内部統制に準拠したITガバナンスについてご紹介します。

★本ページの内容:

  1. ITガバナンスとは
  2. ITガバナンスのドキュメント体系
  3. 体制各規定類の要点について

1. ITガバナンスとは

 内部統制とは組織の業務の適正を確保するための体制を構築していくシステムを指す。すなわち、組織がその目的を有効・効率的かつ適正に達成するために、その組織の内部において適用されるルールや業務プロセスを整備し運用すること、ないしその結果確立されたシステムをいう。
出典:ウィキペディア。 代表的な手法は「J-SOX法や就業規則」です

 そして、内部統制の一環として、IT部門へどのような役割・責任・権限が付与されているのかを明確化・文書化している規定集およびその運用プロセスがITガバナンスです。

ITガバナンスの重要性について

  監査機能がある企業は、ステークホルダーに説明するために「情報システムにおける文書管理」を整理しています。監査機能を有していない企業でも、例えば新規に外部と取引する際、先方より「業務委託契約開始時のチェックシート」への回答を求められることは珍しいことではありません。この要請に対して「弊社のITに関するセキュリティにはまったく問題はありません」としっかりと答えるためにも、「情報システムにおける文書管理」の整備が非常に重要です。

2. ITガバナンスのドキュメント体系

 まず、一般的な「規定類の体系図」をご参照ください。基本方針(ポリシー)、対策基準(スタンダード)、実施手順(プロシージャ)およびガイドラインに諸規定が分類され、ピラミッド構造になっています。それぞれの内容については、基本方針(ポリシー)は「なぜ」方針を定めるのか、対策基準(スタンダード)は方針に基づいて「なにを」するべきなのか、実施手順(プロシージャ)は対策基準を「どのように」実施するのかを記載しています。ガイドラインは主にポリシーなどを運用するために必要な「参考」になる文書です。

規定類の体系例

 「情報システムにおける文書管理の概要」として規定類の体系に沿った文書の例を以下に示します。

情報システムにおける文書管理の概要(青色文字記載) 

3. 各規定類の要点について

IT部責任管理規定の要点

 目的:会社の業務プロセスのIT活用による標準化・最適化を実現すること

No.機能役割責任・権限パソコンがウイルス感染した対応の例
1教育・IT活用のレベルアップ
・ITリテラシー向上
指導会社全体を脅威から守るためIT部門は
・ネットワークからパソコンを切り離す
・ユーザーへの指導はできるが、
 注意警告は直属の上司の役割・責任となる
2統制・管理監督注意・警告 会社全体を脅威から守るためIT部門は
・ネットワークからパソコンを切り離す
・ユーザーへ注意・警告できる。

 パソコンがウイルス感染した場合、このパソコンをてIT部にて代替パソコンを用意・提供することで業務の支障は最小限に抑えることで円滑な運用が可能となります。

★特記事項:国内企業のIT部門は「教育」機能のみ担うことが多いですが、欧米企業では「教育+統制」機能を担っているケースが多いです。また、欧米企業は統制機能についてユーザー向けに次のように説明しています。「レンタカーのユーザーは正常に動く自動車を借りる。ユーザーはレンタル契約および道路交通法を守る義務がある。違反が確認された場合、注意・警告を行う。使用停止もあり得る。同様に、ユーザーはIT部から正常に動作するパソコンを預かる。そしてユーザーは当該パソコンを適切に操作し、セキュリティーポリシーなどを遵守する義務がある。違反が確認された場合、注意・警告を行う。使用停止もあり得る!」。

IT部関連ポリシー・ガイドライン・ハンドブックの要点

No.文書名内容・要点
0情報管理基本規程情報の管理及び取扱い等の原則を定める
ことを目的とする
1 情報セキュリティポリシー 情報システムの安全な利用方法
2電子化情報取扱基準データを分類(極秘、秘、社外秘)して、
扱いを定めること
3アクセス管理基準アカウントの付与管理やアクセスログ管理
4情報システム安全対策基準物理的破壊や盗難から保護。
データセンター設置のサーバーにデータ保管
5ウィルス対策基準社内ネットワークへの不正侵入、
情報漏洩破壊防止
6ネットワーク接続基準ライセンス不正利用防止(入手~廃棄)
7ソフトウェアライセンス保護基準コンピュータウイルスの侵入、感染拡大防止
8外部委託時の情報セキュリティ管理基準情報セキュリティを守っている業者への
外部委託確認(秘密保持契約書)
9インターネット公開サービス情報
セキュリティ対策基準
社外ホームページのようなインターネット
サービスを公開するお約束
10情報資産モニタリング基準社員のPC操作の監視する
11セキュリティハンドブック規定やポリシーの要点をまとめた資料
(社員必読)

★参考:「情報管理基本規程、情報セキュリティポリシーやセキュリティハンドブック」の事例は上記の表の各”文書名”をクリックし、ダウンロードして、ご参照ください。 この事例は平時での一般的な内容は網羅されていますが、例えばコロナ禍におけるビジネス環境の変化に適用するには十分ではなく、「SNS利用ガイドライン」や「テレワーク利用ガイドライン」などの規定類の検討・整備・追加の必要があることをご認識ください。

★注意事項:「システム開発はアウトソーシング」している多数の国内企業向けに本ポリシー群を紹介しております。欧米企業のように、システム構築を内製にする場合、「情報システム構築基準」を作成・適用する必要があります。

 また、貴社にて上記の「情報セキュリティポリシー」を作成して、経営層に承認を得たあと、社内に内容を周知徹底するために普及活動を実施する必要があります。この普及活動である社内教育については「こちら」をクリックしてご参照ください。

ワンポイントメッセージ:ITガバナンスとはIT部門へ付与されている役割と責任を文書化しているドキュメント集およびその運用プロセスのことであり、IT部門運用には必須です。

 次項の”IT人材育成”については「こちら」をクリックしてご参照ください。