システム監査：関連法規の要点（最終更新：2015/12/06 16:33:44 JST）

関連法規の要点

この章の内容

システム監査基準，システム管理基準
セキュリティ関連基準
セキュリティ関連法規
J-SOX法とシステム監査
個人情報保護関連法規
知的所有権関連法規
労働関連法規
その他の法律

[*]下へ▼ ▲[#]上へ

システム監査基準，システム管理基準（教科書336ページ）

新システム監査基準の制定（教科書336ページ）

システム監査基準は，1985年に初版が公表され，1996年に改訂された後，2004年10月に全面改訂された．改訂のポイントは次のとおり．

IT技術の革新への対応：　ネットワーク化の変化に対応したリスクコントロール
事業における情報システムの位置づけの変化への対応：　ITガバナンスの重要性
社会に対する説明責任の高まりと保証型監査の必要性：　情報システムの社会への影響
「情報システム管理の基準」と「監査人の行為規範」の峻別：行為規範と実践規範の分離
情報セキュリティ監査制度との関係：システム監査とセキュリティ監査の差異の明確化

[*]下へ▼ ▲[#]上へ

旧システム監査基準との違い（教科書337ページ）

教科書337～338ページにシステム監査基準，システム管理基準のそれぞれについて，新基準と旧基準の対応表が示されている．特に新基準で追加された内容について把握しておく必要がある．

[*]下へ▼ ▲[#]上へ

システム監査基準と情報セキュリティ監査基準の関係（教科書338ページ）

新システム監査基準では，情報セキュリティに関しては，情報セキュリティ監査基準を活用することになっている．両者の違いは次のようである．

システム監査: 情報システムライフサイクルに従って，情報システムの構築・運用の全体最適化を目的として監査を実施
情報セキュリティ監査: 情報資産のライフサイクルに従って，組織の情報セキュリティ確保のための管理・運用を有効に実施することを目的として監査を実施

関連資料

システム監査と情報セキュリティ監査の関係（JIPDEC）

[*]下へ▼ ▲[#]上へ

システム監査基準とシステム管理基準（教科書339ページ）

2004年の改訂で，システム監査基準とシステム管理基準が分割された．両者の違いはおさらいになるが，つぎのとおり．

システム監査基準：　監査業務の品質確保，有効かつ効率的な監査実施を目的とした監査人の行為規範
システム管理基準：　組織全体の戦略に沿って効果的な情報システム戦略を立てるための実践規範

教科書339ページ図6.2に，旧システム監査基準と新システム監査基準，新システム管理基準との対応が図示されている．

[*]下へ▼ ▲[#]上へ

システム監査基準，システム管理基準の構成（教科書340ページ）

システム監査基準は，次の各項目から構成される．

システム監査の目的
一般基準
1. 目的，権限と責任
2. 独立性，客観性と職業倫理
3. 専門能力
4. 業務上の義務
5. 品質管理
実施基準
1. 監査計画の立案
2. 監査の手順
3. 監査の実施
4. 監査業務の体制
5. 他の専門職の利用
6. 情報セキュリティ監査
報告基準
1. 監査報告書の提出と開示
2. 監査報告の根拠
3. 監査報告書の記載事項
4. 監査報告についての責任
5. 監査報告に基づく改善指導

また，システム管理基準は次の各項目から構成される．既に2章で解説しているので，ここでは大項目の提示に留める．

情報戦略
企画業務
開発業務
運用業務
保守業務
共通業務

システム監査基準，システム管理基準は次のサイトから入手可能である．

新「システム監査基準」、「システム管理基準」の公表について（経済産業省）

システム管理基準[PDF]

システム監査基準[PDF]

[*]下へ▼ ▲[#]上へ

セキュリティ関連基準（教科書345ページ）

情報セキュリティ監査基準と情報セキュリティ管理基準（教科書345ページ）

情報セキュリティの重要性の高まりに対応する形で，従来はシステム監査の一部として実施されていた情報セキュリティ監査を2003年に明示的に分離する形で示した．既に概略は2章で解説している．

なお経済産業省は情報セキュリティ監査を実施する際に準拠すべき基準として，情報セキュリティ監査基準と情報セキュリティ管理基準，またそれらに対応した4つのガイドライン（2009年に追加されている）と2つのモデルを公表している．

