« 2006(平成18)年システム監査技術者試験
午後Ⅱ小論文解答速報 総評
| メイン | 2006年(平成18年度)システム監査試験 午後Ⅱ問1解答速報 »

2006年4月16日

2006年(平成18年)システム監査試験 午後II問3解答速報

問3 情報漏えい事故計画の監査について【解答例】

1 重大影響を及ぼす情報とその影響
1.1 重大影響を及ぼす情報

A社高齢者福祉用品のレンタル・販売を行う組織のフランチャイザーである。A社の参加には、 A者と契約しているフランチャイジーが全国に100社ほどあり、A社はそのフランチャイジーを統括し、レンタルに必要な 物品を適宜供給する役割を担っている。A者が取り扱っている情報で情報漏えいすると問題になる情報には次のようなものがある。

  1. 顧客獲得にかかわる営業マニュアル
  2. 顧客へのサービス業務マニュアル
  3. 従業員教育マニュアル
  4. フランチャイザー(顧客リスト)
  5. フランチャイズ契約書
  6. フランチャイジーの保有する顧客リスト
  7. 経営戦略計画書

 なお、フランチャイジーの保有する顧客リストはA社の所有ではないが、情報漏えいすると、A社ブランドに傷 がつくため、事実上A社情報として認識を行う。

1.2 情報漏えいの影響
1.2.1 事業機会の損失

 営業マニュアルや業務マニュアルなどのマニュアル及び手続きなどが漏洩すると、ライバル企業にA社の営業実態などを知られ、 類似サービスを展開され、A社の独自性、差別性が損なわれビジネスの競争優位性が失われる。

1.2.2 信用の失墜

 フランチャイジーが保有する個人情報の漏洩が発生すると、例えそれがA社保有のそれでなくても、A社の社会的・同義的責任が問われ信用失墜し A社業績及び社会的評価に影響を及ぼすと共に、A社ブランドに傷がつくことになる。

1.2.3 新事業計画の頓挫

 経営計画書などの重要文書が漏洩することによって、A社で開発中の新事業領域を他の企業に先着されたり、 参入障壁を設定されたり、事業妨害がある可能性がある。


2 初期対応について
2.1 初動の目的

 情報漏えい時における初動の目的は、おおよそ次の通りである。

  1. 情報漏えい時には迅速対応すること
  2. 原因究明を早期に行うこと
  3. 漏洩にかかわる被害の把握と被害範囲を迅速行うこと
  4. 二次災害を予防すること
  5. 被害者あるいは被害部署への情報開示を適切に行い信用回復すること
2.2 事故対応計画に盛り込むべき初動対応項目

 情報漏えい発生時の事故対応計画書に盛り込むべき内容は次のとおりである。

2.2.1 事故対応計画における組織体制
  1. 事故発生時の連絡窓口の確保
  2. 事故発生時の対策チームの配置
  3. 事故処理関係者の事故処理手順の確認
  4. 事故処理体制
  5. 関係連絡先の所在地や電話番号の記録、保存、整備
2.2.2 事故対応計画における手続き
  1. 事故発生時の連絡窓口担当者の業務手続、証拠の保全
  2. 対策チームによる原因究明・対処手続き
  3. 漏洩した情報の回収責任部署の明示とその手続き
  4. 顧客のクレーム対応部署とその手続き
  5. 関係部署への連絡責任の明示と連絡手続き
  6. 情報漏洩の原因となったハード、ソフトの識別と隔離
2.2.3 組織的周知と教育
  1. 事故発生時の対処責任者の任命
  2. 事故発生時の関連要員のリハーサルとその手法
  3. 組織全体のセキュリティ(初動)教育と訓練
  4. 関連部署の事故処理手続きの確認
  5. 手続きの際の教育計画について
2.2.4 コンプライアンス(法的準拠)
  1. 関連する法規とその変更要綱の明確化
  2. アウトソーシングしている場合、事故発生時における契約に基づく処理の確保
  3. 訴訟に及ぶような重大な事故の発生時の法律専門家への窓口確保
  4. 個人情報保護法などの法規に準拠した手続きの存在の確立

3 監査手続き
3.1 要綱

 監査にあたっては、情報漏えい時における初動の目的をレビューしたうえで、 安全性、信頼性、有効性の観点から事故対応計画書の実効性を評価する。特に次の項目について 監査を実施する。

  1. 初動計画の中で、不正利用の証拠保全を確実に行っているか
  2. 初動計画の活動が二次被害の発生を未然に防止するとともに、是正、予防の基点となっているか
  3. 訴訟に備えた記録の収集と保管、維持が行われているか
  4. テストや訓練等の記録のレビューによる事故対応計画の有効性の確認が行われているか
3.2 監査手順

   年度監査計画書に基づいて個別の監査計画を立案する。被監査部署に連絡を行いスケジューリングを 行ったうえで、予備調査を実施する。予備調査に基づき監査手続書を作成する。監査調書に基づいて 本監査を行う。本監査ではドキュメントの整備状況レビュー、計画運用状態のレビュー、監査証跡の確保を行う。 そのうえで監査調書を作成しその後、監査報告書を作成する。監査報告書の草稿を元に被監査部門と調整を行い、 被監査部門のサインを得て組織の長に提出する。

以上

■2006年 システム監査解答速報目次に戻る



投稿者 kato : 2006年4月16日 22:13