度が高い「イージスシステム」の中枢情報が含まれていたことが3日、警察当局の調べで分かった。こうした情報は日米相互防衛援助協定に基づく秘密保護法に規定された「特別防衛秘密」にあたり、警察当局は秘密保護法違反(収集など)容疑での立件を視野に、海自など関係機関と協議を始めた。
 神奈川県警が、2曹の自宅から押収したハードディスクやフロッピーディスクを分析した結果、イージス艦に関する膨大な情報の中に「指定前機密」「極秘」「秘」などと記載された資料があることが判明。いずれもイージス艦の機能などを項目ごとに解説したもので、イージスシステムの情報も含まれていた。
 イージスシステムは世界最高水準の対空レーダーシステムで、高性能レーダーとミサイルをコンピューターで制御し、敵の航空機やミサイルを迎撃する。
 特に、イージス艦の最大の特徴である「SPY-1D」と呼ばれる米海軍が開発した高性能レーダーの能力に関するデータは「ほとんどが『秘』以上にあたる」(防衛省幹部)という。
 レーダーは常に360度の監視が可能で、100以上の目標を同時に探知、追尾できる迎撃システム。秘匿性が高いため、米政府は当初、日本への提供に難色を示していたとされる。日本側の情報管理の甘さが露呈すれば、米側の反発を買うのは必至だ。
 県警と警務隊は2曹が持ち出したイージスシステムの情報について、米軍側にも照会し、慎重に調べを進めている。
 2曹は県警の調べに対し、かつて同じ護衛艦で勤務した複数の同僚隊員のパソコンからデータをコピーし入手したなどと供述。県警と警務隊は名指しされた隊員に事情を聴くなど調べを進めているが、いずれも秘密情報に接触できる役職・階級になく、情報の流出源と断定できないため、別の隊員がかかわった疑いが強いとみて調べている。
 秘密保護法では、米国から供与された武器などの構造や性能などの特別防衛機密を、不当な方法で探知、収集したり、業務で扱うものが漏洩した場合、10年以下の懲役としている。
■イージス艦情報持ちだし事件 神奈川県警が今年1月、2曹の中国籍の妻を入管難民法違反容疑(不法残留)で逮捕したことで発覚した。県警は2曹の自宅を家宅捜索し、護衛艦のレーダーのデータや通信関係の周波数などを記録したフロッピーディスクなどを押収した。2曹は平成7年から11年にイージス艦「きりしま」に乗っていた。
(2007/04/04 07:01)
��佐、きょうにも聴取 流出イージス艦資料作成
 海上自衛隊第1護衛隊群の男性2曹(33)がイージス艦の中枢情報などを持ち出していた事件で、神奈川県警など警察当局は、流出した極秘資料を作成したとみられる海自3佐から、6日にも任意聴取する方針を固めた。警察当局は、資料は2曹ら複数の隊員が私的なファイルをコピーする過程で誤って流出したとの見方を強めているが、イージスシステムが「特別防衛秘密」に該当し、過失による流出でも処罰の対象となるため、作成から流出までの経緯について詳しく事情を聴く必要があると判断した。
 聴取を受けるのは、イージスシステムの管理や保守を担当していた40代の3佐。調べによると、秘密情報が納められたファイルには、作成者として3佐の名前が記載されていた。県警などが海自に3佐の所属などを照会した結果、東京都内の自衛隊施設に勤務する現役幹部であることが確認された。
 流出した情報は、自衛隊に関する秘密事項の取り扱いなどを定めた日米相互防衛援助協定等に伴う秘密保護法の定める「特別防衛秘密」に該当。同法は不当な方法で探知・収集したり、業務で取り扱う者が漏洩(ろうえい)した場合、10年以下の懲役-などと定めている。
 県警などの調べでは、3佐は平成9年9月から12年3月まで、イージス艦の中枢システムの保守や管理を担当する「プログラム業務隊」に所属。10年3月、新システムへの移行に伴い、開発・製造元の米海軍に派遣され、システム運用に必要な知識を習得していた。
 海自などによると、3佐は帰国後、海自内の保守担当者向けに新システムに関する説明を行う業務を担当。流出した約800ページの資料はその際、説明資料として作成されたものと警察当局はみている。
 県警などの調べでは、3佐は当時、市販の発表資料作成ソフトで資料を作成。今回流出した資料と書式や字体などが酷似しているため、資料は3佐が作成し、その後何らかの理由で2曹に流出した可能性が高い。3佐本人からの事情聴取を通じ、警察当局は流出経緯の全容解明を目指す方針だ。


資料を記憶メディアにコピーして自宅に持ち帰った二等海曹は、当該資料にアクセスする資格/権限がなかったようです。ということは、無資格の二曹が不正に当該資料にアクセスしたか、有資格者から不正に入手したかになります(報道によると後者のようですね)。
前者だとアクセスコントロールが適切に行われていないということですし、後者だと有資格者による逸脱という、技術的に制御し得ない人間系の課題ということになります。また、両者共通に問題として可搬記憶媒体の持ち込み(Note PCやモバイル機器を含む)が適切にコントロールされていたのかと言う点も大いに気になります。
防衛省(庁)/自衛隊は、度重なる情報漏洩対策として、省(庁)内/体内の情報セキュリティ対策の強化、使用PCを排除するための大量のPCの購入などに人と金を投入した筈です。その成果は芳しくなかったようですね。
今後の続報を注視していきましょう。

2007年3月25日日曜日

ご無沙汰しています。ご質問です。

10数年ぶりに風邪でダウンしました。会社も有休にして、一日中自宅で伏せていました。皆様の風邪やインフルエンザのお気をつけ下さい。
で、今回はISACA東京支部の紹介第三回目です。

ISACA東京支部の国際化、何を今更言っているのか、ISACAは、元々国際化された団体だろうと突っ込まれそうですが、国際本部はともかくとしてISACA東京支部としての国際化ということです。

