...

適合するTrustサービス規準及びその例示

by user

on
Category: Documents
4

views

Report

Comments

Transcript

適合するTrustサービス規準及びその例示
IT委員会研究資料第2号
適合するTrustサービス規準及びその例示
平 成 1 5 年 6 月 9 日
日本公認会計士協会
適合するTrustサービス規準及びその例示
セキュリティ、可用性、処理のインテグリティ、オンラインプライバシー、機密保持に係わる適合するTrustサー
ビス規準及びその例示
(SysTrustとWebTrustを含む)
この資料に記載されている原則と規準は、SysTrust 原則と規準のバージョン 2.0 及び WebTrust 原則と規準の
バージョン 3.0 に代替するものであり、2003 年 4 月 1 日以後に開始する期間の検証に適用する。なお、早期
適用を奨励する。
読者に対する注意喚起
適合するTrustサービス原則及び規準は、検証責任者がセキュリティ、可用性、処理のインテグリティ、オンラ
インプライバシー、機密保持、認証局に関して、システムの証明サービスを提供する際に利用するため、米国公
認会計士協会の保証サービス執行委員会により策定された。保証サービス執行委員会は、これらの規準を策
定するに当たり、パブリック・コメントを募集する公開期間を含めて、必要な手続を遵守した。保証サービス執行
委員会は、内規3.6条の理事会や協議会による決議を経ないで、公表される検証報告書を策定し、測定規準を
公表する上級委員会として位置付けられている。
本「適合する Trust サービス規準及びその例示」は、米国公認会計士協会/カナダ勅許会計士協会
(AICPA/CICA)の知的財産であり、AICPA/CICA とのライセンス契約の下、日本公認会計士協会が著
作権法に従って日本語に翻訳している。
すべての AICPA/CICA の文書について、承認された正文は英文である。
目
次
はじめに
Trust サービス
原則、規準及び内部統制の例
適用される法令、定義されたコミットメント、サービスレベルアグリーメント及びその他の契約への準拠性
Trust サービスの構成―Trust サービスの原則と規準
Trust サービス−SysTrust と WebTrust の提供
原則と規準
セキュリティ原則と規準
可用性原則と規準
処理のインテグリティ原則と規準
オンラインプライバシー原則と規準
機密保持原則と規準
付録 A. 消費者調停
付録 B. 電子商取引システムのための開示例
付録 C. システム記述例(非電子商取引システム)
付録 D. 範囲決定及び意見表明の問題に関する検証責任者への指針
はじめに
1. このセクションでは、電子商取引システムを含む、情報システムが可能としたシステムに関して、保証又はアドバ
イザリーサービスを提供する場合の指針を提供している。この指針は、セキュリティ、可用性、処理のインテグリティ、
オンラインプライバシー、機密保持に関してサービスを提供する場合に特に適切である。
2. この指針は下記のセクションを含んで提供されている。
z Trustサービスの原則と規準
z 当該業務に必要とされるシステム記述の例
z Trustサービス業務のための検証報告書文例
Trust サービス
3. Trustサービス(WebTrustとSysTrustを含む)とは、情報技術のリスクと機会に対処するための共通の枠組み(例
中核的な一連の原則と規準)に基づく一連の職業的な保証及び助言、コンサルティングサービスとして定義される。
Trustサービスの原則と規準は、保証サービス監督委員会によって発行された。
保証サービス
4. 保証サービスは、対象事項に関する記述書又は対象事項に対して、意見の表明あるいはレビューもしくは合意
された手続を実施する検証責任者のサービスである。例えば、システムの信頼性に関する原則と規準に、定義され
たシステムが適合しているかどうかに関する意見である。保証サービスは、証明業務基準書(SSAE第10号)第1章
「証明業務」の枠組み:改訂及び修正された(AICPA 職業的基準第1号セクションAT101)の枠内で開発された。し
たがって、検証責任者は、関連する職業的基準により確立された職業的要求事項を知悉していることを期待される
であろう。公認会計士のみが最終的に意見表明を行うTrustサービス及びWebTrust、SysTrustの保証業務を提供
することができる。これらの基準の下で、独立した客観的で知識のある検証責任者が、経営者の記述書や記述書
に係わる対象事項のテストを実施する。検証責任者は、特定のTrustサービス規準の達成度合を検証するために、
質問、観察、実査、再実施といった手続を実施することにより、他の監査業務で通常実施されているのと同等の手段
で、記述書の規準への適合性について証拠を収集する。検証責任者は、経営者の記述書又はそれと関連する対
象事項について意見を表明する。検証報告書は、それが経営者の記述書の信憑性を増進し、企業を他のサービ
ス提供者と差別化するという点で、経営者に価値を提供する。
アドバイザリーサービス
5. Trustサービスにおけるアドバイザリーサービスには、Trustサービス原則及び規準を用いた戦略的、診断的導
入及び維持、管理サービスが含まれている。例えば、それには、Trustサービスの原則と規準をベンチマークとして
用いて、リスクを評価し、改善行動を勧奨することにより、システムの弱点をクライアントに助言するような業務も含ま
れる。検証責任者は、コンサルティングサービスのための基準書(AICPA 職業的基準第2号のセクションCS100)に
従ってアドバイザリーサービスを提供する。こうした業務では、検証責任者による意見の表明はなされない。
原則、規準及び内部統制の例
6. 下記の資料では、広範囲な原則を記述するとともに、各原則に合致するために達成すべき特定の規準を識別
している。Trustサービス原則は、広範囲な目的を記述する。規準は、検証責任者が対象事項を評価する際に、測
定及び解明をする上で利用される指標である。適合する規準は、客観性、測定可能性、完全性、関連性がなけれ
ばならない。また、意図された利用者にとって十分に有用である必要がある。Trustサービスの原則とそれをサポー
トする規準が適合する規準の特質と合致していることが、保証サービス執行委員会の見解である。Trustサービスの
原則は全体的な目標を記述しているが、検証責任者の意見は規準のみに言及するものである。
7. Trustサービスの原則と規準においては、規準は内部統制の例示一覧によりサポートされる。これらの例示は、
包括的であることを意図しておらず、単なる事例を提供するに過ぎない。企業において実際に適用されている内部
統制は、その一覧には含まれていないかもしれないし、また、いくつかの列挙された内部統制は、すべてのシステ
ムや状況に適合してはいないだろう。検証責任者は、規準を満たすために、企業が採用している関連する内部統
制を識別、評価すべきである。これらの内部統制の選択及び数は、企業の経営形態、哲学、規模、業界にも依拠
するだろう。Trustサービス業務において無限定意見報告書を受けられるように、「ポリシー」という用語は、経営者
の意図、目的、要求事項、責任、特定の事項に対する基準を伝達する書面での文書として利用される。そのような
伝達は、明示的にポリシーとして指示されるか、あるいは(ポリシーとして、書面での文書としてではユーザーに伝
達されていないというように)黙示的であるかもしれない。ポリシーは、多くの様式をとることがあるが、書面で作成さ
れているべきである。
-1-
適用される法令、定義されたコミットメント、サービスレベルアグリーメント及びその他の契約への準拠性
8. 「適用される法令、定義されたコミットメント、サービスレベルアグリーメント及びその他の契約への準拠性」につ
いては、原則と規準のいくつかの中で参照されている。通常の状況下では、業務を実施する検証責任者にとって、
「適用される法令、定義されたコミットメント、サービスレベルアグリーメント及びその他の契約への準拠性」と同等な
全てのものを識別することは、業務の範囲を超えている。更に言えば、Trustサービス業務は、企業に、適用される
法令、定義されたコミットメント、サービスレベルアグリーメント及びその他の契約への遵守に関して保証を提供する
ことを検証責任者に要求してはいないが、むしろそれらの遵守に関する企業の内部統制の有効性について、保証
を提供するものである。法規制やアグリーメントへの遵守に対して、保証を提供することに関する他の職業的基準を
参照すべきである。
Trustサービスの構成−Trustサービスの原則と規準
9. Trustサービスの各原則に関連する規準は、下記の4つの大分類により構成されている。
a.ポリシー
b.コミュニケーション
c.手続
d.モニタリング
企業は、特定の原則に特有のポリシー(注1)を定義し、文書化している。
企業は、承認されたユーザーに定義されたポリシーを伝達している。
企業は、定義されたポリシーに準拠して、その目的を達成するために手続を用いる。
企業は、システムをモニターし、定義されたポリシーへの準拠性を維持するために対策
を実施する。
10. 規準は、2列(欄)の様式で記載され、検討されている。最初の列は、規準―企業が原則を達成したことを表示
できるように満たさねばならない特性−を表示している。2番目の列は、内部統制の例を提供している。これらは企
業が規準に準拠する立場に立ち、また内部統制を保持するという例である。代替的、付加的な内部統制を保持す
ることもできる。更に、電子商取引及び非電子商取引システム双方のための開示例が、付録Bと付録Cにそれぞれ
記載されており、また、付録Bには電子商取引システムのための開示例が記載されている。
11. 下記の原則と規準は、WebTrustやSysTrustのようなTrustサービス業務の実施において検証責任者が利用す
るために、AICPA/CICAによって作成された。
a.セキュリティ
b.可用性
c.処理のインテグリティ
d.オンラインプライバシー
(注3)
e.機密保持
システム(注2)が(物理的、論理的双方の)未承認のアクセスから保護されている。
システムは、約束あるいは合意したとおりに、運用、利用のために利用可能である。
システム処理は完全で、正確で、タイムリーで、承認されている。
電子商取引の結果として得た個人情報(注4)が、約束あるいは合意したとおりに、収
集、開示、利用、維持されている。
機密と指定された情報が、約束あるいは合意したとおりに、保護されている。
Trustサービス − SysTrustとWebTrustの提供
12. SysTrustとWebTrustは、Trustサービスの原則と規準に基づき、AICPAによって開発された2つの固有のサー
ビスである。しかしながら、Trustサービスの原則と規準は、SysTrustとWebTrust以外のサービスに利用されることが
ある。
13. 検証責任者がSysTrust又はWebTrust業務で保証を提供しようとするときは、証明業務基準書(SSAE第10号)
第1章「証明業務」の枠組み:改訂及び修正された(AICPA 職業的基準第1号セクションAT101)で設定されている
実施基準及び報告基準に準拠する必要がある。SysTrust又はWebTrustの検証報告書を作成するためには、監査
法人はAICPAのライセンスを受けなければならない。
原則と規準
14. Trustサービスの原則と規準は、2列(欄)の様式で記載されている。最初の列は、規準―企業が原則を達成し
たことを表示できるように満たさねばならない特性−を表示している。2番目の列は、内部統制の例を提供している。
これらは企業が規準を準拠する立場に立ち、また内部統制を保持するという例である。代替的、付加的な内部統
制を保持することもできる。内部統制の例は例示に過ぎない。検証対象企業において、ポリシー、手続、内部統制
が実際に備わっていることを識別し、文書化するのは、検証責任者の責務である。
15. 既述のとおり、特定の電子商取引環境における、双方の当事者の権利、義務、コミットメントを含む要件と条件
は、Webサイト上で取引を完結させるユーザーにとって特に明示されてはいない。このような状況で規準の「コミュニ
ケーション」カテゴリーの基本的趣旨を満たすために、各「コミュニケーション」規準によって必要とされるポリシーと
プロセスは、企業のWebサイト上に開示されるべきである。このようなTrustサービスの各原則のための開示例が付
-2-
録Bにある。
セキュリティ原則と規準
16. セキュリティ原則は、物理、論理両方の未承認のアクセスからのシステム構成要素の保護に関連する。電子商
取引と他のシステム両方で、それぞれの当事者は、提供された情報が取引やサービス、発生するかもしれない質
問や問題のフォローアップを完了することを必要とする当該個人にとってのみ入手可能であることを保証されてい
ることを望む。これらのシステムを通して提供された情報は送信の間にそれが他の当事者のシステムの上にストアさ
れる間に未承認のアクセスに晒されやすい。システム構成要素へのアクセスを制限することは、システム構成要素
の不正利用、リソースの盗用、ソフトウェアの誤用、妥当でないアクセスの使用、変更、破壊、あるいは情報の開示
の可能性を阻止するのに役立つ。システム構成要素の保護のための重要な要素は、それらの構成要素への承認
されたアクセスを許可し、未承認のアクセスを阻止することを含む。
セキュリティ原則と規準の表
17. システムは(物理、論理双方の)未承認のアクセスに対して保護される。
規準
内部統制の例(注5)
システムは(物理、論理双方の)未承認のアクセスに対して保護される。
1.0 ポリシー: 企業は、システムのセキュリティのためにポリシーを定義して、文書化している。
1.1 企業のセキュリティポリシーは、特定の個 企業の文書化されたシステム開発と調達のプロセスは、システム上の承認されたユーザーと
人あるいはグループによって確立され、定期 セキュリティ要件を識別して、文書化するための手続を含んでいる。
的にレビューされ、承認されている。
ユーザー要件がサービスレベルアグリーメントあるいは他の書類で文書化されている。
1.2 セキュリティポリシーは、下記の事項を含
むが、それらに制限されない。
a.承認されたユーザーのセキュリティ要件の
識別と文書化。
b. 許可されるアクセスの性質とアクセスに権
限を付与する担当者。
c.未承認のアクセスの防止。
d.新規ユーザーの追加、既存ユーザーのア
クセスレベルの変更及びアクセスする必要の
なくなったユーザーの削除手続。
e.システムセキュリティに対する実施責任と説
明責任の割当て。
f.システム変更と維持管理に対する実施責任
と説明責任の割当て。
g. 導入前のシステム構成要素のテスト、評
価、承認。
h. セキュリティ問題に関連している苦情と要
請がどのように解決されるか。
i.セキュリティ違反その他の事件を処理する
ための手続。
j.システムセキュリティポリシーをサポートする
訓練等に必要な経営資源を配分するための
規定。
k.明示的にシステムセキュリティポリシーで扱
われない例外事項と状況の取扱いのための
規定。
l.適用される法規制、定義されたコミットメン
ト、サービスレベルアグリーメントの識別と一致
のための規定。
1.3 企業のシステムセキュリティポリシーとそ
れらのポリシーに対する変更/更新のための
実施責任と説明責任が、割り当てられてい
る。
セキュリティ責任者は毎年セキュリティポリシーをレビューしている。提案された変更が、IT基
準委員会による承認を必要とされるため、同委員会に提出されている。
企業の文書化されたセキュリティポリシーは、規準1.2で列挙された要素を含んでいる。
経営者が最高情報責任者(CIO)に、企業セキュリティポリシーの維持管理と施行に対する責
任を割り当てている。役員会の他の人たちが、役員会ハンドブックで概説されるようにポリシ
ーのレビュー、更新と承認を支援している。
重要な情報資源(例えば、データ、プログラムと取引)の所有と管理及び、当該資源の上にセ
キュリティを確立して、保持するための実施責任が定義されている。
-3-
規準
内部統制の例(注5)
2.0 コミュニケーション: 企業は、承認されたユーザーに定義されたシステムセキュリティポリシーを伝達している。
2.1 企業は、システムの記述とその境界線を 電子商取引システムのために、企業はWebサイト上にシステム記述を開示している。電子商
客観的に定義して、承認されたユーザーに伝 取引システムのためのシステム記述については、付録Bを参照のこと。
達している。
非電子商取引システムのために、企業は承認されたユーザーにシステム記述を提供してい
る。非電子商取引ベースのシステムのためのシステム記述については付録Cを参照のこと。
2.2 ユーザーのセキュリティ義務と企業のユ 企業のセキュリティコミットメントと要求される顧客及び他の外部ユーザーへのセキュリティ義
ーザーへのセキュリティコミットメントは、承認 務は、企業のWebサイト上に、あるいは企業の標準サービスアグリーメントの一部として掲示さ
されたユーザーに伝達されている。
れている。
内部のユーザー(従業員と外注先)のために、企業の、セキュリティに関連しているポリシー
は、それらの方向づけの一部として新しい従業員と外注先と一緒にレビューされる。ポリシー
の重要な項目と従業員への影響については検討される。新しい従業員はそれからポリシーを
読んで、理解して、従うことを示している誓約書に署名しなくてはならない。毎年、パフォーマ
ンスレビューの一部として、従業員が企業のセキュリティポリシーの理解とそれへの準拠性を
再確認しなくてはならない。 外注先のセキュリティ義務が契約で詳述される。
セキュリティ認識プログラムが、従業員に企業の情報技術セキュリティポリシーを伝達するた
めに実行されている。
2.3 企業のシステムセキュリティポリシーとそ
れらのポリシーに対する変更/更新のための
実施責任と説明責任が、それらを実行するこ
とに責任がある企業の要員に伝達されてい
る。
2.4 システムセキュリティの違反について、苦
情を提出することに対して、企業に影響する
プロセスは、承認されたユーザーに伝達され
ている。
企業は、企業のイントラネットの上にITセキュリティポリシーを公開する。
セキュリティ管理チームは、最高情報責任者(CIO)の指揮の下に、企業のセキュリティポリシ
ーを実行することに責任がある。
セキュリティ管理チームは、企業のセキュリティポリシーの日々の維持について、義務と責任
を負い、CIOとIT運営委員会に対して変更を勧める。
顧客と外部のユーザーが潜在的なセキュリティ違反と他の事件を企業に知らせるプロセス
は、企業のWebサイト上に開示されるか、あるいは新規ユーザーの手引書の一部として提供
されている。
企業のセキュリティ周知プログラムには、潜在的なセキュリティ違反の識別、セキュリティ管理
チームに知らせるプロセスに関する情報が含まれている。
2.5 システムセキュリティに影響を与えるかも
しれない変更が、経営者と影響を与えられる
ユーザーに伝達されている。
セキュリティ違反その他の事件の識別と上申のための文書化された手続が存在している。
顧客とユーザーと彼らのセキュリティ義務あるいは企業のセキュリティコミットメントに影響を与
えるかもしれない変更が、企業のWebサイト上に強調される。
システムセキュリティに影響を与えるかもしれない変更が、提案された変更の導入前に標準
サービスアグリーメントの規定において影響を受ける顧客によってレビューされて、承認され
る。
システム構成要素に対する計画された変更とそれらの変更のスケジューリングは、月次のIT
運営委員会のミーティングの一部としてレビューされる。
システムセキュリティに影響を与える要素を含んだシステム構成要素に対する変更は、導入
前に管理者及びセキュリティ管理チームの承認を必要とする。
システムセキュリティに影響を与える要素を含む変更の定期的なコミュニケーションがある。
システムセキュリティに影響を与える変更が、企業の進行中のセキュリティ周知プログラムに
取り入れられている。
3.0 手続: 企業は、定義されたシステムセキュリティポリシーに従って目的を達成するために手続を利用する。
3.1 定義されたシステムへの論理アクセスを a.新規ユーザーの登録と承認
制限するための手続が存在する。下記のこと ・顧客は、企業のWebサイト上に、新規ユーザー情報を提供して、適切なユーザーIDとパスワ
ードを選ぶセキュリティ性が高いセッションの下において自分で登録することができる。
が重要であるが、それらに制限されない。
自分で登録された顧客アカウントと結び付けられた権限及び権限付与が、特定の制限された
a.新規ユーザーの登録と承認。
システム機能を提供する。
b.ユーザーの権限付与と認証。
c.ユーザープロファイルに対する変更と更新 ・ユーザーを初期登録するか、あるいは修正する能力とユーザーアクセス権(制限された機能
「顧客アカウント」以外)は、セキュリティ管理チームに制限される。
をするプロセス。
d.システムアクセス権と許諾を与えるプロセ ・直属のビジネス統括者は、従業員と外注先のアクセス権変更のリクエストを承認する。自己
-4-
規準
ス。
e.承認されたユーザーに制限された出力帳
票の配布。
f.オフラインストレージ、バックアップデータ、
システムと媒体への論理アクセスの制限。
g. システム構成、スーパーユーザー機能、マ
スターパスワード、強力なユーティリティとセキ
ュリティ装置(例えば、ファイアウォール)に対
するアクセスの制限。
3.2 定義されたシステムへの物理的アクセス
を制限する手続が存在する。施設、バックアッ
プ媒体、ファイアウォール、ルータ、サーバー
のような他のシステム構成要素を含むが、そ
れらに制限されない。
内部統制の例(注5)
登録の間に与えられたデフォルト権限を超えた顧客アクセス権は、顧客アカウント管理者によ
って承認される。適切な職務分離が権限を与える際に考慮されている。
b.ユーザーの権限付与と認証
・ユーザーが、アクセスが与えられる前に、彼らのユーザーIDとパスワードで企業のネットワー
クとアプリケーションシステムにログオンするように要求される。ユニークなユーザーIDが個々
のユーザーに割り当てられる。パスワードは少なくとも6つの、そのうち1文字は英数でない文
字を含んでいなくてはならない。パスワードは大文字小文字の違いを識別して、90日ごとに更
新される必要がある。
c.ユーザープロファイルに対する変更と更新
・自分で登録された顧客アカウントに対する変更と更新は、ユーザーが成功裏にシステムに
ログインした後、企業のWebサイト上にいつでも個々のユーザーによってされることができる。
変更は即時に反映される。
・使われていない顧客アカウント(6か月間の不活動)がシステムによって排除される。
・他のアカウントとプロファイルに対する変更は、セキュリティ管理チームに制限されていて、
直属のビジネス統括者、顧客アカウント管理者の承認を要求する。
・退職した従業員のアカウントは、退職通知が人事部から受け取られた時点で失効する。
d. システムアクセス権と許諾の付与
・重要な情報資源にアクセスを許可するすべての経路は、アクセスコントロールシステムとオ
ペレーティング・システム施設によってコントロールされる。アクセスがユーザーに彼らのユー
ザーIDとパスワードを提供するように要求する。権限は、彼らのユーザープロファイルに基づ
いて、認証されたユーザーに与えられる。
・ログインセッションは、3回のログイン試行の失敗の後に終了させられる。終了させられたログ
インセッションは、フォローアップのためにログファイルを採取される。
e. 出力帳票の配布
・コンピュータ処理出力帳票へのアクセスは、情報の分類に基づいて、承認された個人に提
供される。
・処理出力帳票は、情報の分類を反映した領域に保存される。
f. オフラインストレージ、バックアップデータ、システムと媒体への論理アクセス
・オフラインストレージ、バックアップデータ、システムと媒体への論理アクセスは、コンピュー
タ運用スタッフに制限される。
g. システム構成、スーパーユーザー機能、マスターパスワード、強力なユーティリティとセキ
ュリティ装置に対するアクセス。
・ハードウェアとオペレーティング・システム設定テーブルは、セキュリティ管理チームに制限
されている。
・アプリケーションソフトウェア設定テーブルは、承認されたユーザーに制限されており、アプ
リケーション変更管理ソフトウェアのコントロール下にある。
・データあるいはプログラムを、閲覧、追加、変更、削除できるユーティリティプログラムは、承
認された技術サービススタッフに制限されている。その使用は、管理者、コンピュータ運用チ
ームによってログを採取され、モニターされる。
・CIO指揮下の情報セキュリティチームは、すべての記憶装置メディアへのアクセスはもちろ
ん、ファイアウォールその他のログへのアクセスも行う。いかなるアクセスもログを採取されて、
年4回レビューされる。
・すべてのマスターパスワードのリストが暗号化されたデータベースに保存され、追加のコピ
ーが企業の金庫で封をされた封筒で保持される。
企業のIT資源、サーバーとファイアウォールとルータ及び関連するハードウェアを収容するコ
ンピュータ室への物理的なアクセスが、カードキーシステムによって承認された個人に制限さ
れ、ビデオ監視装置によって監視される。
物理的アクセスカードがビル警備によって管理される。アクセスカードの使用事績が日誌に
記録される。記録はビル警備によって保持され、レビューされる。
企業のコンピュータ施設への物理的なアクセス権のリクエストは、管理者、コンピュータ運用
チームの承認を必要とする。
潜在的セキュリティ違反の識別と上申のための文書化された手続が存在する。
3.3 定義されたシステムへの未承認の論理
アクセスから保護するための手続が存在す
る。
外部保管バックアップデータと媒体がサービスプロバイダ施設において保存される。外部保
管データと媒体へのアクセスは管理者、コンピュータ運用チームの承認を必要とする。
ログインセッションは、3回のログイン試行の失敗の後に終了させられる。終了させられたログ
インセッションは、セキュリティ管理者によってフォローアップのためにログファイルを採取され
る。
-5-
規準
内部統制の例(注5)
VPN(Virtual Private Network)ソフトウェアが、承認されたユーザーによるリモートアクセスを認
めるために使われる。ユーザーが特定の「クライアント」ソフトウェアとユーザーIDとパスワード
を通してVPNサーバーによって認証される。
ファイアウォールが使われて、未承認のアクセスを阻止するために設定される。
ファイアウォール状況がセキュリティ管理者によってログを採取され、毎日レビューされる。
必要とされないネットワークサービス(例えば、telnet、ftp、http)が企業のサーバー上に効力
をなくされる。必要とされる、承認されたサービスのリストがIT部門によって保持される。このリ
ストは、最新の運営条件における適否の観点から定常的に企業経営者によってレビューされ
る。
侵入検知システムが企業のネットワークの継続的モニタリングを提供して、潜在的セキュリティ
違反の初期段階での識別を提供するために使われる。
3.4 コンピュータ・ウィルス、悪意があるコー
ド、未承認のソフトウェアによる感染から保護
するための手続が存在する。
企業は、定期的なセキュリティレビューと脆弱性評価を行うために第三者と契約する。結果と
改良のための改善勧告が経営者に報告される。
他のセキュリティモニタリングに関連して、セキュリティ管理チームは、ユーザー・グループに
参加して、コンピュータ・ウィルスにかかわっているサービスを予約する。
アンチウィルスのソフトウェアが入ってくる電子メールメッセージのウィルススキャンを含めて備
わっている。パターンファイルが少なくとも毎週更新される。
3.5 インターネットあるいは他の公衆網上を
通過する情報のユーザー認証の伝送保護の
ため、暗号化もしくは他の同等のセキュリティ
技術が利用される。
どんな見つけられたウィルスでもセキュリティチームに報告され、警告がすべてのユーザーが
潜在的ウィルス脅威を彼らに通知することに関してなされる。
企業は、公衆網上に、ユーザーIDとパスワードを含む私的あるいは機密情報の送信のため
に、128ビットの SSL 暗号を使う。ユーザーが潜在的セキュリティ問題を回避するためセキュリ
ティ管理チームによってテストされて、使用のために承認された最新のバージョンにそれらの
ブラウザを更新するように要求される。
3.6 システムセキュリティ違反その他の事件
を識別して、報告して、行動を起こすための
手続が存在する。
アカウント使用状況が、ログイン成功後に128ビットのSSLセッションを通して暗号化される。ユ
ーザーは、要求すればすぐ(Webサイト上の「サインアウト」ボタンを選択することによって)あ
るいは10分の不使用の後にログアウトされる。
ユーザーには、情報セキュリティチームへの潜在的セキュリティ違反を伝達するように指針が
提供される。情報セキュリティチームは、顧客ホットラインと電子メールを通して報告された事
件を日誌に記録する。
侵入検知その他のツールが潜在的セキュリティ違反と他の事件を識別して、ログを採取して、
報告するために使われる。システムは、進行中の潜在的事件について、電子メール又はポケ
ベルによってネットワーク管理者と情報セキュリティチームに通知する。
事件ログが情報セキュリティチームによって毎日モニターされ、評価される。
3.7 システムセキュリティポリシーを持ってい
る準拠性違反の問題が即座に扱われ、修正
行動がタイムリーにとられることを規定するた
めの手続が存在する。
文書化された事件報告と上申手続が経営者によって承認される。
セキュリティ問題が記録されて、問題報告で蓄積される。
修正行動が経営者によって注意され、モニターされる。
定常的に、セキュリティポリシー、内部統制、手続が内部監査部門によって監査される。内部
監査結果が経営者によってレビューされ、回答が用意され、改善計画が実行される。
目標達成のために利用されるシステム構成要素関連の規準
3.8 システムセキュリティと関係があるシステ 企業は、コンピュータ化された情報システムに関連する技術の開発、調達、導入、維持を管
ム基盤とソフトウェアの設計、調達、導入、設 理する正式のシステム開発ライフサイクル(SDLC)方法論を適用している。
定、修正と管理は、承認されたアクセスを可
能にして、未承認のアクセスを阻止する定義 SDLC方法論は、セキュリティ損失のビジネス影響度の評価に基づいて、データと確立された
されたシステムセキュリティポリシーと調和して 標準的なユーザープロファイルの生成を分類することに対するフレームワークを含んでいる。
ユーザーが必要性と職務上の責任に基づいて、標準的なプロファイルを割り当てられる。
いる。
情報とデータの所有者が機密度を分類して、セキュリティの適切なレベルを保持するように要
求された保護のレベルを決定する。
-6-
規準
内部統制の例(注5)
セキュリティ管理チームは、新しいシステム開発あるいは調達が企業のセキュリティ目的、ポリ
シーと基準との調和を保証するために、アーキテクチャと設計仕様書をレビューして承認す
る。
セキュリティに影響を与えるかもしれないシステム構成要素に対する変更が、セキュリティ管
理チームの承認を必要とする。
アクセスコントロールとオペレーティング・システム施設は、オプションとパラメータの導入を含
めて、企業のセキュリティ目的、ポリシーと基準に従ってアクセスを制限するためにインストー
ルされている。
3.9 セキュリティに影響を与えているシステム
の設計、開発、導入、運用に関して責任があ
る要員が、彼らの責任を果たす資格を持って
いることを規定するための手続が存在する。
