JSSA-システム監査学会-研究プロジェクト

2020年度（20204～2021.3）は9つの研究プロジェクトを設置します。
研究テーマは、新設の「情報セキュリティと教育研究プロジェクト」を除き、2019年度からの継続となり、11月6日開催の第34回研究大会で最終報告を行います。

2020年度研究プロジェクト
- 「情報セキュリティ」研究プロジェクト（継続）（主査：川辺良和）
  　　　（「情報セキュリティ専門監査人部会との合同プロジェクト実施中）
- 「情報セキュリティ対策の診断」研究プロジェクト（継続）
  　　　（主査：木村裕一）
- 「ITガバナンスと内部統制」研究プロジェクト（継続）
  　　　（主査：清水惠子）
- 「法とシステム監査」研究プロジェクト（継続）
  　　　（主査：稲垣隆一／副主査：黒澤兵夫）
- 「IT監査保証の判断基準」研究プロジェクト（継続）
  　　　（主査：松尾　明／副主査：成田和弘）
- 「BCP／BCMSと新システム監査制度」研究プロジェクト（継続）
  　　　（主査：黒澤兵夫）
- 「AIと個人情報～AIの諸問題と個人情報保護~」プロジェクト（継続）
  　　　（主査：稲垣隆一／副主査：黒澤兵夫）
  
  　　　（個人情報保護専門監査人部会との合同プロジェクト実施中）
- 「次世代のシステム監査」研究プロジェクト（継続）
  　　　（主査：荒牧裕一／副主査：浦上豊蔵）
  ※次世代のシステム監査研究プロジェクトの活動拠点は近畿地区になります。
- 「情報セキュリティと教育」研究プロジェクト（新規）（新規）
  　　　（主査：西澤利治）

　2019年度の各プロジェクトの研究成果（中間報告）を公開しています。
　　　2007年度～2019年度の研究成果はこちら

＜研究プロジェクト登録方法＞

　登録を希望される方は、「研究プロジェクトの登録」のページからお申し込みください。

（注）前年度から継続して参加するプロジェクトについても継続意思確認のため、再度登録をお願いします。

　
　　参加資格：会員（正会員/学生会員/賛助会員）のみ

◆2020年度研究プロジェクト一覧◆

（研究テーマは2019年度からの継続）

「情報セキュリティ」研究プロジェクト（継続）（主査：川辺良和） ※「情報セキュリティ専門監査人部会との合同プロジェクトを開催」
研究テーマと概要	■研究テーマと方針　中小組織を対象に、主としてマネジメントの側面に着目して情報セキュリティの諸問題を取り上げ、セキュリティの確立と強化のために有効な考え方や具体的実施策を提案し利用してもらうことを目標にしている。　今年度もテーマ選定からはじめて、関係する情報の収集と分析、担当課題を持ち寄っての意見交換、それを整理し展開する作業を全員で繰り返して行い、具体的研究成果にまとめ発表する予定である。　テーマとしては、最近の各種災害やDX等の状況を踏まえ、ＡＩとシステム監査、サイバーフィジカルセキュリティフレームワーク、バイタルBCP等の研究テーマが提出されていたが、この１月以降のコロナ感染リスク環境下、また、5月研究大会が延期になったことから、新たに募集するメンバーも加え2020年度に研究するテーマの選定から11月研究大会（中間発表）、2021年5月（まとめ）に向け取り組む予定である。
計画日程	■計画・今年度も情報セキュリティ専門監査人部会との合同研究として実施する。・新メンバーを加える中で、まず11月の研究大会（中間発表）を目指す。・オンライン、対面を含め状況に合わせ柔軟に設定・開催する。 ■日程：原則、月1回程度開催予定。（場合によりオンラインでの臨時打合せも取り入れる） ■場所：地下鉄東西線竹橋駅徒歩２分にある「ちよだプラットフォーム」会議室を予定。 ■計画・日程（案）・７月20日迄：メンバー募集、研究テーマ選定・８月：研究テーマ関連情報と意見（考え方等）の収集・９月：中間発表内容検討・10月：中間発表（案）のまとめ・11月：中間発表
2018年度の活動成果	2018年度は２名の新規メンバーを迎え、第６回の合同研究会を開催する中で、「ひとり情報シスとガバナンス」のテーマで研究活動を展開した。クラウド化の進展によって「ひとり情報シスの状況」はさらに増えると想定できる中で、実際に毎年ひとり情報シスが増えている状況を資料により確認し、アンケートを通して仮説を確認する中で中小企業や大企業のグループ企業における「ひとり情報シスや兼任IT要員についてのリスク認識、ガバナンスの重要性等を研究することができた。

