「めだか2014」カテゴリーアーカイブ

【 情報システム部門のためのシステム監査 】,【 部門長の味方 】

今月のめだか投稿は、
【 情報システム部門のためのシステム監査 】
【 部門長の味方 】
の2篇です。

 【 情報システム部門のためのシステム監査 】

情報システムのうち公共機関の情報システムは社会インフラであり、
その障害は多くの人々に被害をもたらすリスクとなる。

リスクに対して情報システムにシステム監査が求められるべきと思う。
中でも公共機関で個人情報を取り扱う情報システムの構築や保守は、
障害が起きないよう、
また
法令等へのコンプライアンスや本人同意の利用目的に齟齬が生じないよう
システム監査を制度化あるいは法制化するように求めていく、

これは情報システム部門のためのシステム監査につながる活動であると思う。

さて、ウィキペディア(Wikipedia)で、冬至について調べてみた。

続きを読む ⇒ 【 情報システム部門のためのシステム監査 】

 【 部門長の味方 】

システム監査は、情報システム部門長やCIOのよき理解者だ。
理解者というよりも“味方”と言った方が近いと言える。
これは当たり前過ぎることといっていいが、会報テーマ
「情報システム部門のためのシステム監査」を受けて、
システム監査人の一人として強調する。

情報システム部門を率いる部門長が日夜闘っていること腐心していることは多種多様だ。
この重要性や実現への方策を共有し推進するという点で、
システム監査と情報システム部門は味方同士だ。

例えば部門長の方に確認したい。

担当部門がシステム監査(内部監査、外部監査を問わず)
を受ける場合、次のようなことは当然のように実現されているだろうか。

続きを読む ⇒ 【 部門長の味方 】

情報システム部門のためのシステム監査(あきぼう、空心菜)

今月のめだかは、2篇。
情報システム部門のためのシステム監査(あきぼう)
情報システム部門のためのシステム監査(空心菜)

■情報システム部門のためのシステム監査

情報システム監査というのは
受ける情報システム部門側からすると依然として「余計な仕事が増えるだけの面倒なもの」という印象を受けます。

当方からするとまずこの認識違いを変えていかないといけないと思っています。
情報システム監査は、決してネガティブなものではなく、
情報システム部門にとって「継続的に改善する」機会であるということです。

何故、ネガティブな印象を与えてしまうのか?
ということを考えてみたときに、思い当たるのは
情報システム監査が「不足していることの特定と何が問題であるかの特定」であり、「これまでの仕事の仕方を変えさせられる」という印象が強いからではないでしょうか?
しかし、情報システム監査の意義は決して不足・問題点の特定ではなく、どのようにすればより良くなれるかにあり、無駄な作業の削減にあると思います。(投稿者 あきぼう)

続きを読む  システム監査とSAAJの曲り角

■情報システム部門のためのシステム監査

わが国のシステム監査というと、その基準は、平成16年10月8日に情報セキュリティ監査制度との整合性の観点を踏まえて経済産業省から公表された、新「システム監査基準」と「システム管理基準」である。

その後、内部統制報告書提出制度の開始、つまり金融証券取引法の成立を契機に、財務報告の信頼性という観点で追補版が公表されている。
また当協会ではオフショア開発に係るシステム管理基準や個人情報を取り扱う情報システムへのシステム管理基準を策定し発表している。

各企業は、システム監査に当たってこれらの基準を参考にそれぞれのシステム管理基準を設けて情報システム部門のためのシステム監査が運用されている。( 投稿者 空心菜 )
続きを読む  情報システム部門のためのシステム監査

次世代のためのシステム監査、提案:次世代のため5%の時間を割こう!

今月のめだか投稿は、次の2編です。

 【 次世代のためのシステム監査 】
【 提案:次世代のため5%の時間を割こう! 】

 【 次世代のためのシステム監査 】

「だますやつが悪い。」のか、「だまされるほうが悪い。」のか。
それはシステム監査人にとって頭の痛い問題である。

フランシス・フクヤマは、著書「信なくば立たず」(Trust)で、歴史によって伝統的に信頼関係が形成されやすい地域とそうでない地域があるとしている。

個人を取り巻く社会は、家族、中間組織(会社、宗教、地域コミュニティ、学校)、国の、3つの信頼の輪によって成り立っている。

信頼関係の第一の輪は、家族である。信頼関係の輪が中間組織から国まで広がる信頼関係が形成されやすい地域では、ビジネスは円滑に行われる。例えば、納品請求書を送付すると相手は納品を確認し銀行振込で支払う商習慣があればビジネスは円滑に進む。
しかし、信頼関係の低い地域では、いちいち集金に行くと支払う、また、銀行振込は入金を国が補足するため普及しないと聞いたことがある。