外国籍会員
ISACAの規約で、会員は居住地の直近、最も近くに所在する支部に所属しなければなりません。最近は日本企業の国際化や外資系企業の日本進出、外国資本による日本企業との提携や買収なで、外国籍のCISAやCISMホルダーが日本に勤務するケースが多くなっています。それだけでなく、CISA/CISM試験を日本で受験する外国籍の方もいます。そのような人達がISACAに入会した場合、日本国内3支部の何れかに所属することになります。現在東京支部には、私が知る限り40人以上の外国籍会員がいます。非会員の外国籍CISA/CISMホルダーもいれると、恐らく一つの支部の設立が許可される規模にはなるかと思います。
こうなると、東京支部としても外国籍会員への会員サービスという課題について真剣に考えていく必要があり、数年前から理事会で度々討議されてきました。そこで、年に数回英語セミナを開催していたのですが、最近は全ての出席者が日本人だったということあり、見直しを進めています。
ちょっと脱線しますが、英語セミナに通訳はありません。それでも、出席者の皆さんは英語で質疑応答していますので、その語学力に感心しています。英語で四苦八苦している、私から見れば別世界の出来事のようです。
現在の状況では、外国籍会員の皆さんとっては、年会費に見合うサービスが提供されていないと思われていても致し方ないと思います。なんと言ってもCPEの獲得機会が少ないと言うのは、CISA/CISMホルダーとしては致命的だからです。
日本語を解さない(最近は、日本語の会話は驚くほど達者な方はいますが、やはり読み書きは難しいようです)外国籍の会員に適切なサービス、つまりCPEの獲得機会を提供すること、日本人会員との交流の機会を増やすことなどは、重大な課題として取り組んでいます。海外のシステム監査やコントロール、情報セキュリティなどの実相をISACA東京支部の外国籍会員から教わることは、日本人会員にとっても有益です。今後も、外国籍会員は増加していくことでしょうし、その対応としてのISACA東京支部としての国際化は避けることの出来ない課題だろうと思います。
ISACA東京支部の国際化、やはり言葉の問題が大きな壁として横たわっています。しかし、英語のセミナにおける日本人会員の英語力、読み書きは兎も角も十分な日本語会話力を持つ外国籍会員の存在。実に貴重なヒューマンリソースだと思います。こういった方々の協力を得られれば、支部の国際化という課題にも光明がさしてくると思います。個人的には、ある程度楽観しているのですが、英語力に乏しい、私目としては側面からの支援に徹しようと決めています。
ISACA国際本部
国際本部との関係性も重要です。国内3支部よりISACA国際本部の委員や役員にメンバーを送り込んでいます。日本国内支部の地位の向上や本部の最新の動向を掴んでおくこと、CISA/CISM試験と本部の運営に日本の事情を反映させることなど、そのメリットは小さくありません。英語力があり、年一回程度はシカゴの本部に行く、日程的な条件をクリア可能なことなど、前提条件があるのですが、途切れなく適切な人材を国際本部に送り出すことは重要です。残念ながら、私は英語力も日程的な条件もクリアできませんので、これも側面からの支援に徹することにしています。じゃあ、側面支援とはなんじゃいと問われると・・・・・・・??????  ノーコメントです。
イベント
数年前に木更津においてISACA国内3支部主催でASIA/CACSいうイベントを開催しました。このイベントは、アジア各国のISACAメンバーを対象としたもので、各種セッションを開催しました。英語をベースとし、日本語通訳者を依頼して、国内参加者にも配慮を行いました。このような国際化したセミナを日本で開催し、支部会員に国際交流の機会をと海外の情報に直接触れる機会を提供することも支部国際化の流れの中で重要だと思います。
以上、ISACA東京支部の国際化についての私見です。本稿は私の個人的見解であり、ISACA東京支部としての公式見解ではないことを最後にお断りしておきます。

2007年3月15日木曜日

待ちに待ったITガバナンスのフレームワーク、COBIT 4.0が公開されました。まるちゃんの情報セキュリティ気まぐれ日記でお馴染みのISACA東京支部副会長の丸山さんが中心となっていたプロジェクトチームのご苦労の賜物です。

COBIT4ダウンロード先

プロジェクトチームの皆さん、ご苦労様でした。

業界関係者の皆さん、ご活用下さい。

2007年3月14日水曜日

企業の評価 - 全日空機の事故から

全日空機が高知龍馬空港で車輪の故障のため、胴体着陸を行いました。乗客乗員全員無事でしたが、パイロットの沈着冷静な判断と行動によるところが大きいようですね。

まずは、この事故機の機長と副操縦士と乗員、パニックを起こさずに冷静に非難した乗客に敬意を表したいと思います。
事故機はかねてより事故や故障が目立っていたようです。昨日のテレビニュースでは、そのような機体を使用したことに対して、全日空を非難する論調がありました。今回の事故の教訓として、全日空の評価を行うことは当然でありましょう。しかし、見事な操縦で、事故機を胴体着陸させ、乗客乗員に一人の怪我人も出さなかった機長を養成したことも、また事実です。
機長は、定められたあらゆる方法を試し、最終的に胴体着陸を決断、乗客には正確な情報による説明を欠かさなかったとのこと。これも、乗客が落ち着いていた大きな要因だと思います。
この機長を養成したのも同じ企業です。このことも、評価するべきであろおうと思います。企業の評価とは、プラスマイナス両面を余さず行うべきできで、マイナス面だけを殊更取り上げるのは、公平でないでしょう。
以上、今回の事故から、考えたことでありました。

2007年3月12日月曜日

ISACA東京支部(2)

今回は、ISACA東京支部と国内の諸団体との交流について紹介したいと思います。国内には、システム監査や情報セキュリティ監査、内部監査などに関連した団体が活動しています。ISACA東京支部の濃淡の違いがあっても、それらの団体と交流がありますし、今後も関係作りを強化、進めていくべきとも思っています。

