SAAJ会報2014年11月号(第164号)を発行しました。

SAAJ会報2014年11月号(第164号)を発行しました。

今月も巻頭言から話題満載です。PDFの目次検索も活用ください!!!

2014年11月号(第164号)の本文は、

2014年11月号(第164号)本文
からご覧いただけます。

2014年11月号(第164号)の目次と巻頭言は、

2014年11月号(第164号)目次

2014年11月号(第164号)巻頭言
からご覧いただけます。

■ ■ 巻頭言 
kantogen201411

情報システム部門のためのシステム監査(あきぼう、空心菜)

今月のめだかは、2篇。
情報システム部門のためのシステム監査(あきぼう)
情報システム部門のためのシステム監査(空心菜)

■情報システム部門のためのシステム監査

情報システム監査というのは
受ける情報システム部門側からすると依然として「余計な仕事が増えるだけの面倒なもの」という印象を受けます。

当方からするとまずこの認識違いを変えていかないといけないと思っています。
情報システム監査は、決してネガティブなものではなく、
情報システム部門にとって「継続的に改善する」機会であるということです。

何故、ネガティブな印象を与えてしまうのか?
ということを考えてみたときに、思い当たるのは
情報システム監査が「不足していることの特定と何が問題であるかの特定」であり、「これまでの仕事の仕方を変えさせられる」という印象が強いからではないでしょうか?
しかし、情報システム監査の意義は決して不足・問題点の特定ではなく、どのようにすればより良くなれるかにあり、無駄な作業の削減にあると思います。(投稿者 あきぼう)

続きを読む  システム監査とSAAJの曲り角

■情報システム部門のためのシステム監査

わが国のシステム監査というと、その基準は、平成16年10月8日に情報セキュリティ監査制度との整合性の観点を踏まえて経済産業省から公表された、新「システム監査基準」と「システム管理基準」である。

その後、内部統制報告書提出制度の開始、つまり金融証券取引法の成立を契機に、財務報告の信頼性という観点で追補版が公表されている。
また当協会ではオフショア開発に係るシステム管理基準や個人情報を取り扱う情報システムへのシステム管理基準を策定し発表している。

各企業は、システム監査に当たってこれらの基準を参考にそれぞれのシステム管理基準を設けて情報システム部門のためのシステム監査が運用されている。( 投稿者 空心菜 )
続きを読む  情報システム部門のためのシステム監査

情報システム部門のためのシステム監査、システム監査とSAAJの曲り角

今月は、2稿の投稿です。
・情報システム部門のためのシステム監査
・システム監査とSAAJの曲り角

情報システム部門のためのシステム監査
                    投稿者 仲 厚吉
9月の月例研究会は、講師に東京海上日動リスクコンサルティング株式会社上席主席研究員 指田朝久氏にテーマを「首都直下地震の被害想定の警告 ~ 情報システムのバックアップは本当に機能するか ~」として講演頂きました。

講演は、“2013年末に公表された政府の首都直下地震の被害想定は、東日本大震災を踏まえて前回2005年に公表された想定を大きく変えている。しかしながらその被害想定の内容はあまり認識されていない。

本セミナーでは今回公表された被害想定を解説し、企業はどのように対応すればよいかについて提言する。” という内容でした。首都直下地震の被害に過酷事象も想定外とはしないため、初めて聴くものにはショッキングな被害の想定で、情報システム部門のためのシステム監査において情報システムのバックアップは機能するかをあらためて見直す必要があることを認識させられました。詳しくは月例研究会報告をお読み頂きたいと思います。

一般社団法人日本内部監査協会 第48回内部監査推進全国大会が、9月25日、26日に東京都内で開催され、私と 力 副会長が参加しました。大会に参加し情報システム部門のためのシステム監査という観点で当協会が担うべき役割について考えました。