続きを読む ⇒  次世代のためのシステム監査

【 提案:次世代のため5%の時間を割こう! 】

システム監査に限りませんが、研究会やセミナーに出ると、その主催団体の構成員像がなんとなく浮かび上がります。
新技術に絡むフォーラムだと、会社から派遣されている参加者もいるせいか、若手の参加も多く、運営側もまだ熟達していない印象を抱きます。

これに対し、システム監査関連の会合だと、もちろん現役バリバリの参加者もいますが、多くの場合、セミリタイア世代、といったら失礼だと思いますが、中堅というよりシニアが多く、経験豊富で落ち着いた印象を与えます。

自分は最初の会社で一通りのことは吸収してきた、これからはキャリアを活かして活躍したい、そういった方が多いのではないでしょうか。

続きを読む ⇒  提案:次世代のため5%の時間を割こう!

次世代のためのシステム監査

今月のめだか投稿は、次の1編です。

 次世代のためのシステム監査

公共機関の情報システムは社会インフラであり、その障害は多くの人々に被害をもたらすリスクとなる。

リスクへの予防措置として公共機関の情報システムにシステム監査が求められるべきと思う。
中でも公共機関の情報システムで個人情報を取り扱う情報システムの構築や保守は、障害が起きないよう、また法令等への準拠や本人同意の利用目的に齟齬が生じないようシステム監査を制度化又は法制化するように求めていきたい。

曽野綾子さんの著書「幸せは弱さにある」を読み返してみた。
本の中で、「第三章 人との関係で大切なこと」のひとつとして、“「決してあきらめない粘り強い生き方」 を私たちはできるか” とある。

次の引用文章は、『ルカによる福音書』の11-5~10に於いて、夜遅くやって来た旅行中の友だちにパンを与えるという話にもとづいている。

続きを読む ⇒  次世代のためのシステム監査

次世代を考える、〝次世代を担うシステム監査人〞考、ベネッセ個人情報漏えい、脱法ハーブ、3D-Printer拳銃製造と次世代のためのシステム監査

めだか投稿は、次の3篇です。
【 次世代を考える(次世代のためのシステム監査) 】
【〝次世代を担うシステム監査人〞考 (次世代のためのシステム監査)】
【ベネッセ個人情報漏えい、脱法ハーブ、
  3D-Printer拳銃製造と次世代のためのシステム監査】

【 次世代を考える(次世代のためのシステム監査) 】

公共機関の情報システムは社会インフラであり、その障害は多くの人々に被害をもたらすリスクとなる。リスクへの予防措置として公共機関の情報システムにシステム監査が求められるべきと思う。先ず公共機関の情報システムの中でも個人情報を取り扱う情報システムの構築や保守には、障害が起きないよう、また法令等への準拠や利用目的に齟齬が生じないようシステム監査の法制化を求めたい。
(全文を読む) 次世代を考える(次世代のためのシステム監査)

【〝次世代を担うシステム監査人〞考 (次世代のためのシステム監査)】

先日、IPAから平成26年春期の情報処理技術者試験の合格発表があった。システム監査技術者については、合格率13.2%の狭き門の中、361名の方が合格された。今回新たにシステム監査技術者の資格をとられた方が、実務経験を積み、次世代を担うシステム監査人として、大いに活躍されんことを願っている。

IPAの統計情報によると、今回のシステム監査技術者資格の取得者は、平均年齢40.3歳で経験は豊かといえるものの、実際にシステム監査を担当しているのは39名(合格者の1割)に過ぎない。この人数で、これからますます発展するであろう情報化社会に向けた「次世代のシステム監査人」を供給できるのか、不安になる。

(全文を読む) 〝次世代を担うシステム監査人〞考 (次世代のためのシステム監査)

【ベネッセ個人情報漏えい、脱法ハーブ、
  3D-Printer拳銃製造と次世代のためのシステム監査】

 ベネッセ個人情報漏えい事件、脱法ハーブ、3D-Printerによる拳銃製造事件と、三題噺風に並べてみたが、一見、全く異なる三つの事件に共通する根本的課題は何か。ずばり、ITを中心とする急速、かつ、継続的なイノベーションと、それにともなう社会の変化に、法規制が追いつかないということである。

(全文を読む) ベネッセ個人情報漏えい、脱法ハーブ、3D-Printer拳銃製造と次世代のためのシステム監査】

実現に導く力、5月のカレンダー

情報化社会のためのシステム監査というめだかテーマに対して、2稿です。
1 実現に導く力 
2 5月のカレンダー 

実現に導く力
登山のとき、勾配の路では疲れた体がザックをより重くして、弱音を吐いて立ち止まりたい時が毎回必ずある。
農作業のとき、炎天で土にまみれ汗が目に沁み腰が痛くなろうとも、投げ出しちゃあダメだと懸命に気力を絞る。苦しい時にはその先を思う。