日本セキュリティ監査協会
私はISACA東京支部の理事としての活動の他に、情報セキュリティ監査協会(JASA)の幾つかのプロジェクトのメンバーともなっています。といっても、ここ数ヶ月は、すっかり幽霊メンバーとなっていますが。JASAとISACA東京支部、対立している訳ではありません。JASA幹事会メンバーの中にISACA東京支部の理事や理事経験者の方が多くいます。JASA主催のイベントに参加すると月例会や理事会など、ISACAの会合やイベントでも顔を会わせる方々が珍しくありません。時折、JASAなのかISACAの会合なのか、判らなくなることがあります。
JASAが設立される前に、ISACAの理事会でどんな応援が出来るか話し合った記憶があります。ISACA東京支部の歴代理事で、JASA設立に尽力された方は少なくありません。JASAが認定している公認情報セキュリティ監査人資格(CAIS)の最高グレードである公認情報主席監査人は、現在4人が認定されていますが、其の内3人がISACA理事経験者です。人的交流というか人脈が被っているのが実情です。ですから、双方に友好的な関係を構築できる素地は元々あったと言えます。
JASA主催にイベントをISACAが後援することもあります、その逆もあります。要請があれば、JASA主催イベントについてISACAメンバーに広報することもあります。当然、ISACA東京支部からお願いすることもあります。このように密接にとまではいっていませんが、可能な範囲の協力を行っています。
JASAでは、公認情報セキュリティ監査人(CAIS)の認定を行っています。私自身もホルダーの一人でもありますが、CISA/CISMとのダブルホルダー、トリプルホルダーという例も珍しくありません。CAISもCISA/CISMと同様に、資格認定維持にCPEが必要です。そこで、一昨年より、CAISホルダーの方に限って、ISACA東京支部月例会の参加費をビジターの三千円から引下げ、千円としました。これは、私が支部の理事会に提案し、了承を得られたので実施したものです。千円の根拠は、月例会で配布する資料代や講師料、会場費用などから概算したものです。
JASAの方でも、ISACAの月例会をCAISのCPEとして認定しているので(主任監査人資格以上は別途確認して下さい)、例えばCISAとのダブルホルダーの方は、双方のCPEとして申請可能です。ISACA東京支部とJASAとの交流の一環として有意義だろうと考えたのですが、当然CPEの獲得機会という実利も頭にありました。将来、JASA主催のイベントにISACAメンバーも積極的に参加する道が開ければ、さらに両団体交流の価値が高まることと思います。
JASAが発行する機関紙、Security Eyeを月例会で配布することもあります。前回の月例会(2007年2月26日)でも300部程、配布しました。実は、最新のSecurity Eyeには、私の書いた記事が掲載されているので、何か気恥ずかしく配布は止めようかと真剣に考えました。
この月例会では、私は司会をすることになっていたので、その場で自分の記事が掲載されたSecurity Eyeを配布されるのが格好悪くて、今でも止めればよかったと思っています。
翌2月27日に開催されたJASA主催の情報セキュリティ人材育成セミナでは、CISA/CISMのパンフレットを配布して貰いました。
このように、JASAとは一歩一歩、協力関係が構築されています(と私は考えています)。そして、現時点ではISACA東京支部として、最も縁の深い団体と言えるかもしれません(と、私は感じています)。
日本システム監査人協会
この日本システム監査人協会は、業界関係では老舗の団体ですね。公認システム監査人資格の認定をしている団体でもあります。公認情報システム監査人(CISA)と名称が似ているので、勘違いされる人が少なくないようです。
日本システム監査人協会(SAAJ)の会員も月例会の参加費を千円としています。SAAJ主催行事の後援を行うこともありますし、その行事について支部メンバーに連絡を行うこともあります。私自身の個人的見解ですが、団体間交流はここまでで留まっているとも感じています。
何故、SAAJ会員の方の参加費を千円としたのか、現支部理事会メンバーの誰も知らず、故に団体間交流も停滞していると言うのが、率直な感想です。交流の活性化を図るためにも初心に帰って見直すことも必要なのでしょうか。ご意見があれば、お願いしたいと思います。
日本内部監査協会
日本内部監査協会(IIA)とは団体としては密接な交流があるとは言い難いかもしれません。ISACA東京支部の年次総会では、IIAの役員の方を招待していますし、毎年出席されるのですが、私の知っている範囲ではそこまでという気がします。J-SOX対応において、内部監査とシステム監査、情報セキュリティ監査、決して無関係ではありません。今後は、密接に関係してくることは明白です。企業の中で内部監査やシステム監査に携わるISACA会員の中には、公認内部監査人資格(CIA)を保持する方も少なくありません。個々の会員単位では、双方の団体活動されているケースもあるでしょう。今後は、ISACAとIIAの交流の機会も増えてくることと思います。ちなみにCISAを保持していると、CIAの試験で多少、有利であったと記憶しています。
日本ITコーディネーター協会
日本ITコーディネーター協会(ITGA)とは、団体間の交流がどうなっているか、正直知りません。正式な交流は無いのかもしれません。しかし、個人として両団体のメンバーになっていることは珍しくないので、将来は交流の道が開ける可能性はありますし、そうあるべきかと思います。
ISC2
CISSPを認定しているISC2とは、現在のところ交流は全くありません。私は、ISACA東京支部の理事、そしてCISA/CISMのホルダーとしてCISMも知名度や有資格者の拡大に関心がありますし、推進していく立場でもあります。そうすると、どうしてもCISM vs. CISSPという図式が頭をちらつくのですが、しかし、個人的には何とか交流の道を開くべきかと思っています。このBlogに度々登場する長谷川さんはCISSPのホルダーで、しかも私などと違い、情報セキュリティの業界での存在感や、CISSPコミュニティでの影響力も大きい方です。長谷川さんを通じて、何とかならないかと思案中です(今のところ、私個人の考えでISACA東京支部の見解ではありません)。情報セキュリティ人材教育セミナの名刺交換会の席でも長谷川さんとは話したのですが、現在は個人的な人脈、ネットワーク作りが出発点として大事だと考えています。
蛇足ながら書き添えると、CISSPコミュニティという表現をされる方がいますが、これ言い当てていて妙だと思います。CISSPホルダーの皆さんの相互交流の雰囲気を良く表していませんか。CISAコミュニティとかCISMコミュニティとか言いませんし、ISACAとの相違点の一つだと、個人的には思っています。
日本セキュリティマネジメント学会
ISACA会員で、日本セキュリティマネジメント学会の会員になっている人も少なくありません。しかし、団体としての性格の違いからでしょうか、密接な交流があるとは言えないですね。ISACAと異なり、学術的な性格の強い団体ですから、互いが接触する機会が少ないと思えます。日本セキュリティマネジメント学会も月例会を開催しているので、お互いの月例会の情報を交換するようなことは考えてもいいのかもしれません。実務ベースのISACAのメンバーが、学術/研究的な月例会に出席することは有益ですし、日本セキュリティマネジメント学会会員が実務的なISACA月例会出席することも同じだと思います。
日本ネットワークセキュリティ協会
一回だけ、日本ネットワークセキュリティ協会主催の例会に出席したことがあるだけなので、私自身の個人的な人脈も無く、ISACAとの関係も正直なところ希薄です。日本セキュリティマネジメント学会以上に接点が少ないのかなと思います。情報の交換などは検討すべきかと、個人的には思います。
日本ITガバナンス協会
最後に日本ITガバナンス協会。交流があるどころか、全面的にバックアップしています。Cobitとの普及促進など、これから二人三脚で活動していかなければ成らない団体なのです。今後も当Blogで日本ITガバナンス協会の事を取り上げる機会は多くなると思います。
私自身が、ISACAとJASAの双方の活動に参加している関係で、当記事はJASAとの交流が主になってしまいました。他の諸団体とも、私が知っている以上に密接な交流があるのかもしれません。従いまして、本稿は私の個人的見解であり、ISACA東京支部としての公式見解ではないことを最後にお断りしておきます。

