内部統制に準拠したITガバナンスについてご紹介します。
★本ページの内容:
1. ITガバナンスとは
内部統制とは組織の業務の適正を確保するための体制を構築していくシステムを指す。すなわち、組織がその目的を有効・効率的かつ適正に達成するために、その組織の内部において適用されるルールや業務プロセスを整備し運用すること、ないしその結果確立されたシステムをいう。
出典:ウィキペディア。 代表的な手法は「J-SOX法や就業規則」です
そして、内部統制の一環として、IT部門へどのような役割・責任・権限が付与されているのかを明確化・文書化している規定集およびその運用プロセスがITガバナンスです。
ITガバナンスの重要性について
監査機能がある企業は、ステークホルダーに説明するために「情報システムにおける文書管理」を整理しています。監査機能を有していない企業でも、例えば新規に外部と取引する際、先方より「業務委託契約開始時のチェックシート」への回答を求められることは珍しいことではありません。この要請に対して「弊社のITに関するセキュリティにはまったく問題はありません」としっかりと答えるためにも、「情報システムにおける文書管理」の整備が非常に重要です。
2. ITガバナンスのドキュメント体系
まず、一般的な「規定類の体系図」をご参照ください。基本方針(ポリシー)、対策基準(スタンダード)、実施手順(プロシージャ)およびガイドラインに諸規定が分類され、ピラミッド構造になっています。それぞれの内容については、基本方針(ポリシー)は「なぜ」方針を定めるのか、対策基準(スタンダード)は方針に基づいて「なにを」するべきなのか、実施手順(プロシージャ)は対策基準を「どのように」実施するのかを記載しています。ガイドラインは主にポリシーなどを運用するために必要な「参考」になる文書です。
規定類の体系例
「情報システムにおける文書管理の概要」として規定類の体系に沿った文書の例を以下に示します。
情報システムにおける文書管理の概要(青色文字記載)
3. 各規定類の要点について
IT部責任管理規定の要点
目的:会社の業務プロセスのIT活用による標準化・最適化を実現すること
No. | 機能 | 役割 | 責任・権限 | パソコンがウイルス感染した対応の例 |
1 | 教育 | ・IT活用のレベルアップ ・ITリテラシー向上 | 指導 | 会社全体を脅威から守るためIT部門は ・ネットワークからパソコンを切り離す ・ユーザーへの指導はできるが、 注意警告は直属の上司の役割・責任となる |
2 | 統制 | ・管理監督 | 注意・警告 | 会社全体を脅威から守るためIT部門は ・ネットワークからパソコンを切り離す ・ユーザーへ注意・警告できる。 |
パソコンがウイルス感染した場合、このパソコンをてIT部にて代替パソコンを用意・提供することで業務の支障は最小限に抑えることで円滑な運用が可能となります。
★特記事項:国内企業のIT部門は「教育」機能のみ担うことが多いですが、欧米企業では「教育+統制」機能を担っているケースが多いです。また、欧米企業は統制機能についてユーザー向けに次のように説明しています。「レンタカーのユーザーは正常に動く自動車を借りる。ユーザーはレンタル契約および道路交通法を守る義務がある。違反が確認された場合、注意・警告を行う。使用停止もあり得る。同様に、ユーザーはIT部から正常に動作するパソコンを預かる。そしてユーザーは当該パソコンを適切に操作し、セキュリティーポリシーなどを遵守する義務がある。違反が確認された場合、注意・警告を行う。使用停止もあり得る!」。
IT部関連ポリシー・ガイドライン・ハンドブックの要点
No. | 文書名 | 内容・要点 |
0 | 情報管理基本規程 | 情報の管理及び取扱い等の原則を定める ことを目的とする |
1 | 情報セキュリティポリシー | 情報システムの安全な利用方法 |
2 | 電子化情報取扱基準 | データを分類(極秘、秘、社外秘)して、 扱いを定めること |
3 | アクセス管理基準 | アカウントの付与管理やアクセスログ管理 |
4 | 情報システム安全対策基準 | 物理的破壊や盗難から保護。 データセンター設置のサーバーにデータ保管 |
5 | ウィルス対策基準 | 社内ネットワークへの不正侵入、 情報漏洩破壊防止 |
6 | ネットワーク接続基準 | ライセンス不正利用防止(入手~廃棄) |
7 | ソフトウェアライセンス保護基準 | コンピュータウイルスの侵入、感染拡大防止 |
8 | 外部委託時の情報セキュリティ管理基準 | 情報セキュリティを守っている業者への 外部委託確認(秘密保持契約書) |
9 | インターネット公開サービス情報 セキュリティ対策基準 | 社外ホームページのようなインターネット サービスを公開するお約束 |
10 | 情報資産モニタリング基準 | 社員のPC操作の監視する |
11 | セキュリティハンドブック | 規定やポリシーの要点をまとめた資料 (社員必読) |
★参考:「情報管理基本規程、情報セキュリティポリシーやセキュリティハンドブック」の事例は上記の表の各”文書名”をクリックし、ダウンロードして、ご参照ください。 この事例は平時での一般的な内容は網羅されていますが、例えばコロナ禍におけるビジネス環境の変化に適用するには十分ではなく、「SNS利用ガイドライン」や「テレワーク利用ガイドライン」などの規定類の検討・整備・追加の必要があることをご認識ください。
★注意事項:「システム開発はアウトソーシング」している多数の国内企業向けに本ポリシー群を紹介しております。欧米企業のように、システム構築を内製にする場合、「情報システム構築基準」を作成・適用する必要があります。
また、貴社にて上記の「情報セキュリティポリシー」を作成して、経営層に承認を得たあと、社内に内容を周知徹底するために普及活動を実施する必要があります。この普及活動である社内教育については「こちら」をクリックしてご参照ください。
ワンポイントメッセージ:ITガバナンスとはIT部門へ付与されている役割と責任を文書化しているドキュメント集およびその運用プロセスのことであり、IT部門運用には必須です。
次項の”IT人材育成”については「こちら」をクリックしてご参照ください。