▲このページのトップに戻る

「情報セキュリティ対策の診断」研究プロジェクト（継続）（主査：木村裕一）
研究テーマと概要	2019年度次のテーマを設定する。 ■テーマ　クラウドサービスの利用に関する監査 ■狙い・議論すること・クラウドサービスを利用している企業が、自社が確認できる範囲にて、クラウドサービスをどのような内容で監査し、また管理画面等において、具体的にどのように確認したらよいか、ISO27017や大手のサービスの管理画面等を例に、研究する。・ISO27017に基づくクラウドセキュリティ固有の理解・大手サービスにおける情報公開、確認可能な範囲の調査 ■目標とする成果・クラウドセキュリティ上の内部監査のポイント成果物を監査のツールとして活用する方法を検討する ■なおテーマについては、上記テーマ以外も取り上げて検討することがあり得る。
計画日程	日程：原則として毎月中旬1回の定例会　平日の18:30から、場所：会員企業の会議室の利用を予定　または公共の会議室　（山手線大崎駅5分）　他なお、詳細についてはご連絡をくださった方にお知らせします。
2018年度の活動成果	■成果（2019年6月研究大会にて報告）個人情報保護におけるグローバル化への対応に関する研究について、発表し検討資料を公表発表：「EU一般データ保護規則（GDPR）への対応」資料：EU一般データ保護規則（GDPR）対応研究　成果物集（2018年度　2つのテーマを予定したうち、テーマ2を研究した。）

▲このページのトップに戻る

「法とシステム監査」研究プロジェクト」（継続）（主査：稲垣隆一／副主査：黒澤兵夫）
研究テーマと概要	■概要　システム監査は、情報システムの企画、開発、運用、保守に関する現実的な課題の予防、解決に、いかに役立つのか？　レピュテーションリスク、クラウドコンピューティング、ソーシャルネットワーク、ビッグデータの取扱い、マイナンバー制度、IoT/IoEシステム、サイバーアタックなど現下の課題、判決例に表れた紛争事例を素材に検討し、その成果を生み出すシステム監査の技法の開発、管理基準の改訂の提案などに結びつける。 ■研究テーマと概要　事例として「レピュテーションリスクマネジメントと情報漏洩」を研究課題として、判例などをベースにシステム監査の観点から調査・研究する。　並行して次の事項も研究する。 ①クラウドコンピューティング、ソーシャルネットワーク、ビッグデータの取扱い、マイナンバーシステム、IoT/IoEシステム、サイバーアタックなど、新しいシステム技術に係る法的課題の洗い出しと、これらに対するシステム監査の寄与。 ②システム開発プロセスのコンプライアンス監査システム開発紛争を未然に防止し、円滑なシステム開発を支援することを目的とするシステム監査の尺度と技法を検討する。　具体的には、システム開発に関する裁判例や参加者の経験を素材に、システム開発企画、要件定義、仕様決定、契約、開発工程、外部委託、情報漏洩対策、クラウド利用、システム統合、個人情報保護法、不正競争防止法、下請法、派遣業法、金融検査マニュアルなど外部規範への適合などを検討し、システム開発態勢におけるシステム監査の位置づけ、紛争の未然防止を監査目的とするシステム監査の尺度、監査技法を研究して、システム開発紛争を防止し、円滑なシステム開発を支援するためにシステム監査が果たし得る機能を明らかにする。
計画日程	頻度：原則として1回/2～3か月の定例会。平日午後18:30から開催。場所：稲垣弁護士事務所
2018年度の活動成果	アジャイル開発について、手法、契約、監査について判例を基に新システム監査について調査・研究を行った。・アジャイル開発について（アジャイル宣言等）・アジャイル開発の実例（雑誌記事等の紹介）・アジャイル開発の契約（論文紹介等）・監査について（システム管理基準および外国のガイドラインの紹介）