2007年3月6日火曜日

ISACA東京支部(1)

私は、情報システムコントロール協会(ISACA)東京支部に所属し、教育担当理事を勤めています。時折、何故東京支部なのですか、と質問を受けます。皆さん、国単位の組織があって、その下部に地域毎の支部が所属するという構造をイメージされていて、「東京支部」という組織名に違和感があるようです。そこで、ISACA東京支部について、簡単な紹介をしたいと思います。

ISACA(Information Systems Audit and Control Association)の本部はシカゴにあります。各国の地域支部は、国際本部に直接所属し、国単位の統括機関は存在しません。従ってISACA日本本部とか日本協会という組織はないのです。日本には、東京/大阪/名古屋の3支部がありますが、各々が本部に直属していますので、その立場は対等です。これは、日本だけでなく、全世界で同様です。
東京支部は、3支部の中で最も古い支部というだけで、大阪支部/名古屋支部を参加に置くという構造になっていないのです。3支部は、各々管轄地域で独自の活動を行う他に3支部共同の活動も行っています。また、毎年一回、3支部合同理事会も開催し、3支部間の協力などについて協議しています。CISA/CISMのプロモーションパンフレットの作成やCobitの普及活動等は、3支部共同で取り組んでいます。東京支部では、毎月の月例会の参加費は、会員であれば無償としています。そして、大阪/名古屋支部会員も無償で参加できることとしています。名古屋支部の理事や会長
を歴任したY氏にいたっては、何故か毎月参加され、毎回顔を会わしています。本当に名古屋支部のなんだろうかと思うほどです。
このように、国単位の組織はありませんが、国内3支部は協力しながら活動しています。3支部の連合体が、仮想のISACA日本本部(支部)と言えるかもしれませんね。
ISACA会員になった場合、国際本部の規定で、直近の支部に所属することになります。もし、大阪支部/名古屋支部の会員が東京支部担当地区に転勤になった場合、所属支部の変更ということになります。当然、逆も真なりで、そのような場合は、転籍先並びに元の支部に連絡を行い、移動の手続きを行う必要があります。東京支部の現副会長の丸山さんは、かつては大阪支部の会長でした。また、大阪支部の理事職のお一人は、
数年前までは、東京支部の副会長でしたし、支部間の移動は決して珍しいことではありません。
福岡、というか九州は、諸所の事情により、東京支部管轄となっています。これは、国際本部の規定からは異例のことです。何故、こうなったのか、申し訳ありませんが、私は知りません。12年前に東京支部に入会して時点で、既でに東京管轄でした。
規定上は大阪支部管轄ということになりますが、将来的には福岡支部の設立が望ましいでしょうね。と言うのは、九州の会員にとって、東京所属か大阪所属かで、実質的な差異は無いような気がします。地元支部の設立の方が会員としてのメリットが大きいのは明白ですからね。福岡支部設立も既存3支部の共通課題といえるかもしれません。
各支部では、月例会を開催しています。これは、会員の知識/スキル向上とCPEの獲得機会の提供のためです。東京支部を例にすると、年間の月例会及び6月の総会全てに参加すると20CPE以上になります。CPEは、一年で最低20CPEの獲得が義務付けられているいるので、この条件はクリアできます。3年間で120CPE以上ですから、1年では40CPE以上が目安になります。その半分、年間義務の20CPEの獲得機会を提供しようと言うのが目標
です。12月にCPEの申告を行う必要があるので、年末に近づくに従って、月例会の参加率が上がっていく傾向があります。会員の皆さんのお気持ち、良くわかります。
CISSPやISO27000(ISMS)審査員など、他の資格制度でもCPEが必要で、その条件もISACAとほぼ同じです。同じようにCPEを要求しながら、その獲得機会を恒常的に提供しているのは、ISACA3支部のみです(私の知識範囲ではそうなのですが間違っていたら御免なさい。また、特別なイベントは別です)。とあるCISSPホルダーの方から羨ましいと言われました。この月例会の開催、少しは誇って良いのかなと自負しています。この月例会、参加者の急増で会場探しが大きな課題となっています。現在は、多い時は700名近い申込みがあるのですが、予算との兼ね合いもあり、そうそう大きい会場を借りることが難しいからです。私が、入会した自分は、理事会メンバーの所属企業の会議室などで、15人から多いときでも25人程度、30名を超えれば凄いと驚いていたのですから、隔世の感があります。
月例会の他にも研究会活動も行っているので、会員の皆さんには積極的にご参加いただきたいと思います。
ここまで、打ち込んで、ふと思い立ちました。この際、紹介したいことを2回乃至3回程度に分割し、小連載にしようかと思います。というのは、ちょっとした紹介のつもりだったのですが、以外に長くなりそうだからです。Blogの投稿、長すぎると良くありませんからね。
ということで、続きは次回に。次回は、他団体との交流について、紹介致します。

2007年2月28日水曜日

情報セキュリティ人材育成セミナー

昨日、日本セキュリティ監査協会主催の情報セキュリティ人材育成セミナーに出席して参りました。J-SOX法の対応の追込みの時期でもあり、情報セキュリティやITガバナンス、監査などの人材が求められているということを再確認しました。しかし、同時にそういった人材の育成が場や手段、機会が十分でないことも改めて考えさせられました。