基準	情報セキュリティ監査基準	情報セキュリティ管理基準
ガイドライン	情報セキュリティ監査基準実施基準ガイドライン情報セキュリティ監査基準実施報告ガイドライン	個別管理基準（監査項目）策定ガイドライン情報セキュリティ監査手続ガイドライン
モデル	電子政府情報セキュリティ監査基準モデル	電子政府情報セキュリティ管理基準モデル

[*]下へ▼ ▲[#]上へ

その他の情報セキュリティに関する基準（教科書346ページ）

その他の情報セキュリティに関する基準としては次のようなものが経済産業省から公表されている．

コンピュータウイルス対策基準
コンピュータ不正アクセス対策基準
ソフトウエア管理ガイドライン

経済産業省から公表されている基準やガイドライン，モデルは次のサイトから入手可能である．

情報セキュリティに関する政策，緊急情報の法律，ガイドライン等

また経済産業省以外の基準やガイドラインには次のようなものがある．

ISO27001（ISMS：情報セキュリティマネジメントシステム要求事項）
ISO15408(JIS X 5070)

詳細な情報は次のサイトを参照のこと．

ISMS適合性評価制度

ITセキュリティ評価及び認証制度（JISEC）

[*]下へ▼ ▲[#]上へ

セキュリティ関連法規（教科書351ページ）

刑法（教科書351ページ）

コンピュータ関連の犯罪は刑法で規定を設けている．主なものには次のようなものがある．

第7条の2：　電磁的記録の定義
第161条の2：　電磁的記録の偽造
第234条の2：　コンピュータ関連業務妨害
第246条の2：　コンピュータ使用詐欺

刑法

[*]下へ▼ ▲[#]上へ

不正アクセス行為の禁止等に関する法律（教科書352ページ）

通称，不正アクセス禁止法と呼ばれる．以下のサイトから参照できる．

不正アクセス行為の禁止等に関する法律(IPA)

[*]下へ▼ ▲[#]上へ

J-SOX法とシステム監査（教科書353ページ）

J-SOX法は元々米国のサーベンス・オクスリー法の成立を受けて，日本にも内部統制の評価を義務付ける法制が導入されたものである．ただし，米国のように法律ではなく，金融商品取引法の第24条の4の4を指している．

金融商品取引法　第24条の4の4（抜粋）

（財務計算に関する書類その他の情報の適正性を確保するための体制の評価）
第二十四条の四の四　第二十四条第一項の規定による有価証券報告書を提出しなければならない会社（第二十三条の三第四項の規定により当該有価証券報告書を提出した会社を含む。次項において同じ。）のうち、第二十四条第一項第一号に掲げる有価証券の発行者である会社その他の政令で定めるものは、内閣府令で定めるところにより、事業年度ごとに、当該会社の属する企業集団及び当該会社に係る財務計算に関する書類その他の情報の適正性を確保するために必要なものとして内閣府令で定める体制について、内閣府令で定めるところにより評価した報告書（以下「内部統制報告書」という。）を有価証券報告書（同条第八項の規定により同項に規定する有価証券報告書等に代えて外国会社報告書を提出する場合にあつては、当該外国会社報告書）と併せて内閣総理大臣に提出しなければならない。

金融商品取引法

なお金融商品取引法の内部統制に関する規定は次の2つである．

内部統制報告書の提出義務
内部統制報告書の監査証明　→公認会計士または監査法人の監査証明が必要

その他の実施上のガイドラインは企業会計審議会から公表されている．

「財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準の改訂に関する意見書」の公表について

[*]下へ▼ ▲[#]上へ

個人情報保護関連法規（教科書358ページ）

個人情報の保護に関する法律（教科書358ページ）

OECDで1980年に採択された，個人法保護に関して官民両組織に適用される最小限の基準である．詳細は次のサイトを参照されたい．

個人情報の保護に関する法律（首相官邸）

[*]下へ▼ ▲[#]上へ

プライバシーマーク（教科書361ページ）

プライバシーマークの概要は次のとおり．

プライバシーマーク制度のサイトの制度の概要より抜粋

プライバシーマーク制度は、日本工業規格「JIS Q 15001個人情報保護マネジメントシステム―要求事項」に適合して、個人情報について適切な保護措置を講ずる体制を整備している事業者等を認定して、その旨を示すプライバシーマークを付与し、事業活動に関してプライバシーマークの使用を認める制度です。

プライバシーマーク制度

[*]下へ▼ ▲[#]上へ