企業は、定期的なセキュリティレビューと脆弱性評価を行うために第三者と契約する。結果と
改良のための改善勧告が経営者に報告される。
企業は、重要な職位のための実施責任と、学術的、職業的要件を記述した職務記述書を作
成している。
雇用手続は、実証された資格証明が提案された職位と見合うか否かについての重要な見解
と考慮のための候補者の包括的な診断を含んでいる。新しい要員が、経歴調査と身元調査
の対象となることを条件に雇用される。
候補者は、内部の人事異動に含めて、職位の申出の前に直属のビジネス統括者によって承
認される。
定期的な業績評価が従業員の直属の上司によって行われる、それには人材育成活動の評
価とレビューが含まれる。
要員が、訓練とシステムセキュリティ概念と課題に関する能力開発を受ける。
休暇あるいは出張の場合に、重要なシステムセキュリティ機能に代わりの要員を提供するた
めの手続が備わっている。
システムセキュリティに特有な維持性関連の規準
3.10 定義されたシステムセキュリティポリシー 企業経営者が、セキュリティ管理の適切性についての第三者意見を受け取って、定期的に
と調和した構成を含めて、システム構成要素 (契約のサービスレベルアグリーメントに従って)企業のシステムとWebサイトをホストしている
を保持する手続が存在する。
サービスプロバイダから受け取るパフォーマンスのレベルを評価する。
IT部門は、すべてのソフトウェアとそれぞれのレベル、適用されたバージョンとパッチのリスト
を保持する。
システムの変更、維持とサプライヤー保守の要件は標準化され、文書化された変更管理手続
に従う。変更が分類されて、優先順位付けされ、緊急の問題を処理するための手続が備わっ
ている。変更依頼者が彼らの要件の実施状況について知らされる。
要員確保、システム基盤とソフトウェア要件が定期的に評価され、資源が企業のセキュリティ
ポリシーと調和して割り当てられる。
システム構成が毎年テストされて、企業のセキュリティポリシーと最新のサービスレベルアグリ
ーメントに対して評価される。例外報告書、改善計画が作成され、追跡される。
3.11 承認され、テストされそれを提供するた
め文書化されたシステム変更だけが行われる
手続が存在する。
ビジネスと顧客サポートのラインからの代表者を含むIT運営委員会は毎月会合し、予想され
た、レビューが立法の変更の潜在的影響を含めて計画を立てるか、あるいは企業のセキュリ
ティポリシーに対する変更を勧めている。
上級経営層は、相容れない機能を分離する責任と業務分掌を採用している。
企業の文書化されたシステム開発方法論は、プロセスに埋め込まれた基準と内部統制はもち
ろん、変更着手、ソフトウェア開発と、保守及び承認プロセスをも記述する。これらはプログラミ
ング、文書化、テストの基準を含む。
システムの変更、維持とサプライヤー保守の要件は標準化され、文書化された変更管理手続
に従う。変更が分類されて、優先順位付けされ、緊急の問題を処理するための手続が備わっ
ている。変更依頼者は、彼らの要件の実施状況について知らされる。
-7-
規準
内部統制の例(注5)
システム基盤とソフトウェアに対する変更が実施され、本番への導入前に別の開発、テスト環
境でテストされる。
変更管理ポリシーと手続の一部として、「本番移行」プロセス(例えば、「テスト」から「移行」
「本番」まで)がある。本番への移行に際しては、変更を支援した経営者と管理者、コンピュー
タ運用チームの承認を必要とする。
3.12 (事後承認を含めて)緊急変更が文書
化されて、承認されることを規定するための手
続が存在する。
変更が重要なシステム構成要素に行われるとき、主要な中断の場合の使用のために、作成さ
れた「復帰(バックアウト)」計画がある。
システムの変更、維持とサプライヤー保守の要件は標準化され、文書化された変更管理手続
に従う。変更が分類されて、優先順位付けされ、緊急の問題を処理するための手続が備わっ
ている。変更依頼者が彼らの要件の実施状況について知らされる。
標準手続からの逸脱を必要とする緊急変更が毎日、IT管理者によってログを採取され、レビ
ューされ、直属のビジネス統括者に報告される。恒久的調整対策は、企業のビジネス承認の
ラインを含む変更管理プロセスに従う。
4.0 モニタリング: 企業は、システムをモニターして、定義されたシステムセキュリティポリシーの遵守を保持するのに必要な行動をとる。
4.1企業のシステムセキュリティは、定期的に 情報セキュリティチームは、システムをモニターして、権限正統性その他のツールを使ってシ
レビューされて、定義されたシステムセキュリ ステムの脆弱性を評価する。潜在的リスクが評価され、SLAと企業の他の義務と比較される。
ティポリシーと比較される。
改善計画が提案され、実行がモニターされる。
4.2 定義されたシステムセキュリティポリシー
に従って目的を達成する企業の現在の能力
への潜在的な悪化を識別して、実行するプロ
セスがある。
4.3 環境的、技術的な変更がモニターされ、
それらのシステムセキュリティ上の影響はタイ
ムリーに評価される。
企業は、定期的なセキュリティレビューと脆弱性評価を行うために、第三者と契約する。内部
監査部門は、年度の監査計画の一部として、システムセキュリティレビューを行う。結果と改良
のための改善勧告が経営者に報告される。
ログがシステムセキュリティ目的を達成する企業の能力への潜在的な影響を持っているかもし
れない傾向を識別するために分析される。
月次のITスタッフ会議が、システムセキュリティ懸念と傾向に対処するために開催される。調
査結果が年4回の経営会議において検討される。
上級経営層が、年度のIT計画プロセスの一部として、企業のセキュリティポリシー上に適用さ
れる法規制の影響と技術開発を考慮する。
企業の顧客サービスグループは、新興の技術のセキュリティへの影響をモニターする。
ユーザーは、新しい技術の使用を通してシステムセキュリティを改善するために、積極的、主
導的に貢献するよう要請される。
可用性原則と規準
18. 可用性原則は、契約、サービスレベルその他のアグリーメントによって広告あるいは約束されるシステム、プロ
ダクトあるいはサービスへのアクセシビリティに言及する。この原則自身は、最小限受容できるパフォーマンスレベ
ルをシステム可用性と位置付けないことに注意すべきである。最小パフォーマンスレベルは、当事者間で行われた
業務あるいは相互の合意(契約)によって確定している。
19. システム可用性、システム機能性(ファンクショナリティ)、システム簡用性(ユーザビリティ)の間には関連がある
けれども、可用性原則は、システム機能性(システムが実行する特定の機能)とシステム簡用性(ユーザーのシステ
ム機能を特定のタスクあるいは問題に適用する能力)を扱わない。システム可用性は、システムが処理、モニタリン
グ、維持のために、アクセス可能であるかどうかに関係がある。
可用性原則と規準の表
20. システムは約束あるいは合意したとおりに、運用と使用のために利用可能である。
規準
内部統制の例
システムは約束あるいは合意したとおりに、運用と使用のために利用可能である。
1.0 ポリシー: 企業は、システムの可用性のためにポリシーを定義して、文書化している。
1.1 企業のシステム可用性及び関連するセキ 企業の文書化されたシステム開発と調達のプロセスは、システム上の承認されたユーザーと
ュリティポリシーは、特定の個人あるいはグル 可用性に関連するセキュリティ要件を識別して、文書化するための手続を含んでいる。
ープによって確立され、定期的にレビューさ
-8-
規準
れ、承認されている。
1.2 企業のシステム可用性と関連するセキュ
リティポリシーは、下記の事項を含むが、それ
らに制限されない。
a.システム可用性と承認されたユーザーの関
連するセキュリティ要件の識別と文書化。
b. 許可されるアクセスの性質とアクセスに権
限を付与する担当者。
c.未承認のアクセスの防止。
d.新規ユーザーの追加、既存ユーザーのア
クセスレベルの変更及びアクセスする必要の
なくなったユーザーの削除手続。
e.システム可用性と関連するセキュリティに対
する実施責任と説明責任の割当て。
f.システム変更と維持管理に対する実施責任
と説明責任の割当て。
g. 導入前のシステム構成要素のテスト、評
価、承認。
h. システム可用性と関連するセキュリティ問
題に関連している苦情と要請がどのように解
決されるか。
i.システム可用性と関連するセキュリティ違反
その他の事件を処理するための手続。
j.システム可用性と関連するセキュリティポリ
シーをサポートする訓練等に必要な経営資源
を配分するための規定。
k.システム可用性と関連するセキュリティポリ
シーで明示的に扱われない例外事項と状況
の取扱いのための規定。
l.適用される法規制、定義されたコミットメン
ト、サービスレベルアグリーメントの識別と一致
のための規定。
m.文書化された顧客コミットメントあるいはそ
の他の合意に準拠した復旧及びサービスの
継続性。
n.可用性に関して顧客コミットメントあるいは
その他の合意を達成するためのモニタリング
のシステム性能。
1.3 企業のシステム可用性と関連するセキュ
リティポリシーと、それらのポリシーに対する変
更/更新のための実施責任と説明責任が、割
り当てられている。
内部統制の例
ユーザー要件がサービスレベルアグリーメントあるいは他の書類で文書化されている。
経営者が毎年、企業の可用性と関連するセキュリティポリシーをレビューしている。提案され
た変更が、顧客サービス部門からの代表を含むIT基準委員会による承認を必要とされるた
め、同委員会に提出されている。
企業の文書化された、可用性及び関連するセキュリティポリシーは、規準1.2で列挙された要
素を含んでいる。
経営者が最高情報責任者(CIO)に、企業の可用性ポリシーの維持管理と施行に対する責任
を割り当てている。役員会の他の人たちが、役員会ハンドブックで概説されるように、ポリシー
のレビュー、更新と承認を支援している。
重要な情報資源(例えば、データ、プログラムと取引)の所有と管理及び、当該資源の上にシ
ステム可用性と関連するセキュリティを確立して、保持するための実施責任が定義されてい
る。
2.0 コミュニケーション: 企業は、承認されたユーザーに定義されたシステム可用性ポリシーを伝達している。
2.1 企業は、システムの記述とその境界線を 電子商取引システムのために、企業はWebサイト上にシステム記述を開示している。電子商
客観的に定義して、承認されたユーザーに伝 取引システムのためのシステム記述については、付録Bを参照のこと。
達している。
非電子商取引システムのために、企業は承認されたユーザーにシステム記述を提供してい
る。非電子商取引ベースのシステムのためのシステム記述については付録Cを参照のこと。
2.2 ユーザーの可用性に関連するセキュリテ 企業は、システム可用性と関連するセキュリティコミットメントと要求される顧客及び他の外部
ィ義務と、企業のユーザーへの可用性及び関 ユーザーへの可用性と関連するセキュリティ義務は、企業のWebサイト上に/あるいは企業の
連するセキュリティコミットメントは、承認された 標準サービスアグリーメントの一部として掲示されている。サービスレベルアグリーメントは毎
年顧客にレビューされている。
ユーザーに伝達されている。
内部のユーザー(従業員と外注先)のために、企業の、システム可用性とセキュリティに関連
-9-
規準
内部統制の例
しているポリシーは、それらの方向づけの一部として新しい従業員と外注先にレビューされ
る。ポリシーの重要な項目と従業員への影響については検討される。新しい従業員はポリシ
ーを読んで、理解して、従うことを示している誓約書に署名しなくてはならない。毎年、彼らの
パフォーマンスレビューの一部として、従業員がポリシーの理解とそれへの準拠性を再確認
しなくてはならない。外注先の義務が契約で詳述される。
セキュリティ周知プログラムが、従業員に企業の情報技術セキュリティポリシーを伝達するた
めに実行されている。
2.3 企業のシステム可用性と関連するセキュ
リティポリシーとそれらのポリシーに対する変
更/更新のための実施責任と説明責任が、そ
れらを実行することに責任がある企業の要員
に伝達されている。
2.4 システム可用性問題、システムセキュリテ
ィの違反について、苦情を提出することに対
して、企業に影響するプロセスは、承認された
ユーザーに伝達されている。
企業は、企業のイントラネット上にITセキュリティポリシーを公開する。
セキュリティ管理チームは、最高情報責任者(CIO)の指揮の下に、企業の可用性と関連する
セキュリティポリシーを実行することに責任がある。
セキュリティ管理チームは、企業の可用性と関連するセキュリティポリシーの日々の維持につ
いて義務と責任を負い、CIOとIT運営委員会に対する変更を勧める。
可用性と関連するセキュリティコミットメントが年度のIT計画プロセスの一部として顧客アカウ
ント管理者にレビューされている。
顧客と外部のユーザーがシステム可用性、潜在的なセキュリティ違反、他の事件を企業に知
らせるプロセスは、企業のWebサイト上に開示されるか、あるいは新規ユーザーの手引書の
一部として提供されている。
企業のユーザー訓練プログラムは、システム可用性問題、セキュリティ違反その他の事件の
識別及び報告の対処手順を含んでいる。
企業のセキュリティ周知プログラムには、潜在的なセキュリティ違反の識別、セキュリティ管理
チームに知らせるプロセスに関する情報が含まれている。
2.5 システム可用性とシステムセキュリティに
影響を与えるかもしれない変更が、経営者と
影響を与えられるユーザーに伝達されてい
る。
システム可用性問題、セキュリティ違反その他の事件の識別と上申のための文書化された手
続が存在している。
システム可用性、顧客とユーザーと彼らのセキュリティ義務、あるいは企業のセキュリティ業務
に影響を与えるかもしれない変更が、企業のWebサイト上に強調される。
システムセキュリティに影響を与えるかもしれない変更が、提案された変更の導入前に、標準
サービスアグリーメントの規定において影響を受ける顧客によってレビューされて、承認され
る。
システム構成要素に対する計画された変更とそれらの変更のスケジューリングは、月次のIT
運営委員会のミーティングの一部としてレビューされる。
システム構成要素に影響を与える要素を含んだシステム構成要素に対する変更は、導入前
に管理者及びセキュリティ管理チームの承認を必要とする。
可用性とシステムセキュリティに影響を与える変更を含むシステム変更の定期的なコミュニケ
ーションがある。
システムセキュリティに影響を与える変更が、企業の進行中のセキュリティ周知プログラムに
取り入れられている。
3.0 手続: 企業は、定義されたポリシーと基準に従って定義されたシステム可用性目的を達成するために手続を利用する。
3.1 システム運用を混乱させて、システム可 リスク評価が実施され、定期的あるいは内部、外部の物理環境に重要な変更が起きたときに
用性を害するかもしれない潜在的リスク(例え レビューされる。火災、水害、塵埃、高温高湿度と労働問題のような脅威が考慮されている。
ば、環境のリスク、自然災害、労働争議と日々
の操作上のエラーと欠落)に対して、システム 経営者は、リスク評価に基づいて、環境的要因(例えば、火災、塵埃、電力、高温高湿度)か
ら保護する対策を保持する。企業の制御された領域は、煙探知器と防火システム両方を利用
を保護するための手続が存在する。
して火災から保護される。漏水検知器が二重床の中に設置される。
無停電電源装置(UPS)と緊急時電源装置(EPS)両方を利用することによって、企業サイトの
処理環境は停電から保護される。この装置は半年ごとにテストされる。
予防的な保守契約と予定された保守手続が、重要なシステムハードウェア構成要素のために
備わっている。
- 10 -
規準
内部統制の例
ベンダー保証仕様書が、システムが正確に構成を設定されているかを確認するために準拠さ
れ、テストされる。
マイナーな処理エラー、停電と記録の破壊を扱うための手続が文書化されている。
問題の識別、文書化、上申、解決、レビューのための手続が存在する。
3.2 企業の定義されたシステム可用性と関連
するセキュリティポリシーに調和したバックアッ
プ、外部保管、回復、災害復旧を提供するた
めの手続が存在する。
物理的、論理的なセキュリティ管理が、システム可用性を害する可能性のある未承認の行動
の機会を減らすために導入されている。(3.4 - 3.10参照)
経営者は、ビジネス要件のレビューに基づいて、バックアップ及び回復のための包括的な戦
略を導入する。企業のバックアップ手続が文書化されており、それらは冗長サーバー、日次
の差分バックアップ及び、週1回の変更の完全なバックアップを含んでいる。日次、週次のバ
ックアップが、企業のシステム可用性ポリシーに従って外部保管で保存される。
災害復旧計画と危機管理計画が文書化される。
災害復旧計画は役割と責任を定義して、ビジネス影響度分析に基づいて、高い可用性とシス
テムの信頼性を保証するために必要な、重要な情報技術アプリケーションプログラム、オペレ
ーティング・システム、要員、データファイル、タイムフレームを識別する。
ビジネス継続計画(BCP)調整者は、毎年、ビジネスの各分野についてのビジネス影響度分
析をレビューして更新する。
災害復旧計画と危機管理計画が、企業のシステム可用性ポリシーに従って毎年テストされ
る。テスト結果と変更改善勧告が企業の役員会に報告される。
企業の役員会は、災害復旧計画に対する変更をレビューして、承認する。
3.3 企業の定義されたシステム可用性と関連
するセキュリティポリシーをサポートすることが
できるように、バックアップデータとシステムの
インテグリティを保持する手続が存在する。
ビジネス継続計画で識別された重要な要員は、社内及び外部に計画の最新のバージョンを
持つ。電子版が外部保管で保存される。
自動化されたバックアッププロセスには、バックアップデータのインテグリティをテストするため
の手続が含まれる。
バックアップが企業の定義されたバックアップ戦略に従って行われ、バックアップの簡用性が
少なくとも毎年確かめられる。
バックアップシステムとデータが、第三者サービスプロバイダの施設において外部保管され
る。
サービスプロバイダ契約の要件の下で、企業は、外部保管施設において保存された媒体の
年次検証を実施する。検証の一部として、外部保管の場所における媒体が、適切なメディア
管理システムと照合される。保管場所は、物理的なアクセスセキュリティとデータファイルと他
の項目のセキュリティのために半年に一回視察される。
バックアップシステムとデータが年度の災害復旧テストの一部としてテストされる。
システムの可用性に特有のセキュリティ関連の規準
3.4 定義されたシステムへの論理アクセスを a.新規ユーザーの登録と承認
制限するための手続が存在する。下記のこと ・顧客は、企業のWebサイト上に、新規ユーザー情報を提供して、適切なユーザーIDとパスワ
ードを選ぶセキュリティ性が高いセッションの下において自分で登録することができる。
が重要であるが、それらに制限されない。
自分で登録された顧客アカウントと結び付けられた権限及び権限付与が、特定の制限された
a.新規ユーザーの登録と承認。
システム機能を提供する。
b.ユーザーの権限付与と認証。
c.ユーザープロファイルに対する変更と更新 ・ユーザーを初期登録するか、あるいは修正する能力とユーザーアクセス権(制限された機能
「顧客アカウント」以外)は、セキュリティ管理チームに制限される。
をするプロセス。
d.システムアクセス権と許諾を与えるプロセ ・直属のビジネス統括者は、従業員と外注先のアクセス権変更のリクエストを承認する。自己
登録の間に与えられたデフォルト権限を超えた顧客アクセス権は、顧客アカウント管理者によ
ス。
e.システム構成、スーパーユーザー機能、マ って承認される。適切な職務分離が権限を与える際に考慮されている。
スターパスワード、強力なユーティリティとセキ b.ユーザーの権限付与と認証
ュリティ装置(例えば、ファイアウォール)に対 ・ユーザーが、アクセスが与えられる前に、彼らのユーザーIDとパスワードで企業のネットワー
クとアプリケーションシステムにログオンするように要求される。ユニークなユーザーIDが個々
するアクセスの制限。
のユーザーに割り当てられる。パスワードは少なくとも6つの、そのうち1文字は英数でない文
- 11 -
規準
3.5 定義されたシステムへの物理的なアクセ
スを制限する手続が存在する。施設、バック
アップ媒体、ファイアウォール、ルータ、サー
バーのような他のシステム構成要素を含む
が、それらに制限されない。
内部統制の例
字を含んでいなくてはならない。パスワードは大文字小文字の違いを識別して、90日ごとに更
新される必要がある。
c.ユーザープロファイルに対する変更と更新
・自分で登録された顧客アカウントに対する変更と更新は、ユーザーが成功裏にシステムに
ログインした後、企業のWebサイト上に、いつでも個々のユーザーによってされることができ
る。 変更は即時に反映される。
・使われていない顧客アカウント(6か月間の不活動)がシステムによって排除される。
・他のアカウントとプロファイルに対する変更は、セキュリティ管理チームに制限されていて、
直属のビジネス統括者、顧客アカウント管理者の承認を要求する。
・退職した従業員のアカウントは、退職通知が人事部から受け取られた時点で失効する。
d. システムアクセス権と許諾の付与
・重要な情報資源にアクセスを許可するすべての経路は、アクセスコントロールシステムとオ
ペレーティング・システム施設によってコントロールされる。アクセスがユーザーに彼らのユー
ザーIDとパスワードを提供するように要求する。権限は、彼らのユーザープロファイルに基づ
いた認証されたユーザーに与えられる。
・ログインセッションは、3回のログイン試行の失敗の後に終了させられる。終了させられたログ
インセッションは、フォローアップのためにログファイルを採取される。
e.システム構成、スーパーユーザー機能、マスターパスワード、強力なユーティリティとセキュ
リティ装置に対するアクセス。
・ハードウェアとオペレーティング・システム設定テーブルは、セキュリティ管理チームに制限
されている。
・アプリケーションソフトウェア設定テーブルは、承認されたユーザーに制限されており、アプ
リケーション変更管理ソフトウェアのコントロール下にある。
・データあるいはプログラムを、閲覧、追加、変更、削除できるユーティリティプログラムは、承
認された技術サービススタッフに制限されている。その使用は、管理者、コンピュータ運用チ
ームによってログを採取され、モニターされる。
・CIO指揮下の情報セキュリティチームは、すべての記憶装置メディアへのアクセスはもちろ
ん、ファイアウォールその他のログへのアクセスも行う。いかなるアクセスもログを採取されて、
年4回レビューされる。
・すべてのマスターパスワードのリストが暗号化されたデータベースに保存され、追加のコピ
ーが企業の金庫で封をされた封筒で保持される。
企業のIT資源、サーバーとファイアウォールとルータ及び関連するハードウェアを収容するコ
ンピュータ室への物理的なアクセスが、カードキーシステムによって承認された個人に制限さ
れ、ビデオ監視装置によって監視される。
物理的アクセスカードがビル警備によって管理される。アクセスカードの使用事績が日誌に
記録される。記録はビル警備によって保持されて、レビューされる。
企業のコンピュータ施設への物理的なアクセス権のリクエストが、管理者、コンピュータ運用
チームの承認を必要とする。
潜在的セキュリティ違反の識別と上申のための文書化された手続が存在する。
3.6 定義されたシステムへの未承認の論理
アクセスから保護するための手続が存在す
る。
外部保管バックアップデータと媒体がサービスプロバイダ施設において保存される。外部保
管データと媒体へのアクセスは管理者、コンピュータ運用チームの承認を必要とする。
ログインセッションは、3回のログイン試行の失敗の後に終了させられる。終了させられたログ
インセッションは、セキュリティ管理者によってフォローアップのためにログファイルを採取され
る。
VPN(Virtual Private Network)ソフトウェアが、承認されたユーザーによるリモートアクセスを認
めるために使われる。ユーザーが特定の「クライアント」ソフトウェアとユーザーIDとパスワード
を通してVPNサーバーによって認証される。
ファイアウォールが使われて、未承認のアクセスを阻止するために設定される。ファイアウォー
ル状況がセキュリティ管理者によってログを採取され、毎日レビューされる。
必要とされないネットワークサービス(例えば、telnet、ftp、http)が企業のサーバー上で効力
をなくされる。必要とされる、承認されたサービスのリストがIT部門によって保持される。このリ
ストは、最新の動作条件における適否の観点から定常的に企業経営者によってレビューされ
る。
- 12 -
規準
3.7 コンピュータ・ウィルス、悪意があるコード
と未承認のソフトウェアによる感染から保護す
るための手続が存在する。
内部統制の例
侵入検知システムが企業のネットワークの継続的モニタリングを提供して、潜在的セキュリティ
違反の初期段階での識別を提供するために使われる。
企業は、定期的なセキュリティレビューと脆弱性評価を行うために第三者と契約する。結果と
改良のための改善勧告が経営者に報告される。
他のセキュリティモニタリングに関連して、セキュリティ管理チームは、ユーザー・グループに
参加して、コンピュータ・ウィルスにかかわっているサービスを予約する。
アンチウィルスのソフトウェアが入ってくる電子メールメッセージのウィルススキャンを含めて備
わっている。パターンファイルが少なくとも毎週更新される。
3.8 インターネットあるいは他の公衆網上を
通過する情報のユーザー認証の伝送保護の
ため、暗号化もしくは他の同等のセキュリティ
技術が利用される。
3.9 システム可用性上の問題と関連するセキ
ュリティ違反その他の事件を識別して、報告し
て、行動を起こすための手続が存在する。
どんな見つけられたウィルスでもセキュリティチームに報告され、警告がすべてのユーザーが
潜在的ウィルス脅威を彼らに通知することに関してなされる。
企業は公衆網上に、ユーザーIDとパスワードを含む私的あるいは機密情報の送信のために
128ビットのSSL暗号を使う。ユーザーが潜在的セキュリティ問題を回避するためセキュリティ
管理チームによってテストされて、使用のために、承認された最新のバージョンにそれらのブ
ラウザを更新するように要求される。
アカウント使用状況が、ログイン成功後に128ビットのSSLセッションを通して暗号化される。ユ
ーザーは、要求すればすぐ(Webサイト上の「サインアウト」ボタンを選択することによって)あ
るいは10分の不使用の後にログアウトされる。
ユーザーには、ヘルプデスク、顧客サービスセンターへのシステム可用性問題、潜在的セキ
ュリティ違反その他の問題を伝達するように指針が提供される。
ヘルプデスクによって解決できないシステム可用性問題と潜在的セキュリティ違反を上申す
るための文書化された手続が存在する。
ネットワークパフォーマンスとシステム処理が年中無休で、社内運用スタッフによって、システ
ムモニタリングツールを使ってモニターされる。パフォーマンス及び処理の可用性問題の上
申と解決のための文書化された手続が存在する。
侵入検知その他のツールが潜在的セキュリティ違反と他の事件を識別して、ログを採取して、
報告するために使われる。システムは、進行中の潜在的事件について、電子メール又はポケ
ベルによってネットワーク管理者と情報セキュリティチームに通知する。
事件ログが情報セキュリティチームによって毎日モニターされ、評価される。
文書化された事件報告と上申手続が経営者によって承認される。
ネットワークパフォーマンス、システム可用性とセキュリティ事件の統計と承認された目標との
比較の記録が蓄積されて、IT運営委員会に毎月報告される。
3.10 システム可用性と関連するセキュリティ
ポリシーを持っている準拠性違反の問題が即
座に扱われ、修正行動がタイムリーにとられる
ことを規定するための手続が存在する。
システムパフォーマンスと性能の分析と予測が、IT計画及び予算編成プロセスの一部として
毎年実施される。
システム処理とセキュリティ関連の問題が記録されて、問題報告で蓄積される。修正行動が
経営者によって注意され、モニターされる。
月次のサイトモニタリングの一部として、可用性とサイト利用状況報告が開示された可用性レ
ベルと比較される。この分析は将来の性能を予想して、すべてのパフォーマンス問題を明ら
かにして、システムを調整することについての手段を提供するために使われる。
問題の文書化、上申、解決、レビューのための標準手続が存在する。
定常的に、セキュリティポリシー、内部統制、手続が内部監査部門によって監査される。内部
監査結果が経営者によってレビューされ、回答が用意され、改善計画が実行される。
企業経営者が、企業のWebサイトをホストするISPから受け取るパフォーマンスのレベルを評
価する。この評価は、ISPが採用しているシステム処理パフォーマンスレベル、可用性とセキュ
リティコントロールのための対策を含めて、合意されたサービスレベルコミットメントと比較し
て、プロバイダの実際のパフォーマンスを評価することによって行われる。
- 13 -
規準
内部統制の例
経営者がWebホスティングサービスプロバイダから内部統制の適切性についての独立した第
三者の年次報告を受け取る。経営者は、これらの報告をレビューして、懸念されるオープンな
項目あるいは要因についても、サービスプロバイダ管理者とともにフォローアップする。
目標達成のために利用されるシステム構成要素関連の規準
3.11 システム可用性とセキュリティに関係が 企業は、コンピュータ化された情報システムに関連する技術の開発、調達、導入、維持を管
あるシステム基盤とソフトウェアの設計、調達、 理する正式のシステム開発ライフサイクル(SDLC)方法論を適用している。
導入、設定、修正と管理は、定義されたシス
テム可用性と関連するセキュリティポリシーと SDLC方法論は、下記のフレームワークを含んでいる。
ユーザーの必要に基づいて、パフォーマンスレベルとシステム可用性要件を確立すること。
調和している。
ユーザー要件に従って企業のバックアップと災害復旧計画プロセスを保持すること。
セキュリティ損失のビジネス影響度の評価に基づいて、確立されるデータの分類と標準的な
ユーザープロファイルの作成に関すること。ユーザーは、必要性と職務上の実施責任に基づ
いて、標準的なプロファイルを割り当てられる。
システムパフォーマンスと可用性に不適正な影響を及ぼすリスクを最小にするために、システ
ム構成要素に対する変更をテストすること。
変更の導入前の復帰(バックアウト)計画の開発。
情報とデータの所有者が処理のパフォーマンスと可用性指標を確定させて、機密度を分類し
て、セキュリティの適切なレベルを保持するように要求された保護のレベルを決定する。
セキュリティ管理チームは、新しいシステム開発あるいは調達が企業の可用性と関連するセ
キュリティポリシーとの調和を保証するために、アーキテクチャと設計仕様書をレビューして承
認する。
システム処理パフォーマンス、可用性とセキュリティに影響を与えるかもしれないシステム構成
要素に対する変更が、セキュリティ管理チームの承認を必要とする。
アクセスコントロールとオペレーティング・システム施設は、オプションとパラメータの設定を含
めて、企業のセキュリティ目的、ポリシーと基準に従ってアクセスを制限するためにインストー
ルされている。
3.12 可用性とセキュリティに影響を与えてい
るシステムの設計、開発、導入、運用に関して
責任がある要員が、彼らの責任を果たす資格
を持っていることを規定するための手続が存
在する。
