JSSA システム監査学会
  

第25回公開シンポジウム 要旨

(2012/10/31)


ホーム公開シンポジウム>第25回公開シンポジウム 要旨

情報化月間参加行事




講演・発表要旨一覧 
講演

 <講演2>
  「英米から学ぶ金融機関等の業務継続体制整備について」
公益財団法人金融情報システムセンター
監査安全部長  鈴田 信氏 
 東日本大震災の経験は、金融機関の業務継続体制のあり方について多くの教訓を残した。今回の経験より、多くの金融機関では、業務継続体制の実効性を確保することを目的に見直しの取組みが進められている。特に、業務継続体制整備にかかる費用対考課の適切なバランスを見出していくかは、営業地域や経営資源の厳しい制約に直面する地域金融機関においても、大手金融機関や主要決済システム運営主体に劣らず、重要なインフラとして、金融・決済機能を想定外事象に備えてどう維持していくかは、切実かつ緊要性の高い課題である。本内容では、地域金融機関における業務継続体制の実効性を確保する上で参考となる英米の取組みを紹介する。


 <講演4>
  「日立グループ 内部監査制度とシステム監査事例」
                    (株)日立製作所 情報システム事業部IT監査推進室(兼)
情報・通信システム社 監査室  針ヶ谷 進氏
 日立グループは連結約33万人、約950社、約40の事業体(カンパニー)から構成される企業グループである。
各カンパニーは約3年に1回、本社監査室による内部監査を受査すると共に、各カンパニーにも監査室を設置し傘下各社の基本業務監査を行なっている。
 この中で情報システム業務の監査も実施し、IT内部統制、情報セキュリティと併せてガバナンスの徹底、コンプライアンスの強化を目指しているので、その制度、体制、実施内容を紹介する。


研究発表

 <研究発表T-1>
  「大規模な個人情報漏洩の特性を考慮した事業継続対策について」
  "Business Continuity Measures for large scale Private Information Leakage"
情報セキュリティ大学院大学  鈴木宏幸氏、新原功一氏、小倉久宜氏、原田要之助氏
 システム監査学会の第26回研究大会で発表した「大規模な個人情報漏えいの特性を考慮した対策について」では、個人情報漏えい事故がべき乗分布にしたがうことから、とくに、大規模な個人情報漏えい事故発生後の影響を最小限にする事後対応策が必要となることを示した。
本論文では、まず、大規模な個人情報漏えい事故について定義付けを行う。次に、大規模な個人情報漏えい事故が起きたときの事後対応策の評価について、システム管理基準を事業継続マネジメントシステムの要求事項を適用して拡張する。最後に、事後対応策を検討評価する場合、システム監査が有効なツールと考えられるが、この監査における留意点を考察した。


 <研究発表T-2>
  「情報セキュリティ事故発生時における第三者認証機関の対応についての考察」
  "A Consideration on the response of trusted third parties in case of information security incident"
                    情報セキュリティ大学院大学  佐藤栄城氏、原田要之助氏
 プライバシーマークやISMS適合性評価等の第三者認証制度を取得・利用する組織は増加している一方で、認証機関の問題点も指摘されている。その一つとして、情報セキュリティ事故を引き起こした認証取得組織への対応が挙げられる。大規模なデータ消失事故などが発生した際に、認証機関が調査や認証取消等を視野に入れた再審査など、社会的責任を果たすための適切な措置を行うことができなければ、制度への信頼が揺らぎかねない。本論文では、情報セキュリティ事故発生時の認証機関の対応のあり方および認証制度の問題について考察を行う。


 <研究発表T-3>
  「個人情報の種別に着目したお詫び金についての考察」
  "A study on the compensation money for private information leakage to be focused on types of private information"
                情報セキュリティ大学院大学  菅原尚志氏、原田要之助氏
 企業や組織が個人情報を漏えいした場合に、その対応として漏えい被害者に対してお詫び金を支払う場合がある。このお詫び金は、損害賠償や慰謝料とは異なる。また、お詫び金を支払う時点では、被害者側の出方が予測できない。漏えい側は、お詫び金の支払いにより、訴訟等の事態に発展しないことを期待している。しかし、お詫び金の支払いに関する先行研究等はなく、企業や組織に支払いの方法・額などを委ねられているのが現状である。
本研究では、過去にお詫び金の支払われた事例を踏まえ、企業や組織側がお詫び金に対して、漏えいさせた情報の種類と、お詫び金の額に対してどのような相場感を持っているのかを、アンケートをもとに分析結果を示す。


 <研究発表U-1>
  「認証技術における信頼性向上のためのシステム監査手法の提案」
 
               岡山理科大学大学院  久山昌宏氏
 認証の多くは、IDとパスワードを用いた認証を行っている。パスワードは本人以外が知りえない情報であるため、本人認証として用いられているが、実際にはパスワードが本人以外の人が知りえることが可能である例がある。パスワードの本質から考えると、パスワードが本人以外の人が知りえる状態であってはならない。そこで、パスワードの安全性に焦点をあてながら信頼性について考察する。


  <研究発表U-2>
  「ITガバナンスから見たITマネジメントの監査モデルに関する一考察について」
  "A Consideration on selection of IT Audit criteria between IT Governing Body and IT Management."
公認会計士  清水惠子氏、三菱電機(株)  小倉博行氏、情報セキュリティ大学院大学  原田要之助氏
 IT Auditの監査の標準化が進んでいる。この標準化では、経営陣(Governing Body)がITマネジメントを監査する場合についてモデルの検討が行われている。モデルでは、経営陣の実施するEDMプロセスとITマネジメントのPDCAをクロスマッピングしたモデルを考察し、監査基準を決めることになる。発表では、このマッピングについての問題点とモデル化について考察する


▲このページのトップに戻る