IT全般統制にかかる規程等と情報セキュリティ関連制度との関係

IT全般統制にかかる規程等と情報セキュリティ関連制度

上場準備会社などにおいてIT全般統制を新たに整備する際、情報セキュリティに関する信頼性向上のためにISMSやプライバシーマーク（以下、Pマーク）といった第三者認証をすでに取得しているケースがあります。この場合、それぞれの制度に基づく管理策が規程等にて整備されていることになります。IT全般統制で必要となる管理策を定めていく際に、新たな体系で規程を作成することも可能ですが、既存の規程に追加の管理策を織り込んでいくことも可能です。ここで、どのような体系で管理策を規程等に定めていくのが適切か、その検討にあたっての留意点について考えてみたいと思います。

各制度における規程等の体系

まず、IT全般統制、ISMS、Pマークは、それぞれ管理策などを定める際の基準、規格が以下のとおり異なります。

	IT全般統制	ISMS	Pマーク
基準、規格	財務報告に係る内部統制の評価及び監査に関する実施基準（企業会計審議会）など	ISO27001（国際標準化機構） JIS Q 27001（日本規格協会）	JIS Q 15001（日本規格協会）

求められる管理策はさまざまな点で相違しますが、重複する部分も多いといえます。ただし、規程等の形式、体系は、いずれの制度でも細かく規定されていません。このため、各会社で方針を定めて、形式、体系を整備していくことが可能です。

各制度に基づく規程整備における前提の相違

そして、各制度に基づき規程を整備する際の前提を比較してみると、大きく、評価対象、適用対象部署、保護対象情報、統制目標が以下のとおり異なります。

	IT全般統制	ISMS	Pマーク
評価対象	ITを取り入れた情報システムに関する統制	情報セキュリティマネジメントシステム	個人情報保護マネジメントシステム
適用対象部署	評価対象としたシステムを取り扱う部署	適用範囲として定めた部署	法人全体
保護対象情報	評価対象としたシステムの財務情報	適用範囲内のすべての情報資産（個人情報、経営情報、財務情報、人事情報など）	個人情報
主な統制目標	機密性、完全性、可用性、準拠性、正当性	機密性、完全性、可用性	機密性、完全性、可用性

機密性とは、許可されていない人に情報が漏れないことをいいます。
完全性とは、情報が正確、完全で壊れていないことをいいます。
可用性とは、情報が必要とされる時に利用可能であることをいいます。
準拠性とは、法令、会計基準、社内規則などに準拠していることをいいます。
正当性とは、組織の意思、意図に沿って承認されたものであることをいいます。

なお、統制目標は、それぞれの制度に共通する内容もありますが、制度によって重要度が相違するため、この点も求められる管理策に影響します。

IT全般統制の4つの領域とISMS、Pマークとの関連

そして、IT全般統制において対象となるプロセスの具体的な領域については、実施基準において、

システムの開発、保守に係る管理
システムの運用・管理
内外からのアクセス管理などシステムの安全性の確保
外部委託に関する契約の管理

といった4つの領域が示されています。ISMS、Pマークにおいても、この4つの領域で管理策が必要です。これらの領域のうち、「（3）内外からのアクセス管理などシステムの安全性の確保」の領域は、共通する管理策が多いですが、その他の領域は、すでに述べた制度の相違点により、管理策の内容や、求められる水準に相違する部分が多くなっています。

規程等の整備の方針

IT全般統制の規程を整備するにあたっては、

追加で必要となる管理策を既存の規程の体系に織り込む
既存の規程とは別途、新たに規程の体系を作成する
既存の規程とは別途、新たに規程の体系を作成するが、共通する部分は、既存の規程を参照するかたちとする

などの方針が考えられます。既存の体系に織り込む場合は、一つの体系のなかでそれぞれの制度の内容を包含するかたちにする必要があります。別途新たな体系で作成する場合は、それぞれの体系では、必要な範囲に絞って規定することも考えられます。どのような方針にするかは、それぞれの制度をきっちり理解したうえで検討する必要があります。実務的には、同じ時期に整備するのか、全く異なる時期に整備するのかといった、それぞれの制度に対応するタイミングが影響すると考えられます。また、ISMSやIT全般統制は会社によって適用範囲が異なりますが、各制度の適用範囲がどの程度共通するかという点も考慮する必要があります。
当社が、すでにISMSやPマークを取得されている会社におけるIT全般統制の整備を支援する際は、それぞれの制度に配慮し、その会社にとって最適な規程体系となるよう提案しております。