続きを読む  情報システム部門のためのシステム監査

システム監査とSAAJの曲り角
              投稿者 松枝憲司
日本にシステム監査基準が制定されたのが1985年、任意団体としてのSAAJ(以下協会)設立が1987年で、既に四半世紀以上経過している。
この間、欲しい情報を世界中から入手できるツール(システム)を誰もが持つことができるようになり、内部統制が現代人の基礎知識となり、情報セキュリティに関する事件や事故が日常茶飯事となっているこの時代に「システム監査」が全く元気がない。

私の周りでは、ビジネスとしてのシステム監査の話をほとんど聞かなくなっている。マスコミに取り上げられることもないし、システム監査という用語自身を目にしなくなっている。それに呼応するようにシステム監査技術者試験の受験生も減少の一途である。
協会は設立以来「システム監査の普及」を目的としてきたが、一体どうしたことなのであろうか。

続きを読む  システム監査とSAAJの曲り角

個人情報影響評価PIA の考え方と実施手順-プライバシーバイデザインとしてのPIA-

第194回 月例研究会 (2014年8月20日開催)
           報告者 藤野明夫 (情報セキュリティ監査研究会)

【講演テーマ】「個人情報影響評価PIA の考え方と実施手順 
         -プライバシーバイデザインとしてのPIA-」

講師:一般財団法人日本情報経済社会推進協会(JIPDEC)
      電子情報利活用研究部 部長 坂下哲也氏

日時:2014年8月20日(水曜日)18:30~20:30
場所:機械振興会館 地下2階ホール

【講演骨子】 
「行政手続における特定の個人を識別するための番号の利用等に関する法律」(平成25年度法律第27号)
(以下、「社会保障と税番号法」又は「番号法」)に基づき、
平成28年1月より私たちに「番号(以下、マイナンバー)」
が付与される。

現在、国、行政機関、地方公共団体等では、その導入に向け、
“特定個人情報ファイルを保有する前に
安全な取扱いがなされることを評価し、宣言する
「特定個人情報保護評価」(以下、PIA)”
を実施している。

JIPDECでは、平成25年度に複数の地方公共団体の協力の下で
「特定個人情報保護評価」を試行し、実効性が高い手順を取りまとめ
、平成26年度から評価機関の支援を行っている。

本会では、PIA実施における対策等を解説するとともに、
政府戦略に基づくマイナンバーの利用について検討されているモデル
(ID連携トラストフレームワーク)等について紹介する。

 続きを読む ⇒ 個人情報影響評価PIA の考え方と実施手順

首都直下地震の被害想定の警告~情報システムのバックアップは本当に機能するか~

第195回 月例研究会 2014年9月18日開催
             報告者 大石正人 (当協会理事)

【講演テーマ】首都直下地震の被害想定の警告
       ~情報システムのバックアップは本当に機能するか~
【講師】東京海上日動リスクコンサルティング株式会社
       上席主席研究員 指田朝久氏
【日時】2014年9月18日(木曜日) 18時30分~20時30分
【場所】機械振興会館 地下2階 ホール

【講演骨子】講師より
 2013年末に公表された政府の首都直下地震の被害想定は
東日本大震災を踏まえて前回2005年に公表された想定を大きく変えている。
しかしながらその被害想定の内容はあまり認識されていない。

本セミナーでは今回公表された被害想定を解説し、
企業はどのように対応すればよいかについて提言する。

このように書くとありふれた内容に思われるかもしれないが、
政府は首都直下地震につきかなり踏み込んだ被害想定を行ったことを理解していただきたい。

政府は今回はじめて具体的なライフラインの途絶時間を公表した。
その内容をみると情報システムの稼働に大きな影響を与える
電力の被害想定が大幅に悪化したことがわかる。

