SAAJ会報2015年1月号(第166号)を発行しました。

SAAJ会報2015年1月号(第166号)を発行しました。

SAAJでは『6ヶ月で構築する個人情報保護マネジメントシステム実施ハンドブック』
を刊行いたしました。プライバシーマークに関わる実務者必見です!!
会員の皆様は、特別頒布の案内をご利用ください。
pmsbook

2015年1月号(第166号)の全文は、
  2015年1月号(第166号)
からご覧いただけます。

2015年1月号(第166号)の目次と巻頭言は、
  2015年1月号(第166号)目次

  2015年1月号(第166号)巻頭言
からご覧いただけます。

■ ■ 巻頭言 
201501top

ASEAN情報セキュリティ研修 参加報告

(CSA活動報告) ASEAN情報セキュリティ研修 参加報告
          報告者 会員番号 0898 竹下 和孝

 システム監査が目的とする情報システム活用による経営効率への貢献やビジネスパフォーマンスへの寄与は、セキュリティ対策を計画するうえでも役立つと考えています。情報セキュリティ監査だけでは、どうしても業績向上や経営品質向上への貢献、セキュリティ活動の有効性が表現しにくいため、活動予算の確保や経営者の理解を得ることが難しい場面があるからです。

 そこで、課題分析や問題解決への視点が経営への貢献に直結するように、情報システムと情報セキュリティ確保の効率性や有効性評価の観点からモニタリングやコントロールを組み立て、情報セキュリティ活動への取り組みを強化するよう、もっと経営者の意思決定を支援してはいかがでしょうか。そのようなシナリオで研修企画した内容が、参加者からも評価いただいたようなので紹介します。

 急激に増加する情報セキュリティ被害に悩むASEAN諸国から、セキュリティ対策の実践力を高めるための研修ができないかとの要請があり、経済産業省の委託事業である「貿易投資促進事業(制度・事業環境整備)」として研修実施することになりました。この研修での私の役割は、研修期間5日のうち初日から4日目まで。情報セキュリティ対策の組織作りを目的とする集中トレーニングのカリキュラムを企画し、教材作成と講師を担当するというものです。

 1.セキュリティ研修の背景と目的
 2.研修の進め方
 3.ISMS(ISO/IEC27001:2013)に関する研修内容
 4.余談と油断

 続きを読む ⇒ 【 ASEAN情報セキュリティ研修 参加報告 】

情報システム部門のためのシステム監査、情報システム部門と共に、情報システム部門の為に

新年のめだか投稿を紹介します。

1.【 情報システム部門のためのシステム監査 】(空心菜)
2.【 情報システム部門と共に、情報システム部門の為に 】(やじろべえ)

1.【 情報システム部門のためのシステム監査 】(空心菜)

2015年(平成27年)の干支は「乙未」(きのとひつじ)である。十二支(じゅうにし)は、子・丑・寅・卯・辰・巳・午・未・申・酉・戌・亥の12種類からなっていて「未」は8番目である。十干(じっかん)は、甲・乙・丙・丁・戊・己・庚・辛・壬・癸である。干支(かんし、えと)は、十干と十二支を掛けた120通りではなく、十干と十二支を順列にならべていき最小公倍数の60通りとなる。
「乙未」は干支の組み合わせの32番目で、前は「甲午」、「乙未」、次は「丙申」である。60年に一度、同じ干支が回ってくる。還暦である。ちなみに前回の「乙未」は、1955年、日本の高度経済成長の開始(1955年~1957年の神武景気から)の年であった。
続きを読む ⇒【情報システム部門のためのシステム監査】

2.【 情報システム部門と共に、情報システム部門の為に 】(やじろべえ)

私が以前勤務していた銀行では、「店部と共にある監査」「店部の為にある監査」という言葉を、内部監査部門の行動指針としていた。営業店や本部の抱えている問題点を見つけて、その対応策をいっしょになって考え、内部監査部門の立場からアドバイスをする。それが、内部監査部門のミッションであるとの考え方である。

その例に倣うなら、システム監査人は、監査対象部門である情報システム部門に対して、「情報システム部門と共にあるシステム監査」「情報システム部門の為にあるシステム監査」を目指して、監査を行っていく必要がある。