▲このページのトップに戻る

「ITガバナンスと内部統制」研究プロジェクト（継続）（主査：清水惠子）
研究テーマと概要	■研究テーマ ITガバナンスと内部統制をテーマに、ITをどのように企業の戦略目標とクラウドなどの新技術の利用とそのITの信頼性確保をどのようにすべきか昨年度に引き続き、課題について企業としての対応策を考えて、来年６月の研究大会で発表する。　ITを利用したガバナンスの在り方を検討する。異なる利害関係者の要請の統合に果たすべき、経営層の役割とIT部門の役割について検討していきたい。
計画日程	・隔月1～2回を予定（平日の18:30から、2時間程度、場所は未定　会議室提供できる方歓迎です。）・ITガバナンスと内部統制について研究し、その成果を研究論文として公表する。
2018年度の活動成果	システム管理基準のITガバナンス、NISCの基準と管理基準の比較を実施した。

▲このページのトップに戻る

「IT監査保証の判断基準」研究プロジェクト（継続）（主査：松尾　明／副主査：成田和弘）
研究テーマと概要	ドラッカーの『テクノロジストの条件』を基本書として用い、以下を主要テーマにテクノロジーモニタリングの研究と実践を行い、その成果を発表する。国内外のICT技術およびその標準、基準、規制、政策などの動向 ICT活用の背景となるコンピュータサイエンス、経営学、心理学、社会学等の動向研究プロジェクトメンバーの業種にかかるビジネスとシステムの最新動向 ICTおよびITサービスの品質管理、テスト、評価、監査に関する動向必要に応じてグローバルな基準・標準に関連する翻訳、既存のフレームワーク等の課題抽出および提言等を行う。
計画日程	a）公開情報検索や論文・書籍の研究等によるテクノロジーモニタリングの実践 b）研究プロジェクトメンバーの業種にかかるビジネスとシステムの最新動向の研究 c) サイバーセキュリティ、クラウド、システムズエンジニアリング、監査、評価手法、ツール等にかかるグローバルな基準・標準の動向調査、翻訳等（e.g. ISO、NIST、FedRAMP、AICPA、PCAOB、IIA、ISACA、ITGI、OpenGroup、CSA、PMI、AXELOS（ITIL/PRINCE2/MSP etc.） d) 「GOVERNANCE OF THE EXTENDED ENTERPRISE」の翻訳 e) 上記研究成果の定例研究会等での発表および学会誌等への投稿多くの会員の方々の参加をお待ちしています。全体のプロジェクトの会議は、原則　第2金曜日の19時からZoomオンライン会議で行います。（開催日は学会イベントやメンバーの都合に応じて適宜調整します。）また、随時Cybozu Garoonを利用した研究プロジェクトメンバー同士の情報交換や意見交換を行っています。
2019年度の活動成果	・2020年度第34回研究大会での発表（2020/11/6）・2019年度研究成果の学会誌投稿（予定）

▲このページのトップに戻る

「BCMSと新システム監査制度」研究プロジェクト（継続）（主査：黒澤　兵夫）
研究テーマと概要	新システム監査制度（新監査基準および新管理基準）の発行に伴い、システム監査、監査制度を普及と啓蒙につとめる。また、新しい技術IoT、AI、ビッグデータ等への適合性を調査・研究する。　研究項目は、次のとおり。 ①ITガバナンス ②ITマネジメント ③助言型システム監査、保証型システム監査および診断型システム監査 ④ISO/JIS規格等との適合性の調査、検討 ⑤新技術IoT、AI、ビッグデータ等への適合性の調査・研究　上記の事項を調査、研究、試行、実践するために社会システム（BCMS、SCMS等）への適合性（ITガバナンス、ITマネジメント等）を検討する。
計画日程	１回/１～2か月程度。
2018年度の活動成果	・新システム監査制度（新監査基準および新管理基準）の発行に伴い、システム監査、監査制度を普及と啓蒙につとめる。　また、新しい技術 IoT、AI、ビッグデータ等への適合性を調査・研究する。・上記の結果をBCP/BCMS関連の監査へ適用を図っていく予定。・中小企業向けシステム監査制度および自己診断システムを調査・研究する。