企業は、定期的なセキュリティレビューと脆弱性評価を行うために第三者と契約する。結果と
改良のための改善勧告が経営者に報告される。
企業は、重要な職位のための実施責任と、学術的、職業的要件を記述した職務記述書を作
成している。
雇用手続は、実証された資格証明が提案された職位と見合うか否かについての重要な見解
と考慮のために、候補者の包括的な診断を含んでいる。新しい要員が、経歴調査と身元調査
の対象となることを条件に雇用される。
候補者は、内部の人事異動を含めて、職位の申出の前に直属のビジネス統括者によって承
認される。
定期的な業績評価が従業員の直属の上司によって行われる。それには人材育成活動の評
価とレビューが含まれる。
要員が、訓練とシステム可用性概念と課題に関する能力開発を受ける。
休暇あるいは出張の場合に、重要なシステム可用性機能に代わりの要員を提供するための
手続が備わっている。
システム可用性に特有な維持性関連の規準
3.13 定義されたシステム可用性と関連する
セキュリティポリシーと調和した構成を含め
て、システム構成要素を保持する手続が存在
する。
企業経営者が、セキュリティ管理の適切性についての第三者意見を受け取って、定期的に
(契約のサービスレベルアグリーメントのとおりに)企業のシステムとWebサイトをホストしている
サービスプロバイダから受け取るパフォーマンスのレベルを評価する。
IT部門は、すべてのソフトウェアとそれぞれのレベル、適用されたバージョンとパッチのリスト
を保持する。
システムの変更、維持とサプライヤー保守の要件は標準化され、文書化された変更管理手続
に従う。変更が分類されて、優先順位付けされ、緊急の問題を処理するための手続が備わっ
ている。変更依頼者が彼らの要件の実施状況について知らされる。
- 14 -
規準
内部統制の例
要員確保、システム基盤とソフトウェア要件が定期的に評価され、資源が企業の可用性に関
連するセキュリティポリシーと調和して割り当てられる。
システム構成が毎年テストされて、企業の処理パフォーマンス、可用性とセキュリティポリシー
と最新のサービスレベルアグリーメントに対して評価される。例外報告書、改善計画が作成さ
れ、追跡される。
3.14 承認され、テストされ文書化されたシス
テム変更だけが行われる手続が存在する。
ビジネスと顧客サポートのラインからの代表者を含むIT運営委員会は毎月会合し、予想され
た、レビューが立法の変更の潜在的影響を含めて計画を立てるか、あるいは企業のセキュリ
ティポリシーに対する変更を勧めている。
上級経営層は、相容れない機能を分離する責任と業務分掌を採用している。
企業の文書化されたシステム開発方法論は、プロセスに埋め込まれた基準と内部統制はもち
ろん、変更着手、ソフトウェア開発と、保守及び承認プロセスをも記述する。これらはプログラミ
ング、文書化、テストの基準を含む。
システムの変更、維持とサプライヤー保守の要件は標準化され、文書化された変更管理手続
に従う。変更が分類されて、優先順位付けされ、緊急の問題を処理するための手続が備わっ
ている。変更依頼者が彼らの要件の実施状況について知らされる。
システム基盤とソフトウェアに対する変更が実施され、本番への導入前に別の開発、テスト環
境でテストされる。
変更管理ポリシーと手続の一部として、「本番移行」プロセス(例えば、「テスト」から「移行」
「本番」まで)がある。本番への移行に際しては、変更を支援した経営者と管理者、コンピュー
タ運用の承認を必要とする。
3.15 (事後承認を含めて)緊急変更が文書
化されて、承認されることを規定するための手
続が存在する。
変更が重要なシステム構成要素にされるとき、主要な中断の場合の使用のために、作成され
た「復帰(バックアウト)」計画がある。
システムの変更、維持とサプライヤー保守のリクエストは標準化され、文書化された変更管理
手続に従う。変更が分類されて、優先順位付けされ、緊急の問題を処理するための手続が備
わっている。変更依頼者が彼らの要件の実施状況について知らされる。
標準手続からの逸脱を必要とする緊急変更が毎日、IT管理者によってログを採取され、レビ
ューされ、直属のビジネス統括者に報告される。恒久的調整対策は、企業のビジネス承認の
ラインを含む変更管理プロセスに従う。
4.0 モニタリング: 企業は、システムをモニターして、定義されたシステム可用性ポリシー、目的と基準との遵守を保持するのに必要な行動
をとる。
4.1 企業のシステム可用性とセキュリティパフ ネットワークパフォーマンスとシステム処理が年中無休で、社内運用スタッフによって、システ
ォーマンスは定期的にレビューされて、定義さ ムモニタリングツールを使ってモニターされる。ネットワークパフォーマンス、システム可用性と
れたシステム可用性と関連するセキュリティポ セキュリティ事件の統計と承認された目標との比較の記録が蓄積されて、IT運営委員会に毎
リシーと比較される。
月報告される。
顧客サービスグループは、システム可用性と関連する顧客の苦情をモニターする。それは改
善勧告とともにそうした問題の月次の報告書を提供し、それらは月次のIT運営委員会のミー
ティングにおいて考慮され、対処される。
情報セキュリティチームは、システムをモニターして、専有その他のツールを使ってシステム
の脆弱性を評価する。潜在的リスクが評価され、SLAと企業の他の義務と比較される。改善計
画が提案され、実行がモニターされる。
4.2 定義されたシステム可用性と関連するセ
キュリティポリシーのとおりに目的を達成する
企業の現在の能力への潜在的な悪化を識別
して、実行するプロセスがある。
企業は、定期的なセキュリティレビューと脆弱性評価を行うために第三者と契約する。内部監
査担当者は、年度の監査計画の一部として、システムセキュリティレビューを行う。結果と改良
のための改善勧告が経営者に報告される。
ネットワークパフォーマンスとシステム処理が年中無休で、社内運用スタッフによって、システ
ムモニタリングツールを使ってモニターされる。ネットワークパフォーマンス、システム可用性と
セキュリティ事件の統計と承認された目標との比較の記録が蓄積されて、IT運営委員会に毎
月報告される。
将来のシステムパフォーマンスと可用性と性能への要件が、年次IT計画作成及び予算編成
- 15 -
規準
内部統制の例
プロセスの一部として計画、分析される。
システムセキュリティ目的を達成する企業の能力の上に潜在的影響を持っているかもしれな
い傾向を識別するためにログが分析される。
4.3 環境的、技術的な変更がモニターされ、
それらのシステム可用性とセキュリティ上の影
響はタイムリーに評価される。
月次のITスタッフ会議が、システムパフォーマンス、可用性、性能、システムセキュリティ懸念
と傾向に対処するために開催される。調査結果が年4回の経営会議において検討される。
企業のデータ処理施設は天候と環境のモニタリング装置を保有している。最適なパフォーマ
ンス範囲からの逸脱が上申されて、解決される。
上級経営層が、年度のIT計画プロセスの一部として、企業の可用性と関連するセキュリティポ
リシー上に適用される法規制の影響と技術開発を考慮する。
企業の顧客サービスグループは、新興の技術、顧客要件と競争的な活動の影響をモニター
する。
処理のインテグリティ原則と規準
21. 処理のインテグリティ原則は、システム処理の完全性、正確性、適時性と承認に関係する。もしシステムが、未
承認、あるいは不注意な操作がなくて、損なわれない方法で意図された機能を実行するなら、処理のインテグリティ
は存在している。完全性は、一般にすべての取引とサービスが処理され、あるいは例外なく実行され、それらの取
引とサービスが複数回処理されないことを示している。正確性は、提出された取引と結び付けられた重要な情報が
取引の処理を通じて正確なままであり、あるいは取引やサービスが意図されたように処理され、あるいは実行される
ことを示している。サービスの提供、あるいは商品の引渡しの適時性は、そのような提供のために行われるコミットメ
ントという流れで扱われる。承認は、必要とされる承認とシステム処理を管理しているポリシーによって定義された権
限に従って処理が実行されるという保証を含んでいる。
22. 処理のインテグリティと関連するリスクは、取引を開始した当事者が求められた特定の要求に従って、取引が
完結したり、正確にサービスが提供されたりしないということである。適切な処理のインテグリティ内部統制がなけれ
ば、買い手は商品を受け取れなかったり、本来依頼した以上の商品、サービスを受け取ったり、間違った商品ある
いはサービスを受け取るかもしれない。しかしながら、もし適切な処理のインテグリティ管理が存在して、システムで
利用可能であるなら、買い手は相応に正しい価格、正しい数量、正しい商品及びサービスが、約束されているとき、
受け取られることを保証されることができる。処理のインテグリティは情報、業務の対象事項であるプロダクトあるい
はサービスを始めて、記録して、処理して、報告するための手続を含めてシステム構成要素のすべてを包摂する。
電子商取引システムでのデータ入力の性質は、他のシステムとはデータ入力の性質が顕著に異なっており、多くの
場合Webで可能となった入力画面あるいはフォーム上に直接にユーザーが入力したデータを含んでいる。このデ
ータ入力プロセスの違いのために、インテグリティ上の内部統制の性質とデータ入力の正確性における相違のため
に、電子商取引システムで入力されたデータの完全性と正確性に対する内部統制の性質は、他のシステムとはあ
る面で異なっているかもしれない。下記の表で概説された内部統制の例は、これらの相違のいくつかを識別してい
る。
23. 処理のインテグリティはデータのインテグリティとは違う。処理のインテグリティは自動的にシステムによって保
管された情報が完全で、正確で、タイムリーで、承認されていることを意味しない。もしシステムがシステムの境界線
の外の源泉からの入力情報を処理するなら、企業は処理のために、提出された情報の完全性、正確性、承認と適
時性に対して、限られた内部統制しか確立できない。社外のサイトにおいて情報、あるいは内部統制手続にもたら
されるエラーは、多くの場合企業の内部統制の埒外である。情報源が業務を定義するシステムの記述から明示的
に除外される場合、システム記述で除外事項を記述することは重要である。他の状況においては、データソースは
調査対象システムの固有の部分であり、処理のために、提出された情報の完全性、正確性、承認と適時性に対す
る内部統制が記述対象システムの範囲に含められる。
処理のインテグリティ原則と規準の表
24. システム処理は完全で、正確で、タイムリーで、承認されている。
規準
内部統制の例
システム処理は完全で、正確で、タイムリーで、承認されている。
1.0 ポリシー: 企業は、システムの処理のインテグリティのためにポリシーを定義して、文書化している。
- 16 -
規準
1.1 企業の処理のインテグリティと関連する
セキュリティポリシーは、特定の個人あるいは
グループによって確立され、定期的にレビュ
ーされ、承認されている。
内部統制の例
企業の文書化されたシステム開発と調達のプロセスは、システム上の承認されたユーザーと
処理のインテグリティに関連するセキュリティ要件を識別して、文書化するための手続を含ん
でいる。
ユーザー要件がサービスレベルアグリーメントあるいは他の書類で文書化されている。
1.2 企業のシステム処理のインテグリティと関
連するセキュリティポリシーは、下記の事項を
含むが、それらに制限されない。
a. システム処理のインテグリティと承認された
ユーザーの関連したセキュリティ要件の識別
と文書化。
b.許可されるアクセスの性質とアクセスに権
限を付与する担当者。
c.未承認のアクセスの防止。
d. 新規ユーザーの追加、既存ユーザーのア
クセスレベルの変更及びアクセスする必要の
なくなったユーザーの削除手続。
e.システム処理のインテグリティに関連するセ
キュリティに対する実施責任と説明責任の割
当て。
f.システム変更と維持管理に対する実施責任
と説明責任の割当て。
g. 導入前のシステム構成要素のテスト、評
価、承認。
h. システム処理のインテグリティに関連するセ
キュリティ問題に関連している苦情と要請がど
のように解決されるか。
i. システム処理のインテグリティに関連する
セキュリティ違反、エラー、欠落その他の事件
を処理するための手続。
j.システムセキュリティポリシーをサポートする
訓練等に必要な経営資源を配分するための
規定。
k.システムセキュリティポリシーで明示的に扱
われない例外事項と状況の取扱いのための
規定。
l.適用される法規制、定義されたコミットメン
ト、サービスレベルアグリーメントの識別と一致
のための規定。
1.3 企業のシステム処理のインテグリティに
関連するシステムセキュリティポリシーとそれ
らのポリシーに対する変更/更新/例外のため
の実施責任が割り当てられている。
セキュリティ責任者は毎年セキュリティポリシーをレビューして、提案された変更が、IT基準委
員会による承認を必要とされるため、同委員会に提出されている。
企業の文書化された処理のインテグリティに関連したセキュリティポリシーは、規準1.2で列挙
された要素を含んでいる。
経営者が最高情報責任者(CIO)に、企業の処理のインテグリティと関連するセキュリティポリシ
ーの導入に対する責任を割り当てている。役員会の他の人たちが、役員会ハンドブックで概
説されるように、ポリシーのレビュー、更新と承認を支援している。
重要な情報資源(例えば、データ、プログラムと取引)の所有と管理及び、当該資源の上にシ
ステム処理のインテグリティに関連するセキュリティを確立して、保持するための実施責任が
定義されている。
2.0 コミュニケーション: 企業は、承認されたユーザーに文書化されたシステム処理のインテグリティポリシーを伝達している。
2.1 企業は、記述書が適用されるシステムの 電子商取引システムのために、企業はWebサイト上に規準2.1に列挙された要素を含めて、シ
ステム記述を開示している。電子商取引システム記述例と追加の開示例については、付録B
記述を定義して、伝達している。
もしシステムが電子商取引システムであるな を参照のこと。
ら、Webサイト上に提供された追加の情報に
は下記の事項を含むが、それらに制限されな 非電子商取引システムのために、企業は承認されたユーザーにシステム記述を提供してい
る。非電子商取引ベースのシステム記述例については、付録Cを参照のこと。
い。
a. もしあれば、提供される商品あるいはサー
ビスの以下を含む性質。
・(新品か、中古か、修理品かという意味での)
商品の状態。
・サービス(あるいはサービス契約)の記述。
- 17 -
規準
・情報の出所(何処で得られ、どのように変換
されたか)。
b. 電子商取引を行う条件及び要件。下記の
事項を含むが、それらに制限されない。
・取引(取引とは、商品が売られる場合は発注
の履行であり、サービスが提供される場合は
サービスの提供の履行を意味する)の完結の
ためのタイムフレーム。
・注文あるいはサービス依頼の通常の処理に
対する例外事項を顧客に通知するタイムフレ
ームとプロセス。
・もしあれば、顧客選択権を含む、通常の商
品あるいはサービスの提供の方法。
・もしあれば、顧客選択権を含む支払条件。
・電子決済実務及びそれに関連する顧客へ
の請求。
・もしあれば、顧客はどのように請求をキャン
セルしてよいか。
・もしあれば、商品返品ポリシーあるいは責任
の制限。
c.顧客がWebサイト上に購入された商品及び
サービスと関係がある保証書、修理サービ
ス、サポートを得ることができる場所。
d.処理のインテグリティに関係している問題
の解決のための手続。これらは、製品、サー
ビスの品質、正確性、完全性と関係があるこ
のような苦情を解決することに関しての失敗
に関連する苦情を含む、電子商取引のある
部分に関連している。
2.2 ユーザーの処理のインテグリティと関連
するセキュリティ義務、企業のユーザーへの
処理のインテグリティと関連するセキュリティコ
ミットメントは、承認されたユーザーに伝達さ
れている。
内部統制の例
企業の処理のインテグリティに関連するセキュリティコミットメントと要求される顧客及び他の外
部ユーザーへの処理のインテグリティに関連するセキュリティ義務は、企業のWebサイト上に/
あるいは企業の標準サービスアグリーメントの一部として掲示されている。
内部のユーザー(従業員と外注先)のために、企業の、処理のインテグリティに関連するセキ
ュリティポリシーは、それらの方向づけの一部として新しい従業員と外注先にレビューされる。
ポリシーの重要な項目と従業員への影響は検討される。新しい従業員はポリシーを読んで、
理解して、従うことを示している誓約書に署名しなくてはならない。毎年、彼らのパフォーマン
スレビューの一部として、従業員が企業の処理のインテグリティとセキュリティポリシーの理解
と遵守を再確認しなくてはならない。外注先の義務が契約で詳述される。
セキュリティ周知プログラムが、従業員に企業の処理のインテグリティと関連するセキュリティ
ポリシーを実行するために伝達されている。
2.3 企業のシステム処理のインテグリティに
関連するセキュリティポリシーとそれらのポリシ
ーに対する変更/更新のための実施責任と説
明責任が、それらを実行することに責任があ
る企業要員に伝達されている。
企業は、企業のイントラネット上にITセキュリティポリシーを公開する。
経営者が最高財務責任者(CFO)に企業の処理のインテグリティポリシーの実施に対する責
任を割り当てる。セキュリティ管理チームは、最高情報責任者(CIO)の指揮の下に、企業のセ
キュリティポリシーを実行することに責任がある。役員会の他の人たちが、役員会ハンドブック
で概説されるように、ポリシーのレビューと更新を支援する。
セキュリティ管理チームは、企業のセキュリティポリシーの日々の維持について、義務と責任
を負い、CIO とIT運営委員会に対して変更を勧める。
2.4 システム処理のインテグリティ問題、エラ
ーと欠落とシステムセキュリティの違反につい
て、企業に通知し、サポートを受けるプロセ
ス、苦情を提出するプロセスは、承認されたユ
ーザーに伝達されている。
処理のインテグリティに関連するセキュリティコミットメントが年度のIT計画プロセスの一部とし
て顧客アカウント管理者により、レビューされる。
顧客と外部のユーザーが潜在的な処理のインテグリティ問題、セキュリティ違反と他の事件を
企業に知らせるプロセスは、企業のWebサイト上に開示されるか、あるいは新規ユーザーの
手引書の一部として提供されている。
企業のユーザー訓練とセキュリティ周知プログラムは、処理のインテグリティ問題、潜在的な
セキュリティ違反の識別、セキュリティ管理チームに知らせるプロセスに関する情報が含まれ
ている。
- 18 -
規準
2.5 システム処理のインテグリティとシステム
セキュリティに影響を与えるかもしれない変更
が、経営者と影響を与えられるユーザーに伝
達されている。
内部統制の例
システム処理のインテグリティ問題、セキュリティ違反その他の事件の識別と上申のための文
書化された手続が存在している。
顧客とユーザーと彼らの処理のインテグリティに関連するセキュリティ義務あるいは企業の処
理のインテグリティに関連するセキュリティコミットメントに影響を与えるかもしれない変更が、
企業のWebサイト上に強調される。
処理のインテグリティに関連するシステムセキュリティに影響を与えるかもしれない変更が、提
案された変更の導入前に標準サービスアグリーメントの規定において影響を受ける顧客によ
ってレビューされて、承認される。
システム構成要素に対する計画された変更とそれらの変更のスケジューリングは、月次のIT
運営委員会のミーティングの一部としてレビューされる。
システムセキュリティに影響を与えるかもしれないシステム構成要素に対する変更は、導入前
に管理者及びセキュリティ管理チームと変更後援者の承認を必要とする。
システムセキュリティに影響を与える要素を含む変更の定期的なコミュニケーションがある。
システムセキュリティに影響を与える変更が、企業の進行中のユーザー訓練とセキュリティ周
知プログラムに取り入れられている。
3.0 手続: 企業は、定義されたシステム処理のインテグリティポリシーに従って文書化されたシステム処理のインテグリティ目的を達成する
ために手続を利用する。
3.1 入力の完全性、正確性、適時性と承認 企業は、ユーザー部門によって従われるデータ作成手続を確立している。
に関連する手続は、文書化されたシステム処
データ入力画面は、フィールド誤謬摘示チェック、リミットチェックを含んでおり、入力フォーム
理のインテグリティポリシーと調和している。
もしシステムが電子商取引システムである場 はエラーと欠落を減らすように設計されている。
合、企業の手続には下記の項目が含まれる
証憑は、入力前に適切な承認のためにレビューされる。
が、それらに制限されない。
・企業は、正確性と完全性のために、それぞ
エラーと例外事項を発見、報告、修正することを保証するために、データ作成の間にエラー
れの要求あるいは取引をチェックする。
・積極的な通知が、取引が処理される前に、 取扱手続に準拠する。
顧客から受け取られる。
原始証憑は、最低7年間、少なくとも法律上の要件を満たすために、データの復旧あるいは
再生を容易にするイメージ管理システム上に保持される。
論理アクセスコントロールがデータ入力機能を承認された要員に制限する。(このセクション
の3.5参照)
顧客アカウント管理者は、顧客の苦情、注残記録、他の取引分析の定期的なレビューを行
う。 この情報は顧客サービスアグリーメントと比較される。
企業は、以下を含む多様な手法を用いて、伝送中及び転送中の情報を未承認のアクセス、
改竄、誤転送から保護する。
・転送情報の暗号化
・バッチヘッダー及びコントロールトータル照合調整
・メッセージ認証コード及びハッシュトータル
・承認されたユーザーの接続を専用線又はVPNで行うこと
・相手先固定接続と耐タンパーパッケージ
Webベースの入力の特質のため、規準3.1を達成するための内部統制の性質が、下記のよう
にある面で異なっていることがある。
・成功したログイン後のアカウント使用状況は、128ビットのSSLセッションで暗号化されてい
る。
・Web スクリプトには無効な入力のエラーチェックが含まれている。
・企業の注文処理システムは、処理の前に情報の正確性と完全性をチェックするためのそれ
ぞれの注文に適用される誤謬摘示、検証、リミットチェックを含んでいる。
・企業によって取引が処理される前に、意図された注文を確認するように要求を示され、顧客
は、「はい、この注文を処理してください」ボタンをクリックするように要求される。
企業は、顧客によって提供された電子メールアドレスに注文確認に電子メールを出す。注文
- 19 -
規準
3.2 システム処理の完全性、正確性、適時性
と承認が、エラー訂正とデータベース管理を
含めて、文書化されたシステム処理のインテ
グリティポリシーと調和している。
もしシステムが電子商取引システムである場
合、下記の手続が含まれるが、それらに制限
されない。
・正しい商品が同意された時間内に、正しい
数量で出荷され、あるいは依頼どおりにサー
ビスと情報が顧客に提供される。
・取引例外事項が顧客に即座に伝達される。
・受信されたメッセージが処理され、正確に、
完全に正しい IP アドレスに送信される。
・送信されるメッセージが処理され、正確に、
完全にサービスプロバイダ(SP)のインターネ
ット・アクセスポイントに伝送される。
・SPのネットワークセグメント内で伝送中である
間に、メッセージが変更されることがない。
3.3 出力の完全性、正確性、適時性と承認
に関連する手続は文書化されたシステム処理
のインテグリティポリシーと調和している。
もしシステムが電子商取引システムである場
合、手続には下記の項目が含まれるが、それ
らに制限されない。
・取引を処理する前に、企業は顧客に販売価
格とすべての他の経費及び料金を表示する。
・取引が同意したように請求され、電子的に決
済される。
・請求あるいは決済エラーが即座に修正され
る。
3.4 入力源泉から最終の性質まで情報入力
の追跡(逆もまた然り)を可能にする手続が存
在する。
内部統制の例
確認はオンラインの顧客注文追跡サービスに注文リスト、出荷と提供情報とリンクを含んでい
る。返された電子メールが顧客サービス係によって調査される。
注文処理に対する責任、クレジットの適用と現金レシート、在庫の保護、ユーザーアカウント
管理とデータベース管理が分離されている。
企業の文書化されたSDLC方法論は、新規アプリケーションの開発と既存アプリケーションの
保守に使われる。方法論は、システム処理のインテグリティ機能の、ユーザー参画のため必
要とされる手続、テスト、変換と管理者の承認を含んでいる。
コンピュータ運用とジョブスケジューリング手続が存在し、文書化され、システム処理のインテ
グリティ目的、ポリシーと基準に関して運用要員のための手続と指針を含んでいる。例外事項
は管理者、コンピュータ運用チームの承認を必要とする。
企業のアプリケーションシステムは不完全、あるいは不正確なデータをチェックするために、
誤謬摘示・検証ルーチンを含んでいる。エラーは、調査され、修正され、入力のために再提
出され、ログを採取される。
管理者は、エラーがタイムリーに修正されることを保証するために、毎日エラーログをレビュー
する。
「日次終了」照合調整手続が出力記録の数と処理された記録の数と受け入れられた記録の
数の照合調整を含む。
企業の電子商取引システムに含まれた追加の内部統制は下記のとおり。
・荷札が顧客の受注から作られ、梱包されるときに再び倉庫スタッフによってチェックされる。
・期待された提供スケジュールに確実に合致する運送業者の配送方法が使われる。運送業
者のパフォーマンスがモニターされて、定期的に評価される。
・サービス提供目標が保持され、提供された実際のサービスが当該目標に対して監視され
る。
・企業は、顧客にサービスの完結あるいは情報の提供で、顧客満足を確認するために、フィ
ードバックアンケートを使う。
・コンピュータ化された注残記録が保持され、24時間以内に注残の顧客に通知するよう意図
される。顧客が発注をキャンセルするか、あるいは代替項目が提供されるようにする選択権を
与えられる。
・モニタリングツールが連続的に潜伏期、パケット損失、ホップとネットワークパフォーマンスを
モニターするために使われる。
・組織はネットワークインテグリティソフトウェアを保持して、ネットワーク管理ポリシーを文書化
する。
・適切に文書化された上申手続が好ましくないネットワークパフォーマンスに修正行動を起こ
すために備わっている。
システム処理のインテグリティ目的、ポリシーと基準に従う出力情報の配布のための文書化さ
れた手続が存在する。
管理作業員が毎日、システム全体及び個別顧客ごとに出力情報件数と取引入力件数のコン
トロールトータルを照合調整する。例外事項はログを採取され、調査され、解決される。
顧客サービス部門は、顧客の電話と苦情を日誌に記録する。顧客電話の分析、苦情、注残
記録その他の取引分析と企業が処理のインテグリティポリシーとの比較が月次の経営会議に
おいてレビューされ、行動計画が作成され、必要に応じて実行される。
企業の電子商取引システムに含まれた追加的内部統制は下記のとおり。
・税金、送料、関税、利用通貨を含むすべての経費が顧客に表示される。注文が処理される
前に、顧客がイエスをクリックすることによって、注文を承諾する。
・顧客は、注文が処理される前に、将来の検証のために、注文のすべての情報(注文された
品目、販売価格、経費、売上税、送料など)を詳述している(クレジットカード文書のような)支
払記録という形態で利用可能な「注文確認」を印刷する選択権を有している。
・外貨建取引を行う前に、すべての外国為替レートは顧客に表示される。
・請求処理あるいは決済のエラーが顧客によって報告されてから、24時間以内にフォローア
ップされ、修正される。
取引の入力においては、システムにより日時が記録され、かつ、入力源泉の識別子(名前、
端末、IPアドレス)も記録されている。
- 20 -
規準
内部統制の例
各注文には、注文及び、関連した出荷と支払決済情報へのアクセスに使えるユニークな識別
子が入っている。この情報には、顧客名と注文、出荷あるいは請求処理の日付によってもア
クセスできる。
企業は、最低10年取引履歴を保持する。注文履歴情報が3年間オンラインで保持され、顧客
サービス担当者によりすぐにアクセス可能である。3年後に、この情報はオフラインの記憶装
置で保持される。
原始証憑が最低7年間、少なくとも法律上の要件を満たすために、データの復旧あるいは再
生を容易にするイメージ管理システム上に保持される。
企業は、外部保管施設において保管されたテープの年次監査を行う。監査の一部として、外
部保管の場所におけるテープが適切なテープ管理システムに照合される。
システム処理のインテグリティに特有のセキュリティ関連の規準
3.5 定義されたシステムの論理アクセスを制 a.新規ユーザーの登録と承認
限するための手続が存在する。下記の事項を ・顧客は、企業のWebサイト上に、新規ユーザー情報を提供して、適切なユーザーIDとパスワ
ードを選ぶセキュリティ性が高いセッションの下において自分で登録することができる。自分
含むが、それらに制限されない。
で登録された顧客アカウントと結び付けられた権限及び権限付与が、特定の制限されたシス
a.新規ユーザーの登録と承認。
テム機能を提供する。
b.承認されたユーザーの権限付与と認証。
c.ユーザープロファイルに対する変更/更新 ・ユーザーを初期登録するか、あるいは修正する能力とユーザーアクセス権(制限された機能
「顧客アカウント」以外)は、セキュリティ管理チームに制限される。
をするプロセス。
d.システムアクセス権と許諾を与えるプロセ ・直属のビジネス統括者は、従業員と外注先のアクセス権変更のリクエストを承認する。自己
登録の間に与えられたデフォルト権限を超えた顧客アクセス権は、顧客アカウント管理者によ
ス。
e.承認されたユーザーに制限された出力帳 って承認される。適切な職務分離が権限を与える際に考慮されている。
b.ユーザーの権限付与と認証
票の配布。
f.オフラインストレージ、バックアップデータ、 ・ユーザーが、アクセスが与えられる前に、彼らのユーザーIDとパスワードで企業のネットワー
クとアプリケーションシステムにログオンするように要求される。ユニークなユーザーIDが個別
システムと媒体への論理アクセスの制限。
g. システム構成、スーパーユーザー機能、マ のユーザーに割り当てられる。パスワードは少なくとも6つの、そのうち1文字は英数でない文
スターパスワード、強力なユーティリティとセキ 字を含んでいなくてはならない。パスワードは大文字小文字の違いを識別して、90日ごとに更
ュリティ装置へのアクセス(例えば、ファイアウ 新される必要がある。
c. ユーザープロファイルに対する変更と更新
ォール)に対するアクセスの制限。
・自分で登録された顧客アカウントに対する変更と更新は、ユーザーが成功裏にシステムに
ログインした後、企業のWebサイト上にいつでも個別のユーザーによってされることができる。
変更は即時に反映される。
・使われていない顧客アカウント(6か月間の不活動)がシステムによって排除される。
・他のアカウントとプロファイルに対する変更は、セキュリティ管理チームに制限されていて、
直属のビジネス統括者、顧客アカウント管理者の承認を要求する。
・退職した従業員のアカウントは、退職通知が人事部から受け取られた時点で失効する。
d. システムアクセス権と許諾の付与
・重要な情報資源にアクセスを許可するすべての経路は、アクセスコントロールシステムとオ
ペレーティング・システム施設によってコントロールされる。アクセスがユーザーに彼らのユー