続きを読む ⇒【情報システム部門と共に、情報システム部門の為に】

(投稿)情報システム部門のためのシステム監査

(投稿)情報システム部門のためのシステム監査
      会員番号 0557 仲 厚吉 (会長)

年頭に当たって、ひとこと、ご挨拶を申し上げます。

当協会では、2008年2月18日の創立20周年記念講演会で
「システム監査のこれからの10年に向けた提言と当協会の今後の取組み」について発表を行っています。

システム監査活性化委員会では、
「システム監査のこれからの10年に向けた提言と当協会の今後の取組み」を見直し、残る期間に取り組むべき協会活動の方向性を確認しました。

その中で情報システムの有効性の監査がテーマのひとつとしてとりあげられています。

情報システム部門のため、情報システム構築プロジェクトが失敗なく、
また情報システムが有効であるようシステム監査あるいは
システム管理のポイントを研究していくことは有意義であると考えています。

続きを読む ⇒【情報システム部門のためのシステム監査】

マイナンバーと民間サービスとの連携を目指して

第197回 月例研究会 (2014年11月19日開催)報告
   会員番号0056 藤野明夫(情報セキュリティ監査研究会主査)

【講演テーマ】 「マイナンバーと民間サービスとの連携を目指して」
【講師】経済産業省 CIO補佐官 満塩 尚史 氏
【日時】 2014年11月19日(水曜日)18:30~20:30
【場所】 機械振興会館 地下2階ホール

【講演骨子】 
平成28年度からマイナンバー制度と呼ばれる社会保障・税番号法(「行政手続きにおける特定の個人を識別するための番号の利用等に関する法律」)が利用開始される。

このマイナンバー制度では、個人に付与される個人番号(マイナンバー)は、法律で定められた業務以外での利用や他人に提供することはできない。

一方、民間サービスにおいても、
マイナンバー制度を利活用したいという意見もある。

前記の通り、個人番号そのものは、利用することはできないが、
個人番号を使わないで、ID連携トラストフレームワークを活用し、
民間サービスとマイナンバー制度を連携させ、利活用できる可能性がある。

また、社会保障・税番号制度では、個人に個人番号を付与するだけでなく、法人や行政機関に法人番号を付与し、インターネット経由で法人番号、法人名、本社所在地が提供される。

ここでは、マイナンバー制度の概要と、
マイナンバーを民間サービスで利活用する仕組みとしての
ID連携トラストフレームワークをご紹介します。

続きを読む ⇒【マイナンバーと民間サービスとの連携を目指して】

第25回CSAフォーラム開催【システム監査法制化・制度化に向けて】

第25回CSAフォーラム開催【システム監査法制化・制度化に向けて】
報告者 会員番号 6005 斉藤 茂雄 (CSA利用推進G)

 今回のフォーラムは
SAAJ近畿支部から田淵隆明様を講師としてお招きして、
理事会テーマである法制化検討PJの会合を兼ね開催しました。

 ご承知のように近畿支部では
早くからシステム監査法制化研究会を組織し、研究を進めております。

 今回関東地区では初めての成果報告となりましたが、
情報システムが社会の重要インフラとして浸透している中で、
情報システムによる事故やトラブルを未然防止するための
システム監査法制化の必要性について、具体的でわかりやすいお話をいただきました。

 参加者からは、法制化実現には課題も多く、
業界によっても温度差があることから、
業界毎のフレームワークやアプローチが必要、
日本内部監査協会、日本ITガバナンス協会など他団体とも連携して進めていくことが望ましい、
などといった建設的な意見が多く出され、大変有意義な2時間でした。

続きを読む ⇒【システム監査法制化・制度化に向けて】

6か月で構築する【個人情報保護マネジメントシステム実施ハンドブック】刊行

6か月で構築する【個人情報保護マネジメントシステム実施ハンドブック】刊行

pmsbook
「個人情報保護マネジメントシステム実施ハンドブック」
  がついに、本になりました!