▲このページのトップに戻る

「AIと個人情報～AIの諸問題と個人情報保護~」研究プロジェクト（新規）（主査：稲垣隆一／副主査：黒澤兵夫）
研究テーマと概要	次の課題について、国内外の文献および判例を調査・研究する。 ① AIシステムとシステム監査～新技術・先端技術（ディープラーニング等）への適用～ ② AIのベースとなるBIG-DATAとシステム監査 ③ 新システム監査制度のオプション？の必要性（AI、IoT） ④ AIによるAIのシステム監査の可能性と実現性 ⑤ AIの助言型、自己監査型および保証型監査制度とは　　等
計画日程	頻度：原則として1回/2～3か月の定例会。平日午後18:30から開催。場所：稲垣弁護士事務所

▲このページのトップに戻る

「次世代のシステム監査」研究プロジェクト（新規）（主査：荒牧裕一／副主査：浦上　豊蔵）
研究テーマと概要	情報システムの基盤に関わる新たな技術の登場・普及と、新たな制度の導入に伴い、システム監査の位置付けや監査の方法についても新たな視点が求められるようになっている。　これらの研究を多面的に行い、次世代のシステム監査のあり方について意見交換し、その成果を学会誌等で発表していく。（予定されるテーマ）・ビッグデータ、IoT、ブロックチェーン、AI、RPA等の新技術・個人情報や知的財産権等に関する新制度・ITガバナンス等の被監査企業の組織のあり方
計画日程	日程：原則として毎月1回の定例会平日の18:30から、場所：大阪市立大学文化交流センター（大阪駅前第２ビル6階）

▲このページのトップに戻る

「情報セキュリティと教育」研究プロジェクト（新規）（主査：西澤利治）
研究テーマと概要	■テーマ情報セキュリティ人材と教育手法の研究 ■ねらい本プロジェクトでは、若年層を対象とした情報セキュリティ人材育成をテーマに、実践的な対応力を育成するための情報セキュリティ人材スキルモデルの構築と教育技法を実証研究する。 ■開催概要：原則として毎月1回２時間程度のオンライン定例会開催（ZOOM）子ども向けの調査（トライアウト）を実施予定
計画日程	■開催日程： 7月後半オリエンテーションプロジェクトの目的、スケジュールと体制の説明、研究計画検討 8月～　情報セキュリティ人材スキルモデル設計、子どもに対する調査項目設計 10月～　トライアウト実施と結果分析、中間報告準備 11月研究大会活動報告中間発表 12月～若年情報セキュリティ人材スキルモデルまとめ 6月研究大会活動報告成果発表
2020年度の活動目標	■目標とする成果・若年層を対象とした情報セキュリティ人材スキルモデルの構築、実証と評価 ■アウトプット・2020年11月研究大会の中間発表・2021年６月研究大会の成果発表