また通勤困難、飲食料入手困難
さらに非常用発電機に不可欠な燃料の調達困難などがあり、
これらを含め政府は過酷事象も想定外としないように求めている。

それを踏まえると首都圏における経済活動が困難であり、
企業はこれらを正しく踏まえたBCPを構築することが必要である。

続きを読む ⇒ 情報システムのバックアップは本当に機能するか

測量・地図とGIS~国家インフラから市民インフラへ(第24回CSAフォーラム2014/9/8)

第24回CSAフォーラム(2014/9/8)
「測量・地図とGIS~国家インフラから市民インフラへ」

CSA利用推進グループでは有限会社セキュアランス 
代表取締役の田附喜幸(たつきよしゆき)氏をお迎えし、
第24回CSAフォーラムを開催しました。
田附氏は国際航業株式会社に入社し、GIS(地理情報システム)
の導入、研究・開発や
ISO(QMS、EMS)及びPMSの構築に従事されました。

その後有限会社セキュアランスを設立し、
現在はISO審査員として審査活動を行うと同時に、
GIS導入コンサル、審査登録機関審査室業務などを行っておられます。

地理情報は生活のインフラとして無くてはならないものの一つです。
身近なカーナビや防犯から、地球レベルの気象解析
など様々な分野に活用が進んでいます。

しかしこんなに身近な地理情報について、
実は地図の製作にはどんな歴史があり、どんな技術を用いて来たのか、
どんな問題があるのか等々、殆ど知識がないのは私だけでしょうか。

今回のお話で、測量の基準点が元々日本で用いていたものと
国際基準系とでかなりズレがあり、
場合によっては普段見ている地図が、ズレたままのもの
というお話があり、ビックリでした。
その他沢山の興味深いお話の2時間でした。

 続きを読む ⇒ 測量・地図とGIS~国家インフラから市民インフラへ

システム監査体験セミナー(実践編)、近畿支部 第148回定例研究会報告

支部報告 【 システム監査体験セミナー(実践編)開催結果報告 】

1.セミナー名称 : システム監査体験セミナー(実践編)
2.開催日時   : 2014年8月30日(土) ~ 8月31日(日)
3.開催場所   : 大阪大学中之島センター 講義室201
4.開催概要
近畿支部では、2014年8月30日(土)、31日(日)
大阪大学中之島センターを会場として、
システム監査体験セミナー(実践編)を開催しました。
受講者は7名、2つの監査チームを編成しての実施となりました。

1日目は13時から19時、2日目は10時から17時までの2日間コースで実施しました。
IT系の建設業や情報通信サービス業などを手掛ける企業を事例とし、
「情報システムの現場業務に対する適合度」
について外部監査を行い、
監査報告では課題および課題解決に向けた方向性を示す
という流れでロールプレイを交えながら実施しました。

支部報告【 近畿支部 第148回定例研究会 】

1.テーマ  ソフトウェア著作権研究プロジェクト中間報告
2.講師 大阪成蹊大学名誉教授 松田 貴典 氏
     京都聖母女学院短期大学 生活科学科 准教授  荒牧 裕一氏
3.開催日時  2014年9月19日(金) 18:30~20:30
4.開催場所  大阪大学中之島センター 2階 講義室201
5.講演概要
講演1 「情報通信技術関係者が知るべき著作権の基礎」
講演2 「ソフトウェア著作権監査のための各種ツールの提案」

続きを読む⇒システム監査体験セミナー(実践編)、近畿支部 第148回定例研究会報告

「経済産業省ガイドライン」の読みこなしポイント~「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」その3

~「経済産業省ガイドライン」の読みこなしポイント~ 
「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」その3
    

2-2-2. 個人情報の取得関係(法第17条~第18条関連)

経済産業省は9月26日に、(株)ベネッセコーポレーションに対し、個人情報の保護に関する法律(以下「法」)第34条第1項の規定に基づき、委託先も含めた個人情報の保護に関する実施体制の明確化、および情報セキュリティ対策の具体化を行うよう勧告しました。また、同日、「経済産業省ガイドライン」の改定について、2回目のパブコメが発表されました。 そこでは、今回のテーマの「適正取得」に関しても改正案が追加されています。