ザーIDとパスワードを提供するように要求する。権限は、彼らのユーザープロファイルに基づ
いて、認証されたユーザーに与えられる。
・ログインセッションは、3回のログイン試行の失敗の後に終了させられる。終了させられたログ
インセッションは、フォローアップのためにログファイルを採取される。
e. 出力帳票の配布
・コンピュータ処理出力帳票へのアクセスは、情報の分類に基づいて、承認された個人に提
供される。
・処理出力帳票は、情報の分類を反映した領域に保存される。
f. オフラインストレージ、バックアップデータ、システムと媒体への論理アクセス
・オフラインストレージ、バックアップデータ、システムと媒体への論理アクセスは、コンピュー
タ運用スタッフに制限される。
g.システム構成、スーパーユーザー機能、マスターパスワード、強力なユーティリティとセキュ
リティ装置に対するアクセス。
・ハードウェアとオペレーティング・システム設定テーブルは、セキュリティ管理チームに制限
されている。
・アプリケーションソフトウェア設定テーブルは、承認されたユーザーにアプリケーション変更
管理ソフトウェアの内部統制の下で制限されている。
・データあるいはプログラムを、閲覧、追加、変更、削除できるユーティリティプログラムは、承
認された技術サービススタッフに制限されている。その使用は、管理者、コンピュータ運用チ
ームによってログファイルを採取され、モニターされる。
- 21 -
規準
3.6 定義されたシステムへの物理的アクセス
を制限するための手続が存在する。施設、オ
フライン記憶媒体、バックアップ媒体とシステ
ムとファイアウォールのような他のシステム構
成要素、ルータとサーバーを含むが、それら
に制限されない。
内部統制の例
・CIO指揮下の情報セキュリティチームは、すべての記憶装置メディアへのアクセスはもちろ
ん、ファイアウォールその他のログへのアクセスも行う。いかなるアクセスもログを採取されて、
年4回レビューされる。
・すべてのマスターパスワードのリストが暗号化されたデータベースに保存され、追加のコピ
ーが企業の金庫で封をされた封筒で保持される。
企業のIT資源、サーバーとファイアウォールとルータ及び関連するハードウェアを収容するコ
ンピュータ室への物理的なアクセスが、カードキーシステムによって承認された個人に制限さ
れ、ビデオ監視装置によって監視される。
物理的アクセスカードがビル警備によって管理される。アクセスカードの使用事績が日誌に
記録される。記録はビル警備によって保持され、レビューされる。
企業のコンピュータ施設への物理的なアクセス権のリクエストは、管理者、コンピュータ運用
チームの承認を必要とする。
潜在的セキュリティ違反の識別と上申のための文書化された手続が存在する。
3.7 定義されたシステムへの未承認の論理
アクセスから保護するための手続が存在す
る。
外部保管バックアップデータと媒体がサービスプロバイダ施設において保存される。外部保
管データと媒体へのアクセスは管理者、コンピュータ運用チームの承認を必要とする。
ログインセッションは、3回のログイン試行の失敗の後に終了させられる。 終了させられたログ
インセッションは、セキュリティ管理者によってフォローアップのためにログファイルを採取され
る。
VPNソフトウェアが、承認されたユーザーによるリモートアクセスを認めるために使われる。 ユ
ーザーが特定の「クライアント」ソフトウェアとユーザーIDとパスワードを通して VPN サーバー
によって認証される。
ファイアウォールが使われて、未承認のアクセスを阻止するように設定される。ファイアウォー
ル状況がセキュリティ管理者によってログを採取され、毎日レビューされる。
必要とされないネットワークサービス(例えば、telnet、ftp、http )が企業のサーバー上に効力
をなくされる。必要とされる、承認されたサービスのリストがIT部門によって保持される。このリ
ストは、最新の運営条件における適否の観点から定常的に企業経営者によってレビューされ
る。
侵入検知システムが企業のネットワークの継続的モニタリングを提供して、潜在的セキュリティ
違反の初期段階での識別を提供するために使われる。
3.8 コンピュータ・ウィルス、悪意があるコード
と未承認のソフトウェアによる感染から保護す
るための手続が存在する。
企業は、定期的なセキュリティレビューと脆弱性評価を行うために第三者と契約する。結果と
改良のための改善勧告が経営者に報告される。
他のセキュリティモニタリングに関連して、セキュリティ管理チームは、ユーザー・グループに
参加して、コンピュータ・ウィルスにかかわっているサービスを予約する。
アンチウィルスのソフトウェアが入ってくる電子メールメッセージのウィルススキャンを含めて備
わっている。 ウィルス署名が少なくとも毎週更新される。
3.9 インターネットあるいは他の公衆網を通
過する情報のユーザー認証の伝送保護のた
め、暗号化もしくは他の同等のセキュリティ技
術が利用されている。
どんな見つけられたウィルスでもセキュリティチームに報告され、警告がすべてのユーザーが
潜在的ウィルス脅威を彼らに通知することに関してなされる。
企業は公衆網の上に、ユーザーIDとパスワードを含めて私的、あるいは機密情報の送信のた
めに、128ビットのSSL暗号を使う。ユーザーが潜在的セキュリティ問題を避けるために、セキ
ュリティ管理チームによってテストされて、使用のために、承認された最新のバージョンにそれ
らのブラウザをアップグレードするように要求される。
3.10 システムインテグリティ問題に関連する
セキュリティ違反その他の事件を識別して、報
告して、行動を起こすための手続が存在す
る。
アカウント使用状況が、ログイン成功後に128ビットの SSL セッションを通して暗号化される。
ユーザーは、要求すればすぐ(Webサイト上の「サインアウト」ボタンを選択することによって)
あるいは10分の不使用の後にログアウトされる。
ユーザーには、ITホットラインへのシステム処理のインテグリティ問題と潜在的セキュリティ違
反を伝達することに対する指針が提供される。処理のインテグリティ問題が管理者、コンピュ
ータ運用チームに上申される。情報セキュリティチームは、顧客ホットラインと電子メールを通
して報告されたセキュリティ関連の事件を調査する。
- 22 -
規準
内部統制の例
本番稼動及び自動化されたバッチジョブスケジューラーログが毎朝レビューされ、処理問題
を識別、上申し、解決する。
侵入検知その他のツールが潜在的セキュリティ違反と他の事件を識別して、ログを採取して、
報告するために使われる。システムは進行中の潜在的事件について、電子メール又はポケ
ベルによってネットワーク管理者と情報セキュリティチームに通知する。
事件ログが情報セキュリティチームによって毎日モニターされ、評価される。
3.11 システム処理のインテグリティに関連す
るセキュリティポリシーを持っている準拠性違
反の問題が即座に扱われ、修正行動がタイム
リーにとられることを規定するための手続が存
在する。
文書化された事件報告と上申手続が経営者によって承認される。
コンピュータ運用チームのミーティングが前日の処理をレビューするため朝開催される。処理
の問題については、修正行動を含めて議論され、追加の行動計画が必要な場合は、作成さ
れ、実行される。
システム処理問題のレビュー、文書化、上申と解決のための標準手続が存在する。
企業経営者が、定期的に企業のWebサイトをホストするISPから受け取るパフォーマンスレベ
ルを評価する。この評価は、独立の第三者によるISPが有しているセキュリティ内部統制の評
価によってなされるだけでなく、懸念される要因又はオープンな項目についてのISPの管理者
のフォローアップも伴う。
処理のインテグリティに関連するセキュリティ問題が記録されて、問題報告が蓄積される。修
正行動が経営者によって注視され、モニターされる。
定常的に、処理のインテグリティに関連するセキュリティポリシー、内部統制、手続が内部監
査部門によって監査される。このようなテストの結果が経営者によってレビューされ、回答が
用意され、改善計画が実行される。
目標達成のために利用されるシステム構成要素関連の規準
3.12 処理のインテグリティとセキュリティと関 企業は、コンピュータ化された情報システムに関連する技術の開発、調達、導入、維持を管
係があるシステム基盤とソフトウェアの設計、 理する正式のシステム開発ライフサイクル(SDLC)方法論を適用している。
調達、導入、設定、修正と管理は、定義され
た処理のインテグリティに関連するセキュリテ SDLC方法論は、システム所有権の割当て、データ分類に関するフレームワークを含む。プロ
セス所有者はユーザー仕様書の開発、ソリューションの選択、テスト、変換と導入に関与して
ィポリシーに調和している。
いる。
情報とデータの所有者が機密度を分類して、セキュリティの適切なレベルを保持するように要
求された保護のレベルを決定する。
セキュリティ管理チームは、新しいシステム開発あるいは調達が企業のセキュリティ目的、ポリ
シーと基準との調和を保証するために、アーキテクチャと設計仕様書をレビューして承認す
る。
3.13 処理のインテグリティとセキュリティに影
響を与えているシステムの設計、開発、導入、
運用に関して責任がある要員が、彼らの責任
を果たす資格を持っていることを規定するた
めの手続が存在する。
プロセス所有者のレビューとテスト結果の承認と権限付与は変更の導入に必要とされる。
自立したシステム品質保証グループが 設立されCIO に報告している。
企業は、重要な職位のための責任と、学術的、職業的な要件を記述した職務記述書を作成
している。
雇用手続は、実証された資格証明が提案された職位と見合うかと否かについての重要な見
解と考慮のための候補者の包括的な診断を含んでいる。新しい要員が、経歴調査と身元調
査の対象となることを条件に雇用される。
候補者は、内部の人事異動を含めて、職位の申出の前に直属のビジネス統括者によって承
認される。
定期的な業績評価が従業員の直属の上司によって行われる。それには人材育成活動の評
価とレビューが含まれる。
要員が、訓練とコンピュータ運用、システム設計と開発、テストとセキュリティ概念と課題に関
する能力開発を受ける。
- 23 -
規準
内部統制の例
休暇あるいは出張の場合に、重要なシステム処理機能に代わりの要員を提供するための手
続が備わっている。
システム処理のインテグリティに特有の維持性関連の規準
3.14 定義されたシステム処理のインテグリテ 企業経営者が、セキュリティ管理の適切性についての第三者意見を受け取って、定期的に
ィに関連するセキュリティポリシーと調和した (契約のサービスレベルアグリーメントのとおりに)企業のシステムとWebサイトをホストしている
構成を含めて、システム構成要素を保持する サービスプロバイダから受け取るパフォーマンスのレベルを評価する。
手続が存在する。
IT部門は、すべてのソフトウェアとそれぞれのレベル、応用されたバージョンとパッチのリスト
を保持する。
システムの変更、維持とサプライヤー保守の要件は標準化され、文書化された変更管理手続
に従う。変更が分類されて、優先順位付けされ、緊急の問題を処理するための手続が備わっ
ている。変更依頼者が彼らの要件の実施状況について知らされる。
要員確保、システム基盤とソフトウェア要件が定期的に評価され、資源が企業のセキュリティ
ポリシーと調和して割り当てられる。
システム構成が毎年テストされて、企業のセキュリティポリシーと最新のサービスレベルアグリ
ーメントに対して評価される。例外報告、改善計画が作成され、追跡される。
3.15 承認され、テストされてそれを提供する
ため、文書化されたシステム変更だけが行わ
れる手続が存在する。
ビジネスと顧客サポートのラインからの代表者を含むIT運営委員会は毎月会合し、予想され
た、レビューが立法の変更の潜在的影響を含めて計画を立てるか、あるいは企業のセキュリ
ティポリシーに対する変更を勧めている。
上級経営層は、相容れない機能を分離する責任と業務分掌を実行した。
企業の文書化されたシステム開発方法論は、プロセスに埋め込まれた基準と内部統制はもち
ろん、変更着手、ソフトウェア開発と保守、テスト及び承認プロセスをも記述する。これらはプ
ログラミング、文書化、テスト基準を含む。
システムの変更、維持とサプライヤー保守の要件は標準化され、文書化された変更管理手続
に従う。変更が分類されて、優先順位付けされ、緊急の問題を処理するための手続が備わっ
ている。変更依頼者が彼らの要件の実施状況について知らされる。
システム基盤とソフトウェアに対する変更が実施され、本番への導入前に別の開発、テスト環
境でテストされる。
変更管理ポリシーと手続の一部として、「本番移行」プロセス(例えば、「テスト」から「移行」
「本番」まで)がある。本番への移行に際しては、変更を支援した経営者と管理者、コンピュー
タ運用チームの承認を必要とする。
3.16 (事後承認を含めて)緊急変更が文書
化されて、承認されることを規定するための手
続が存在する。
変更が重要なシステム構成要素にされるとき、主要な中断の場合の使用のために作成された
「復帰(バックアウト)」計画がある。
システムの変更、維持とサプライヤー保守の要件は標準化され、文書化された変更管理手続
に従う。変更が分類されて、優先順位付けされ、緊急の問題を処理するための手続が備わっ
ている。変更依頼者が彼らの要件の実施状況について知らされる。
標準手続からの逸脱を必要とする緊急変更が毎日、IT管理者によってログを採取され、レビ
ューされ、直属のビジネス統括者に報告される。恒久的調整対策は、企業のビジネス承認の
ラインを含む変更管理プロセスに従う。
システム処理のインテグリティに適用される可用性関連の規準
3.17 システム運用を混乱させて、システム処 リスク評価が実施され、定期的あるいは内部、外部の物理環境に重要な変更が起きたときに
理のインテグリティを害するかもしれない潜在 レビューされる。火災、水害、塵埃、高温高湿度と労働問題のような脅威が考慮されている。
的リスク(例えば、環境のリスク、自然災害、労
働争議と日々の操作上のエラーと欠落)に対 経営者は、リスク評価に基づいて、環境的要因(例えば、火災、塵埃、電力、高温高湿度)か
して、システムを保護するための手続が存在 ら保護する対策を保持する。企業の制御された領域は煙探知器と防火システム両方を利用
して火災から保護される。漏水検知器が二重床の中に設置される。
する。
無停電電源装置(UPS)と緊急時電源装置(EPS)両方を利用することによって、企業サイトの
処理環境は停電から保護される。この装置は半年ごとにテストされる。
予防的な保守契約と予定された保守手続が重要なシステムハードウェア構成要素のために
- 24 -
規準
内部統制の例
備わっている。
ベンダー保証仕様書が、システムが正確に構成を設定されているかを確認するために準拠さ
れ、テストされる。
マイナーな処理エラー、停電と記録の破壊を扱うための手続が文書化されている。
問題の識別、文書化、上申、解決、レビューのための手続が存在する。
3.18 企業の定義されたシステム処理のイン
テグリティポリシーに調和したバックアップ、外
部保管、回復、災害復旧を提供するための手
続が存在する。
物理的、論理的なセキュリティ管理が、システム処理のインテグリティを害する可能性のある
未承認の行動の機会を減らすために導入されている。(3.4 - 3.10参照)
経営者は、ビジネス要件のレビューに基づいて、バックアップ及び回復のための包括的な戦
略を導入する。企業のバックアップ手続が文書化されており、それらは冗長サーバー、日次
の差分バックアップ及び、週1回の変更の完全なバックアップを含んでいる。日次、週次のバ
ックアップが企業のシステム可用性ポリシーに従って外部保管で保存される。
災害復旧計画と危機管理計画が、文書化される。
災害復旧計画は役割と責任を定義して、ビジネス影響度分析に基づいて、高い可用性とシス
テムの信頼性を保証するために必要な、重要な情報技術アプリケーションプログラム、オペレ
ーティング・システム、要員、データファイル、タイムフレームを識別する。
ビジネス継続計画(BCP)調整者は、毎年、ビジネスの各分野についてのビジネス影響度分
析をレビューして更新する。
災害復旧計画と危機管理計画が、企業のシステム可用性ポリシーに従って毎年テストされ
る。テスト結果と変更改善勧告が企業の役員会に報告される。
企業の役員会は災害復旧計画に対する変更をレビューして、承認する。
3.19 バックアップデータとシステムの完全
性、正確性、適時性を提供する手続が存在
する。
ビジネス継続計画で識別された重要な要員は、社内及び外部に計画の最新のバージョンを
持つ。電子版が外部保管で保存される。
自動化されたバックアッププロセスにはバックアップデータのインテグリティをテストするため
の手続が含まれる。
バックアップが企業の定義されたバックアップ戦略に従って行われ、バックアップの簡用性が
少なくとも毎年確かめられる。
バックアップシステムとデータが第三者サービスプロバイダの施設において外部保管される。
サービスプロバイダ契約の要件の下で、企業は、外部保管施設において保存された媒体の
年次検証を実施する。検証の一部として、外部保管の場所における媒体が適切なメディア管
理システムと照合される。保管場所は、物理的なアクセスセキュリティとデータファイルと他の
項目のセキュリティのために半年に一回視察される。
バックアップシステムとデータが年度の災害復旧テストの一部としてテストされる。
4.0 モニタリング: 企業は、システムをモニターして、文書化されたシステム処理のインテグリティポリシーへの準拠性を保持するための行
動をとる。
4.1 システム処理のインテグリティとセキュリテ システム処理が社内の運用スタッフによって年中無休でシステムモニタリングツールを使って
ィパフォーマンスが定期的にレビューされて、 モニターされる。処理ログ、パフォーマンスとセキュリティ事件統計と承認された目標への比較
定義されたシステム処理のインテグリティに関 が運用チームによって毎日レビューされ、蓄積され、月次のIT運営委員会に報告される。
連するセキュリティポリシーと比較される。
顧客サービスグループは、システム処理に関連する顧客の苦情をモニターする。それは改良
のための改善勧告と一緒にこのような問題の月次報告書を提供し、それは月次のIT運営委
員会のミーティングにおいて考慮され、行動を起こされる。
情報セキュリティチームは、システムをモニターして、専有その他のツールを使ってシステム
の脆弱性を評価する。潜在的リスクが評価され、SLAと企業の他の義務と比較される。改善計
画が提案され、実行がモニターされる。
企業は、定期的なセキュリティレビューと脆弱性評価を行うために第三者と契約する。内部監
- 25 -
規準
4.2 定義されたシステム処理のインテグリティ
に関連するセキュリティポリシーのとおりに目
的を達成する企業の現在の能力への潜在的
な悪化を識別して、実行するプロセスがある。
内部統制の例
査部門は、年度の監査計画の一部として、処理のインテグリティとシステムセキュリティレビュ
ーを行う。調査結果と改良のための改善勧告が経営者に報告される。
システム処理が社内の運用スタッフによって年中無休でシステムモニタリングツールを使って
モニターされる。処理ログ、パフォーマンスとセキュリティ事件統計と承認された目標への比較
が運用チームによって毎日レビューされ、蓄積され、月次のIT運営委員会に報告される。
年次IT計画と予算編成プロセスの一部として、将来のシステム処理のパフォーマンスと性能
要件が見積られ、分析される。
システム処理のインテグリティに関連するセキュリティ目的を達成する企業の能力に潜在的影
響を持っているかもしれない傾向を識別するためにログが分析される。
4.3環境的、技術的な変更がモニターされ、そ
れらのシステム処理のインテグリティとセキュリ
ティ上の影響はタイムリーに評価される。
月次のITスタッフ会議が、システム処理、性能、セキュリティ懸念と傾向に対処するために開
催される。発見事項が年4回の経営会議において検討される。
企業のデータ処理施設は気候と環境のモニタリング装置を含む。最適なパフォーマンス範囲
からの逸脱が上申されて、解決される。
上級経営層が、年度のIT計画プロセスの一部として、技術開発、企業の処理のインテグリティ
に関連するセキュリティポリシーへの適用される法規制の影響を考慮する。
企業の顧客サービスグループは、新興の技術、顧客要件と競争的な活動の影響をモニター
する。
オンラインプライバシー原則と規準
25. オンラインプライバシー原則は、電子商取引システムを通して顧客から組織が収集するかもしれない個人情報
のプライバシーを保護することに焦点をあてる。組織がこのような情報を保護するために、持っているかもしれない
コントロールがWebベースのシステム外に及ぶかもしれず、サービスプロバイダを含むかもしれないが、企業が収集
するかもしれないすべての個人情報のプライバシー保護に、すべてのソースから対処するのはこの原則の本旨で
はない。AICPA/CICAは原則と規準が「企業規模のプライバシー」に関連していると考えるために、別のタスクフォ
ースを設立した。
26. 電子商取引は個人情報の収集と他の企業との交換を容易にする。消費者の必要性に焦点を絞り、消費者に
向けられたマーケティング資料を受け取ることができるため、消費者のある者は、これはこれでいいと考える。他方、
多くの消費者がこのような自分自身らについての情報の利用は彼らのプライバシーの侵害であると考える。この理
由のため、企業が彼らから収集される情報の種類、このような情報の使用、顧客選択権に関連する問題について、
情報を顧客に与えることは重要である。付け加えて、多くの国が電子商取引を通じて取得された情報のプライバシ
ーをカバーしている法律、規則を導入している。
27、 プライバシーは多くの側面を持つことがあるが、この文書と対応する規準の目的としては、プライバシーは情
報の収集、保管、配布からの保護と定義される。個人情報は、個人を識別できる、あるいは同一性を証明できる個
人に関連している情報と定義される。このような情報は名前、住所、電話番号、社会保障/保険あるいは他の政府
交付の識別番号、雇用者、クレジットカード番号、個人あるいは家族の財務情報、個人あるいは家族の医療情報、
雇用履歴、購入あるいは他の取引履歴、借入記録及びそれに類する情報を含むが、それらに制限されない。機微
な情報、保健医療、人種、民族、政治的見解、宗教的、哲学的信念、労働組合への加入、性生活、犯罪歴、違反
歴等(注6)に関する個人の特定情報と定義される。企業が要求されるか、あるいはプライバシーを保持するために、
業務して、個人的な、敏感、あるいは他の情報から成り立つかもしれない情報を識別するために使われる。
28. 消費者にとって、企業が個人情報を保護する適切なステップを取っていることに確信を持つことは重要である。
電子商取引システムを確立することは比較的容易であるけれども、基盤となる技術は複雑で、多数の情報保護と関
連するセキュリティの多様な議論を必要とすることがある。インターネットあるいは他の公衆網の上に伝達された情
報のプライバシーは比較的容易に危うくなることがある。基本暗号化技術の使用がなければ、例えば、消費者クレ
ジットカード番号が伝達の間傍受され、盗まれることがある。適切なファイアウォールと他のセキュリティ実務がなけ
れば、企業の電子商取引コンピュータシステムの上に存在している個人情報が、企業のビジネスと関係がない第三
者に意図的に、知らぬうちに提供されることがある。
プライバシーの概念
- 26 -
29. AICPA/CICAのプライバシーフレームワークは、個人情報の適切な管理への鍵となる9つの個人情報保護実
務から構成されており、国際的に知られている公正な情報実務に基づいている。これらの実務の多くは、世界中の
多様な司法機関からの個人情報保護法規制によって要求されている。広範には知られていないであろうが、これら
9つの個人情報保護実務は、世界の大半の個人情報保護法に盛り込まれている。それらには、下記が含まれる。
a.通知 ― 企業は、情報を収集する前に企業のプライバシーポリシーと個人情報保護実務をできるだけ早く顧客
に知らせる。当該通知は、どの個人情報を収集し、どのように利用するかの目的を記述している。
b.選択及び同意 − 企業は、個人情報の収集、利用、開示、保持に関して顧客に選択権があることを明らかにす
る。
c.収集 − 企業は、企業が識別した目的に必要な個人情報のみに、その収集を制限する。
d.利用と保持 − 企業は、通知した目的について、及び明示的な同意あるいは暗黙の同意に基づいて、個人情
報の利用と開示を制限する。企業は、所定の目的の達成もしくは法規制の要求を満たすのに必要な限りにおいて
のみ、個人情報を保持する。
e.アクセス − 企業は、顧客に対して、自分自身の個人情報へのレビュー、更新、利用拒絶、削除を行える手段を
提供する。
f.拡散的な転送と開示 − 企業は、通知した目的及び個人の明示的な合意又は暗黙の合意又は法規制で許容さ
れている場合のみ個人情報を第三者に開示する。企業は、自社と同程度の個人情報保護を提供している第三者
にしか個人情報を開示しない。
g.セキュリティ ― 企業は、情報の機微の度合と価値に基づき、情報を喪失、誤用、未承認のアクセス、開示、変
更、破壊から保護するのに合理的な注意を払わなければならない。
h.インテグリティ − 企業は、企業が収集する個人情報が利用目的のために、正確で、完全で、適切であるように維
持する。
i.管理と徹底 − 企業は、自身のプライバシーポリシーの遵守に説明責任を負う一人もしくは複数の人員を指定す
る。企業は、自身のプライバシーポリシーの遵守度合を評価し、検証する定期的なプロセスを有している。企業は、
個人情報保護に関連する苦情と紛争に対処する手続を保持する。
プライバシー規準のグローバルインパクト
30. その性格から、電子商取引はグローバルである。企業が国境線を超えると、彼らはプライバシーに関する法律
に従い、基準に準拠するという困難に直面する。グローバルな市場に参入を考えている企業は、適切なプライバシ
ー基準の開示無しには、ビジネスの遂行を禁止されたり、制限されるかもしれないということに気づく。
31. 世界の他の領域からの消費者は、いかに彼らの情報が利用され、保護されるか、誤った情報の修正が認めら
れるにはどのようなプロセスがあるのか、また、誰がその情報にアクセスできるかを不安に思っている。適切なコント
ロールがなく、また適切な関連する開示がなければ、これらの消費者は適切なコントロールがある他のサイトで取引
することを選ぶであろう。
消費者の返還請求
32. 電子商取引の特性のために、顧客はどのように彼らの苦情が扱われるかについて、不安を抱いている。もし
Webサイトが消費者の不安に対処しようとしない、あるいはできないならば、消費者はどのような返還請求をすること
ができるだろうか。もし消費者がある国にいて、企業が他の国にある場合、どのように消費者の権利は保護されるの
だろうか。いくつかの政府は既に消費者保護を確固とするため、消費者返還請求手続を要求している。裁判システ
ムを通し行う伝統的な紛争解決は、多くの時間と費用を費やすことがある。
33. 全国調停フォーラムによって提供された第三者紛争メカニズムが消費者返還請求に効率的な手段を提供す
ることができる。すべてこのようなメカニズムは付録Aの「消費者調停」で調停の原則に従うべきである。プログラムが
規定する組織体によって義務化されるようにする国のために、プログラムは従われて、電子商取引システムの上に
開示される。
- 27 -
34. オンラインプライバシー規準は下記のことを企業に要求する。
a.付録Aでの調停原則を満たす第三者紛争解決メカニズムの利用へのコミット、そうした第三者紛争解決はそうした
サービスを提供しようとする何らかの組織あるいは政府機関によって提供されるだろう。
b.企業によって解決されない問題に対する消費者返還請求手続(注7)の開示。
オンラインプライバシー原則と規準の表
35. 電子商取引の結果として得られた個人情報が、約束あるいは合意したとおりに収集、利用、開示、維持され
ている。
規準
内部統制の例
電子商取引の結果として得られた個人情報が、約束あるいは合意したとおりに収集、利用、開示、維持されている。
1.0 ポリシー: 企業は、電子商取引の結果として得られた個人情報の保護に関してポリシーを定義して、文書化している。
1.1 企業のプライバシーに関連するセキュリ 企業の文書化されたシステム開発と調達プロセスは、システムとそれらのオンラインプライバ
ティポリシーは、特定の個人あるいはグルー シー要件の承認されたユーザーを識別して、文書化するための手続を含む。
プによって確立されて、定期的にレビューさ
ユーザー要件がサービスレベルアグリーメントあるいは他の書類で文書化される。
れて、承認される。
1.2 企業のオンラインプライバシーに関連す
るセキュリティポリシーは、下記の事項を含む
が、それらに制限されない。
a.承認されたユーザーのオンラインプライバ
シー及び関連したセキュリティ要件の識別と
文書化。
b. 許可されるアクセスの性質とこのようなアク
セスに権限を付与する担当者。
c.未承認のアクセスの防止。
d.新規ユーザーの追加、既存ユーザーのア
クセスレベル変更及びアクセスする必要のな
くなったユーザーの削除手続。
e.オンラインプライバシーに関連するセキュリ
ティに対する実施責任と説明責任の割当て。
f.システム変更と維持管理に対する実施責任
と説明責任の割当て。
g. 導入前のシステム構成要素のテスト、評
価、承認。
h. オンラインプライバシーに関連するセキュリ
ティ問題に関連している苦情とリクエストが解
決される方法と(付録A参照)調停原則に従わ
せる第三者紛争解決プロセスの使用を扱うオ
ンラインプライバシーに関連するセキュリティ
違反と他の事件を処理するための手続。
i. オンラインプライバシーに関連するセキュリ
ティ違反及びその他の事件の取扱規定。
j.オンラインプライバシーに関連するシステム
セキュリティポリシーをサポートする訓練等に
必要な経営資源を配分するための規定。
k. オンラインプライバシーに関連するシステ
ムセキュリティポリシーで扱われる不特定の例
外事項及び例外的状況を取り扱うための規
定。
l.適用される法規制、定義されたコミットメン
ト、サービスレベルアグリーメントその他の契
約の識別と一致のための規定。
m. 収集された情報に関する顧客への通知規
定。
n. 収集された情報の種類に関しての顧客の
選択権、情報の収集に関して顧客が持って
いる選択肢の提供規定。
o. 更新と収集目的のための顧客による自己
最高プライバシー責任者は毎年企業のプライバシーに関連するセキュリティポリシーをレビュ
ーする。提案された変更が、役員会によって承認のために必要とされるように、提出される。
企業の文書化されたオンラインプライバシーに関連するセキュリティポリシーは、規準1.2で列
挙された要素を含んでいる。
- 28 -
規準
の個人情報へアクセスの許諾。
p.記録保存と破棄の実務。
1.3 企業のオンラインプライバシーに関連す
るシステムセキュリティポリシーに対する変更/
更新のための実施責任と説明責任が、割り当
てられている。
内部統制の例
経営者が最高プライバシー責任者(CPO)に企業セキュリティポリシーの維持管理と施行に対
する責任を割り当てている。役員会の他の人たちが、役員会ハンドブックで概説されるよう
に、ポリシーのレビュー、更新と承認を支援する。
重要な情報資源(例えば、データ、プログラムと取引)の所有と管理及び、当該資源の上にセ
キュリティを確立して、保持するための実施責任が定義される。
2.0 コミュニケーション: 企業は、内外のユーザーに、個人情報の保護に関して定義されたポリシーを伝達している。
