withコロナの時代に大切なシステム監査の原点『安・信・効』

新型コロナウイルスの発生によって、たった数ヶ月で社会生活は大きく変容しました。

世界的にstay home ・ social distance が叫ばれ、ビジネスの世界においても在宅勤務の推進が急がれるなど、未曾有の事態に直面しています。

そして今後も続くと考えられるwithコロナ時代に大切なことは何なのか？
システム監査の視点から考えます。

時代の変遷とともに・・・

振り返ってみるとこの30年程でも、ITを中心に世界は劇的に変化してきました。

基幹業務のシステム化からスタートした情報システムの世界は、インターネットの目覚ましい普及や技術革新により一人1台のPC環境を作り出し、また2000年代にはスマホの登場により、誰もが瞬時にグローバルに繋がることのできる世界を創り出しました。

より速く。より効率的に。より便利に。

時代の変遷とともに大きな役割を担うようになった情報システムは、ITサービスへと変貌し、ついに経営の主役となったと言っても過言ではありません。 

情報システムからITサービスへ。

そしてシステム監査の対象テーマも同様にその時々の時代を反映する形で、変化してきました。

システム監査対象テーマの変遷

ここからはその変遷をみていきます。

1990年代〜

1995年にEU指令が発行され、個人情報保護対策が俄にクローズアップされるようになり、プライバシーマーク制度発足へと繋がりました。その後2004年に個人情報保護法、2015年にはマイナンバー法が制定されましたが、その間大規模な漏洩事件が発生しており、個人情報保護法の監査は重要テーマとして現在にいたります。

2000年代〜

2000年には、官公庁ホームページ連続改竄事件が発生したことにより情報セキュリティ対策への関心が高まりました。2003年に情報セキュリティマネジメント認証としてのISMS、また情報セキュリティ監査制度がスタートし、セキュリティ対策が普及しました。

2000年代後半には、世界的な内部統制への関心の高まりが日本に波及し、内部統制監査・IT統制監査が法定監査として上場企業等に義務付けられました。（金融商品取引法）
それによりITガバナンスの普及へと繋がりました。

2010年代〜

2011年3月に東日本大震災が発生したことにより、事業継続やバックアップの重要性が再認識され、クラウド利用を推し進める要因の一つとなりました。クラウドは現在政府調達にも利用されることになり、その安全性評価が重要な課題となっています。

2007年には初代iPhoneが発売され、SNS等キラーアプリが続々と出現しました。
2010年以降のスマートフォンの普及は個人の情報発信や利用を促進し、そのデータを企業がビックデータとして利活用するフレームを確立させました。ビックデータの保有は、大きなビジネスチャンスを産む一方で、もし問題が発生した場合には沢山の人に影響を与える可能性があり、重要な監査テーマとなっています。（AIの監査）

次々に生まれる最新IT技術やグローバルに対応する形で、システム監査の対象テーマもより複雑に、より高度なものへと変化してきたことがわかるでしょう。

そして迎えた2020年。
society5.0時代に向けてデジタルトランスフォーメーションの流れがいよいよ加速すると思われていたその矢先に、コロナ問題が発生しました。

前例のない事態に、どのような視点が大切か？

そのヒントを探る為、ここでシステム監査の原点に立ち返ってみます。

システム監査の原点

システム監査が社会的に注目を浴びるようになったきっかけは昭和60年、当時の通産省から出された「システム監査基準」でした。

基準作成にあたって、その必要性が昭和58年に作成された通産省の資料に述べられています。

情報化の進展に伴い、既に、経済・社会の多くの分野がコンピュータシステムに依存する状態に至っている。その結果、万一その機能が停止、あるいは不完全になった場合には、その影響は単に経済活動にとどまらず、国民生活全般に及ぶ恐れがある。
このため、コンピュータシステムの安全性、信頼性等のセキュリティを確保することにより情報化社会の有する脆弱性を克服し、情報化のもたらす便益が安定的に享受されるよう情報化を進めていく必要がある。（中略）
しかし、コンピュータシステムは、その利用分野、用途、形態等が極めて多様であることから必要とされるセキュリティ対策を一律に論ずることは困難であり、各コンピュータシステムにおいて、費用対効果面の考慮も踏まえつつ、バランスのとれたセキュリティ対策を実施することが要請される。
このため、各コンピュータシステムにおけるセキュリティ対策の実施状況がシステムの扱う業務内容、設置環境等から見て適切なものであるか否かを客観的に評価するための手段としてシステム監査の導入が重要な課題となっている。
（システム監査基準の作成について より）

35年以上も前から、システムが経済活動、国民生活全般に与える影響を踏まえて考えられていたことがわかります。

そして策定されたシステム監査基準。
その解説書には、システム監査の目的がシンプルに記されました。

システム監査は、システムの信頼性、安全性、効率性を高め、よって情報化社会の健全化に資することを目的とする。
（システム監査基準解説書 より）

システムの信頼性・安全性・効率性を高めるとはどのようなことでしょうか？

システム監査の『安・信・効』定義

それでは安・信・効をそれぞれ説明します。

安全性
情報システムが安全かつ正常に稼働すること。
自然災害や不正アクセスなどの破壊行為からシステムを保護すること。

信頼性 
情報システムの品質が確保されること。
障害のおこりにくさ、障害から迅速に回復できること。

効率性
情報システムにまつわるリソースが最適に活用されていること。

前述のシステム監査基準解説書では、以下のように纏められています。

安全性は自然災害等の外部要因からの保護を、信頼性は障害発生を防ぐ等、システムが内包すべき品質を高めると考えてよいでしょう。
そこに費用対効果など効率性の観点が加わり、システム監査の持つべき視点がシンプルにバランスよくまとまっていると言えます。

また一般的には上記の安・信・効に加え、有効性が挙げられます。

有効性
目的適合性。
経営戦略や方針にそって情報情報システムが開発・運用されていること。

この有効性の考え方は、現行のシステム監査基準の目的に色濃く反映されています。

システム監査は、情報システムにまつわるリスク(以下「情報システムリスク」という。)に適切に対処しているかどうかを、独立かつ専門的な立場のシステム監査人が点検・評価・検証することを通じて、組織体の経営活動と業務活動の効果的かつ効率的な遂行、さらにはそれらの変革を支援し、組織体の目標達成に寄与すること、又は利害関係者に対する説明責任を果たすことを目的とする。
（平成30年度版 システム監査基準 より）

ITが経営の中心となっている現在、この有効性の部分が特に重要視され、システム監査の中でも『安・信・効』があまり言われなくなってきていた嫌いがあります。

しかし今までの戦略だけでは立ち行かないwithコロナ時代は、この『安・信・効』の持つ視点の重要性を改めて教えてくれています。

withコロナ時代にはシステムの安定的・継続的維持・運用を

新型コロナウイルスの発生は突如として、私達に方向転換を余儀なくさせました。

リアルからオンラインへ。
通勤・通学から在宅勤務・オンライン学習へ。 

2020年代は情報システムが社会生活の代替を担うと同時に、それは『Sustainable 持続可能な』社会を築く第一歩となるでしょう。

システムの安定的・継続的な維持・運用が今まで以上に不可欠となります。

システムを止めない。

その為には経営者や利用者側の深い理解とともに、
システム監査も「安・信・効」というその原点に立ち返り、活躍することが「今」求められています。

#withコロナ時代 #システム監査 #IT #ニュース #DX