価格:2700円(+消費税) A5版 188ページ
 ご購入は、アマゾンから、または以下のサイトから!!
http://www.e-hon.ne.jp/bec/SA/Detail?refBook=978-4-495-20121-0&Rec_id=1010

お得な購入は、⇒6か月で構築する【個人情報保護マネジメントシステム実施ハンドブック】特別頒布

「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」その5

~「経済産業省ガイドライン」の読みこなしポイント~ 
「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」その5
    

2-2-3.個人データの管理(法第19条~第22条関連)

2-2-3.個人データの管理(法第19条~第22条関連)
2-2-3-3.従業者の監督(法第21条関連)

法第21条
個人情報取扱事業者は、その従業者に個人データを取り扱わせるに当たっては、当該個人データの安全管理が図られるよう、当該従業者に対する必要かつ適切な監督を行わなければならない。

安全管理措置を遵守させるよう、従業者を監督する際は事業の性質及び個人データの取扱状況等に起因するリスクに応じ、必要かつ適切な措置を講じることが必要です。

2-2-3-4.委託先の監督(法第22条関連)

法第22条
個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを
委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督
を行わなければならない。

事業者が、個人データの取扱いを委託する場合、委託する業務内容に対して必要のない個人データを提
供しないようにすることは当然のこととして、事業の性質及び個人データの取扱状況等に起因するリスクに応じ
た、必要かつ適切な措置を講じることが必要です。

続きを読む ⇒「経済産業省ガイドライン」の読みこなしポイント その5

「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」
 http://www.meti.go.jp/policy/it_policy/privacy/kaisei-guideline.pdf 

近畿支部報告 【 西日本支部合同研究会 in OSAKA 報告 】

近畿支部報告 【 西日本支部合同研究会 in OSAKA 報告 】
                  報告者 会員番号 1709 荒町 弘

近畿支部が事務局となり、
「西日本支部合同研究会 in OSAKA」を開催しました。

・テーマ:「ICTによる災害に強いしなやかな社会の実現と
       システム監査の重要性」
・日時:2014年11月29日(土) ~ 11月30日(日)
・場所:国際カンファレンスプラザ A-3会議室(大阪市)
・主催:特定非営利活動法人日本システム監査人協会
    北信越支部,中部支部,近畿支部,中四国支部,九州支部
・後援:経済産業省近畿経済産業局,ISACA大阪支部,
    日本ITストラテジスト協会、
    特定非営利活動法人 ITコーディネータ協会,
    システム監査学会
・次第:
  「大震災が情報システムに訴えていること」
      日本システム監査人協会 副会長 中山 孝明様

  「クラウドソーシングによる災害対策」
      近畿支部 吉田 博一様(前 近畿支部長)

  「金融機関における
   コンティンジェンシープラン策定整備とそのシステム監査」
      北信越支部 支部長 宮本 茂明様

  「グローバル展開している
    自動車部品製造業者の国際間BCP事例紹介」
      中部支部 原 善一郎様(元 中部支部長)

  「事業中断計画とシステム監査」
      九州支部 副支部長 舩津 宏様

  「近畿支部BCP研究プロジェクト活動報告」
      近畿支部BCP研究プロジェクト 金子 力造様

続きを読む ⇒「西日本支部合同研究会 in OSAKA」報告

研究会活動報告【「西日本支部合同研究会 in OSAKA」報告】

研究会活動報告【「西日本支部合同研究会 in OSAKA」報告】

合同研究会終了後、
会場の国際カンファレンスプラザからすぐ近くの店に場を移し、
情報交換を兼ねて懇親会を開催しました。
本部、各支部からのご出席者も参加いただいて総勢26名となり、
盛況の内に終了しました。

研究会2日目は大阪府の運営する施設、
大阪府「津波・高潮ステーション」
の見学を12名の参加を得て行いました。

◇情報交換会 報告者 会員番号 0645 是松 徹 (近畿支部)
◇施設見学(2日目) 報告者 会員番号 1709 荒町 弘 (近畿支部)
◇西日本支部合同研究会を振り返って 報告者 会員番号 1709 荒町 弘 (近畿支部)

続きを読む ⇒「西日本支部合同研究会 in OSAKA」報告