2019年度以前の研究成果はこちら

「情報セキュリティ」研究プロジェクト（継続）（主査：川辺良和） ※「情報セキュリティ専門監査人部会との合同プロジェクトを開催」
研究テーマと概要	■研究テーマと方針　中小組織を対象に、主としてマネジメントの側面に着目して情報セキュリティの諸問題を取り上げ、セキュリティの確立と強化のために有効な考え方や具体的実施策を提案し利用してもらうことを目標にしている。　今年度もテーマ選定からはじめて、関係する情報の収集と分析、担当課題を持ち寄っての意見交換、それを整理し展開する作業を全員で繰り返して行い、具体的研究成果にまとめ発表する予定である。　テーマとしては、最近の各種災害やDX等の状況を踏まえ、ＡＩとシステム監査、サイバーフィジカルセキュリティフレームワーク、バイタルBCP等の研究テーマが提出されていたが、この１月以降のコロナ感染リスク環境下、また、5月研究大会が延期になったことから、新たに募集するメンバーも加え2020年度に研究するテーマの選定から11月研究大会（中間発表）、2021年5月（まとめ）に向け取り組む予定である。
計画日程	■計画・今年度も情報セキュリティ専門監査人部会との合同研究として実施する。・新メンバーを加える中で、まず11月の研究大会（中間発表）を目指す。・オンライン、対面を含め状況に合わせ柔軟に設定・開催する。 ■日程：原則、月1回程度開催予定。（場合によりオンラインでの臨時打合せも取り入れる） ■場所：地下鉄東西線竹橋駅徒歩２分にある「ちよだプラットフォーム」会議室を予定。 ■計画・日程（案）・７月20日迄：メンバー募集、研究テーマ選定・８月：研究テーマ関連情報と意見（考え方等）の収集・９月：中間発表内容検討・10月：中間発表（案）のまとめ・11月：中間発表
2018年度の活動成果	2018年度は２名の新規メンバーを迎え、第６回の合同研究会を開催する中で、「ひとり情報シスとガバナンス」のテーマで研究活動を展開した。クラウド化の進展によって「ひとり情報シスの状況」はさらに増えると想定できる中で、実際に毎年ひとり情報シスが増えている状況を資料により確認し、アンケートを通して仮説を確認する中で中小企業や大企業のグループ企業における「ひとり情報シスや兼任IT要員についてのリスク認識、ガバナンスの重要性等を研究することができた。

「情報セキュリティ対策の診断」研究プロジェクト（継続）（主査：木村裕一）
研究テーマと概要	2019年度次のテーマを設定する。 ■テーマ　クラウドサービスの利用に関する監査 ■狙い・議論すること・クラウドサービスを利用している企業が、自社が確認できる範囲にて、クラウドサービスをどのような内容で監査し、また管理画面等において、具体的にどのように確認したらよいか、ISO27017や大手のサービスの管理画面等を例に、研究する。・ISO27017に基づくクラウドセキュリティ固有の理解・大手サービスにおける情報公開、確認可能な範囲の調査 ■目標とする成果・クラウドセキュリティ上の内部監査のポイント成果物を監査のツールとして活用する方法を検討する ■なおテーマについては、上記テーマ以外も取り上げて検討することがあり得る。
計画日程	日程：原則として毎月中旬1回の定例会　平日の18:30から、場所：会員企業の会議室の利用を予定　または公共の会議室　（山手線大崎駅5分）　他なお、詳細についてはご連絡をくださった方にお知らせします。
2018年度の活動成果	■成果（2019年6月研究大会にて報告）個人情報保護におけるグローバル化への対応に関する研究について、発表し検討資料を公表発表：「EU一般データ保護規則（GDPR）への対応」資料：EU一般データ保護規則（GDPR）対応研究　成果物集（2018年度　2つのテーマを予定したうち、テーマ2を研究した。）

「法とシステム監査」研究プロジェクト」（継続）（主査：稲垣隆一／副主査：黒澤兵夫）
研究テーマと概要	■概要　システム監査は、情報システムの企画、開発、運用、保守に関する現実的な課題の予防、解決に、いかに役立つのか？　レピュテーションリスク、クラウドコンピューティング、ソーシャルネットワーク、ビッグデータの取扱い、マイナンバー制度、IoT/IoEシステム、サイバーアタックなど現下の課題、判決例に表れた紛争事例を素材に検討し、その成果を生み出すシステム監査の技法の開発、管理基準の改訂の提案などに結びつける。 ■研究テーマと概要　事例として「レピュテーションリスクマネジメントと情報漏洩」を研究課題として、判例などをベースにシステム監査の観点から調査・研究する。　並行して次の事項も研究する。 ①クラウドコンピューティング、ソーシャルネットワーク、ビッグデータの取扱い、マイナンバーシステム、IoT/IoEシステム、サイバーアタックなど、新しいシステム技術に係る法的課題の洗い出しと、これらに対するシステム監査の寄与。 ②システム開発プロセスのコンプライアンス監査システム開発紛争を未然に防止し、円滑なシステム開発を支援することを目的とするシステム監査の尺度と技法を検討する。　具体的には、システム開発に関する裁判例や参加者の経験を素材に、システム開発企画、要件定義、仕様決定、契約、開発工程、外部委託、情報漏洩対策、クラウド利用、システム統合、個人情報保護法、不正競争防止法、下請法、派遣業法、金融検査マニュアルなど外部規範への適合などを検討し、システム開発態勢におけるシステム監査の位置づけ、紛争の未然防止を監査目的とするシステム監査の尺度、監査技法を研究して、システム開発紛争を防止し、円滑なシステム開発を支援するためにシステム監査が果たし得る機能を明らかにする。
計画日程	頻度：原則として1回/2～3か月の定例会。平日午後18:30から開催。場所：稲垣弁護士事務所
2018年度の活動成果	アジャイル開発について、手法、契約、監査について判例を基に新システム監査について調査・研究を行った。・アジャイル開発について（アジャイル宣言等）・アジャイル開発の実例（雑誌記事等の紹介）・アジャイル開発の契約（論文紹介等）・監査について（システム管理基準および外国のガイドラインの紹介）

