ITに関する規程などの改訂の進め方とポイント

鈴木 竜児(すずき りゅうじ)

IT環境の変化やITの利用方法の変化にともない、IT統制への対応として、情報セキュリティや情報システムにかかる規程などの改訂が必要になるケースは少なくありません。
本コラムでは、最初に、(1)ITに関する規程などの改訂がどのような場合に必要になるかを整理するとともに、(2)改訂の進め方や、(3)改訂にあたってのポイントなどを解説します。

(1)ITに関する規程などの改訂が必要になるタイミング

(内的要因)

主として、社内の動向などにともない改訂が必要になるタイミングがありますが、一般に、以下のような場合が想定されます。

  • 業務分掌や組織(体制)の変更
  • 従来のITに関する規程などの適用範囲、適用対象などの変更
  • システムの管理体制、開発方法、開発や運用業務の変更
  • 新規システムの導入やリプレースなどのシステムの変更
  • SaaSやPaaSなど、外部サービスの利用への対応
  • 在宅勤務への対応、など

(外的要因)

主として、外部の動向にともない改訂が必要になるタイミングがありますが、タイムリーに情報を把握するには、外部のメール配信などを利用し、社内連絡や掲示を行うといった対応の検討が必要になります。

  • 個人情報保護法や内部統制報告制度(J-SOX)など、法令などの制定・改訂
  • システム監査基準など、官公庁による基準、ガイドラインなどの制定・改訂
  • 情報処理推進機構その他、公的機関などによる手引き、ガイドラインなどの公表・改訂
  • ISO27001など、国際機関などによる規格などの制定・改訂
  • 情報セキュリティ対策の動向やITの利用に関する外部環境の変化、など

(2)改訂の進め方

ITに関する規程などの改訂の進め方としては、<1>改訂の検討内容の整理、<2>ITに関する規程などの洗い出し、<3>改訂の方向性の検討、<4>規程などの改訂、<5>改訂した規程などの最終化、のような進め方が想定されます。

<1>改訂の検討内容の整理

規程改訂にあたり、新たに盛り込み、または、変更する項目や内容を改訂事項として整理します。

<2>ITに関する規程などの洗い出し

ITに関する規程などを洗い出し、一覧表などで整理します。

<3>改訂の方向性の検討

整理した改訂事項と洗い出したITに関する規程などをもとに、どの規程などにどの改訂事項を反映するのかを検討します。規程などの一覧(必要に応じて、章や見出しを記載)と改訂事項などのマッピング表を活用するとわかりやすいでしょう。ITに関する規程などの改訂による全体の整合性も確認します。

<4>規程などの改訂

改訂の方向性の検討に基づいて、規程などの改訂作業を行います。その際、規程管理規程や他の規程の体裁、表記や表現などを参照し、ITに関する規程など以外とも整合するようにします。

<5>改訂した規程などの最終化

改訂した規程などの形式面、内容面での最終確認を行い、文書としての最終化を行います。また、規程などの承認や周知だけでなく、教育や説明、運用に向けた対応が必要になる場合は、合わせて準備をします。

(3)改訂にあたってのポイントなど

改訂にあたっては、改訂内容や改訂する規程などの範囲にもよりますが、すぐに改訂作業に着手せず、いったん改訂事項を整理してから、全体を俯瞰して進める必要があります。とくに、改訂する規程などが複数の主管部署に及ぶ場合は、関係部署間で調整して進める必要があります。
そのほか、筆者がITに関する規程などの作成や改訂支援をする際には、次のようなポイントに留意しています。

  • 関連する規程などが複数ある場合の規程体系上の位置付け(情報セキュリティ規程、システム開発運用管理規程など、同じレベルの規程がある場合には、重複などがないか)
  • 規程、規則、細則などの規程階層(将来も柔軟に改訂できるよう、規程ごとに承認レベルやその主管部署が設定されているか)
  • 規程などの適用対象者(全社員に適用か、特定の業務従事者に適用か)
  • 規程などの適用範囲(ITや業務について共通適用か、除外があるか、特定範囲での適用か)

また、規程などの改訂にともない、とくに内部統制の観点では、次のような対応が必要になる場合があります。

  • ITにかかる業務の見直し(開発業務や運用業務における内部統制の見直しなど)
  • ITにかかる内部監査業務の見直し(監査リスクや監査手続きの見直しなど)
  • 関連文書の改訂(内部統制の評価文書の改訂など)
  • 外部監査人(監査法人)との調整

本コラムでは、どのような時にITに関する規程などの改訂が必要になるかを整理したうえで、規程などの改訂の進め方、改訂にあたってのポイントなどを解説しました。近年のISO27001の改訂にともなう対応や、政府の情報セキュリティやサイバーセキュリティ対策の動向、パスワードポリシーやセキュリティポリシーの変更、クラウドサービスの利用ルールの明確化など、ITに関連して改訂が必要になる場合のほか、事業拡大や業務プロセスの変更により、J-SOXの評価範囲、評価対象、評価方法、評価文書などの改訂が必要になる場合など、規程や関連文書などの改訂が必要になるケースはさまざまあります。改訂にあたっては、関係する部署との連携、関連する業務への影響、関連する規程や文書との整合性など、全体を俯瞰しながら行っていくことが必要です。

関連コラム記事

もっと見る
コラム一覧へ戻る

関連サービス