そうすると自然と力が湧いてくる。苦労を凌ぐ山頂の快感と収穫の喜びがあるからだ。それはほとんど約束されたように得られる。
それが信じられるからこそ、辛い歩きも作業も続けられる。
これが実現する力の一例だ。例えば、イモ掘りの孫のはしゃぎは他の農作業にも元気を与える不思議な力がある。

「情報化社会のための・・・」というテーマは、システム監査の役割と課題を休みなく考えろ、頭を働かせろと言っているように思う。
情報システムの利活用形態が大きく変化している状況に目を向ければ、システム監査は今後さらに積極的にチェンジすることや、目標の追加や活発な活動が必要であることに気付く。

(全文を読む) システム監査を何のために行うのか?(情報化社会のためのシステム監査)

情報化社会を考える
情報化社会において、公共機関の情報システムは、システム監査が求められるべきと思う。中でも、個人情報(personal information)を取り扱う情報システム(以下、個人情報システムという。)は、公共機関の利用者や住民個人への公的な各種サービスの提供に当って、法令等への準拠や利用目的への齟齬が生じないよう、構築や保守にシステム監査の法制化を求めたい。

個人情報のデータである個人データは、「“personal data” means any information relating to an identified or identifiable individual (data subject)」である〔参考1〕。

つまり、個人データは、識別された又は識別されうる個人(データ主体)に関するあらゆる情報ということである。情報システムに個人データの取扱いがある場合、プライバシー侵害の起きることが無いように取り扱う必要がある。
プライバシーについて、Oxford Dictionary of English では、「privacy; a state in which one is not observed or disturbed by other people」とある。個人が他の人々に観察されたり邪魔されたりしない情況ということである。

(全文を読む) 情報化社会を考える

システム監査を何のために行うのか?/ 5月のカレンダー (情報化社会のためのシステム監査)

今回のめだかは、次の2稿です。
1 システム監査を何のために行うのか?(情報化社会のためのシステム監査) 
2 5月のカレンダー (情報化社会のためのシステム監査)

システム監査を何のために行うのか?(情報化社会のためのシステム監査)

「あなたは、何のためにシステム監査を行っているのですか?」と問われて、皆さんならどう答えるでしょうか?
最近、P.F.ドラッカー著『現代の経営』(注)の中にある三人の石工の話を読んで、「何のためにシステム監査を行うのか?」について、考えさせられた。この三人の石工の話とは、次のようなものである。
(注)P.F.ドラッカー著『マネジメント』にも、同様の話がある。
**********
ある人が工事現場の脇を通りかかり、汗を流して働いている数人の石工に、「何をしているのか」と問いかけました。
一人目の人は、こう答えました。「これで食べている」と。
二人目は、手を休めずに答えました。「国で一番腕のいい石工の仕事をしている」と。
最後の一人は、目を輝かせて答えました。「教会を建てている」と。
―上田惇生監修・佐藤等編著『実践するドラッカー[思考編]』より引用―

(全文を読む) システム監査を何のために行うのか?(情報化社会のためのシステム監査)

5月のカレンダー (情報化社会のためのシステム監査)

5月のカレンダーの挿し絵や写真には、田植え風景や新緑の山など、季節の人々の営みや自然の遷り変わりを用いているものが多い。
今月、忍野八海近くの山に登り、左右の麓まで遮るもののない富士、手の届きそうな富士を眺めながら、5月の色と匂いを感じて来た。スミレの群生、マメザクラのトンネル、ミツバツツジ、自生のボケなどの彩りとともに、木々の新芽も薄緑・濃い緑・薄赤など様々な形容を見せていて、日頃使われていなかった我が身の五感のどこかが呼び覚まされたような気がしている。この季節は山全体がパワースポットになっていると思う。色の華やかさよりもそれをもたらしているものに、ただならない力強さや迫力のようなものを感じた。自然現象は季節や一定のサイクルで繰り返しつつ、我々にも分かる形でパワーを見せている。繰り返すこと自体のパワー、変化を遂げるパワー、目的達成のパワーがある。特に5月のカレンダーには、そのような出現・創造を感じるものがある。

(全文を読む) 5月のカレンダー(情報化社会のためのシステム監査)

システム監査と業務監査(情報化社会のためのシステム監査)

芽吹きや新緑が日ごとに目に映え、自然のパワーを強く感じます。
システム監査のパワーも、根強く芽や枝を広げています。

今回のめだかは、次の1稿です。

システム監査と業務監査(情報化社会のためのシステム監査)