2.1 企業は、システムの記述とその境界線を 企業は、Webサイト上にシステム記述を開示している。電子商取引システムのためのシステム
客観的に定義して、承認されたユーザーに伝 記述については付録Bを参照のこと。
達している。
2.2 ユーザーのオンラインプライバシーと関 企業の開示されたユーザー義務及びプライバシー及び関連したセキュリティコミットメントは、
連するセキュリティ義務及び、企業のオンライ 規準2.2で列挙された要素を含んでいる。
ンプライバシー関連するユーザーへのセキュ
リティコミットメントは、承認されたユーザーに 内部ユーザー(従業員と外注先)のために、企業のオンラインプライバシーに関連しているポ
リシーは、彼らの方向づけの一部として新しい従業員と外注先にレビューされる、ポリシーと
伝達されて、Webサイト上に開示される。
これらの開示は下記の問題を、含む、しかし それらの従業員への影響の重要な要素は検討される。新しい従業員はこれらのポリシーを読
んで、理解して、従うことを示している誓約書に署名しなくてはならない。毎年、パフォーマン
制限されない。
a.収集され保持されている情報の特定の種 スレビューの一部として、従業員が企業のポリシーの理解と遵守を再確認しなくてはならな
類と源泉、情報の使用と情報の可能な第三者 い。外注先のセキュリティとプライバシー義務は契約で詳述される。
への提供。
もし情報が第三者に提供されるなら、第三者 プライバシー周知プログラムが、企業のオンラインプライバシーと関連するセキュリティポリシ
のプライバシー実務と管理に対する依拠への ーを従業員に伝達するために導入されている。
限界を開示しなくてはならない。このような開
示をしないと、企業が依拠している第三者の 企業は、企業のイントラネット上にオンラインプライバシーに関連するセキュリティポリシーを公
プライバシー実務と管理について、企業のそ 開する。
れと同等か、上回っていることを示す。
このような第三者には下記が含まれる。
・取引に参加する当事者(例えば、クレジット
カード業者、運送サービスと決済組織)
・取引に関与しない当事者(例えば、情報が
提供されるマーケティング組織)
b. どのようにオンラインで個人から個人情報
が収集され、提供されるかに関する選択権。
個人がこのような利用について、オプトアウト
(原則拒否)し、あるいは情報を提供しない
か、取引に関連していない当事者に提供する
ことを拒絶する機会を与えられる。
c.電子商取引のために必要とされる機微な
情報。個人は、この情報が収集され、伝送さ
れる前に、オプトイン(原則容認)しなくてはな
らない。
d.もしあれば、このような情報の特定の用途
の、情報を提供することについての個人の拒
絶のあるいは拒否する個人の決定(あるいは
オプトインではなく)の、結果。
e.収集された個人情報がレビューされ、必要
に応じて、修正され、あるいは削除されること
が可能になる方法。
2.3 もし企業のWebサイトがクッキーあるいは 企業は、Webサイト上に、クッキーの使用を開示する。
他の追跡方法を使う(例えば、Web バグとミド
ルウェア)なら、企業はどのようにそれらが使
われるか開示する。もし顧客が、クッキーを拒
絶するなら、その結果についても開示する。
2.4 オンラインプライバシーとシステムセキュ 顧客と外部のユーザーが潜在的プライバシーに関連するセキュリティ違反その他の事件を企
リティの違反について企業に通知し、サポート 業に通知するプロセスは、企業のWebサイト上に開示される。
を得るプロセスは、承認されたユーザーに伝
達されている。
企業のプライバシー周知プログラムは、潜在的セキュリティ違反の識別、セキュリティ管理チ
ームに知らせるプロセスに関する情報が含まれている。
- 29 -
規準
2.5 企業は、企業によって解決されないプラ
イバシーに関係している問題のために、消費
者返還請求のための手続を開示する。これら
の苦情はこのような苦情を解決することに関し
ての失敗のために、収集、使用と個人情報の
分配と結果に関連しているかもしれない。この
解決プロセスは、下記の特質を持っている。
a .指定された第三者紛争解決サービスある
いは、顧客がこのような未解決の苦情を処理
するこのような第三者からのコミットメントに企
業の、このような苦情の提案された解決に満
足していない場合、規制当局によって義務化
された他のプロセスを使う経営者のコミットメン
ト。特定の第三者に、最初に企業で、もし必
要であるなら、このような苦情を解決すること
において従われる手続。
b.苦情が満足に解決されるまで、苦情の対
象事項である個人情報に関する利用、あるい
はその他の行動の在り方。
2.6 企業は、適用される法規制あるいは企業
が参加する自己規制プログラムにでも従うた
めに必要な追加のプライバシー実務も開示す
る。
2.7 開示されたオンラインプライバシーポリシ
ーが変更、削除される場合又はより緩和され
る場合、企業は修正されたポリシーの明確
な、明示的顧客通知を提供する。
2.8 企業は、ユーザーにいつ彼らが、サイト
が企業のオンラインプライバシーポリシーによ
ってカバーされる状態になったかを知らせる
2.9 企業のオンラインプライバシーに関連す
るシステムセキュリティポリシーとそれらのポリ
シーに対する変更/更新に対する実施責任と
説明責任が、それらを実行することに責任が
ある企業要員に伝達される。
2.10 オンラインプライバシーとシステムセキュ
リティに影響を与えるかもしれない変更が、経
営者と影響を与えられるユーザーに伝達され
る。
内部統制の例
プライバシーとセキュリティ違反その他の事件の識別と上申のための文書化された手続が存
在する。
企業は、Webサイト上に消費者返還請求手続を開示する。
企業は、Webサイトに対する追加のプライバシー実務を開示する。
ポリシーは、変更の発効日から最低3か月以内にWebサイト上に開示される企業のオンライン
プライバシーに変更される。
企業は、ユーザーにサイトが企業のオンラインプライバシーポリシーによってカバーされる状
態になっていることを知らせるためにポップアップウインドウを使う。
この目的のポップアップウインドウの用途が企業のWebサイト上に開示される。
経営者が最高プライバシー責任者に、企業のプライバシーポリシーの実施責任と説明責任を
割り当てる。企業のセキュリティポリシーの実施責任と説明責任が、最高情報責任者(CIO)に
割り当てられる。最高プライバシー責任者は、企業のオンラインプライバシーポリシーの監
督、日々の維持に対して責任があり、変更についての改善勧告を経営委員会に行う。
顧客とユーザーとオンラインプライバシーあるいは関連したセキュリティ義務あるいは企業の
オンラインプライバシーあるいは関連したセキュリティコミットメントに影響を与えるかもしれな
い変更が、企業のWebサイト上に強調される。
システム構成要素に対する計画された変更とそれらの変更のスケジューリングは、月次のIT
運営委員会のミーティングの一部としてレビューされる。
オンラインプライバシーに影響を与えるかもしれないシステム構成要素に対する変更が、導
入の前に最高プライバシー責任者の承認を必要とする。
オンラインプライバシーとシステムセキュリティに影響を与えるかもしれない変更を含めての変
更の定期的なコミュニケーションがある。
オンラインプライバシーあるいはシステムセキュリティに影響を与える変更が、企業の進行中
のプライバシーとセキュリティ周知プログラムに取り入れられる。
3.0 手続 − 企業は、定義されたポリシーと基準に従って文書化されたプライバシー目的を達成するために手続を利用する。
3.1 顧客が個人情報を提供する前に、明確 顧客が取引に関連のない第三者との顧客情報の共有に関して、明確で明示的な選択権を
に通知されない限り、当該情報は取引に不可 与えられることを入力手続において要求しており、企業のデータベースの中で当該選択権を
欠な当事者にしか開示されないことを保証す 追跡する内部統制が備わっている。
る手続が存在する。もし個人情報の提供時
に、顧客が明確に通知されなかった場合、当
該情報が第三者に開示される前に顧客の許
- 30 -
規準
諾を得る。
3.2 企業は、電子商取引の結果として得られ
た個人情報が、企業のビジネスに関連する方
法でだけ従業員によって利用されることを保
証する手続を有する。
3.3 個人情報が、収集、生成、保持されるの
に際しては、誤謬摘示及び検証チェックの対
象となる手続が存在する。
内部統制の例
従業員は、定例的に機密保持契約書に署名するように要求される。この契約書は従業員が
他の個人あるいは企業にアクセス権を持つ情報、データその他のいかなる開示も禁止する。
適切なアクセスコントロールが、職務機能と必要に基づいた機微な、機密の、あるいは個人情
報へのアクセスを制限するために備わっている。
企業は、顧客あるいは他の信頼できる筋のみからデータを受け入れ、信頼性が高い収集方
法を利用する。
取引を完了する前に、顧客は彼らが入力した個人的なデータをチェックするようにシステムに
より誘導される。
顧客が取引を完了する前に、どんな入力された個人的なデータでも修正する機会を持つ。
3.4 情報保護の適切性と企業が依拠し、情 企業は、技術サポート、サービスを外注し、その外注したプロバイダに対して、データを転送
報が転送される第三者について、企業が開 する。企業は、外注プロバイダが従う内部統制について宣言を入手するとともに、当該内部
示したプライバシーポリシーを満たしていると 統制の有効性について外注プロバイダの独立した監査人からの報告書を入手する。
いう保証又は宣言を得るための手続が存在
する。
3.5 顧客のコンピュータ上で情報を保管、変 顧客のコンピュータ上で意図的に情報を保管、変更、あるいはコピーする前に、企業は顧客
更、コピーするため、ファイルをダウンロード の許諾を求める。顧客のコンピュータ上でいかなる診断あるいは棚卸でも行う前に、企業は
顧客の許諾を求める。
する前に顧客の許諾を得る。
a. 顧客がクッキーを望まないと企業に指示し
た場合、企業は、クッキーが顧客のコンピュー 消費者登録ページは、サイト登録とログオンを促進するために、クッキーを利用することを消
タに保存されないことを保証するための内部 費者に通告し、許諾を求める。 顧客は、サービスの一部としてファイルがダウンロードされて
いるときにその許諾の可否判断を行うように誘導される。
統制を有する。
b. 企業は、顧客のコンピュータに情報(クッ
キーを除く)を保存、変更、コピーする許諾を
顧客に依頼する。
3.6 開示された個人情報保護実務が中止さ それぞれのプライバシーポリシー変更の前後に収集されたデータが企業のデータベースで
れるか、あるいは制限を緩和するために変更 追跡される。
される場合、企業は、個人情報が収集された
とき、以前の個人情報保護実務に従って個人 より制限を緩和するようなポリシーに対する変更がされるとき、企業は影響を受けた顧客にこ
情報を保護するための手続を有するか、ある のような変更の通知及び削除された部分を送信し、顧客が新しいポリシーを明示的に選択す
いは当該個人情報に関して新しい個人情報 ることを要請する。新しいポリシーを明示的に選択しない顧客は、古いポリシーの下で継続的
に保護される。
保護実務に従うという顧客の同意を得る。
オンラインプライバシーに特有のセキュリティ関連の規準
3.7 電子商取引を通じて得られた個人情報 a.新規ユーザーの登録と承認
への論理アクセスを制限するための手続が存 ・顧客は、企業のWebサイト上に、新規ユーザー情報を提供して、適切なユーザーIDとパスワ
在する。下記の事項を含むが、それらに制限 ードを選ぶセキュリティ性が高いセッションの下において自分で登録することができる。自分
で登録された顧客アカウントと結び付けられた権限及び権限付与が、特定の制限されたシス
されない。
テム機能を提供する。
a.新規ユーザーの登録と承認。
・ユーザーを初期登録するか、あるいは修正する能力とユーザーアクセス権(制限された機能
b.ユーザーの権限付与と認証。
c.ユーザープロファイルに対する変更と更新 「顧客アカウント」以外)は、セキュリティ管理チームに制限される。
・直属のビジネス統括者は、従業員と外注先のアクセス権変更のリクエストを承認する。自己
をするプロセス。
登録の間に与えられたデフォルト権限を超えた顧客アクセス権は、顧客アカウント管理者によ
d.システムアクセス権と許諾を与える手続。
e.本人以外の個人的、あるいは機微な情報 って承認される。適切な職務分離が権限を与える際に考慮されている。
顧客、個人のグループ、あるいはその他の企 b.ユーザーの権限付与と認証
・ユーザーが、アクセスを与えられる前に、彼らのユーザーIDとパスワードで企業のネットワー
業がアクセスできないようにする手続。
f.割り当てられた役割と責任に基づいて、承 クとアプリケーションシステムにログオンするように要求される。ユニークなユーザーIDが個々
認された従業員のみに個人情報へのアクセ のユーザーに割り当てられる。パスワードは少なくとも6つの、そのうち1文字は英数でない文
字を含んでいなくてはならない。パスワードは大文字小文字の違いを識別して、90日ごとに更
スを制限する手続。
g.権限を付与されたユーザーに出力情報の 新される必要がある。
c. ユーザープロファイルに対する変更と更新
配布を制限すること。
h.オフラインストレージ、バックアップデータ、 ・自分で登録された顧客アカウントに対する変更と更新は、ユーザーが成功裏にシステムに
ログインした後、企業のWebサイト上にいつでも個別のユーザーによってされることができる。
システムと媒体への論理アクセスの制限。
i. システム構成、スーパーユーザー機能、マ 変更は即時に反映される。
スターパスワード、強力なユーティリティとセキ ・使われていない顧客アカウント(6か月間の不活動)がシステムによって排除される。
ュリティ装置(例えば、ファイアウォール)に対 ・他のアカウントとプロファイルに対する変更は、セキュリティ管理チームに制限されていて、
直属のビジネス統括者、顧客アカウント管理者の承認を要求する。
するアクセスの制限。
・退職した従業員のアカウントは、退職通知が人事部から受け取られた時点で失効する。
- 31 -
規準
3.8 電子商取引を通じて得られた個人情報
を含むかあるいは保護する企業のシステム構
成要素に対する物理的アクセスを制限する手
続が存在する。施設、バックアップ媒体、ファ
イアウォール、ルータ、サーバーのような他の
システム構成要素を含むが、それらに制限さ
れない。
内部統制の例
d. システムアクセス権と許諾の付与
・重要な情報資源にアクセスを許可するすべての経路は、アクセスコントロールシステムとオ
ペレーティング・システム施設によってコントロールされる。アクセスがユーザーに彼らのユー
ザーIDとパスワードを提供するように要求する。権限は、彼らのユーザープロファイルに基づ
いて、認証されたユーザーに与えられる。
・ログインセッションは、3回のログイン試行の失敗の後に終了させられる。終了させられたログ
インセッションは、フォローアップのためにログファイルを採取される。
e. 他の顧客の情報へのアクセスの防止
・ログインプロセスの一部として必要とされるユニークな企業IDが顧客に割り当てられる。論理
アクセスソフトウェアが、ログインにおいて利用された企業IDに基づいて、ユーザーアクセスを
制限するために使われる。
・個々の顧客が、彼らのユニークなユーザーIDに基づき、彼ら自身の情報にアクセスを制限
される。
f.個人情報へのアクセスの制限
・情報へのアクセス権の要求は、特定のデータ所有者の承認を要求されるようになっている。
g. 出力情報の配布
・情報の分類に基づいて承認された個人に対し、コンピュータ処理された出力情報へのアク
セス権が提供される。
・処理された出力情報は、情報の分類を反映した区域に保存される。
h. オフラインストレージへ、バックアップデータ、システムと媒体への論理アクセス
・オフラインストレージ、バックアップデータ、システムと媒体への論理アクセスはコンピュータ
運用スタッフに制限される。
i.システム構成、スーパーユーザー機能、マスターパスワード、強力なユーティリティとセキュ
リティ装置に対するアクセス。
・ハードウェアとオペレーティング・システム設定テーブルは、セキュリティ管理チームに制限
されている。
・アプリケーションソフトウェア設定テーブルは、承認されたユーザーに制限されており、アプ
リケーション変更管理ソフトウェアのコントロール下にある。
・データあるいはプログラムを、閲覧、追加、変更、削除できるユーティリティプログラムは、承
認された技術サービススタッフに制限されている。その使用は、管理者、コンピュータ運用チ
ームによってログを採取され、モニターされる。
・CIO指揮下の、情報セキュリティチームは、すべての記憶装置メディアへのアクセスはもちろ
ん、ファイアウォールその他のログへのアクセスも行う。いかなるアクセスもログを採取されて、
年4回レビューされる。
・すべてのマスターパスワードのリストが暗号化されたデータベースに保存され、追加のコピ
ーが企業の金庫で封をされた封筒で保持される。
企業のIT資源、サーバーとファイアウォールとルータ及び関連するハードウェアを収容するコ
ンピュータ室への物理的なアクセスが、カードキーシステムによって承認された個人に制限さ
れ、ビデオ監視装置によって監視される。
物理的アクセスカードがビル警備によって管理される。アクセスカードの使用事績が日誌に
記録される。記録はビル警備によって保持され、レビューされる。
企業のコンピュータ施設への物理的なアクセス権のリクエストは、管理者の承認、コンピュー
タ運用チームの承認を必要とする。
潜在的セキュリティ違反の識別と上申のための文書化された手続が存在する。
3.9 電子商取引システムを未承認の論理ア
クセスから保護するための手続が存在する。
外部保管バックアップデータと媒体がサービスプロバイダ施設において保存される。外部保
管データと媒体へのアクセスは管理者、コンピュータ運用チームの承認を必要とする。
VPNソフトウェアが、承認されたユーザーによるリモートアクセスを認めるために使われる。ユ
ーザーが特定の「クライアント」ソフトウェアとユーザーIDとパスワードを通してVPNサーバーに
よって認証される。
ファイアウォールが使われて、未承認のアクセスを阻止するために設定される。ファイアウォー
ル状況がセキュリティ管理者によってログを採取され、毎日レビューされる。
必要とされないネットワークサービス(例えば、telnet、ftp、http)が企業のサーバー上に効力
をなくされる。必要とされる、承認されたサービスのリストがIT部門によって保持される。このリ
ストは、最新の運営条件における適否の観点から定常的に企業経営者によってレビューされ
る。
- 32 -
規準
内部統制の例
侵入検知システムが企業のネットワークの継続的モニタリングを提供して、潜在的セキュリティ
違反の初期段階での識別を提供するために使われる。
3.10 コンピュータ・ウィルス、悪意があるコー
ド、未承認のソフトウェアによる感染から保護
するための手続が存在する。
企業は、定期的なセキュリティレビューと脆弱性評価を行うために第三者と契約する。結果と
改良のための改善勧告が経営者に報告される。
他のセキュリティモニタリングに関連して、セキュリティ管理チームユーザー・グループに参加
して、コンピュータ・ウィルスにかかわっているサービスを予約する。
アンチウィルスのソフトウェアが入ってくる電子メールメッセージのウィルススキャンを含めて備
わっている。パターンファイルが少なくとも毎週更新される。
3.11 ユーザー認証の送信あるいはインター
ネットもしくはその他の公衆網を通過する個人
情報を保護するために、最低128ビットの暗号
もしくは他の同等のセキュリティ技術が利用さ
れる。
どんな見つけられたウィルスでもセキュリティチームに報告され、警告がすべてのユーザーが
潜在的ウィルス脅威を彼らに通知することに関してなされる。
企業は、ユーザーIDとパスワードを含む個人情報あるいは機密情報の公衆網を通じた送信
について、128ビットのSSL暗号を使う。ユーザーが潜在的なセキュリティ問題を回避するため
に、セキュリティ管理チームによってテストされて、使用のために承認された最新のバージョン
にブラウザを更新するように要求される。
アカウント使用状況が、ログイン成功後に128ビットのSSLセッションを通して暗号化される。ユ
ーザーは、要求すればすぐ(Webサイト上の「サインアウト」ボタンを選択することによって)あ
るいは10分間の不活動の後に、ログアウトされる。
3.12 個人情報保護に関連するセキュリティ
への違反その他の事件を識別し、報告し、行
動を起こすための手続が存在する。
処理のための独立した第三者サービスプロバイダへの顧客の個人情報の送信は、専用回線
上でされる。
顧客は、セキュリティ違反あるいは潜在的なオンラインプライバシー違反について、気がつい
たらすぐに電話するか、メッセージを投函することによって事件対応ホットラインに連絡できる
ように指示されたWebサイト上の領域に誘導される。これらの顧客のコメントは評価するため
に、24時間内にフォローアップされ、報告書が顧客とCPOに提供される。
ユーザーには、情報セキュリティチームへの潜在的セキュリティ違反を伝達するように指針が
提供される。情報セキュリティチームは、顧客ホットラインと電子メールを通して報告された事
件を日誌に記録する。
侵入検知その他のツールが潜在的セキュリティ違反と他の事件を識別して、ログを採取して、
報告するために使われる。システムは、進行中の潜在的事件について電子メール又はポケ
ベルによってネットワーク管理者と情報セキュリティチームに通知する。
事件ログが情報セキュリティチームによって毎日モニターされ、評価される。
3.13 オンラインプライバシーに関連したセキ
ュリティポリシーを持っている準拠性違反の問
題が即座に扱われ、修正行動がタイムリーに
とられることを規定するための手続が存在す
る。
文書化された事件報告と上申手続が経営者によって承認される。
個人情報保護に関連するセキュリティ違反あるいはその他の事件がすぐにITセキュリティチ
ームとCPOに報告される。CPOが関与して決定された修正行動が、経営者によって注意さ
れ、モニターされる。
セキュリティポリシー、内部統制、手続が進行中の内部監査計画の一部として内部監査部門
によって監査される。内部監査結果が経営者によってレビューされ、回答が用意され、改善
計画が実行される。
目標達成のために利用されるシステム構成要素関連の規準
3.14 オンラインプライバシー及びセキュリティ 企業は、コンピュータ化された情報システムに関連する技術の開発、導入、維持を管理する
に関連するシステム基盤とソフトウェアの設 正式のシステム開発ライフサイクル(SDLC)方法論を適用している。
計、調達、導入、設定、修正と管理は、定義さ
れたオンラインプライバシー及び関連するセ SDLC方法論は、顧客及び規制上の個人情報保護要件を含むデータ分類のフレームワーク
を内包している。標準的なユーザープロファイルが、個人情報保護要件とセキュリティ損失に
キュリティポリシーと調和している。
対するビジネスへの影響度評価に基づいて確立される。ユーザーが必要と職務上の責任に
基づいて、標準的なプロファイルを割り当てられる。
企業の電子商取引システムを通じて収集された個人情報の所有者及び保管者が機密度を
分類して、個人情報保護の適切なレベルを保持するように要求された保護のレベルを決定
する。
- 33 -
規準
内部統制の例
CPO及びセキュリティ管理チームは、新しいシステム開発あるいは調達が企業のオンラインプ
ライバシーと関連するセキュリティポリシーとの調和を保証するために、アーキテクチャと設計
仕様書をレビューして承認する。
セキュリティに影響を与えるかもしれないシステム構成要素に対する変更は、セキュリティ管
理チームの承認を必要とする。
アクセスコントロールとオペレーティング・システム施設は、オプションとパラメータの導入を含
めて、企業のオンラインプライバシーと関連するセキュリティポリシーに従ってアクセスを制限
するために、インストールされている。
企業は、定期的な個人情報保護とセキュリティレビューと脆弱性評価を行うために、第三者と
契約する。 結果と改良のための改善勧告が経営者に報告される。
3.15 オンラインプライバシーとセキュリティに
影響を与えるシステムの設計、開発、導入、
運用に責任がある要員が、彼らの責任を果た
す資格を持っていることを規定するための手
続が存在する。
既存のオンラインプライバシー及びシステムセキュリティ機能と文書化されたオンラインプライ
バシー、システムセキュリティポリシー及び規制要件を比較するために、定期的な評価が内
部監査部門によって行われる。
企業は、重要な職位のための実施責任と、学術的、職業的要件を記述している職務記述書
を作成している。
雇用手続は、実証された資格証明が提案された職位と見合うか否かについての重要な見解
と考慮のために、候補者の包括的な診断を含んでいる。新しい要員が、経歴調査と参考身元
調査の対象となることを条件に雇用される。
候補者は、内部の人事異動を含めて、職位の申出の前に直属のビジネス統括者によって承
認される。
定期的な業績評価が従業員の直属の上司によって行われる、それには人材育成活動の評
価とレビューが含まれる。
要員が、訓練と個人情報保護とシステムセキュリティ概念と課題に関する能力開発を受ける。
これらのプログラムの参加と実行がCPOによってモニターされる。
休暇あるいは出張の場合に、重要な個人情報保護とシステムセキュリティ機能に代わりの要
員を提供するための手続が備わっている。
オンラインプライバシーに特有の維持性関連の規準
3.16 定義されたオンラインプライバシーと関 企業経営者が、個人情報保護手続と関連するセキュリティ管理の適切性についての第三者
連するセキュリティポリシーと調和した構成を 意見を受け取って、定期的に(契約のサービスレベルアグリーメントに従って)企業のシステム
含めて、システム構成要素を保持する手続が とWebサイトをホストしているサービスプロバイダから受け取るパフォーマンスのレベルを評価
存在する。
する。
IT部門は、すべてのソフトウェアとそれぞれのレベル、適用されたバージョンとパッチのリスト
を保持する。
システムの変更、維持とサプライヤー保守の要件は標準化され、文書化された変更管理手続
に従う。変更が分類されて、優先順位付けされ、緊急の問題を処理するための手続が備わっ
ている。変更依頼者が彼らの要件の実施状況について知らされる。
要員確保、システム基盤とソフトウェア要件が定期的に評価され、資源が企業のオンラインプ
ライバシーと関連するセキュリティポリシーと調和して割り当てられる。
システム構成が毎年テストされて、企業のセキュリティポリシーと最新のサービスレベルアグリ
ーメントに対して評価される。例外報告書、改善計画が作成され、追跡される。
3.17 承認され、テストされそれを提供するた
め文書化されたシステム変更だけが行われる
手続が存在する。
CPO、ビジネスと顧客サポートのラインからの代表者を含むIT運営委員会は毎月会合し、予
想されたレビューが立法の変更の潜在的影響を含めて計画を立てるか、あるいは企業のオン
ラインプライバシーに関連するセキュリティポリシーに対する変更を勧めている。
上級経営層は、相容れない機能を分離する責任と業務分掌を採用している。
企業の文書化されたシステム開発方法論は、プロセスに埋め込まれた基準と内部統制はもち
ろん、変更着手、ソフトウェア開発と、保守及び承認プロセスをも記述する。これらはプログラミ
- 34 -
規準
内部統制の例
ング、文書化とテストの基準を含む。模擬データがソフトウェア開発とテストのために使われ
る。個人情報はこの目的のために使われない。
システムの変更、維持とサプライヤー保守の要件は標準化され、文書化された変更管理手続
に従う。変更が分類されて、優先順位付けされ、緊急の問題を処理するための手続が備わっ
ている。変更依頼者が彼らの要件の実施状況について知らされる。
システム基盤とソフトウェアに対する変更が実施され、本番への導入前に別の開発、テスト環
境でテストされる。
3.18 (事後承認を含めて)緊急変更が文書
化されて、承認されることを要求するための手
続が存在する。
変更管理ポリシーと手続の一部として、「本番移行」プロセス(例えば、「テスト」から「移行」
「本番」まで)がある。本番への移行に際しては、変更を支援した経営者と管理者、コンピュー
タ運用チームの承認を必要とする。
システムの変更、維持とサプライヤー保守の要件は標準化され、文書化された変更管理手続
に従う。変更が分類されて、優先順位付けされ、緊急の問題を処理するための手続が備わっ
ている。変更依頼者が彼らの要件の実施状況について知らされる。
標準手続からの逸脱を必要とする緊急変更が毎日、IT管理者によってログを採取され、レビ
ューされ、直属のビジネス統括者に報告される。恒久的調整対策は、企業のビジネス承認の
ラインを含めての変更管理プロセスに従う。
4.0 モニタリング: 企業は、システムをモニターして、個人情報保護に関して定義されたポリシーの遵守を保持するのに必要な行動をとる。
4.1 企業の個人情報保護とセキュリティの実 情報セキュリティチームは、システムをモニターして、権限正統性その他のツールを使ってシ
績は定期的にレビューされ、企業の定義され ステムの脆弱性を評価する。潜在的リスクが評価され、SLAと企業の他の義務と比較される。
たオンラインプライバシーに関連するセキュリ 改善計画が提案され、実行がモニターされる。
ティポリシーと比較される。
企業は、定期的なセキュリティレビューと脆弱性評価を行うために第三者と契約する。内部監
査部門は、年度の監査計画の一部として、個人情報保護評価レビューを行う。結果と改良の
ための改善勧告が経営者に報告される。
4.2 オンラインプライバシーに関連するセキ ログが個人情報保護と関連するシステムセキュリティ目的を達成する企業の能力への潜在的
ュリティポリシーに従って目的を達成する企業 な影響を持っているかもしれない傾向を識別するために分析される。
の現在の能力への潜在的な悪化を識別し
て、実行するプロセスがある。
月次のITスタッフ会議が、個人情報保護と関連するシステムセキュリティ懸念と傾向に対処す
るために開催される。調査結果が年4回の経営会議において検討される。
4.3 環境的、技術的な変更がモニターされ、 CPOは、外部の法律事務所と連携して、法律上の個人情報保護要件及び、企業がサービス
それらの企業のオンラインプライバシーとセキ する重要な市場における業界の個人情報保護実務の進展をモニターする。
ュリティ上の影響はタイムリーに評価される。
上級経営層が、年度のビジネス計画プロセスの一部として、企業のオンラインプライバシーに
関連するセキュリティポリシー上に適用される法規制の影響と技術開発を考慮する。
企業の顧客サービスグループは、新興の技術のセキュリティへの影響をモニターする。
機密保持原則と規準
36. 機密保持原則は、機密とされた情報に焦点を合わせる。世界中の多くの国で規則によって定義されている個
人の同一性を証明できる情報(すなわち、個人情報)と異なり、機密情報の広く認められた定義はない。通信及び
取引業務を処理するに当たり、ビジネスパートナーはしばしば機密が保持される必要がある情報を交換する。たい
ていの事例では、それぞれの当事者は、彼らが提供する情報が取引の完了、取引あるいはフォローアップを完了
すること、取引に伴って生じる疑問を解決するために、アクセスが必要な個人にのみ利用可能であることの保証を
望む。ビジネスパートナーの信頼感を向上するために、ビジネスパートナーが企業の機密保持実務について知らさ
れることは重要である。企業は機密とされた情報への権限あるアクセス、利用、共有について、提供された方法に
関連する実務を開示する必要がある。
37.