一昨日は、ISACAの月例会でしたが、その会場で監査法人の方と話したのですが、J-SOX対応や監査などで、ITの専門家、できれば監査やコンサルティングの経験がる人材をどの監査法人でも求めているとのことでした。それだけ、人材の逼迫感が強いのでしょうね。昨日のセミナーでの内容と合わせて考えてみましたが、情報セキュリティ/ITガバナンス関係の人材育成は、今後の重要な課題として関係各団体、企業、行政が協力して、また個々に取り組んでいく必要があります。

内閣官房情報セキュリティセンター(NISC)も政府各機関、地方自治体で活動する人材の育成や資格制度の推進をしていくようです。是非、官民で取り組み、必要な人材が適切に育成され、活躍できる素地が作られていくことが必要です。

昨日のセミナーでは、CISSPとCAISのセッションが設けられていました。夫々のセッションスピーカーだった、与儀さん長谷川さんと名刺交換会で話をしました。私自身は、ISACA東京支部の理事会メンバーですから、CISAやCISMのプロモーションを考えていくのが責務なのですが、だからと言って他の資格やスキル認定制度と争う必要はないと思ってます。健全な競争は否定しませんが、人材育成という観点での協力は可能と思ってます。米国ではISACAと(ISC)は、友好的な関係とは言い難いのですが、日本では手を握って行こう、と言うようなことを長谷川さんとビールを飲みながら語り合ってきました。

元々、ISACAやJASA双方で活動する人は少なくなく、CISA、CISM、CAIS、CISSPのマルチホルダーも珍しくありません。私自身は、CISA/CISM/CAISを保持者でもありますから。従って、夫々の組織間で切磋琢磨しながら協力していくことは、十分に可能です。

人材育成は、一過性ではなく、息の長い課題ですが官民国内外での協力が必須ですね。


付記
当日は、名刺交換会で私と長谷川さんのBlogにアクセスしている方にお会いしました。熱心にBlogを読まれているとのことで、ここ数週間更新していなかったので、大変恐縮でした。モデムが不調で、暫くネットの接続が不安定であったこと、大学時代の恩師の定年慰労会の世話人を仰せつかり、その為の連絡や参加者名簿作成で、帰宅後や休日の時間を
取られていたことなどが原因です。モデムは交換、慰労会も無事に終わったので、また週に1,2回の更新ペースの戻ろうかと思います。

この間、某監査法人の事実上の解散宣言、某県警からの捜査情報漏洩など、当Blogで取り上げたかったニュースが目白押しでした。お気楽に始めたこのBLOGですが、応援の言葉を直に聞ききまして、ここ数週間の沈黙、申し訳ないことでした。
又、再開しますので、宜しくお願いします。

2007年2月8日木曜日

とある美容関係企業から漏洩した個人情報漏洩事件で争われていた民事賠償裁判の判決がでました。この判決は、情報セキュリティの関係者とって、影響力の大きい司法判断でしょうね。

以下は、産経新聞と朝日新聞のWebからの引用です。

TBCに賠償命令 エステ個人情報流出で東京地裁
 アンケートへの回答など個人情報が流出し精神的苦痛を受けたとして、大手エステサロン「TBCグループ」(東京都新宿区)に14人が1人115万円の損害賠償を求めた裁判の判決が8日、東京地裁であった。阿部潤裁判長は原告全員へ3万5000~2万2000円を支払うよう同社に命じた。原告側代理人によると、個人情報大量流出をめぐる裁判での賠償額としては過去最高。
 阿部裁判長は「エステサロンに個人情報を提供したことは純粋に私生活上の事柄で、この情報全体が法的保護の対象となる」と認めた。
 TBCの個人情報流出は平成14年5月26日に発覚。ホームページ上でアンケートの回答者や無料体験応募者の氏名、住所、年齢、メールアドレスなどのほか、応募者が興味を示した施術コース名、回答内容が収められた電子ファイルが、第三者でも自由にアクセスできる状態で放置された。
 同社はすぐにサーバーを停止したが、情報はその後もファイル共有ソフト「WinMX」などを通じてネット上で拡散。迷惑メールや訪問販売などの2次被害を受ける被害者も出た。
 裁判では、(1)流出した情報がセンシティブ情報(保健医療など特に秘すべき情報)に当たるか(2)TBCに個人情報管理に関する法的義務があったか-などが争点となった。阿部裁判長は「氏名、住所などの基本情報のみの場合と比較して、秘匿される必要性が高いことは否定できない」とした。
 流出当時は個人情報保護法は施行されていなかったが、阿部裁判長はすでにOECD(経済協力開発機構)や経済産業省が個人情報保護に関するガイドラインを策定していたことを挙げ、「当時も個人情報保護のための対策を講じる法的義務があった」と判示、「法的義務はなかった」とのTBC側の主張を退けた。
 

 2次被害の主張がなかった原告1人については、2万2000円の支払いを命じた。
(2007/02/08 21:14)
��BC情報流出訴訟 慰謝料など支払い命令 東京地裁
2007年02月08日20時15分
 エステティックサロン大手「TBC」が管理する約5万人分の個人情報がネット上に流出した問題をめぐり、迷惑メールなどで被害を受けたとして男女14人がサロン運営会社に1人あたり115万円の損害賠償を求めた訴訟の判決が8日、東京地裁であった。阿部潤裁判長は「初歩的過誤で、性的興味の対象にされるなどの精神的苦痛を与えた」と述べ、慰謝料など13人には1人当たり3万5000円、残る1人には2万2000円を支払うよう命じた。
 原告弁護団によると、過去の情報流出事件の賠償額は5000~1万円にとどまっていたという。
 判決によると、TBCから委託された業者が顧客のアンケートのデータを02年に新サーバーに移し替える際、誰でもアクセスできる状態にした。データには、氏名・住所に加え、「関心を持っているコース」やスリーサイズなどもあったため、原告らはネット上で性的な中傷をされたり、迷惑メールを受けたりした。