「IT監査保証の判断基準」研究プロジェクト（継続）（主査：松尾　明／副主査：成田和弘）
研究テーマと概要	ドラッカーの『テクノロジストの条件』を基本書として用い、以下を主要テーマにテクノロジーモニタリングの研究と実践を行い、その成果を発表する。国内外のICT技術およびその標準、基準、規制、政策などの動向 ICT活用の背景となるコンピュータサイエンス、経営学、心理学、社会学等の動向研究プロジェクトメンバーの業種にかかるビジネスとシステムの最新動向 ICTおよびITサービスの品質管理、テスト、評価、監査に関する動向必要に応じてグローバルな基準・標準に関連する翻訳、既存のフレームワーク等の課題抽出および提言等を行う。
計画日程	a）公開情報検索や論文・書籍の研究等によるテクノロジーモニタリングの実践 b）研究プロジェクトメンバーの業種にかかるビジネスとシステムの最新動向の研究 c) サイバーセキュリティ、クラウド、システムズエンジニアリング、監査、評価手法、ツール等にかかるグローバルな基準・標準の動向調査、翻訳等（e.g. ISO、NIST、FedRAMP、AICPA、PCAOB、IIA、ISACA、ITGI、OpenGroup、CSA、PMI、AXELOS（ITIL/PRINCE2/MSP etc.） d) 「GOVERNANCE OF THE EXTENDED ENTERPRISE」の翻訳 e) 上記研究成果の定例研究会等での発表および学会誌等への投稿多くの会員の方々の参加をお待ちしています。全体のプロジェクトの会議は、原則　第2金曜日の19時からZoomオンライン会議で行います。（開催日は学会イベントやメンバーの都合に応じて適宜調整します。）また、随時Cybozu Garoonを利用した研究プロジェクトメンバー同士の情報交換や意見交換を行っています。
2019年度の活動成果	・2020年度第34回研究大会での発表（2020/11/6）・2019年度研究成果の学会誌投稿（予定）

「BCMSと新システム監査制度」研究プロジェクト（継続）（主査：黒澤　兵夫）
研究テーマと概要	新システム監査制度（新監査基準および新管理基準）の発行に伴い、システム監査、監査制度を普及と啓蒙につとめる。また、新しい技術IoT、AI、ビッグデータ等への適合性を調査・研究する。　研究項目は、次のとおり。 ①ITガバナンス ②ITマネジメント ③助言型システム監査、保証型システム監査および診断型システム監査 ④ISO/JIS規格等との適合性の調査、検討 ⑤新技術IoT、AI、ビッグデータ等への適合性の調査・研究　上記の事項を調査、研究、試行、実践するために社会システム（BCMS、SCMS等）への適合性（ITガバナンス、ITマネジメント等）を検討する。
計画日程	１回/１～2か月程度。
2018年度の活動成果	・新システム監査制度（新監査基準および新管理基準）の発行に伴い、システム監査、監査制度を普及と啓蒙につとめる。　また、新しい技術 IoT、AI、ビッグデータ等への適合性を調査・研究する。・上記の結果をBCP/BCMS関連の監査へ適用を図っていく予定。・中小企業向けシステム監査制度および自己診断システムを調査・研究する。