z
z
z
z
z
機密保持の対象とする情報の種類の例
取引の明細
設計図
事業計画
企業の銀行取引情報
在庫の可用性
- 35 -
z
z
z
z
z
値付、あるいはその依頼
価格リスト
法的文書
顧客リスト
顧客や業界からの収入
38. また、個人情報と異なり、機密情報にその正確性とインテグリティを保証するアクセス権の定義はない。結果と
して、機密であると思われることの解釈は、情報は企業間で際立って異なることがあり、たいていの事例で契約の取
り決めによって運用される。結果として、取引関係にある当事者ないし潜在的当事者にとって、どんな情報が機密
理に保持されるべきか、どのようなアクセス権あるいは企業が情報の完全性と正確性を保証するために、更新する
という期待を持つかもしれないことを理解し、受け入れることは重要である。
39. 取引相手に提供される情報は他の当事者のコンピュータシステム上に送信、保管される間に未承認のアクセ
スに晒されやすい。例えば、ビジネスパートナー属性情報、取引と決済指示が、それらが伝達されている間に、未
承認の当事者によって傍受され盗聴されるかもしれない。暗号化のようなコントロールは送信の間にこの情報の機
密保持を保護するため利用することができる。他方、ファイアウォールと厳しいアクセスコントロールが、それがコン
ピュータシステムの上に保管される間に、情報を保護する。
機密保持原則と規準の表
40. 機密と指定された情報が約束あるいは合意したとおりに保護されている。
規準
内部統制の例
機密と指定された情報が約束あるいは合意したとおりに保護されている。
1.0 ポリシー: 企業は、機密情報保護に関連するポリシーを定義している。
1.1 企業の機密保持に関するセキュリティポ 企業の文書化されたシステム開発と調達のプロセスは、システム上の承認されたユーザーと
リシーは、特定の個人あるいはグループによ 機密保持に関連するセキュリティ要件を識別して、文書化するための手続を含んでいる。
って確立され、定期的にレビューされ、承認さ
ユーザー要件がサービスレベルアグリーメント、非開示契約あるいは他の書類で文書化され
れている。
ている。
1.2 企業の、機密情報とセキュリティの保護と
関連するポリシーは、下記の事項を含むが、
それらに制限されない。
a.承認されたユーザーの機密保持と関連す
るセキュリティ要件の識別と文書化。
b. 許可されるアクセスの性質とそのアクセス
に権限を付与する担当者。
c.未承認のアクセスの防止。
d.新規ユーザーの追加、既存ユーザーのア
クセスレベル変更及びアクセスする必要のな
くなったユーザーの削除手続。
e.機密保持に関連するセキュリティに対する
実施責任の割当て。
f.システム変更と維持管理に対する実施責任
と説明責任の割当て。
g. 導入前のシステム構成要素のテスト、評
価、承認。
h. 機密保持に関連するセキュリティ問題につ
いての苦情と要請がどのように解決されるか。
i.機密保持に関連するセキュリティ違反その
他の事件を処理するための手続。
j.システムセキュリティポリシーをサポートする
訓練等に必要な経営資源を配分するための
規定。
k.明示的にシステムセキュリティポリシーで扱
われない例外時刻と状況の取扱いのための
セキュリティ責任者は、毎年、企業の機密保持に関連するセキュリティポリシーをレビューして
いる。提案された変更が、IT基準委員会による承認のために必要とされるため、同意委員会
に提出される。同委員会は顧客サービス係の代表を含む。
企業の文書化されたセキュリティポリシーは、規準1.2で列挙された要素を含んでいる。
- 36 -
規準
規定。
l.適用される法規制、定義されたコミットメン
ト、サービスレベルアグリーメントの識別と一致
のための規定。
1.3 企業の機密保持に関連するセキュリティ
ポリシーとそれらのポリシーに対する変更、更
新のための実施責任と説明責任が、割り当て
られている。
内部統制の例
経営者が人事部長(バイス・プレジデント)に、企業の機密保持ポリシーの導入についての実
施責任を割り当てている。企業のセキュリティポリシーの導入に対する実施責任が最高情報
責任者(CIO)に割り当てられている。役員会の他の人たちが、役員会ハンドブックで概説さ
れるように、ポリシーのレビュー、更新と承認を支援している。
重要な情報資源(例えば、データ、プログラムと取引)の所有と管理及び、当該資源の上に機
密保持と関連するセキュリティを確立して、保持するための実施責任が定義されている。
2.0 コミュニケーション: 企業は、内外のユーザーに機密情報保護に関連するポリシーを伝達している。
2.1 企業は、システムの記述とその境界線を 電子商取引システムのために、企業はWebサイト上にシステム記述を開示している。電子商
客観的に定義して、承認されたユーザーに伝 取引システムのためのシステム記述については、付録Bを参照のこと。
達している。
非電子商取引システムのために、企業は承認されたユーザーにシステム記述を提供してい
る。非電子商取引ベースのシステムのためのシステム記述については付録Cを参照のこと。
2.2 ユーザーの機密保持と関連するセキュリ 企業の機密保持に関連するセキュリティコミットメントと要求される他の外部ユーザーへの機
ティ義務と企業のユーザーへの機密保持と関 密保持に関連するセキュリティ義務は、企業のWebサイト上あるいは契約書、サービスレベル
連するセキュリティコミットメントは、機密情報 アグリーメント、ベンダー契約規定と条件、標準非開示契約で掲示されている。
が提供される前に承認されたユーザーに伝
達されている。このコミュニケーションは下記 署名された非開示契約が機密と指定された情報が第三者と共有される前に必要とされる。契
約書、サービスレベルアグリーメント、ベンダー契約がサービスの遂行、享受の前に交渉され
の事項を含むが、それらに制限されない。
a. どのように情報が機密とされ、機密を解除 る。これらの契約の標準機密保持規定に対する変更には、経営管理層の承認を必要とする。
されるか。
b.どのように機密情報へのアクセスが権限付 内部のユーザー(従業員と外注先)のために、企業の、機密保持に関連するセキュリティポリ
シーは、それらの方向づけの一部として新しい従業員と外注先にレビューされる。ポリシーの
与されるのか。
重要な項目と従業員への影響については検討される。新しい従業員はポリシーを読んで、理
c.どのように機密情報が利用されるのか。
解して、従うことを示している誓約書に署名しなくてはならない。毎年、彼らのパフォーマンス
d.どのように機密情報が共有されるのか。
e.もし情報が第三者に提供されるときは、開 レビューの一部として、従業員がセキュリティポリシーの理解とそれへの準拠性を再確認しな
示に当該第三者の機密保持実務及び内部 くてはならない。外注先の機密保持とセキュリティ義務が契約で詳述される。
統制に依拠することによって生じる何らかの
制限を受けることを含むべきである。そのよう セキュリティ認識プログラムが、従業員に企業の機密保持とセキュリティポリシーを伝達するた
な開示をしないならば、企業がその機密保持 めに実行されている。
実務及び内部統制に合致するか、又はそれ
を超えるような第三者の機密保持実務及び内 企業は、企業のイントラネット上に機密保持に関連するセキュリティポリシーを公開する。
部統制に依拠していることを示していることに
なる。
f.適用される法律と規則に従うために必要な
機密保持実務。
2.3 企業の機密保持に関連するセキュリティ セキュリティ管理チームは、最高情報責任者(CIO)の指揮の下に、企業の機密保持に関連
ポリシーとそれらのポリシーに対する変更と更 するセキュリティポリシーを実行することに責任がある。
新のための実施責任と説明責任が、それらを
実行することに責任がある企業の要員に伝達 セキュリティ管理チームが企業の機密保持に関連するセキュリティポリシーの日々の維持に
ついて義務と責任を負い、CIOとIT運営委員会に対して変更を勧める。
されている。
2.4 機密保持とシステムセキュリティの違反に
ついて、苦情を提出することに対して、企業に
影響するプロセスは、承認されたユーザーに
伝達されている。
機密保持に関連するセキュリティコミットメントが年次のIT計画プロセスの一部として顧客アカ
ウント理者にレビューされる。
顧客と外部のユーザーが潜在的な機密保持あるいはセキュリティ違反と他の事件を企業に
知らせるプロセスは、企業のWebサイト上に開示されるか、あるいは新規ユーザー手引書一
部として提供されている。
企業のセキュリティ周知プログラムは、潜在的な機密保持とセキュリティ違反をセキュリティ管
理チームに知らせるプロセスの識別に関する情報が含まれている。
2.5 機密保持とシステムセキュリティに影響を
与えるかもしれない変更が、経営者と影響を
与えられるユーザーに伝達されている。
潜在的な機密保持あるいはセキュリティ違反と他の事件の識別と上申のための文書化された
手続が存在する。
顧客とユーザーと彼らの機密保持に関連するセキュリティ義務あるいは企業の機密保持とセ
キュリティコミットメントに影響を与えるかもしれない変更が、企業のWebサイト上に強調され
る。
- 37 -
規準
内部統制の例
機密保持とシステムセキュリティに影響を与えるかもしれない変更が、提案された変更の導入
前に標準サービスアグリーメントの規定において影響を受ける顧客によってレビューされて、
承認される。
システム構成要素に対する計画された変更とそれらの変更のスケジューリングは、月次IT運
営委員会のミーティングの一部としてレビューされる。
システムセキュリティに影響を与えるかもしれないシステム構成要素に対する変更について
は、導入前に管理者及びセキュリティ管理チームの承認を必要とする。
機密保持とシステムセキュリティに影響を与える要素を含む変更の定期的なコミュニケーショ
ンがある。
機密保持あるいはシステムセキュリティに影響を与える変更が、企業の進行中のセキュリティ
周知プログラムに取り入れられている。
3.0 手続: 企業は、定義されたポリシーと基準に従って文書化された機密保持目的を達成するために手続を利用する。
3.1 定義された機密保持実務及び関連する 従業員が雇用契約の一部として、機密保持合意に署名するように要求される。この合意は、
セキュリティポリシーに矛盾しない当事者のみ 他の個人あるいは企業に対して、アクセス権を持つ従業員が情報及びその他のデータを開
に機密情報を提供する手続が存在する。
示することを禁止する。
論理アクセスコントロールが職能と必要に基づいて、機密情報へのアクセスを制限するように
備わっている。機密データへのアクセス権のリクエストは、データ所有者の承認を必要とす
る。
3.2 情報が転送される第三者の機密保持ポ
リシーについて、企業の定義された機密保持
実務に関連するセキュリティポリシーを満たし
ているという保証又は宣言を得るための手続
が存在する。
3.3 開示された機密保持実務が中止される
か、あるいは制限を緩和するために変更され
る場合、企業は、当該機密情報が受け取られ
たとき、機密保持実務に従って機密情報を保
護するための手続を有するか、あるいは彼ら
の機密情報に関して新しい機密保持実務に
従うという顧客の同意を得る。
機密保持に特有のセキュリティ関連の規準
3.4 機密情報への論理アクセスを制限するた
めの手続が存在する。下記の事項を含むが、
それらに制限されない。
a.新規ユーザーの登録と承認。
b.すべてのユーザーの識別と権限付与。
c.ユーザープロファイルに対する変更と更新
をするプロセス。
d.システムアクセス権と許諾を与えるための
手続。
e.顧客、個人のグループ、あるいは他の企業
が自分自身以外の機密情報にアクセスするこ
とを防止する手続。
f.彼らの割り当てられた役割と責任に基づい
て、承認された従業員だけに機密情報へのア
クセスを制限する手続。
g.機密情報を含む出力情報の配布を承認さ
れたユーザーに制限すること。
h.オフラインストレージ、バックアップデータ、
システムと媒体への論理アクセスの制限。
ビジネスパートナーは非開示契約(NDA)あるいはその他の契約の機密保持規定の対象とな
っている。
企業は、技術サポートあるいはサービスを外注して、外注したプロバイダにデータを転送す
る。企業によって提供された情報の機密保持に関するサービスプロバイダの要件はサービス
契約に含められる。法務部が企業の機密保持ポリシーとサービスプロバイダの機密保持規定
の適合性を評価するために、第三者サービス契約をレビューする。
企業は、外注プロバイダによって従われる内部統制について宣言を入手し、外注プロバイダ
の独立した監査人からの当該内部統制の有効性に関する報告書を入手する。
ビジネスパートナー契約の機密保持規定に対する変更は、ビジネスパートナーと再検討され
る。
より制限を緩和するポリシーに対する変更がされるとき、企業は新しいポリシーに対して、顧
客の同意を得ようと試みる。新しいポリシーに同意しない顧客の機密情報は、システムから取
り除かれて、破壊されるか、あるいは隔離されて、古いポリシーの下で継続的な保護を受け
る。
a.新規ユーザーの登録と承認
・顧客は、企業のWebサイト上に、新規ユーザー情報を提供して、適切なユーザーIDとパスワ
ードを選ぶセキュリティ性が高いセッションの下において自分で登録することができる。自分
で登録された顧客アカウントと結び付けられた権限及び権限付与が、特定の制限されたシス
テム機能を提供する。
・ユーザーを初期登録するか、あるいは修正する能力とユーザーアクセス権(制限された機能
「顧客アカウント」以外)は、セキュリティ管理チームに制限される。
・直属のビジネス統括者は、従業員と外注先のアクセス権変更のリクエストを承認する。自己
登録の間に与えられたデフォルト権限を超えた顧客アクセス権は、顧客アカウント管理者によ
って承認される。機密保持と適切な職務分離が権限を与える際に考慮されている。
b.ユーザーの識別と権限付与
・ユーザーが、アクセスが与えられる前に、彼らのユーザーIDとパスワードで企業のネットワー
クとアプリケーションシステムにログオンするように要求される。ユニークなユーザーIDが個々
のユーザーに割り当てられる。パスワードは少なくとも6つ、そのうち1文字は英数でない文字
を含んでいなくてはならない。パスワードは大文字小文字の違いを識別して、90日ごとに更新
される必要がある。
c. ユーザープロファイルに対する変更と更新
・自分で登録された顧客アカウントに対する変更と更新は、ユーザーが成功裏にシステムに
ログインした後、企業のWebサイト上にいつでも個々のユーザーによってされることができる。
- 38 -
規準
i.システム構成、スーパーユーザー機能、マ
スターパスワード、強力なユーティリティとセキ
ュリティ装置(例えば、ファイアウォール)への
アクセスの制限。
3.5 定義されたシステムへの物理的アクセス
を制限する手続が存在する。施設、バックアッ
プ媒体、ファイアウォール及び、ルータ、サー
バーのような他のシステム構成要素を含む
が、それらに制限されない。
内部統制の例
変更は即時に反映される。
・使われていない顧客アカウント(6か月間の不活動)がシステムによって排除される。
・他のアカウントとプロファイルに対する変更は、セキュリティ管理チームに制限されていて、
直属のビジネス統括者、顧客アカウント管理者の承認を要求する。
・退職した従業員のアカウントは、退職通知が人事部から受け取られた時点で失効する。
d. システムアクセス権と許諾の付与
・重要な情報資源にアクセスを許可するすべての経路は、アクセスコントロールシステムとオ
ペレーティング・システム施設によってコントロールされる。アクセスがユーザーに彼らのユー
ザーIDとパスワードを提供するように要求する。権限は、彼らのユーザープロファイルに基づ
いて、認証されたユーザーに与えられる。
・ログインセッションは、3回のログイン試行の失敗の後に終了させられる。終了させられたログ
インセッションは、フォローアップのためにログファイルを採取される。
e.他の顧客の情報へのアクセスの防止
・顧客がログインプロセスの一部として必要とされるユニークな企業IDを割り当てられる。論理
アクセスソフトウェアが、ログインにおいて使われた企業IDに基づいて、ユーザーアクセスを
制限するために使われる。
・個々の顧客が彼らのユニークなユーザーIDに基づいて、彼ら自身の情報に制限される。
f.制限された従業員に機密情報へのアクセスを制限すること
・機密の顧客情報へのアクセス権のリクエストは、顧客アカウント管理者の承認を必要とする。
・模擬顧客データがシステム開発とテスト目的のために使われる。機密の顧客情報はこの目
的のために使われない。
g. 出力情報の配布
・コンピュータ処理された出力情報へのアクセスが、情報の分類に基づいて、承認された個
人に提供される。
・処理された出力情報が情報の分類を反映する区域に保存される。
h. オフラインストレージ、バックアップデータ、システムと媒体への論理アクセス
・オフラインストレージ、バックアップデータ、システムと媒体への論理アクセスが、コンピュータ
運用スタッフに制限される。
i. システム構成へのアクセス、スーパーユーザー機能、マスターパスワード、強力なユーテ
ィリティとセキュリティ装置。
・ハードウェアとオペレーティング・システム設定テーブルは、セキュリティ管理チームに制限
されている。
・アプリケーションソフトウェア設定テーブルは、承認されたユーザーにアプリケーション変更
管理ソフトウェアのコントロール下にある。
・データあるいはプログラムを、閲覧、追加、変更、削除できるユーティリティプログラムは、承
認された技術サービススタッフに制限されている。その使用は、管理者、コンピュータ運用チ
ームによってログを採取され、モニターされる。
・CIO指揮下の、情報セキュリティチームは、すべての記憶装置メディアへのアクセスはもちろ
ん、ファイアウォールその他のログへのアクセスも行う。いかなるアクセスもログを採取されて、
年4回レビューされる。
・すべてのマスターパスワードのリストが暗号化されたデータベースに保存され、追加のコピ
ーが企業の金庫で封をされた封筒で保持される。
企業のIT資源、サーバーとファイアウォールとルータ及び関連するハードウェアを収容するコ
ンピュータ室への物理的なアクセスが、カードキーシステムによって承認された個人に制限さ
れ、ビデオ監視装置によって監視される。
物理的アクセスカードがビル警備によって管理される。アクセスカード使用事績が日誌に記
録される。記録はビル警備によって保持されて、レビューされる。
企業のコンピュータ施設への物理的なアクセス権のリクエストは、管理者、コンピュータ運用
チームの承認を必要とする。
潜在的セキュリティ違反の識別と上申のための文書化された手続が存在する。
3.6 定義されたシステムへの未承認の論理
アクセスから保護するための手続が存在す
る。
外部保管バックアップデータと媒体がサービスプロバイダ施設において保存される。外部保
管データと媒体へのアクセスは管理者、コンピュータ運用チームの承認を必要とする。
ログインセッションは、3回のログイン試行の失敗の後に終了させられる。終了させられたログ
インセッションは、セキュリティ管理者によってフォローアップのためにログファイルを採取され
る。
VPNソフトウェアが、承認されたユーザーによるリモートアクセスを認めるために使われる。 ユ
- 39 -
規準
内部統制の例
ーザーが特定の「クライアント」ソフトウェアとユーザーIDとパスワードを通してVPNサーバーに
よって認証される。
ファイアウォールが使われて、未承認のアクセスを阻止するように設定される。
ファイアウォール状況がセキュリティ管理者によってログを採取され、毎日レビューされる。
必要とされないネットワークサービス(例えば、telnet、ftp、http)が企業のサーバー上に効力
をなくされる。必要とされる、承認されたサービスのリストがIT部門によって保持される。このリ
ストは、最新の運営条件での適否の観点から定常的に企業経営者によってレビューされる。
侵入検知システムが企業のネットワークの継続的モニタリングを提供して、潜在的セキュリティ
違反の初期段階での識別を提供するために使われる。
3.7 コンピュータ・ウィルス、悪意があるコード
と未承認のソフトウェアによって感染から保護
するための手続が存在する。
企業は、定期的なセキュリティレビューと脆弱性評価を行うために第三者と契約する。結果と
改良のための改善勧告が経営者に報告される。
他のセキュリティモニタリングに関連して、セキュリティ管理チームは、ユーザー・グループに
参加して、コンピュータ・ウィルスにかかわっているサービスを予約する。
アンチウィルスのソフトウェアが入ってくる電子メールメッセージのウィルススキャンを含めて備
わっている。 ウィルス署名が少なくとも毎週更新される。
3.8 ユーザー認証の送信を保護するため、
及び他の機密情報がインターネットあるいは
他の公衆網を通過する場合に最低限128ビッ
トの暗号あるいは他の同等のセキュリティ技術
が使われる。
どんな見つけられたウィルスでもセキュリティチームに報告され、警告がすべてのユーザーが
潜在的ウィルス脅威を彼らに通知することに関してなされる。
企業は、ユーザーIDとパスワードを含む個人情報あるいは機密情報の公衆網を通じた送信
について、128ビットのSSL暗号を使う。ユーザーが潜在的なセキュリティ問題を回避するため
に、セキュリティ管理チームによってテストされて、使用のために承認された最新のバージョン
にブラウザを更新するように要求される。
アカウント使用状況が、ログイン成功後に128ビットのSSLセッションを通して暗号化される。ユ
ーザーは、要求すればすぐ(Webサイト上の「サインアウト」ボタンを選択することによって)あ
るいは10分間の不活動の後に、ログアウトされる。
取引相手のエクストラネットを通じて企業に提供される機密情報は、128ビットのSSLを用いて
暗号化される。
3.9 機密保持とセキュリティ違反その他の事
件を識別して、報告して、行動を起こすため
の手続が存在する。
処理のための独立した第三者サービスプロバイダへの顧客の機密情報の送信は、専用回線
上でされる。
ユーザーには、情報セキュリティチームへの潜在的機密保持とセキュリティ違反を伝達するこ
とに対する指針が提供される。情報セキュリティチームは、顧客ホットラインと電子メールを通
して報告された事件を日誌に記録する。
侵入検知その他のツールが潜在的セキュリティ違反と他の事件を識別して、ログを採取して、
報告するために使われる。システムは進行中の潜在的事件について、電子メールとポケベル
によってネットワーク管理者と情報セキュリティチームに通知する。
事件ログが情報セキュリティチームによって毎日モニターされて、評価される。
3.10 定義された機密保持及びセキュリティポ
リシーへの準拠性違反の問題が即座に対処
され、修正行動がタイムリーにとられることを
規定するための手続が存在する。
文書化された事件権限付与と上申手続が経営者によって承認される。
セキュリティと機密保持問題がすぐに記録されて、問題報告で蓄積され、顧客アカウント管理
者に報告される。顧客アカウント管理者が関与して決定された修正行動は、経営者によって
注意されて、モニターされる。
顧客サービス部長(バイス・プレジデント)は潜在的機密保持違反の顧客サービスへの影響
度を評価して、対処活動を調整することに実施責任がある。
定常的に、セキュリティポリシー、内部統制、手続が内部監査部門によって監査される。 内部
監査結果が経営者によってレビューされ、回答が用意され、改善計画が実行される。
目標達成のために利用されるシステム構成要素に関連する規準
3.11 システム基盤とソフトウェアの設計、調 企業は、コンピュータ化された情報システムに関連する技術の開発、調達、導入と維持を管
達、導入、設定、修正と管理が、定義された 理する正式のシステム開発ライフサイクル(SDLC)方法論を適用した。
機密保持に関連するセキュリティポリシーに
- 40 -
規準
調和している。
内部統制の例
SDLC方法論は、顧客の機密保持要件とセキュリティ損失のビジネス影響度の評価に基づい
て確立されたデータを分類することに対して、顧客の機密保持要件を含むデータ分類のフレ
ームワーク、標準的なユーザープロファイルの生成を含んでいる。ユーザーが必要と職務上
の責任に基づいて、標準的なプロファイルを割り当てられる。
内部の情報が分類と使用法に基づいて、所有者に割り当てられる。顧客アカウント管理者 が
顧客データの保管者として任命される。内部の情報の所有者と顧客情報とデータの保管者
が機密度を分類して、機密保持とセキュリティの適切なレベルを保持するように要求された保
護のレベルを決定する。
セキュリティ管理チームは、新しいシステム開発あるいは調達が企業の機密保持に関連する
セキュリティポリシーと基準との調和を保証するために、アーキテクチャと設計仕様書をレビュ
ーして承認する。
セキュリティに影響を与えるかもしれないシステム構成要素に対する変更は、セキュリティ管
理チームの承認を必要とする。
アクセスコントロールとオペレーティング・システム施設は、オプションとパラメータの導入を含
めて、企業の機密保持に関連するセキュリティポリシーに従ってアクセスを制限するためにイ
ンストールされている。
3.12 機密保持とセキュリティに影響を与える
システムの設計、開発、導入との運用に関し
て責任がある要員が、彼らの責任を果たす資
格を持っていることを規定するための手続が
存在する。
企業は、定期的なセキュリティレビューと脆弱性評価を行うために第三者と契約する。結果と
改良のための改善勧告が経営者に報告される。
企業は、重要な職位のための実施責任と、学術的、職業的要件を記述している職務記述書
を作成している。
雇用手続は、実証された資格証明が提案された職位と見合うか否かについての重要な見解
と考慮のために、候補者の包括的な診断を含んでいる。新しい要員が、経歴調査と参考身元
調査の対象となることを条件に雇用される。
候補者は、内部の人事異動を含めて、職位の申出の前に直属のビジネス統括者によって承
認される。
定期的な業績評価が従業員の直属の上司によって行われる、それには人材育成活動の評
価とレビューが含まれる。
要員が、訓練と個人情報保護とシステムセキュリティ概念と課題に関する能力開発を受ける。
これらのプログラムの参加と実行がCPOによってモニターされる。
休暇あるいは出張の場合に、重要なシステムセキュリティ機能に代わりの要員を提供するた
めの手続が備わっている。
機密保持に特有の維持性関連の規準
3.13 定義された機密保持に関連するセキュ
リティポリシーと調和した構成を含めて、シス
テム構成要素を保持するための手続が存在
する。
企業経営者が、セキュリティ管理の適切性についての第三者意見を受け取って、定期的に
(契約のサービスレベルアグリーメントに従って)企業のシステムとWebサイトをホストしている
サービスプロバイダから受け取るパフォーマンスのレベルを評価する。
IT部門は、すべてのソフトウェアとそれぞれのレベル、適用されたバージョンとパッチのリスト
を保持する。
システムの変更、維持とサプライヤー保守の要件は標準化され、文書化された変更管理手続
に従う。変更が分類されて、優先順位付けされ、緊急の問題を処理するための手続が備わっ
ている。変更依頼者が彼らの要件の実施状況について知らされる。
要員確保、システム基盤とソフトウェア要件が定期的に評価され、資源が企業の機密保持と
関連するセキュリティポリシーと調和して割り当てられる。
システム構成が毎年テストされて、企業のセキュリティポリシーと最新のサービスレベルアグリ
ーメントに対して評価される。例外報告書、改善計画が作成され、追跡される。
ビジネスと顧客サポートのラインからの代表者を含むIT運営委員会は毎月会合し、予想され
たレビューが立法の変更の潜在的影響を含めて計画を立てるか、あるいは企業の機密保持
- 41 -
規準
3.14 承認され、テストされそれを提供するた
め文書化されたシステム変更だけが行われる
手続が存在する。
内部統制の例
に関連するセキュリティポリシーに対する変更を勧めている。
上級経営層は、相容れない機能を分離する責任と業務分掌を採用している。
企業の文書化されたシステム開発方法論は、プロセスに埋め込まれた基準と内部統制はもち
ろん、変更着手、ソフトウェア開発と、保守及び承認プロセスをも記述する。これらはプログラミ
ング、文書化とテストの基準を含む。
システムの変更、維持とサプライヤー保守の要件は標準化され、文書化された変更管理手続
に従う。変更が分類されて、優先順位付けされ、緊急の問題を処理するための手続が備わっ
ている。変更依頼者が彼らの要件の実施状況について知らされる。
システム基盤とソフトウェアに対する変更が実施され、本番への導入前に別の開発、テスト環
境でテストされる。
変更管理ポリシーと手続の一部として、「本番移行」プロセス(例えば、「テスト」から「移行」
「本番」まで)がある。本番への移行に際しては、変更を支援した経営者と管理者、コンピュー
タ運用チームの承認を必要とする。
3.15 (事後承認を含めて)緊急変更が文書
化されて、承認されることを規定するための手
続が存在する。
変更が重要なシステム構成要素にされるとき、主要な中断の場合の使用のために、作成され
た「復帰(バックアウト)」計画がある。
システムの変更、維持とサプライヤー保守の要件は標準化され、文書化された変更管理手続
に従う。変更が分類されて、優先順位付けされ、緊急の問題を処理するための手続が備わっ
ている。変更依頼者が彼らの要件の実施状況について知らされる。
標準手続からの逸脱を必要とする緊急変更がIT管理者によって毎日ログを採取され、レビュ
ーされ、直属のビジネス統括者に報告される。恒久的調整対策が企業の、ビジネス承認のラ
インを含む変更管理プロセスに従う。
4.0 モニタリング: 企業は、システムをモニターして、文書化された機密保持ポリシー、目的と基準との遵守を保持するのに行動をとる。
4.1 企業の機密保持とセキュリティの実績は 情報セキュリティチームは、システムをモニターして、権限正統性その他のツールを使ってシ
定期的にレビューされ、企業の定義された機 ステムの脆弱性を評価する。潜在的リスクが評価され、SLAと企業の他の義務と比較される。
密保持に関連するセキュリティポリシーと比較 改善計画が提案され、実行がモニターされる。
される。
企業は、定期的なセキュリティレビューと脆弱性評価を行うために第三者と契約する。内部監
査部門は、年度の監査計画の一部として、システムセキュリティレビューを行う。結果と改良の
ための改善勧告が経営者に報告される。
4.2 機密保持に関連するセキュリティポリシ ログがシステムセキュリティ目的を達成する企業の能力への潜在的な影響を持っているかもし
ーに従って目的を達成する企業の現在の能 れない傾向を識別するために分析される。
力への潜在的な悪化を識別して、実行するプ
ロセスがある。
月次のITスタッフ会議が、システムセキュリティ懸念と傾向に対処するために開催される。調
査結果が年4回の経営会議において検討される。
4.3 環境的、技術的な変更がモニターされ、 年次の業績評価会議の議題として、顧客の機密保持要件への潜在的な影響、趨勢及び新
それらの企業の機密保持とセキュリティ上の 興の技術がレビューされる。
影響はタイムリーに評価される。
上級経営層が、年度のビジネス計画プロセスの一部として、企業の機密保持に関連するセキ
ュリティポリシー上に適用される法規制の影響と技術開発を考慮する。
企業の顧客サービスグループは、新興の技術のセキュリティへの影響をモニターする。
- 42 -
付録A
消費者調停
この付録は、調停プログラムを使う業務に適用される。規制当局によって義務化されたプログラムが実施されてい
る場合には、そのプログラムに従い、開示される。この付録は、調停プロセスについての追加情報を提供する。
調停が起きる前に、双方の当事者がそれに同意しなくてはならない。合意は書面の契約その他の多くの形式をと
るかもしれない。双方の当事者は、何らかの合理的な、積極的な行為によって彼らの合意を示す。組織のWebサイ
トは、チェックボックスあるいは他の手段のような、行為によって受諾を招くかもしれず、受諾を構成する種類の行為
に制限を呈示するかもしれない。例えば、消費者が合意の受諾を構成するWeb サイトにおいて下記の文言を見い
だすかもしれない。
このWebサイトにアクセスするか、あるいはこのサイト上に記述された製品を注文することによって、あなた
は、ある特定の要件と条件によって拘束されることに同意するものとします。慎重にこれらの要件と条件を
読んでください。
要件と条件は消費者とWebサイト両方のために調停、消費者返還請求と他の事項を詳述する。
調停原則
Trustサービスのために、適用されたモデルの下で、調停は法律の規則に基づいていて、首尾一貫して適用され
なければならない。下記に解説したのは、例示として国家調停フォーラム(NAF)によって識別した調停プロセスの12
の原則である。
1.基本的に公正なプロセス − 調停プロセスにおけるすべての当事者は、基本的かつ公正な権利を与えられる。
2.情報へのアクセス − 当事者は、調停契約を締結する前に、調停についての情報に合理的にアクセス可能にな
るべきである。
3.有能で公正な調停人− 調停人は熟練していて、中立であるべきである。
4.独立した管理− 調停は、調停人あるいは当事者自身以外の誰かによって管理されるべきである。
5.紛争解決のための契約− 調停を通じた紛争解決のための合意は契約であって、契約法上の原則、強行法規
に従うべきである。受託者によって起草された調停契約は、調停の有利、不利の正確な説明により補強されるべき
である。
6.妥当なコスト − 調停のコストはクレームに比例するべきであり、適用される法律で要求される当事者の法的手段
の合理的な枠内にあるべきである。
7.合理的なタイムリミット − 紛争は可及的速やかに解決されるべきである。
8.代理人を置く権利 − すべての当事者は、もし彼らが望むなら、弁護士あるいは他の代理人によって調停で代
理を務められる権利を持っている。
9.和解と調停 − 望ましいプロセスは、当事者自身が紛争を解決することである。
10.聴聞会 − 聴聞会はすべてのために利用可能で、効率的で、公正であるべきである。
11.合理的な開陳 − 当事者は、彼らが調停人に彼らの事案の合理的な説明をするために必要とする情報にアク
セスを持つべきである。
12.賠償と補償 − 調停の結果として生じている賠償は法律に従わなくてはならない。
- 43 -
付録B
電子商取引システムのための開示例
この付録は、Trustサービスの原則を満たすために、必要とされる電子商取引システムの開示例を列挙する。
Trustサービスの原則によって個別に提示された開示は例示に過ぎず、特定の組織のシステムに従って応じて修
正されるべきである。
システム記述
(非電子商取引システムを記述するために使われる)システム構成要素を記述するよりむしろ、組織はWebTrust
検証によってカバーされたシステムの機能を記述してもよい。
システム記述の例
弊社のサイト(abc-xyz.org)はユーザーに彼ら自身のオンライン店舗(myABC-xyz.org)を作って、管理することを
可能にしています。それはまた、abc-xyz.org上に作られた顧客サイトから注文することを容易にするために、abcxyz.orgに統合されたバックエンド支払と決済システムをカバーしています。
起業家と中小企業所有者がオンライン世界で競争優位を確保するために、abc-xyz.orgのビジネスサービスを使
うことができます。abc-xyz.orgのWebブラウザインタフェースはすぐにあなた自身の(完全で、セキュリティ性が高い
注文)オンライン店舗を作るために使うことができます。あなたは、サイトを設計して、顧客の経験をコントロールでき
ます。
WebTrustシールは、ユーザーが自己のオンライン店舗を作成、管理できるようにする弊社のabc-xyz.orgサイトの
機能全般を対象とします。それは、電子商取引とWebパブリッシングを容易にするabc-xyz.orgとmyABC-xyz.orgで
作成された顧客店舗からの注文を受け付けるためのabc-xyz.orgに統合されたバックエンド支払及び決済システム