この判決で注目すべき点はなんでしょうか。
 (1) 一人当たりとしては、過去最高の賠償額
 (2) 美容に関する情報がセンシティブな情報と認定された
 (3) 個人情報保護法施行前でも、個人情報保護の法的責任が認定された
 (4) 2次被害者の賠償額を増額した
など等でしょうか(あくまで、法律の素人の私の見解です。この点、ご理解下さい)。
(1)に関して
個人情報漏洩のリスクを判定する場合の基準のなるかもしれません。各企業が保有する個人情報の内容、質は千差万別ですが、個人情報の漏洩が、損害賠償請求に結びつくという事例が、又一つ増えたことは確かでしょうね。当該企業が控訴する可能性もありますが、企業は判決確定を待たずに対応が必要なのでしょうね。
(2)に関して
身長や体重、スリーサイズなどの情報もセンシティブな情報ということらしいです。血液型、病歴や思想信条、性的嗜好などはセンシティブ情報として扱われてきましたが、美容に関する情報もそれに加わるとうことになりそうです。個人(特に女性)とっては、積極的には公開したくないでしょうからね(逆の人もいるでしょうが)。個人的には、違和感はないのですが、線引きが難しいですね。例えば、薄毛なんていうのは、センシティブでしょうか。
(3)に関して
私は、これが凄いと思いました。OECDや経産省のガイドラインが策定され、公開されていたことが法的責任の根拠と言うことですから。従来、官庁のガイドラインは法的強制力がないというのが共通認識で、あくまで努力目標という扱いでしたから、これ正直驚きました。法律の専門家の見解を是非知りたいです。
(4)に関して
これは、当然だと思います。漏洩した情報は回収できませんから、2次被害、3時被害が想定されます。
当該企業の控訴が予想されますが、本件の最終的司法判断は、情報セキュリティにおいて、大きな影響を及ぼすことは間違いがないと思います。諸賢のご意見をお待ちしています。

2007年2月5日月曜日

今月、2月27日に情報セキュリティ人材育成セミナーが開催されます。JASAも主催団体の一つで、ISACA東京支部も講演しています。私も早速、参加申込みをしました。

このセミナーのスピーカーの大木先生、長谷川さんはJASAのプロジェクトでお世話になっています。名刺交換会もありますので、旧知の方とお会いするだけでなく、新たな人脈が作れればとも思ってます。勿論、このBlogご覧になっている皆様と交流できることも期待しています。
情報セキュリティ人材育成セミナー
ただ、残念なのはこのセミナーでCISAやCISMの紹介が出来ないことですね。CAISやCISSPの紹介があるので、ちょっと悔しいというのが本音です。ISACAもこういったセミナーにタイアップしていくことが必要かなと、最近考えています。今度の理事会で提案してみおうかなぁ・・・とも思っている、今日この頃です。
このセミナー、参加費無料ですから、皆さんご参加下さい。CISA/CISMのCPEの対象になりますから。
では、セミナーでお会いしましょう。

2007年2月3日土曜日

検閲

陸上自衛隊の情報が漏洩したとの報道です。しかも、ウイニーから。ウイニーからの情報漏洩、いまやニュースバリューも低くなってしまった感がありますが、今回の報道で気になることは、漏洩もさることながら、自衛隊/防衛省の対策が機能してなかったことですね。

以下は、産経新聞Webからの引用です。

またしても…ウィニーで陸自資料流出
 陸上自衛隊の訓練などに関する内部資料が、陸自第14旅団(香川県善通寺市)に所属する3等陸曹の私物パソコンから、ファイル交換ソフト「ウィニー」を通じてインターネット上に流出していたことが3日、分かった。秘密情報は含まれていないが、防衛省は近く3曹や上司を処分する。
 防衛省によると、3曹は許可を得ないまま部隊内で私物パソコンを使用して業務用データを扱っていた。このパソコンから取り出した内蔵ハードディスクを使い、自宅で新たに別のパソコンを自作。ウィニーを入れて使っていて、昨年8月に資料が流出したという。ウイルスに感染したとみられる。
 同省では昨年2月、海上自衛隊の「秘密」情報流出が発覚。職場から私物パソコンを一掃するなどの対策を進めていたが、昨年11月には航空自衛隊員の私物パソコンからイラクに展開する米軍の情報が流出するなどしている。


防衛省/自衛隊は、情報漏洩対策として私物パソコンの使用禁止、一掃を行っていた筈なんです。それは、各種報道メディアでも報道され、当Blogでも取り上げました。以下は、その時の記事です。
ウイニー特需など
今回の記事から考えられる問題は、
(1) 三曹が私物PCを持ち込んでいた
(2) 私物PCの持込が防げなかった
(3) 私物PCに情報がダウンロードされていた
など等でしょうか。いずれしても、私物PCの使用禁止、持ち込み禁止が遵守されていれば、発生し得なかった事件です。40億もの税金を投入してまでそた施策、それが有効でなかったということです。
不二家も同様ですが、規約や手順、手続きなど定めても守られなければ、全く意味がありません。特に、多額の税金が投入されているのですから、現にある対策の徹底をしてもらいたいですね。

2007年1月28日日曜日

米型「内部統制」は効果疑問

木曜日に突然ですが、自宅PCとプロバイダーへの接続が出来なくなました。土曜日にプロバイダーから技術員がきて、モデムを取り替えていきました(我家はCATV会社と契約しています)。当然、その間はインターネットへのアクセスは出来ませんでした。
そういう訳で、今日の話題は、一昨日金曜日の産経新聞の論説です。