改めて話題にしたい。システム監査と業務監査が、それぞれ並立している現状に、どの程度の必然性があるだろうか。今後も有意な区分として残るだろうか。

そもそも、システム監査のテリトリーをどのように表現すればよいだろう。
情報システムの信頼性や安全性・有効性などに関すること、という説明で十分だろうか。
もう少し丁寧に、ハードウエア・ソフトウエア・ネットワークなどで構成する装置や機器と、それを開発・運用する業務処理と、そこで扱う情報や知識やドキュメントまで、と説明すれば足りるだろうか。いずれも違うと言わざるを得ない。

会報テーマ「情報化社会のためのシステム監査」を考えるとき、システム監査の作業範囲や、システム監査人が着眼する範囲はどこまでか、これは、システム監査の目的と役割に関する極めて重要なことだろう。

(全文を読む) 【システム監査と業務監査(情報化社会のためのシステム監査)】

【公(おおやけ)と親業(おやぎょう)】,【主客転倒と無縁のシステム監査】,【システム監査人としての覚悟】

このページはSAAJ会報、2014年4月号より紹介しています。

今回のめだかは、次の3稿です。
【公(おおやけ)と親業(おやぎょう)】
【主客転倒と無縁のシステム監査 (公(おおやけ)のためのシステム監査)】
【システム監査人としての覚悟 (公(おおやけ)のためのシステム監査)】

【公(おおやけ)と親業(おやぎょう)】

筆者は、公(おおやけ)のための情報システムにはシステム監査が求められるべきだと思う。
また、今後、当協会がその方向で社会に働きかけていくことが必要であるとも思う。
公(おおやけ)のための情報システムとは、公共機関が取り扱う情報システムと考えて良いといえる。
ウィキペディアによれは、公共機関とは、
公共的な機関一般を指す概念である。
(全文を読む) 【公(おおやけ)と親業(おやぎょう)】

【主客転倒と無縁のシステム監査 (公(おおやけ)のためのシステム監査)】 

主客転倒:「主人と客人の立場が逆転すること。転じて、重要なものと軽いものが逆さまになること。」
この言葉には、似た用例が数多くある。「主従逆転」、「主客逆転」、「本末転倒」、「主客混同」、「冠履転倒(かんりてんとう)」、「釈根灌枝(しゃくこんかんし)」、「舎本逐末(しゃほんちくまつ)」など。
これらは、物事が入れ替わってしまうことや、逆に取り扱ったりすることを、様々なシーンやシチュエーションに例えて表現している。個人のことでも飼い犬との主従関係の逆転など思い当たることも少なくないだろう。

(全文を読む) 【主客転倒と無縁のシステム監査 (公(おおやけ)のためのシステム監査)】

 

【システム監査人としての覚悟 (公(おおやけ)のためのシステム監査)】

われわれシステム監査に携わる者にとって、嬉しくなるような調査結果がある。「システム監査は必要と思いますか。・・・必要と思う82%」
しかし、上記調査は最近の調査ではなく、今から40年ほど前の1975年に㈶日本情報開発協会が労働組合に対してアンケート(注)したものである。当時は、銀行オンラインシステム等、基幹業務のオンライン化が進められていた頃であり、通商産業省による「システム監査基準」が公表される10年も前の話である。こうした時代に、「システム監査は必要」との回答が8割を超えていることは、大きな驚きである。
(全文を読む) 【主客転倒と無縁のシステム監査 (公(おおやけ)のためのシステム監査)】

 

【プライバシー保護と個人データの国際流通】、【「帝力何有於我哉」に例えれば(公(おおやけ)のためのシステム監査)】

このページはSAAJ会報、2014年3月号より紹介しています。

今回のめだかは、次の2稿です。
【プライバシー保護と個人データの国際流通】
【「帝力何有於我哉」に例えれば(公(おおやけ)のためのシステム監査)】

【個人情報、個人データ、公(おおやけ)のためのシステム監査】

近代化とは、西洋から、キリスト教に由来するさまざまなアイデアや制度や物の考え方が出てきて、それを西洋の外部にいた者たちが受け入れてきた過程だったとされる。
キリスト教は一神教であるのに、多くの日本人は八百万の神を祀って暮らしている。
つまり、日本は、西洋の核となるものは採り入れずに外形を近代化してきたと言える。
キリスト教の祈りとは神(God)への個人の不断のコミュニケーションであると言われている。
プライバシーの最たるものであると言えよう。〔参考1〕
経済産業省のホームページによれは、・・・(全文を読む)
【プライバシー保護と個人データの国際流通】

 

【「帝力何有於我哉」に例えれば (公(おおやけ)のためのシステム監査)】

「帝力何有於我哉」の引用主旨を述べる前に、「公(おおやけ)のため」の意味を考えてみる。
「公(おおやけ)のため」とは、誰のためか・何のためか、つまり“対象”は何であるかだ。
分かり切っていることのようでも、考えてみると面白い。次の二つを考えた。・・・(全文を読む)
【「帝力何有於我哉」に例えれば(公(おおやけ)のためのシステム監査)】