も対象とします。起業家と中小企業所有者は、オンライン世界での利便性、可搬性、速度の面での競争優位を確
立するためのビジネスサービスセットであるabc-xyz.orgサイトを利用できます。myABC-xyz.orgの単純なWebブラウ
ザインタフェースは、あなたが自己のオンライン店舗(安全な注文を完結する)を短期に作成することを可能にしま
す。あなたは、安全な環境で、店舗を設計し、顧客の経験をコントロールし、製品を掲載し、注文を決済します。
特定の原則と規準に関連する開示
下記の表は、電子商取引システムのための開示例を記述している。
セキュリティ
規準
2.2 ユーザーのセキュリティ義務と企業のユ
ーザーへのセキュリティコミットメントは、承認
されたユーザーに伝達されている。
開示例
弊社は、あなたがABC.comを通じて提供する情報を守ろうと努力する間に、インターネット上
のデータ伝送が100%安全であることを保証できません。結果として弊社があなたの情報を
守ろうと努力するのに対して、弊社は、弊社のWebサイトとオンライン・サービスを通して、あ
なたから送信された、あるいはあなたが弊社から受け取るどんな情報のセキュリティも保証、
あるいは担保することができません。
弊社は、経常的に弊社のセキュリティポリシーをレビューし、必要に応じて変更しています。
情報技術部門によって毎年厳しいレビューを行います。これらの定義されたセキュリティポリ
シーは、アクセス権、情報収集の必要性、説明責任とその他の事項をつまびらかにしていま
す。文書化されたシステムセキュリティ目的、ポリシーと基準は契約上、法律上、その他のサ
ービスレベルアグリーメントで定義されたシステムセキュリティ要件と調和しています。例え
ば、ABC社内の承認された個人の選抜グループだけがユーザー情報にアクセス権を持ちま
す。アクセス、スクリプティング、更新、リモートアクセスに関してつまびらかにしている完全な
ポリシーは、組織の中で資格を持った要員によるレビューがなされるようになっています。こ
の書類は一般人の研究のためには利用できません。
ABC.comはパスワードで保護された安全なデータネットワークで運用されており、一般人に
は利用できません。あなたとABC.comの間で情報を伝送するとき、データセキュリティは、
Secured Sockets Layerと呼ばれるセキュリティプロトコル(SSL)を通じて処理されます。SSLは
データ暗号化とWebサーバー認証を使うインターネットセキュリティ規格です。
暗号化の強度は、データを暗号化するために、使われた鍵の長さによって測定されます。す
なわち、鍵がより長いと、それだけ暗号化が有効です。SSLプロトコルを使って、あなたと
ABC.comサーバーの間のデータ伝送が128ビットのレベルの暗号化強度において行われま
- 44 -
2.4 システムセキュリティの違反について、苦
情を提出することに対して、企業に影響する
プロセスは、承認されたユーザーに伝達され
ている。
2.5 システムセキュリティに影響を与えるかも
しれない変更が、影響を与えられる経営者と
ユーザーに伝達されている。
す。
このサイトのセキュリティに対する違反があったと感じられたら、(800)123-1234においてすぐ
に弊社と連絡を取ってください。
サイトユーザーとしてあなたに影響を与えるような、弊社のWebサイトのセキュリティに影響を
与えるすべての変更でも弊社のセキュリティポリシー及び重要な内部統制を要約するWeb
ページに対する変更を強調することであなたに伝達されます。
可用性
規準
2.2 ユーザーの可用性に関連するセキュリテ
ィ義務と、企業のユーザーへの可用性及び関
連するセキュリティコミットメントは、承認された
ユーザーに伝達されている。
2.4 システム可用性問題、システムセキュリテ
ィの違反について、苦情を提出するためこと
に対して、企業に影響するプロセスは、承認
されたユーザーに伝達されている。
2.5 システム可用性とシステムセキュリティに
影響を与えるかもしれない変更が、影響を与
えられる経営者とユーザーに伝達されてい
る。
開示例
ファイル維持とバックアップに十分な時間を割り当てるため、弊社のネットワークは最長で毎
日22時間利用可能です。災害あるいは他の長期のサービス中断が生じたとき、弊社は、代替
サービスサイトを使用して、24時間内に全面ビジネス再開を可能にするように手配していま
す。
弊社は、アクセス権、情報収集の必要性、説明責任その他の事項をつまびらかにするセキュ
リティポリシーを定義しています。それはレビューされて、年4回の経営会議において更新さ
れ、情報技術部門によって毎年厳しいレビューを行っています。文書化されたシステムセキュ
リティ目的、ポリシーと基準は契約上、法律上、その他のサービスレベルアグリーメントで定義
されたシステムセキュリティ要件と調和しています。例えば、現在のポリシーではIDの共有を
禁止しています。各サポート要員は、ログオンしてネットワーク装置を保守するための各自の
ユニークなIDを持っています。アクセス、スクリプティング、更新、リモートアクセスに関してつ
まびらかにしている完全なポリシーは、組織の中で資格を持った要員によるレビューがなされ
るようになっています。この書類は一般人の研究のためには利用できません。
経営者は、サイトのセキュリティとシステムの可用性に関してお客様にどんなコメントでも、苦
情あるいは懸念でも、電話をかけられる消費者ホットラインを持っています。もしこのサイトに
アクセスすることが不可能なら、(800)123-2345において弊社のお客様サポート要員と連絡を
取ってください。このサイトのセキュリティへの違反あると感じられたら、(800)123-1234におい
てすぐに弊社と連絡を取ってください。
サイトユーザーとしてのあなたに影響を与えるような、弊社のWebサイトのセキュリティとシステ
ムの可用性に影響を与えるどんな変更でも、その概要を予測された変更について、7日前に
電子メールによってあなたに伝達します。弊社の可用性とセキュリティポリシーを要約する
Webページに対する変更も強調します。
処理のインテグリティ
規準
2.1 企業は、記述書が適用されるシステムの
記述を定義して、伝達している。
もしシステムが電子商取引システムであるな
ら、Webサイト上に提供された追加の情報に
は下記の事項が含まれるが、それらに制限さ
れない。
a. もしあれば、提供される商品あるいはサー
ビスの以下を含む性質。
・(新品か、中古か、修理品かという意味での)
商品の状態。
・サービス(あるいはサービス契約)の記述。
・情報の出所(何処で得られ、どのように変換
されたか)。
b. 電子商取引を行う条件及び要件。下記の
事項を含むが、それらに制限されない。
・取引(取引とは、商品が売られる場合は発注
の履行であり、サービスが提供される場合は
サービスの提供の履行を意味する)の完結の
ためのタイムフレーム。
・注文あるいはサービス依頼の通常の処理に
対する例外事項を顧客に通知するタイムフレ
ームとプロセス。
・もしあれば、顧客選択権を含む、通常の商
品あるいはサービスの提供の方法。
・もしあれば、顧客選択権を含む支払条件。
・電子決済実務及びそれに関連する顧客へ
開示例
あなたは、弊社のサイトにおいて新しい本あるいは古本を購入することができます;古本には
明確にその旨を貼ってあります。
弊社があなたの仲介取引のために得る借財利率情報は毎日、12の異なる貸付機関から収集
されます。ここをクリックすれば、これらの貸付機関の全リストを見ることができます。
ABCオンラインRFQ仲買社注文部品の見積依頼書(RFQ)のためのオンラインのクリアリング
ハウスです。弊社のユニークなサービスを通して、パーツを探しているOEM製造業者は、仕
事を探している契約製造業者に引き合わされます。
弊社のオンラインの仲買社が発行したRFQは、契約製造業者が見積書を作成するために、
必要なすべての情報を受け取ることを保証する集中的なレビュープロセスを経なければなり
ません。ABC社の訓練された要員は、彼らの不安を緩和するアウトソーシング市場の新規
OEM製造業者密接に共同作業をします。
RFQ入札プロセスに参加している契約製造業者は、ABC社のBizTrustプログラムの会員で
す。新しい会員は、RFQを入札する資格を持っていることを保証するために、クレジット審査
のようなチェックと照会チェックの各種の組み合わせを受けなければなりません。チェックが組
織化されるこれらの結果、ABC社のすべての会員が容易に読めるBizTrust報告書を入手す
ることができます。
全国的な調査は、Dowden社の報酬研究によって行われ、すべての規模の会社、すべての産
業グループ、すべての合衆国地域を含む情報システム専門家の900以上の雇用者の間から
で集まった2002年の報酬データを提供しました。調査は2001年7月完了しました。
弊社は、客様によって承認された注文を受けてから1週間以内に注文された品を出荷するこ
- 45 -
の請求。
・もしあれば、顧客はどのように請求をキャン
セルしてよいか。
・もしあれば、商品返品ポリシーあるいは責任
の制限。
c.顧客がとWebサイト上に購入された商品及
びサービスと関係がある保証書、修理サービ
ス、サポートを得ることができる場所。
d.処理のインテグリティに関係している問題
の解決のための手続。これらは、製品、サー
ビスの品質、正確性、完全性と関係があるこ
のような苦情を解決することに関しての失敗
に関連する苦情を含む、電子商取引のある
部分に関連している。
とにしております。弊社の経験では注文の90パーセント以上が48時間以内に送られ、残りは1
週間以内に送られています。
もし弊社が、あなたが発注したときの仕様で注文を履行できないなら、弊社は、24時間以内
に電子メールであなた通知し、あなたに追加の義務無しで注文を解除する選択肢を提供しま
す。注文された品が送られるまで、あなたは請求されることはありません。
あなたは、求められた情報を今ダウンロードするか、あるいは弊社がUPS2便又はフェデラ
ル・エクスプレスの翌日配送によってCD-ROMであなたに送るかの選択権を有しています。
クレジット承認が出荷の前に必要とされます。すべての商品は、弊社の決済(正味30日)ある
いは代替的契約条項が採用されているところに従って出荷をもって請求されます。
弊社は、取引の終わりに料金と経費の電子資金移動を必要とします。新しいお客様のため
に、預託金が必要とされることがあります。
あなたの月次のサービス料金をキャンセルするために、 [email protected] において弊
社に電子メールを送るか、あるいは(800)555-1212まで弊社にお電話ください。あなたの口座
番号を忘れずに伝えてください。
発注について、出荷受領後30日間以内なら完全な返金のために、返品することができます。
返品承認番号を受け取るために、フリーダイヤル又は電子メールをいただき、返品する商品
の外装に明記するようお願いします。
保証その他のサービスは、このWebサイト上にリストアップした弊社の世界中の249拠点のどこ
でも受けることができます。これらの拠点のリストも弊社のすべての製品とともに配送されま
す。
このサイトでの取引は、弊社指定の調停人を通して行われた制限的調停(調停人の名前)に
よってカバーされます。彼らとは www.name.org において、あるいはフリーダイヤル(800)1112222によってアクセスできます。要件と調停の状態のリストのために、ここをクリックしてくださ
い。
弊社の、消費者紛争解決のプロセスは、あなたが、フリーダイヤル(800)555-1234で、弊社の
お客様ホットラインと連絡を取るか、あるいは [email protected] において電子メー
ルによって弊社と連絡を取ることが必要です。もしあなたの問題が満足に解決されなかったな
ら、あなたは、サイバー苦情処理調停協会に連絡することもできます。協会には標準営業時
間(中部標準時間で午前8時∼午後5時)の間に www.ccomplaint.com のWeb サイトによって
あるいは(877)123-4321において連絡できます。
要件と調停の状態のリストのために、ここをクリックしてください。
2.2 ユーザーの処理のインテグリティと関連
するセキュリティ義務、企業のユーザーへの
処理のインテグリティと関連するセキュリティコ
ミットメントは、承認されたユーザーに伝達さ
れている。
2.3 企業のシステム処理のインテグリティに
関連するセキュリティポリシーとそれらのポリシ
取引のために、このサイトにおいて、弊社のお客様がそうするべきである要求する徹底するあ
るいはあなたの質問あるいは苦情に対する回答を要求し、あなたは www.xxxquestions.org
において弊社と連絡を取ることができます。もしあなたの徹底するあるいはあなたの苦情はあ
なたの満足に処理されないなら、それからあなたはこの国で電子商取引のために、消費者苦
情を処理する電子商取引オンブズマンと連絡を取るべきです。彼は w
ww.ecommercombud.org において連絡を取られることができ、あるいは(800)xxx - xxxx にお
いて連絡できます。
弊社は、処理のインテグリティポリシーを定義した、関連したセキュリティポリシーがすべての
企業の承認されたユーザーに伝達されます。セキュリティポリシーでは、アクセス権限、情報
収集の必要性、責任その他の事項を規定しています。それはレビューされて、年4回の経営
会議において更新され、情報技術部門によって年1回で厳しいレビューを経なければなりま
せん。文書化されたシステムセキュリティ目的、ポリシーと基準は契約上、法律上その他のサ
ービスレベルアグリーメントで定義されたシステムセキュリティ要件と調和しています。例え
ば、現行のポリシーは、IDの共有を禁止しています。それぞれのサポート要員がログオンし
て、ネットワーク装置を保持するために、自身のユニークなIDを持っています。アクセス、スクリ
プティング、更新、リモートアクセスに関係しているリストを持っている完全なポリシーが資格を
持った要員によってレビューされるために入手可能です。この書類は研究のために、一般大
衆に開示されません。
サービスその他の情報については、午前7時00分∼午後8時00分(中部標準時間)の間に
(800)555-1212でお客様サービス担当に連絡してください。又は、下記のあて先に郵送してく
- 46 -
ーに対する変更/更新のための実施責任と説
明責任が、それらを実行することに責任があ
る企業要員に伝達されている。
2.4 システム処理のインテグリティ問題、エラ
ーと欠落とシステムセキュリティの違反につい
て、企業に通知し、サポートを受けるプロセ
ス、苦情を提出するプロセスは、承認されたユ
ーザーに伝達されている。
ださい。
顧客サービス部
ABC㈱
〒600-00 イリノイ州某市某通り1234番地
又は[email protected]
このサイトのインテグリティあるいはセキュリティに違反があったと感じられたなら、直ちに
(800)123-1234で弊社と連絡を取ってください。
それが、サイトユーザーが予期された変更について、7日前に電子メールによってあなたに伝
達され、あなたに影響を与えるとき、システムの弊社のWebサイトと処理のインテグリティのセ
キュリティに影響を与えるどんな変更でも強調します。弊社の処理のインテグリティとセキュリ
ティポリシーを要約するWebページに対する変更を強調します。
オンラインプライバシー
規準
2.2 ユーザーのオンラインプライバシーと関
連するセキュリティ義務及び、企業のオンライ
ンプライバシー関連するユーザーへのセキュ
リティコミットメントは、承認されたユーザーに
伝達されて、Webサイト上に開示される。
これらの開示は下記の事項を、含む、しかし
制限されない。
a.収集され保持されている情報の特定の種
類と源泉、情報の使用と情報の可能な第三者
への提供。
もし情報が第三者に提供されるなら、第三者
のプライバシー実務と管理に対する依拠への
限界を開示しなくてはならない。このような開
示をしないと、企業が依拠している第三者の
プライバシー実務と管理について、企業のそ
れと同等か、上回っていることを示す。
このような第三者には下記が含まれる。
・取引に参加する当事者(例えば、クレジット
カード業者、運送サービスと決済組織)
・取引に関与しない当事者(例えば、情報が
提供されるマーケティング組織)
b. どのようにオンラインで個人から個人情報
が収集され、提供されるかに関する選択権。
個人がこのような利用について、オプトアウト
(原則拒否)し、あるいは情報を提供しない
か、取引に関連していない当事者に提供する
ことを拒絶する機会を与えられる。
c.電子商取引のために、必要とされる機微な
情報。個人は、この情報が収集され、伝送さ
れる前に、オプトイン(原則容認)しなくてはな
らない。
d. もしあれば、このような情報の特定の用途
の、情報を提供することについての個人の拒
絶のあるいは拒否する個人の決定(あるいは
オプトインではなく)の、結果。
e.収集された個人情報がレビューされ、必要
に応じて、修正され、あるいは削除されること
が可能になる方法。
開示例
弊社は、サービスを提供するために、名前、インターネットアドレスあるいはスクリーン名、請
求先の住所、コンピュータのタイプ、クレジットカード番号のような、ある特定の情報を必要とし
ます。あなたの電子メールアドレスは、弊社の情報を送信するために用いられます。あなたの
クレジットカード番号は、あなたが注文する製品の請求処理目的のために使われます。弊社
は、あなたの年齢、所得水準及び郵便番号のような情報とともに、弊社の企業から追加の製
品及びサービスについてのお知らせ、弊社の提携先のいくつかからあなたが興味を持つかも
しれない販売促進の資料を送るために、この情報を使うことがあります。あなたの年齢、所得
水準、郵便番号は、表示されたコンテンツをあなたの好みに応じて変更するために使われま
す。法律による要請を除き、弊社は他のいかなる第三者にもあなたから収集された情報を提
供しません。
あなたは、製品あるいはサービスについて、契約するときに弊社に登録画面上で知らせてい
ただくことによって、弊社/あるいは弊社の提携先からの情報と販売促進の資料を受け取らな
いことを選択できます。
もしあなたが後日、オプトイン(選択権)やオプトアウト(拒否権)についての選好を変えたいと
願うなら、xxx 画面を開くか、[email protected]に、記入欄にオプトイン、オプトアウトについて
のメッセージを記した電子メールを送ってください。
弊社があなたの保険申請書を処理する前に、弊社が使う種々の保険企業にあなたの病歴を
提出するあなたの許諾を与えるためにここをクリックしてください。これは弊社があなたの要請
を処理するあなたの明示的な許諾である。もしあなたがこの情報が提供されることを望まない
なら、弊社は、あなたの申請書を処理することができません。追加の情報あるいは援助のため
に弊社のお客様サービス部門に電話をしてください。
あなたが注文を完結するために、提供する必要のある最低限の情報は、Webページ上に強
調されています。あなたは、この最低限の情報を提供しなければ、注文を出すことができませ
ん。
このサイトでは [email protected] に電子メールを出すことによって、あなたの情報を訂
正、更新、削除することができます。
- 47 -
2.3 もし企業のWebサイトがクッキーあるいは
他の追跡方法を使う(例えば、Web バグとミド
ルウェア)なら、企業はどのようにそれらが使
われるか開示する。もし顧客が、クッキーを拒
絶するなら、その結果についても開示する。
2.4 オンラインプライバシーとシステムセキュ
リティの違反について、企業に通知し、サポー
トを得るプロセスは、承認されたユーザーに伝
達されている。
クッキーはWebの内容を個人化して、あなたの以前の購入嗜好に基づいた潜在的興味の項
目を提案するために使われます。このクッキーは弊社によって読むことができます。もしあな
たがこのクッキーを受け入れないなら、あなたは、弊社のWebサイトへのアクセス中あるいはも
しあなたが後にサイトに戻るなら数回あなたの名前と口座番号を再入力するように依頼される
かもしれません。クッキーを受け入れることによって、ある特定の情報が(情報を開示しなさ
い)追跡されて、マーケティング目的のために使われます 弊社のクッキーは30日で期限が切
れます。
弊社のサイト上のある特定の広告主が、このサイトを通してパターンと経路を分析するため
に、クッキーを含む追跡方法を使います。この実行について、拒否するために、
www.domain.com/privacy/opt-out.htmlにおいて彼らのプライバシーポリシーを参照してくだ
さい。
このサイトのセキュリティに対する違反があると感じられたなら、(800)123-1234においてすぐ
に弊社と連絡を取ってください。
もし、このサイトにおいて述べられる、弊社のプライバシー上の組織あるいはポリシーについ
ての質問がございましたら、[email protected] で連絡を取ってください。
あなたのお客様データファイルへのアクセスはあなたの問い合わせに応じるために、弊社の
お客様サポート代表者にとって入手可能であります。
2.5 企業は、企業によって解決されないプラ
イバシーに関係している問題のために、消費
者返還請求のための手続を開示する。これら
の苦情はこのような苦情を解決することに関し
ての失敗のために、収集、使用と個人情報の
分配と結果に関連しているかもしれない。この
解決プロセスは、下記の特質を持っている。
a .指定された第三者紛争解決サービスある
いは、顧客がこのような未解決の苦情を処理
するこのような第三者からのコミットメントに企
業の、このような苦情の提案された解決に満
足していない場合、規制当局によって義務化
された他のプロセスを使う経営者のコミットメン
ト。特定の第三者に、最初に企業で、もし必
要であるなら、このような苦情を解決すること
において従われる手続。
b. まず企業、必要なら特定の第三者が当該
苦情上の解決において従うべき手続。
c.苦情が満足に解決されるまで、苦情の対
象事項である個人情報に関する利用、あるい
はその他の行動の在り方。
2.6 企業は、適用される法規制あるいは企業
が参加する自己規制プログラムにでも従うた
めに、必要な追加のプライバシー実務も開示
する。
2.7 開示されたオンラインプライバシーポリシ
ーが変更、削除される場合又はより緩和され
る場合、企業は修正されたポリシーの明確
な、明示的顧客通知を提供する。
2.8 企業は、ユーザーにいつ彼らが、サイト
が企業のオンラインプライバシーポリシーによ
ってカバーされる状態になったかを知らせる。
勤務時間後に、弊社のお客様サポート調査は契約上弊社のプライバシーポリシーに従うよう
に要求される弊社のサービスプロバイダ xxx によって管理されます。
このサイトでの取引は、プライバシーに関して、弊社の特定の調停人を通して行われた制限
的調停(調停人の名前)によってカバーされます。彼らは www.name.org において、あるいは
フリーダイヤル(800)111-2222によりアクセスできます。調停要件、条件の詳細についてはここ
をクリックしてください。
弊社のお客様が必要とするサイトが、プライバシーに関して取引が徹底する、あるいはあなた
の質問あるいは苦情、あなたに対する回答について、 www.xxxquestions.org において弊社
と連絡を取ることができます。もしあなたが苦情へのフォローアップが満足のいく取扱いをされ
ていないなら、あなたはこの国での電子商取引に関する消費者の苦情を取り扱う電子商取引
オンブズマンと連絡を取るべきです。そこにはwww.ecommercombud.orgか、あるいはフリーダ
イヤル(800)xxx - xxxx により連絡を取ることができます。
連邦法は、すべての個人情報が、3年間未使用である場合はシステムから削除されることを
要求しています。
20xx年5月31日から8月31日の間に、弊社はお客様電話番号を収集しました。9月1日から現
在まで弊社はもうあなたの取引の処理のためにこの情報を必要としません。
20xx年9月30日に、弊社はXYZ 社によって買収されました。したがって、弊社は第三者に収
集された個人情報の提供を認めるXYZ 社のプライバシーポリシーを適用しました。弊社の以
前のポリシーは、このような個人的な情報の提供を認めませんでしたので、弊社は20xx年9月
30日以前に収集された情報の提供の前にあなたの許諾を得ます。
多くの提携先では、弊社のサイトによく似た外観とナビゲーションを持ったページを有してお
ります。弊社は、あなたが弊社のサイトと弊社の個人情報保護実務から離れようとしていること
を知らせるために、一回限りのポップアップウインドウによってあなたに通知します。弊社は、
あなたの情報の保護に努力するとともに、あなたが何らかの個人情報を提供する前にリダイレ
クトするサイトの個人情報保護実務をよく読むことをお勧めします。弊社は、あなたの特別な
同意無しには弊社のプライバシーポリシーに従って、これらのサイトに何らの情報も渡しませ
ん。
- 48 -
2.9 企業のオンラインプライバシーに関連す
るシステムセキュリティに対する変更に対する
影響を受ける経営者及びユーザーに伝達さ
れる。
サイトユーザーが予期された変更について7日前に電子メールによってあなたに伝達されるよ
うに、あなたに影響を与えるとき、弊社のWebサイトとオンラインプライバシーのセキュリティに
影響を与えるどんな変更でも強調します。弊社のオンラインプライバシーとセキュリティポリシ
ーを要約するWebページに対する変更も強調します。
機密保持
規準
2.2 ユーザーの機密保持と関連するセキュリ
ティ義務と企業のユーザーへの機密保持と関
連するセキュリティコミットメントは、機密情報
が提供される前に承認されたユーザーに伝
達されている。このコミュニケーションは下記
の事項を含むが、それらに制限されない。
a. どのように情報が機密とされ、機密を解除
されるか。
b.どのように機密情報へのアクセスが権限付
与されるのか。
c.どのように機密情報が利用されるのか。
d.どのように機密情報が共有されるのか。
e.もし情報が第三者に提供されるときは、開
示に当該第三者の機密保持実務及び内部
統制に依拠することによって生じる何らかの
制限を受けることを含むべきである。そのよう
な開示をしないならば、企業がその機密保持
実務及び内部統制に合致するか、又はそれ
を超えるような第三者の機密保持実務及び内
部統制に依拠していることを示していることに
なる。
f.適用される法律と規則に従うために、必要
な機密保持実務。
開示例
XYZ - manufacturing.comは高品質な電子部品の注文製造業者です。お客様並びに潜在的
なお客様は弊社のWebサイトあるいは電子メールを通して設計図、仕様書、製造見積価格の
依頼を提出することができます。
あなたの情報へのアクセスは、弊社の従業員あるいは弊社が弊社の見積作成において使う
ことを選ぶかもしれないどんな第三者に制限されます。弊社は、見積価格と以後の製造以外
の目的のために、あなたが提供する情報を利用し、あなたの代理として注文を履行しません。
しかしながら、召喚令状、裁判所命令、適用される法律と規則に従うための法律上の令状あ
るいは他のニーズに応えて提供される必要があります。
弊社の暗号化ソフトウェアを利用して、あなたは機密取扱ボックスをチェックすることによっ
て、「機密の」情報を指定することもできます。このソフトウェアは弊社のサイトからダウンロード
でき、たいていのフォーマットで情報を受け入れます。このような情報は自動的にインターネッ
ト上への送信の前に弊社の公開鍵を使って暗号化されます。あなたは、弊社のWebサイトを
通してあるいは電子メールによって弊社にこのような情報を伝達することもできます。
「機密」とされた情報へのアクセスは、弊社の知る必要のある従業員にのみ制限されます。弊
社は、あなたの事前の許諾無しで第三者にこのような情報を提供しません。
弊社が第三者に情報を提供するとき、弊社は、貴社名を提供しません。しかしながら、弊社は
彼らの、このような情報の機密の取扱いについてはいかなる誓約も行いません。
弊社の機密保護は2年間継続し、その後弊社はそうした保護の提供を停止します。加えて、
このような情報がもしもあなたの行動あるいは他の手段を通して公になったなら、弊社の機密
保護は終了します。
このような情報を提供する時点であなたがまだ弊社のお客様ではなかったなら、あなたは、お
客様番号とパスワードを提供されます。あなたは、あなたが提出した情報、関連した価格見積
情報にアクセスするために、このアカウント番号とパスワードを使うこともできます。あなたは、
貴社の他の成員がこの情報にアクセスすることができるように、追加の10のアカウントとパスワ
ードを設定することもできます。
2.4 機密保持とシステムセキュリティの違反に
ついて、苦情を提出することに対して、企業に
影響するプロセスは、承認されたユーザーに
伝達されている。
2.5 機密保持とシステムセキュリティに影響を
与えるかもしれない変更が、経営者と影響を
与えられるユーザーに伝達されている。
弊社のサービス及び機密情報の保護は第三者紛争解決の対象となります。このプロセスは、
弊社のWebサイトのどこかに「調停訴訟」(リンク先)で記述されています。
このサイトにおいて述べられるように、機密保持ポリシー、弊社の組織についての質問がござ
いましたら、[email protected] に連絡してください。
このサイトのセキュリティに対する違反があると感じられたなら、(800)123-1234においてすぐ
に弊社と連絡を取ってください。
200x年1月から、弊社は、情報の「秘密」カテゴリーを廃止しました。このような秘密カテゴリー
の下で提出された情報は、弊社の業務に従って保護され続けます。
- 49 -
付録C
システム記述例(非電子商取引システム)
システム記述の目的は、経営者の記述書あるいは検証報告書(この事例では年金処理サービス)の対象事項に
よって対象とされたシステムの境界線を明らかにすることである。システム記述は企業の、検証責任者の証明に限
定された特定の原則と関連するポリシーの伝達の統合化された部分であるべきである。 システム記述は検証報告
書に例外なく添付されるべきである。
背景
XYZ年金サービス社(XPS)はニューヨーク州のニューヨークに本拠地を置いて、北アメリカ各地に事業所を有し、
XPS社の顧客である年金制度スポンサーのために、年金管理システム(PAS)を管理して、運用している。制度メン
バーは年金制度に登録されるXPS社の顧客の従業員である。XPSは年金関連の活動の記録保持のためにPASを
利用する。
システム基盤
PASは専有のクライアントソフトウェア、アプリケーションサーバーとデータベースサーバーを含む3層のアーキテク
チャを利用する。
テープカートリッジサイロ、ディスク・ドライブ、レーザー及びインパクトプリンターのような多様な周辺機器が利用
されている。
ソフトウェア
PASアプリケーションは、XITD(XYZ社の情報技術部門)のシステム開発とアプリケーションサポートの区域でプロ
グラムスタッフによって開発された。PASは年金規定に基づいて、メンバーの年金拠出及び退職給付の処理を可能
にする。 PASはメンバー、計画スポンサー、税務当局のために、すべての必要とされる報告書を作成する。PASは
投資及び関連する取引(購入、販売、配当、利息と雑多な他の取引)を記録する機能も提供する。取引のバッチ処
理が毎晩行われる。
PAS はオンラインのデータ入力と報告のリクエストのための機能を提供する。更に、PASはデジタル、磁気媒体、
あるいは伝送データで計画スポンサーからの通信基盤を通じた入力を受け入れる。
要員
XPS社は、下記の職能における約200名の従業員スタッフを有している。
z
z
z
z
年金管理は、年金規定の策定、マスターファイルの保守、PASに対する拠出処理、制度スポンサー及びメンバ
ーへの報告、制度メンバーからの質問対応の専門家チームを含む。
財務運用は、給付処理、拠出の預託、投資会計に責任がある。
信託会計は、銀行照合調整に責任がある。
投資サービスは、株式、債券、預金証書その他の金融商品の購入処理に責任がある。
XITDは、下記の職能領域における約50名のPAS及び関連するシステム基盤に専任するスタッフを有している。
z
z
z
z
z
z
z
z
ヘルプデスクは、制度スポンサーはもちろん、PAS及びその他のシステム基盤のユーザー技術支援を提供す
る。
システム開発及び管理支援は、PASの改良と修正のためのアプリケーションソフトウェア開発及びテストを提供
する。
製品サポート専門家は、文書化されたマニュアルと訓練資料を作成する。
品質保証は、基準への準拠性をモニターして、変更執行プロセスを管理統制する。
情報セキュリティ及びリスクは、セキュリティ管理、侵入検知、セキュリティモニタリング、ビジネス復旧計画に責
任がある。
運用サービスは、サーバー及び関連する周辺機器の日々の運用を実施する。
システムソフトウェアサービスは、システムソフトウェアリリースを導入、テストし、システムパフォーマンスを毎日
モニターし、システムソフトウェアの問題を解決する。
技術提供サービスは、PAS処理環境に対するジョブスケジューリングを保持し、ソフトウェアの提供を報告し、
セキュリティ管理を統括し、ポリシー及び手続マニュアルを維持する。
- 50 -
z
音声及びデータ伝達は、伝達上の問題の解決及びネットワーク計画における伝達環境を保持し、ネットワーク
を監視し、ユーザー及び制度スポンサーに対する支援を提供する。
手続
このシステム記述によってカバーされた年金管理サービスは以下を含む。
z 年金マスターファイル維持
z 拠出
z 給付
z 投資会計
z メンバーへの報告
これらのサービスはXYZ社の情報技術部門(XITD)によって年中無休でサポートされる。XITDによって提供され
る重要なサポートサービスは以下を含む。
z システム開発と保守
z セキュリティ管理と監査
z 侵入検知と事件対応
z データセンター運用とパフォーマンスモニタリング
z 変更管理
z ビジネス復旧計画
データ
PASにおいて定義されたデータは以下により構成される。
z マスターファイルデータ
z 取引データ
z エラー、サスペンスログ
z 出力帳票
z 伝送記録
z システム及びセキュリティファイル
取引処理は紙の書類、電子媒体あるいはXYZ社のコールセンターへの電話のレシートによって始められる。取
引データはオンライン処理ないしバッチ処理のいずれかでPASによって処理され、そしてマスターファイルを更新す
るために使われる。出力帳票は、職能に基づいて、承認されたユーザーにより、ハードコピーないし報告書閲覧機
能を通じて利用可能である。年金記述書と取引報告書が計画スポンサーとメンバーに郵送される。
- 51 -
付録D
範囲決定及び意見表明の問題に関する検証責任者への指針
この付録は、Trustサービスの原則と規準を用いた業務の計画、実施、意見表明に関する問題を取り扱う。認証
局のためのWebTrustプログラムの下での意見表明の問題は取り扱わない。それについては、別途考慮し、発行し
ている(注8)。
z
z
z
z
z
z
このセクションでは特に、下記の領域を取り扱う。
業務の要素
検証報告書
複数原則に関する意見表明
追加的な意見表明の指針
合意された手続業務
その他の事項
Trustサービスの記述書と検証報告書は、証明業務基準書(SSAE第10号)第1章「証明業務」の枠組み:改訂及び
修正された(AICPA 職業的基準第1号セクションAT101)の下で発行されるので、検証責任者は、関連する基準に
精通しているべきである。
業務の要素
Trust サービス原則
Trustサービスは、5つの異なる原則(セキュリティ、可用性、処理のインテグリティ、オンラインプライバシー、機密
保持)を利用した個別適用アプローチを提供している。すなわち、クライアントにとっては、5つの原則をすべて適用
せずに、単一又は複数の原則を結合させて対象として区別されたTrustサービス検証を要請することが可能である。
原則は、適合する規準の論理的なグルーピングに対する検証によって、システムの多様な側面を記述するための
基礎を提供している。