以下は、産経新聞Webからの引用です。

【正論】神戸大学教授・加護野忠男 米型「内部統制」は効果疑問
神戸大学教授 加護野忠男氏(撮影・奥地史佳)
 ■日本企業に合わず競争力低下も
 ≪社内手続きを公式化する≫
 日本の上場企業が、厳格な内部統制システムの導入に向けて準備を進めている。アメリカのサーベンス・オックスリー法(略称SOX法)を手本に日本の証券取引法が改正され、新たに金融商品取引法が制定された。この新法は、本家の名前をとって「日本版SOX法」と略称される。
 この法律では、上場企業は2009年3月以降の最初の決算期までに、内部統制のシステムを作らなければならない。まず経営者が自己点検を行い、それを公認会計士が監査することが義務づけられる。内部統制システムの監査に備えて、経営者は業務の流れや社内手続きを公式化し、文書に記録させる必要がある。
 アメリカのSOX法は、エンロンやワールドコムなどで相次いだ粉飾決算を防ぐためにつくられたもので、この法を施行するために、企業が従うべき内部統制の手順が事細かに規定されている。アメリカでも細かすぎるのではないかという批判が出てきて、見直しが進められている。
 ところが日本ではかなり厳格なシステムが導入されそうである。このような厳格なシステムの導入が義務付けられると、企業はよい経営ができなくなる。投資家の利益も損なわれることになる。次の4つの問題があるからである。
 ≪コスト大きく組織硬直化≫
 第1に、このような制度は、その導入に大変大きなコストがかかる。ところがそのコストを正当化するだけの効果が期待できそうにない。
 第2に、日本の場合、このような制度は不要である。アメリカ型の内部統制システムは、経営者も管理者も必要に応じて外部から雇い入れるというアメリカの人事制度を前提にしてつくられたものである。
 日本の会社にはもっと効果のある仕組みがある。人事部を中心にした多重的な信頼チェックシステムである。日本のトップや管理者は、内部から時間をかけて昇進してきた人々がほとんどである。長時間の間に、その人物が信頼できるかどうかが、多くの人々の目でチェックされている。このような濃密な内部統制が行われているところでは、アメリカ型の形式的な内部統制システムは不要なのである。それよりも、人事スタッフを増員するほうがよほど効果的である。
 第3は、官僚主義の弊害が出てくることである。何事もルールに従って判断するという官僚主義的な仕事の進め方がうまく機能するのは、環境の変化がほとんどなく、顧客を待たせても問題が起こらない場合である。残念ながら、そのような恵まれた環境にある日本企業はほとんどない。
 最後の問題点は、日本企業の独自の強みが失われてしまう危険があることだ。日本の組織の強さは、現場がその知識に基づいて、ルールや手順を柔軟に変えていくことにある。それをトップダウンで決めてしまうと、企業としての柔軟性が失われてしまう。まさに角を矯めて牛を殺すという結果になってしまう。
 このような問題があるために、内部統制システムを導入すると、良い経営が行えなくなる。それにもかかわらず、硬直的なシステムの導入が義務付けられるのは、投資家の信頼回復、投資家保護という大義名分のためである。
 ≪投資家にとり大切なこと≫
 投資家にとって大切なのは、企業で良い経営が行われて、企業価値が上昇することである。にもかかわらず、投資家保護がこの本来の目的から外れてしまうのは、規制当局の論理が優先されてしまうからである。
 規制当局には、投資家にとって望ましくないことを避けさせようとする姿勢がある。そのようなことが起こったときに規制当局者の責任が問われるからである。規制当局には、投資家にとって良いことを実現させるという任務はないのである。そのために、不祥事が起こるたびに企業に課せられるルールが厳しくなっていく。
 最近の日興コーディアルの利益粉飾事件のように投資家をだまそうとする企業経営者は後を絶たない。確かにそのとおりなのだが、このような経営者は全体から見ればごくわずかである。にもかかわらず、このような例外的経営者を想定したルールがつくられ、健全な企業の経営の邪魔をしてしまう。内部統制のシステムはまさにそれである。
 硬直的な統制制度が導入されれば、日本企業の将来が心配だ。不祥事は防げるが、企業の競争力も低下するだろう。上手な規制をしないと、株価は上がらない。下手な投資家保護は投資家の利益にはならない。(かごの ただお)
(2007/01/26 09:36)


J-SOX法の対象なる企業は、同法への対応のために業務プロセスの文書化、手続きの再検証など、今後一年間で作業を終える必要があります。
現時点においてもSOX法そのものには、色々は議論があります。上記論説のように、無用だというもの、いや必要だという意見、ダイレクとレポーティング方式への見直しが必要だ・・・云々などなどです。
私は、SOX法のような内部統制の導入は有用だと考えています。ただ、どの程度まで実施すればいいのかという検討は必要だと思います。が、まずは企業内での遵法意識の向上でしょうね(法律だけでなく、社内規定なども含めて)。それが無ければ、どんなに高度な内部統制の仕組みを導入しても形骸化してしまいます。談合決別宣言後も地方支社で継続していた建設会社、取得したISO基準を遵守していなかった食品会社・・・ 制度は適切に運用されてこそ意義があるものですから。

2007年1月20日土曜日

「システム管理基準 追補版(財務報告に係るIT統制ガイダンス)(案)」

経済産業省において「システム管理基準 追補版(財務報告に係るIT統制ガイダンス)案)」に対する意見公募、所謂パブリックコメントが始まりました。

「システム管理基準 追補版(財務報告に係るIT統制ガイダンス)案)」の策定には、丸山副会長や原田元会長、日本大学の堀江教授などISACA東京支部の関係者も参加されています。約150ページと少々量がありますが、目を通して見ようかと思います。
「システム管理基準 追補版(財務報告に係るIT統制ガイダンス)案)」
J-SOX対応もこれから本番、その作業の指針として有効だといいですね。

2007年1月13日土曜日

不二家 ISO14001認証取り消しか

洋菓子メーカーの不二家が消費期限切れの原材料、牛乳を使って製品を製造出荷販売していた事が発覚、営業停止に追い込まれています。
昨年11月に外部のコンサルタント会社との業務見直しの過程で事実を把握、その後も発表をせずに年末も製造販売を続けていたことのモラルが問われています。企業のモラルと同時に不祥事があった際の危機管理の上でも重大な失態といえます。それだけでなく、認証制度の信頼性を損ねる方向にも向かっているようです。