2-2-2.個人情報の取得関係(法第17条~第18条関連)
(1)適正取得(法第17条関連)

法第17条
個人情報取扱事業者は、偽りその他不正の手段により個人情報を取得してはならない。

続きを読む ⇒「経済産業省ガイドライン」の読みこなしポイント その3

「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」
 http://www.meti.go.jp/policy/it_policy/privacy/kaisei-guideline.pdf 

「外部委託先に対するシステム監査の課題について」北信越支部(2014 年度 長野県例会)

北信越支部 「2014 年度 長野県例会 報告」

2014年度 北信越支部長野県例会を開催しました.
・日時:2014年9月13日(土) 13:00-17:00    参加者:7名
・会場:松本商工会館606会議室(長野県 松本市)
・議題:
研究報告:
「外部委託先に対するシステム監査の課題について」
        藤原 康弘 氏
意見交換:
「コンティンジェンシープランの策定とそれに対する監査」
   (2014年度SAAJ西日本支部合同研究会での報告に向けての意見交換)

◇研究報告
「外部委託先に対するシステム監査の課題について」
        報告者(会員No. 0115 藤原 康弘)

1 はじめに
  外部委託先のシステム監査について、最近起きた事件や、問題点等を考えながら、その課題について検討したい。なお、この発表は、私の個人的な見解である。

2 スルガ銀行・日本IBM裁判
  システム業務委託契約は、請負契約であるか、準委任契約であるか、契約が破綻し委託者と受託者との間で裁判となった場合に問題となることが多い。最近は、委託したプロジェクトの段階により異なるとされ、請負と準委任の混合契約あるいは新しい無名契約とされている。

  この裁判は、スルガ銀行が、要件定義段階でのプロジェクト失敗について、契約不履行と不法行為の責任を主張したものである。これに対し、裁判所は、日本IBMのプロジェクトマネジメント義務違反による不法行為責任を認めたものである。また、契約の段階により、受託者のプロジェクトマネジメント義務と、委託者の協力義務の双方の責任の違いを認めている。

続きを読む ⇒  外部委託先に対するシステム監査の課題について
          コンティンジェンシープランの策定とそれに対する監査

危険予知訓練「中部/北信越支部 JISTA中部支部 (合同セミナー)の報告

中部/北信越支部 JISTA中部支部 
【合同セミナー(危険予知訓練)】の報告
   報告者 会員番号 1711 澤田 裕也 

SAAJ中部/北信越支部、JISTA中部支部合同で実施しているセミナーも今年で3年目を迎えた。
主催は持ち回りで今年はJISTA中部支部である。
私はJISTA中部会員でもあり、セミナー事務局を務めさせていただいた。

合同セミナー(開催まで)
4月のJISTA例会で企業システム戦略研究会の青島弘幸さんに「危険予知訓練セミナー」の紹介をいただいた際に、合同セミナーのテーマとしてSAAJ、JISTA会員にぴったりと考え、講師を依頼した。
結果、快く講師を引き受けてくださったので、以下のセミナー趣旨で受講者を募集した。

『昨今の不確実性の高いITプロジェクトを成功裡に進める上で、早い段階からリスク・アセスメント(抽出・分析・評価)した上で、適切な事前・事後対策をとるべく、リスク・マネジメントが重要です。

しかし、先々を見通す危険予知能力が無ければ、効果的にリスクを抽出することが困難です。危険感度といっても良いでしょう。
当セミナーは、産業界で事故防止対策として実践されている危険予知訓練を、ITプロジェクトに応用し、失敗事例から擬似的に失敗経験を積むことで危険感度を高め、危険予知能力の獲得を目指すものです。』

続きを読む ⇒  中部/北信越支部 JISTA中部支部 【合同セミナー(危険予知訓練)】の報告