以下は、読売新聞Webからの引用です。

不二家ISO、経産省が臨時審査を要請…取り消しも
 大手菓子メーカー、不二家が認証を受けている品質・環境管理の国際規格「ISO」に関し、経済産業省が認証機関の関連団体に対して臨時の審査を要請していることが、13日分かった。
 不二家を巡っては、消費期限切れの原材料を使った洋菓子を製造・出荷したことが判明し、ずさんな品質管理が明らかになっている。
 審査結果によっては、ISO認証の一時停止や取り消しの可能性がある。「食の安全」への関心が高まり、食品メーカーの多くがISO認証を取得する中、不二家が認証の停止や失効に追い込まれれば、経営の打撃となる公算が大きい。
 経産省は、財団法人「日本適合性認定協会」を通じて、不二家の認証取得を担当した民間の認証機関に臨時審査を求めた。これを受け、認証機関が事実関係の調査に乗り出した。
 臨時審査の結果、問題があると判断すれば、〈1〉是正措置の要求〈2〉認証登録の一時停止〈3〉認証取り消し――のいずれかを決める。
 不二家は2001年から04年にかけ、国内5工場で環境管理規格「ISO14001」の認証を受けた。06年6月には、本社の品質保証部と資材部が品質管理規格「ISO9001」を取得している。
 協会は、消費期限切れの原材料を使った洋菓子を出荷していた時期が06年10~11月で、品質規格の取得直後である点を重視している。さらに、問題が判明して以降、埼玉工場で牛乳の在庫記録を残していなかったほか、札幌工場では原材料の仕入れ時期などを製造記録台帳に記載していないなど、品質管理のずさんさが相次ぎ明らかになっている。
 また、不二家は11日の会見で、「埼玉工場はISO認証を受けており、廃棄物が一定量を超えると、是正報告書を書かなくてはいけないため、(消費期限切れの牛乳を)捨てづらかった面もあったようだ」 と釈明した。この点についても、協会は「ISOは、品質管理や環境への配慮を目的としているのに、体裁を整えることを優先しては本末転倒」と事態を重く見ている。
 過去には、三菱ふそうトラック・バスが大型車の欠陥・不具合を隠していた問題で、認証登録を失効したほか、神戸製鋼所やJFEスチールが工場の排出物のデータを改ざんし、6か月の登録停止となった事例がある。
��2007年1月13日14時41分 読売新聞)


不二家はISO14001、ISO9001の認証を受けていたのですね。その企業が、環境/品質管理上の重大な失態を犯したのですから、認証取消しになっても反論の余地はないです。
 ”埼玉工場はISO認証を受けており、廃棄物が一定量を超えると、是正報告書を書かなくてはいけないため、(消費期限切れの牛乳を)捨てづらかった面もあったようだ」” 
だということですが、これなどISOのマネジメントシステムを理解していないとしか考えられません。廃棄量が一定を超えることではなく、是正処置がとられないことが問題です。是正報告が行われ、改善処置が実施されれば、認証基準が定めるマネジメントシステムが有効に機能していることの証しです。継続審査でも不適合とされることはないでしょう。今回のケースは認証制度への信頼をも揺るがしかねない問題を含んでいます。
(1) 認証取得企業の信用
(2) 審査が適切であったか
(3) 認証基準に問題がなかったか
(4) マネジメントシステムが有効であったのか
(5) 社内の取組みに問題がなかったのか
等など、認証制度の信頼性に係る様々な問題が指摘できるように思われます。当該企業、認証機関、審査機関をも巻き込んだ制度そのものへの議論に発展するかもしれません。経産省の要請により、認証機関/審査機関の調査が行われるようですが、その結果報告の公開を期待したいです。
消費期限切れの牛乳を使ったのは、定年後に再雇用されたパート従業員のようでうですが、そうしないと正社員から叱責されたと報道されています。認証取得に伴い制定された規約や手続き、プロセスの遵守義務は関連する全ての従業員にあります。実態と真相の解明、公開が待たれます。

2007年1月10日水曜日

ISMS認証制度についての話題に触れている丸山さんと長谷川さんのBlog記事へトラックバックしました。で、このISMS認証制度について、少しばかり私見を!

丸山さんのBlogに引用された記事によると、ISMS認証を得た日本企業の割合が世界で最も高いとのことです。
ISMSの認証取得は世界で3233サイト、Pマークは6360社
ISMS認証って、何なの?
某インターネットプロバイダー、某自治体、某TV通販会社等等、個人情報の漏洩で少なからずの損害を生じた企業の事例や個人情報保護法の施行などが動機となって、日本企業のISMSやPマークの認証取得に走らせているようです。しかし、ISMSやPマークは当該企業の情報セキュリティや個人情報の管理体制が構築されていることを認証するのであって、水準を保証することではありません、というのが私の認識、理解です。
しかし、我が社は認証を得た、だから情報セキュリティは大丈夫、ご安心下さいというような、理解が一部でされています。管理体制、マネジメントシステムが構築されているからといって、情報セキュリティが一定の水準にあることの保証には繋がらないちうことなので、JASAでは保証型情報セキュリティ監査普及促進プロジェクトを組織し、活動を行っているのです。
(ここ数ヶ月、プロジェクトの会合に参加できず申し訳ありません)
ISMSの認証が、何か免罪符のように扱われているような気がします。ISMSの認証があるからといって情報セキュリティ上の問題課題が皆無とは言えませんよね、と私は思うのです。そもそも、そんなことを目的としていません。審査の結果、情報セキュリティ上の課題問題が適切に管理され改善され得る体制、マネジメントシステムが構築されていると判定されたということです。勿論、このこと自体が有意義であり、認証取得自体が一定の情報セキュリティ水準にあることの証しであるとの意見もあります。何故なら、マネジメントシステムが存在すること、それが情報セキュリティに対する取組みがなされていることの実証だからということです。しかし、企業が求められる情報セキュリティのレベルあるとの保証ではないのです。元々、情報セキュリティの水準を判定することは目的ではないのですから当然のことです。
認証取得後にきっちりとPDCAのサイクルを回して、情報セキュリティの向上を図っていくことにISMS認証取得の意義があるのではないでしょうか?
皆さんのご意見を待っております。

2007年1月3日水曜日

ITGI JapanがIT CONTROL OBJECTIVE for SOX日本語版を公開

本年の投稿第一弾は、ITGJ Japanに関するものです。昨年、設立記念フォーラムが開催されたITGI Japanですが、そのHPにITGI JapanがIT CONTROL OBJECTIVE for SOX日本語版がUPされ、無償公開されました。

ITGI Japan ホームページ
日本でもJ-SOX法への対応が企業の主要課題として取り組まれています。このIT CONTROL OBJECTIVE for SOX日本語版は、その取組みの参考になると思われます。ISACA東京支部のメンバーが、各自の専門知識を生かして翻訳に当たりました。
このBlogをアクセスしていただいてる方々の中には、所属の企業でJ-SOX法対応を担当されている方も少なくないと思います。そうした皆様に是非参考にしていただきたいと思います。