Trust サービス規準
規準は、検証責任者が対象事項を評価する際に、測定及び解明をする上で利用される指標である。
合衆国の証明基準(注9)では、適合する規準は下記の性質を有しなければならない。
客観性 − 規準に、偏向があってはならない。
測定可能性 − 規準は、対象事項について、定性的又は定量的に合理的で一貫した尺度を許容せねばな
らない。
z 完全性 − 規準は、対象事項についての意見を覆しかねない関連要因を見逃さないように、十分に完全な
ものでなければならない。
z 関連性 − 規準は、対象事項に関連していなければならない。
z
z
Trustサービスの規準は、適合する規準の要件を満たし、かつ、公開されており、意見聴取プロセスを経て作られ
ている。
経営者の記述書
AICPAの証明基準では、経営者は、検証責任者に対して、書面の記述書を提供しなければならず、さもなければ
検証責任者は、報告書(注10)を修正するように要求されている。具体的には、経営者は、報告書の対象期間に
AICPA/CICA Trustサービス規準に基づいて、対象となるTrustサービス原則を充足するように検証対象システム
に対して、有効な内部統制を保持していることを記述する。特定の原則のみを対象とする業務では、経営者の記述
書は業務の対象となる原則のみに対処すべきである。
WebTrust業務においては、検証責任者は、企業がTrustサービス規準を充足していること、Trustサービスの原則
と規準に基づいて、システムに対し、有効な内部統制を保持していることの両方を検証する。WebTrustシールを受
けるには、準拠性及び運用の有効性の両方が対処されなければならない。企業がTrustサービスの規準に基づい
て、検証対象システムに対し有効な内部統制を保持していることだけを検証責任者が検証するというSysTrustとは、
この点が異なる。
- 52 -
AICPAの基準では、検証責任者は、経営者の記述書に対して、あるいは業務の対象事項に対してのどちらにつ
いて意見を表明してもよい。検証責任者が記述書に対して、意見を表明するときは、検証報告書又は報告書の第
一段落に、記述書の陳述(注11)を添付すべきである。検証責任者が対象事項に対して、意見を表明するときは、
検証責任者は、経営者に対して、検証報告書の利用者に利用可能な記述書を作成することを求めてもよい。
単一もしくはより多くの規準が達成されていない場合は、検証責任者は、限定付意見もしくは不適正意見を表明
する。AICPAの証明基準では、限定付あるいは不適正意見を表明するときは、検証責任者は、記述書に対してより
も、対象事項に直接意見表明を行うべきである。
対象期間
経営者の記述書(必要な場合)及び検証報告書は、通常は、記述書及び報告書の対象期間を明確に特定すべ
きである。検証責任者は、特定期間又は特定日対象の報告書を発行することもできる。適切な期間の決定は、検
証責任者及び企業の合意によるべきである。
z
z
z
z
z
報告書の対象期間を決定するために留意すべき要因は下記のとおり。
報告書の想定利用者及びニーズ
「継続的」監査モデルをサポートする必要性
各システム構成要素の変更の程度及び頻度
システムにおける処理の循環的特質
システムに関する履歴情報
Webサイト上のWebTrustもしくはSysTrustシールについては、少なくとも12か月ごとに報告書は更新されなけれ
ばならない。検証責任者が現場作業を完了して報告書を作成できるように、報告対象期間満了後、3か月の猶予
期間が認められている。例えば、現在の報告書の期間が20x2年12月31日で終了するとした場合、次回の報告書は
遅くとも20x3年12月31日で終わるようにしなければならず、遅くとも20x4年3月31日までには掲示されなければなら
ない。この事例では、最初の報告書はクライアントのWebサイトに20x4年3月31日まで掲示され続けてもよいことにな
る。
検証報告書
下記で検討するように、意見表明には様々な選択肢が存在する。
規準に適合する企業の内部統制に関する意見表明
一つ又はそれ以上のTrustサービスの原則と規準に基づいて、内部統制の運用の有効性について、意見表明
するという報告形態である。検証責任者は、SysTrust検証報告書(及び対応するシール)又は、もし該当あれば、
Trustサービス検証報告書を発行できる。WebTrust検証報告書(及び対応するシール)は、検証責任者が、企業が
規準に準拠しているかどうかについて意見表明できないため、この種の業務では発行することができない。
企業が規準に準拠していることに関する意見表明
一つ又はそれ以上のTrustサービスの原則と規準に基づいて、内部統制の運用の有効性及び、企業が規準に
準拠しているかどうかについて、意見表明するという報告形態である。この種の業務では、検証責任者は、もし適切
ならば、SysTrust検証報告書又はWebTrust検証報告書(及び対応するシール)を発行できる。
内部統制手続の設計の適合性に関する意見表明
検証責任者は、システム導入前に、そのシステムの内部統制の設計の適切性について、Trustサービス業務を
行うよう企業から依頼されるかもしれない。そのような業務においては、検証責任者は、Trustサービス検証報告書
を発行できるが、WebTrustやSysTrust検証報告書(及び対応するシール)は発行できない。この種の報告書の文
例は、報告書文例のセクションに記載している。
複数の原則に関する意見表明
ほとんどのケースでは、検証責任者は、5つの原則すべてについてではなく、一つ又はそれ以上のTrustサービ
ス原則について、意見表明するように依頼されるだろう。検証責任者は、最初の段落にあるように、業務範囲に含ま
れる原則を参照するが、すべての原則が業務範囲に含まれていないということ以外の記述をしてはならない。
クライアントが検証責任者に対して、二つもしくはそれ以上のTrustサービス原則及び関連する規準への準拠性
について、検証及び意見表明を依頼してきたときは、検証責任者が留意すべき事項はたくさんあるので、このセク
ションで検討する。
- 53 -
個別もしくは結合報告書
複数原則について、Trustサービス検証を実施するときは、検証責任者は、クライアントのニーズに基づき、各原
則について、個別に報告書を発行することもできるし、あるいは結合報告書を発行することもできる。この検討の目
的としては、検証責任者がクライアントからセキュリティ、オンラインプライバシー、機密保持という三つの一連の原
則と規準への準拠性について、意見表明するように依頼されたと仮定しよう。
最初の問題は、(1)三つの原則について一つの業務とするか、(2)個々の原則ごとに三つの業務とするかを決定
することである。これについては、一つの検証報告書を発行するか、複数の検証報告書を発行するか、及び陳述
書の数と内容、契約書、その他の事項が影響してくるだろう。
複数原則のためのTrustサービス検証は、それら三つの原則について、一つの業務として実施することもできるし、
個々の原則ごとに三つの業務として実施することもできる。どちらのケースでも、検証報告書は業務の特性を明確
に伝達すべきである。
限定付意見が一つか二つあるが、三つすべての原則についてではない場合には意見表明が複雑になる。一例
を挙げるなら、検証責任者は、そのような報告書を発行しないと決めてもよい。このことについて、クライアントに明
確な理解をしてもらうために、契約書では「報告書は発行されるかもしれないし、されないかもしれない」という一文
をいれておくのもよい。
規準への適合の失敗
複数原則の業務については、企業が複数原則のうちの一つもしくはそれ以上の関連する規準への適合に失敗
するという事例があり得る。もし一つもしくはそれ以上の規準に適合しなかった場合、検証責任者は、無限定意見
報告書を発行することができない。AICPAの証明基準では、限定付あるいは不適正意見を表明するときは、検証
責任者は、記述書に対してよりも、対象事項に直接意見表明を行うべきである。
例えば、企業が機密保持の規準には適合しなかったけれども、セキュリティとオンラインプライバシーの規準には
すべて適合したというような状況では、検証責任者は、業務がどのように組み立てられているかによって、下記のよ
うな選択肢を残しておくことができる。
1.三つのすべての原則を取り扱う一つの報告書を発行する。なぜなら、報告書が限定付ならシールは発行されな
いからである。この選択肢はクライアントの目的がシールの取得にある場合には実行不可能であろうと思われるの
で、検証責任者は、下記の選択肢を考慮すべきである。
2.区分された報告書の中に機密保持原則を分離して、複数の報告書を発行する(例えば、二つの報告書)。他の
二つの原則は、無限定意見報告書なので、企業はシールを取得することができる(注12)。検証責任者は、機密保
持について、限定付報告書を発行してもよいし、あるいは機密保持の業務を解約してもよい。どちらのケースでも、
検証責任者は、経営者に対して、欠陥がどのように修正できるかに関する改善提案書を発行しようとするだろう。機
密保持の欠陥の影響度は、他の原則(注13)への波及がもしあれば、その効果を確かめるために、評価される必要
があるだろう。
検証責任者が各原則を別々の契約書で、別々の業務として取り扱っている場合には、選択肢(2)が最も適切であ
ろう。
異なる検証期間
企業が二つ以上の原則について、検証を依頼した場合でも、様々な理由により、原則の報告対象期間が異なっ
てくる(報告対象期間の長さとか、対象期間の開始日が違うであるとか)こともあり得る。理想的には、検証責任者に
とってはそのような期間を利用できることは効率的である。異なる期間の報告書が存在したときは、検証責任者は、
区分して報告するか結合して報告するかを考慮すべきである。区分された原則を対象とする区分された報告書は、
結合された報告書よりも複雑性が少ない。結合された報告書が発行された場合、異なる報告期間を報告書の意見
区分の最初で明らかにし、異なる検証期間が強調できるようにしておく必要がある。
追加的な意見表明の指針
初度報告書のための特別な問題
初度検証報告書は、通常の場合 2 か月以上の期間をカバーする。しかしながら、2 か月未満の期間をカバーす
- 54 -
る初度検証報告書(特定日対象報告書を含む。)が下記の状況において提出されることがある。
•
•
•
条件が整ったとき。(表 1 を参照)
企業が、規準にもはや準拠できないほどの重要な事象が発生した後で、Trust サービスシールを再取得した
いとき(企業のサイトから検証報告書と Trust サービスシールを除去されていることが必要である)。
企業が、導入前段階のシステムについて、Trust サービス業務を要請するとき。その報告書は一定期間ではな
く、一定時点となる。当該報告書は、システムがまだ運用に至っていないことに言及する。
他の証明業務と同様に、検証責任者が初度検証意見を表明する以前に、十分かつ完全かつ適切な証拠が得
られる必要がある。(注 14)すべての規準について、検証責任者に必要な証拠を提供する十分な関与先の取引量
とその他の手続及び内部統制の証拠が必要とされる。そこで、2 か月未満の期間についての報告書(特定日対象
の報告書を含む)の提出という結果をもたらす業務に同意する場合、検証責任者は、そうした報告書を提出できる
だけの十分な証拠を提供する適切な検証期間(「見返り期間」)があるかどうかについて、留意すべきである。そのこ
とは、開示された実務への準拠性と内部統制の運用の有効性についての経営者の記述書に関係する。検証責任
者が検証を行うその期間は、判断事項である。更に、内部統制の検証にとって適切な見返り期間は、準拠性の検
証に必要な期間とは長さが異なっているかもしれない。
検証責任者は、企業が開示された実務に準拠するという保証を提供するためのテストを実施する必要がある期
間は、証拠の十分性と頻度及び実務の性質によって異なる。例えば、企業が一定の実務に各月の月末には準拠
していると開示した場合、証拠は月末にのみ存在する。
そうした証拠を提供する適切な「見返り期間」が存在すると結論づけられるならば、サイトの内部統制の有効性と
実務への準拠に関して、検証責任者は、2 か月未満をカバーする、あるいは特定日対象の報告書を提出するとい
う業務を引き受けてもよい。検証責任者が特定日対象の報告書を提出すると決定したならば、報告書はある期間と
いうよりも、事務所が、何年何月何日についての経営者の記述書を検証したということを示すように修正されるべき
である。
Trust サービス検証責任者は、更に、ここでの指針に留意し、証明業務規準に適合することを保証するため、報
告書の文言については関連する証明業務規準(注 15)に留意すべきである。
関連する初度検証期間の長さは、下記の表1にあるような要因に基づく検証責任者の専門的判断によって決定
されるべきである。
表1
通常より短い初度検証期間を適用する場合
・ 内部統制検証が既に実施されている関与先
・ 取引発生の規模がわずかで変動が少ない確立され
たサイト
・ 開示、ポリシー、及び関連する内部統制への変更の
実例がほとんどない運用
・ 検証責任者のシステム導入前検証期間の重要な取
引量及び運用状況(典型的には予想される通常の
運用)を伴う開始時の運用、あるいはポリシー及び内
部統制の変更が運用開始後はめったに予想されな
い本番運用サイトへの移行
通常より長い初度検証期間を適用する場合
・ システム導入前段階における典型的運用状況及び
十分な取引量を伴わない開始時の運用
・ 取引発生の規模が大きく変動する運用
・ 複雑な運用
・ 開示、ポリシー、及び関連する内部統制への変更
がよく見られる運用又は開示、ポリシー、及び関連
する内部統制への準拠性が欠けている運用
TPSP(第三者サービスプロバイダ)の利用
検証責任者は、検証対象の企業が、Trust サービス規準のいくつかを達成するために、第三者サービスプロバ
イダを利用しているという状況に直面することがある。AICPA/CICA の「WebTrust 及び類似業務における第三者
サービスプロバイダの影響」は、当該状況に適用できる指針を提供しており、www.aicpa.org からダウンロードできる。
除去されたシールの再取得時における留意点
上記 2 に記述された状況では、企業の経営者は、以前の WebTrust シールの除去を修復する手段を講じること
となるが、「準拠性違反」の状況を作り出した重要な事象の性質と状況を修復する手順についてのユーザーへの開
示を経営者が留意することは重要である。企業は、Web サイト上又は経営者の記述書の一部としてその事象を開
示することに留意すべきである。同じく、新規の報告書を提出する前に、検証責任者は、その事象の重要性、関連
- 55 -
する修正業務及び適切な開示がなされたかどうかに留意すべきである。検証責任者は、また、この事項が(1)経営
者の記述書の一部として開示されるか、(2)検証報告書の区分掲記された説明で強調されるか、(3)その両方である
か、に留意すべきである。
他の原則への準拠性不足を伝達する実施責任
クライアントの Trust サービス原則への充足度について、検証を行っている間に、業務で定義された範囲外で原
則と規準に関連する準拠性や内部統制の欠陥に関する情報が検証責任者の目に止まるかもしれない。例えば、
セキュリティ原則に関連した内部統制に関する意見表明にしか従事していない場合でも、検証責任者が、企業が
Web サイトに掲載したプライバシーポリシーに準拠していない(例えば、個人情報を選定された第三者に提供して
いるなど)ことに気づくかもしれない。検証責任者は、検証範囲を超えてそのような情報を発見する責任はないが、
そのような情報を探知した場合は、識別された欠陥が重要かどうか(欠陥がシステムの利用者を誤らせるほどに重
要か)を評価すべきである。
もし検証責任者がそのような欠陥が重要であると決めたのなら、経営者に対して、書面で伝達すべきである。経
営者は、その欠陥を修正(この場合、第三者への情報提供をやめる)するか、実際の実務を適切に開示して利用
者が実際のポリシーを知ることができるようにすべきである(この場合、プライバシー陳述書について、情報を第三
者に提供している事実を反映するように改訂する)。
もし検証責任者が、この情報の内容が重要であると結論づけ、かつ経営者が欠陥を修正することにもその情報
を開示することにも消極的であったら、検証責任者は、業務の解約を考慮すべきである。
期間累積報告
Trust サービス報告指針の下では、検証責任者の報告対象期間は現在検証実施中の期間に制限され、12 か
月を越えることができない。期間累積報告は、現在の検証対象期間と検証責任者による類似の検証の対象となっ
た前回の検証期間をも対象とするが、推奨されない。期間累積報告期間の適切性は、特に電子商取引のように、
成長やシステム技術の変化が著しく速い状況では疑問である。
限定付意見もしくは不適正意見
AICPA の証明基準では、対象事項や記述書に対する除外事項は、記述書あるいは、重要な事項の開示の妥
当性を含む規準への対象事項の準拠性に対するいかなる未解決の除外事項にも言及する。当該対象事項につ
いての規準からの逸脱は重要性によって評価され、限定付あるいは不適正意見という結果をもたらし得る。
後発事象
テストされた対象事項の特定期間あるいは特定日の後からなのに、検証報告書日付の前に対象事項に与える
重要な効果を持っており、対象事項や記述書の表示を修正ないしは開示することが必要な事象や取引が発生す
ることが時にはある。こうした発生の事実は、「後発事象」と呼ばれる。証明業務を実施する際には、検証責任者は、
判明し得た後発事象についての情報に留意すべきである。検証責任者が留意しなければならない後発事象には
二種類ある。
第一のタイプは、テストされた対象事項の特定期間あるいは特定日に存在していた、追加的な情報を提供する
事象である。この情報は、後発事象が規準への準拠性において表示されているかどうか、あるいは、対象事項、記
述書、検証報告書に影響を与えるかどうかを検証責任者が考慮する際に利用すべきである。
第二のタイプは、テストされた対象事項の特定期間あるいは特定日後に発生した、その性質や重要性が対象事
項に対して誤らせるほどに重要であるという情報を提供する事象である。この種の情報は、適切に開示されていれ
ば、普通は検証報告書に影響を与えない。
検証責任者は、後発事象を検出する責任はないものの、検証報告書日付を通じて、対象事項あるいは記述書
に対する重要な効果を持つ後発事象に気がついているかどうかについて責任のある当事者(クライアントに責任が
ない場合は、更にそのクライアント)に照会すべきである。経営者確認書は通常、後発事象に関する確認事項を含
む(注 16)。
検証責任者は、報告書日付後の事象について、知悉する責任を有していない。しかしながら、もし検証責任者
がそれに気づいていたなら、検証責任者は、検証報告書日付の後に、影響を与えるかもしれないその日付におい
て存在した状態に気づくかもしれない。このような状況では、検証責任者は、監査基準書(SAS)第 1 号の指針、監
査基準及び手続の制定(AICPA 職業的基準第 1 号 AU セクション 561「監査報告書の日付後に存在した事実の
- 56 -
事後発見」注 17)に留意することが望ましい。
合意された手続
クライアントは、検証責任者が Trust サービスの原則と規準に関して、合意された手続業務を行うことを要請する
ことがある。このような業務では、検証責任者は、特定の当事者(注 18)によって合意された特定の手続を行って、
調査結果を報告する。当事者のニーズは広く変化するかもしれないので、合意された手続の性質、タイミング、程
度も同様に変化する。結局、特定の当事者が最も良く彼ら自身のニーズを理解しているので、手続の十分性に対
して責任を有する。合意された手続業務では、検証責任者は、記述書又は対象事項の評価や証明、記述書又は
対象事項について、意見あるいは不適正な保証を表明しない。検証責任者の合意された手続についての報告は、
手続と調査結果の表現である。合意された手続報告書の利用は、手続について合意した特定の当事者に限定さ
れる。(注 19)そのような業務においては、シールを発行することは適切でない。
その他の事項
すべてのTrustサービス業務は、適用される職業的基準とTrustサービスライセンス合意に準拠して行われるべき
である。なぜならば、ユーザーは高水準の保証を模索しており、WebTrustとSysTrustは検証レベルの業務だからで
ある。
したがって、これらのサービスが中程度のレベル又はレビュー報告書として提供されることを意図するのは適切
でない。レビューレベルのTrustサービス業務は許容されてはいるが、意図された利用者にとって望ましい程度の
有用性を提供しないだろう。
検証報告書の文例
下記の検証報告書文例はSysTrustとWebTrustプログラムの両方の業務のためのものである。文例1∼3は特定期
間対象報告書の例である。文例4は特定日対象報告書の例である。
証明業務基準においては、検証報告書の最初のパラグラフは検証責任者がTrustサービス規準の遵守について、
経営者の記述書の検証を行ったと述べるか、あるいは、その代わりに、検証責任者が対象事項を検証したことを述
べる。検証責任者は、(1)経営者の記述書あるいは(2)直接対象事項について、意見を述べてもよい。両方の選択
肢が検証報告書文例で対象とされている。
これらの検証報告書は、例示を目的とするものなので、特定の業務の事実と状況を担保するべく、適用される専
門的な基準に従って修正されるべきである。
文例1 − システムの信頼性のためのSysTrust検証報告書-対象事項に対する直接意見表明(特定期間対象報告
書)
独立した検証責任者のシステム信頼性についてのSysTrust検証報告書
ABC社 代表取締役 殿
当監査法人は○年○月○日から○年○月○日の間のABC社の、AICPA/CICAのTrustサービスシステムの信頼
性規準に基づいて、○○システム(検証対象システム)の信頼性に関する内部統制の有効性を検証した。これらの
内部統制の有効性はABC社の経営者の責任である。当監査法人の責任は当監査法人の検証に基づいて、意見
を表明することである。
信頼性あるシステムとは、特定の期間、特定の環境において重要なエラー、失敗、障害なく運用できるシステムで
ある。AICPA/CICA Trustサービス可用性、セキュリティ、処理のインテグリティ規準は、○○システム(検証対象シ
ステム)の信頼性についてのABC社の内部統制が有効か否かを評価するために用いられている。
当監査法人の検証は、米国公認会計士協会によって確立された証明基準に従って行われた。それには下記が
含まれる。(1)ABC社の関連するシステム可用性、セキュリティ及び処理のインテグリティに関する内部統制につい
て、理解すること。(2)内部統制の運用状況の有効性について、テストし、評価すること。(3)当監査法人が状況に
応じて必要と認めたその他の手続を実施すること。当監査法人は当監査法人の検証が当監査法人の意見に合理
的な基礎を提供すると信じる。
- 57 -
当監査法人の意見では、○年○月○日から○年○月○日の間にABC社は、AICPA/CICAのTrustサービスシス
テムの信頼性規準に基づいて、○○システム(検証対象システム)の信頼性に関する下記の合理的保証を提供す
る内部統制を保持していた。
z システムは約束又は合意されたとおりに利用可能であった。
z 未承認の物理的、論理的アクセスから○○システム(検証対象システム)を保護した。
z システム処理は完全で、正確で、タイムリーで、承認されていた。
内部統制の固有の限界のために、エラーあるいは不正が起こっても、検出されないかもしれない。さらに、当監査
法人の発見事項に基づいたどんな結論の予測でも、将来の時期にはシステムもしくは内部統制に対する変更、変
更の必要性に対する失敗、内部統制の有効性程度の悪化、により当該結論の正当性が変更されるリスクに晒され
ている。
ABC社のWebサイト上のSysTrustシールは、この検証報告書の内容の象徴的な陳述を形成するが、それはこの
検証報告書を更新するか、あるいは追加の保証を提供するように意図されてもいないし、そう解釈されるべきでもな
い。
[監査法人名]
○○○○監査法人
[住所]
[日付]
AICPA 基準の下で作成されるべき検証報告書文例については注記を参照のこと。
文例2 − 消費者保護のためのWebTrust検証報告書―対象事項に対する直接意見表明(特定期間対象報告書)
独立した検証責任者の消費者保護のためのWebTrust検証報告書
ABC社 代表取締役 殿
当監査法人は○年○月○日から○年○月○日の間のABC社の、AICPA/CICAの消費者保護のためのTrustサ
ービス規準に基づいて、○○システム(検証対象システム)のオンラインプライバシー及び処理のインテグリティに
関する内部統制の有効性を検証した。これらの内部統制の有効性はABC社の経営者の責任である。当監査法人
の責任は当監査法人の検証に基づいて、意見を表明することである。
AICPA/CICA Trustサービスにおいては、消費者保護は、個人の同一性を識別できる情報及び電子商取引の処
理に対する内部統制に言及している。AICPA/CICA Trustサービスのオンラインプライバシー及び処理のインテグ
リティ規準は、ABC社が(検証対象の)システムへの消費者保護の内部統制が有効か否かを評価するのに用いら
れる。消費者保護は、ABC社の商品、情報、サービスの品質にも、いかなる消費者の意図する目的への適合性に
も、言及するものではない。
当監査法人の検証は、米国公認会計士協会によって確立された証明基準に従って行われた。それには下記が
含まれる。(1)ABC社の関連するオンラインプライバシー及び処理のインテグリティに関する内部統制について、理
解すること。(2)内部統制の運用状況の有効性についてテストし、評価すること。(3)オンラインプライバシー及び処
理のインテグリティ規準への準拠性についてテストすること。(4)当監査法人が状況に応じて必要と認めたその他の
手続を実施すること。当監査法人は当監査法人の検証が当監査法人の意見に合理的な基礎を提供すると信じる。
当監査法人の意見では、○年○月○日から○年○月○日の間にABC社は、AICPA/CICAのTrustサービスオン
ラインプライバシー及び処理のインテグリティ規準に基づいて、下記の事項に対する合理的な保証を提供する有効
な内部統制を、すべての重要な事項について、保持していた。
z 電子商取引の結果として得られた個人情報が、約束又は合意されたとおりに収集、利用、開示、保持されて
いた。
z システム処理は完全で、正確で、タイムリーで、承認されていた。
内部統制の固有の限界のために、エラーあるいは不正が起こっても、検出されないかもしれない。さらに、当監
査法人の発見事項に基づいたどんな結論の予測でも、将来の時期にはシステムもしくは内部統制に対する変更、
変更の必要性に対する失敗、内部統制の有効性程度の悪化、により当該結論の正当性が変更されるリスクに晒さ
- 58 -
れている。
ABC社のWebサイト上のWebTrust保証シールは、この検証報告書の内容の象徴的な陳述を形成するが、それは
この検証報告書を更新するか、あるいは追加の保証を提供するように意図されてもいないし、そう解釈されるべきで
もない。
この検証報告書には、ABC社の商品(情報又はサービス)の品質に関する陳述は含まれていないし、それらの顧
客が意図する目的への適合性に関する陳述もまた含まれていない。
[監査法人名]
○○○○監査法人
[住所]
[日付]
AICPA 基準の下で作成されるべき検証報告書文例については注記を参照のこと。
文例3 − 単一の原則による検証報告書-対象事項に対する直接意見表明(内部統制を記述した明細書を含む特
定期間対象報告書)
独立した検証責任者のSysTrust検証報告書
ABC社 代表取締役 殿
当監査法人は○年○月○日から○年○月○日の間のABC社の、AICPA/CICAのTrustサービスセキュリティ規
準に基づいて、○○システム(検証対象システム)のセキュリティに関する明細書Xに記述された内部統制の有効
性を検証した。これらの内部統制の有効性保持はABC社の経営者の責任である。当監査法人の責任は当監査法
人の検証に基づいて、意見を表明することである。
当監査法人の検証は、米国公認会計士協会によって確立された証明基準に従って行われた。それには下記が
含まれる。(1)ABC社のセキュリティに関する内部統制について、理解すること。(2)内部統制の運用状況の有効性
について、テストし、評価すること。(3)当監査法人が状況に応じて必要と認めたその他の手続を実施すること。当
監査法人は当監査法人の検証が当監査法人の意見に合理的な基礎を提供すると信じる。
当監査法人の意見では、○年○月○日から○年○月○日の間にABC社は、AICPA/CICAのTrustサービスセキ
ュリティ規準に基づいて、システムが(物理的及び論理的双方の)未承認のアクセスから保護されているという合理
的な保証を提供する、明細書Xに記述されたシステムのセキュリティに関する有効な内部統制を、すべての重要な
事項について、保持していた。
内部統制の固有の限界のために、エラーあるいは不正が起こっても、検出されないかもしれない。さらに、当監
査法人の発見事項に基づいたどんな結論の予測でも、将来の時期にはシステムもしくは内部統制に対する変更、
変更の必要性に対する失敗、内部統制の有効性程度の悪化、により当該結論の正当性が変更されるリスクに晒さ
れている。
ABC社のWebサイト上のSysTrustシールは、この検証報告書の内容の象徴的な陳述を形成するが、それはこの
検証報告書を更新するか、あるいは追加の保証を提供するように意図されてもいないし、そう解釈されるべきでもな
い。
[監査法人名]
○○○○監査法人
[住所]
[日付]
AICPA 基準の下で作成されるべき検証報告書文例については注記を参照のこと。
明細書X(AICPA/CICA Trustサービスセキュリティ規準により検証される内部統制)
システムは(物理、論理双方の)未承認のアクセスに対して保護される。
- 59 -
1.0 ポリシー: 企業は、システムのセキュリティのためにポリシーを
定義して、文書化している。
1.1 企業のセキュリティポリシーは、特定の個人あるいはグループ
によって確立され、定期的にレビューされ、承認されている。
内部統制
企業の文書化されたシステム開発と調達のプロセスは、システム上の
承認されたユーザーとセキュリティ要件を識別して、文書化するための
手続を含んでいる。
ユーザー要件がサービスレベルアグリーメントあるいは他の書類で文
書化されている。
1.2 セキュリティポリシーは、下記の問題を含むが、それらに制限さ
れない。
a.承認されたユーザーのセキュリティ要件の識別と文書化。
b. 許可されるアクセスの性質とアクセスに権限を付与する担当者。
c.未承認のアクセスの防止。
d.新規ユーザーの追加、既存ユーザーのアクセスレベルの変更及
びアクセスする必要のなくなったユーザーの削除手続。
e.システムセキュリティに対する実施責任と説明責任の割当て。
f.システム変更と維持管理に対する実施責任と説明責任の割当
て。
g. 導入前のシステム構成要素のテスト、評価、承認。
h. セキュリティ問題に関連している苦情と要請がどのように解決され
るか。
i.セキュリティ違反その他の事件を処理するための手続。
j.システムセキュリティポリシーをサポートする訓練等に必要な経営
資源を配分するための規定。
k.明示的にシステムセキュリティポリシーで扱われない例外事項と
状況の取扱いのための規定。
l.適用される法規制、定義されたコミットメント、サービスレベルアグ
リーメントの識別と一致のための規定。
1.3 企業のシステムセキュリティポリシーとそれらのポリシーに対す
る変更/更新のための実施責任と説明責任が、割り当てられている。
セキュリティ責任者は毎年セキュリティポリシーをレビューしている。提
案された変更が、IT基準委員会による承認を必要とされるため、同委
員会に提出されている。
企業の文書化されたセキュリティポリシーは、規準1.2で列挙された要
素を含んでいる。
経営者が最高情報責任者(CIO)に、企業セキュリティポリシーの維持
管理と施行に対する責任を割り当てている。役員会の他の人たちが、
役員会ハンドブックで概説されるようにポリシーのレビュー、更新と承認
を支援している。
重要な情報資源(例えば、データ、プログラムと取引)の所有と管理及
び、当該資源の上にセキュリティを確立して、保持するための実施責
任が定義されている。
この明細書は、例示のみが目的であり、セキュリティ原則のすべての規準を含んでいない。検証責任者が一つ以
上の原則について、意見表明するときは、適切な規準及び内部統制をつまびらかにするため類似の様式を用いる
ことになる。検証責任者は、必ずしもこの様式の形式に拘束されず、他の代替的な形式によってもよい。
文例4 − 単一の原則による検証報告書−経営者の記述書に対する意見表明(特定日対象報告書)
独立した検証責任者のWebTrust検証報告書
ABC社 代表取締役 殿
当監査法人は○年○月○日の時点でABC社が、AICPA/CICAのTrustサービスセキュリティ規準に基づいて、未
承認の物理的、論理的アクセスから○○システム(検証対象システム)を保護したという合理的な保証を提供する有
効な内部統制を保持していたとの経営者の記述書を検証した。この記述書はABC社の経営者の責任である。当監
査法人の責任は当監査法人の検証に基づいて、意見を表明することである。
当監査法人の検証は、米国公認会計士協会によって確立された証明基準に従って行われた。それには下記が
含まれる。(1)ABC社の関連するセキュリティに関する内部統制について、理解すること。(2)内部統制の運用状況
の有効性について、テストし、評価すること。(3)セキュリティ規準への準拠性について、テストすること。(4)当監査
- 60 -
法人が状況に応じて必要と認めたその他の手続を実施すること。当監査法人は当監査法人の検証が当監査法人
の意見に合理的な基礎を提供すると信じる。
当監査法人の意見では、○年○月○日の時点でABC社が、未承認の物理的、論理的アクセスからシステムを保
護したという合理的な保証を提供する有効な内部統制を保持していたという経営者の記述書は、AICPA/CICAの
Trustサービスセキュリティ規準に基づいて、すべての重要な事項について、適正に表示している。
代替的文例
当監査法人の意見では、上記のABC社の経営者の記述書は、AICPA/CICAのTrustサービスセキュリティ規準に
基づいて、すべての重要な事項について、適正に表示している。
内部統制の固有の限界のために、エラーあるいは不正が起こっても、検出されないかもしれない。さらに、当監査
法人の発見事項に基づいたどんな結論の予測でも、将来の時期にはシステムもしくは内部統制に対する変更、変
更の必要性に対する失敗、内部統制の有効性程度の悪化、により当該結論の正当性が変更されるリスクに晒され
ている。
ABC社のWebサイト上のWebTrustシールは、この検証報告書の内容の象徴的な陳述を形成するが、それはこの
検証報告書を更新するか、あるいは追加の保証を提供するように意図されてもいないし、そう解釈されるべきでもな
い。
[監査法人名]
○○○○監査法人
[住所]
[日付]
AICPA基準の下で作成されるべき検証報告書文例については注記を参照のこと。
注1 段落7に記載した「ポリシー」という用語は、経営者の意図、目的、要件、責任、あるいは特定の対象事項の基準を知らせる
文書化された陳述書である。あるポリシーは、ポリシーマニュアルとか表題のついた文書とかで明示的に記述されているかもし
れない。しかしながら、あるポリシーは、そのような明示的な表題のない文書に含まれているかもしれない。例えば、従業員や外
部当事者への通達や報告などの形で。
注2 「システム」は、特定の目的を達成するために、組織化された5つの重要な構成要素から成り立つ。5つの構成要素は下記
のように分類される。(a)システム基盤(施設、装置とネットワーク)、(b)ソフトウェア(システム、アプリケーションとユーティリティ)、
(c)要員(開発者、運用担当者、ユーザー、管理者)、(d)手続(自動化された、あるいは手動の)、(e)データ(取引の流れ、ファイ
ル、データベース、テーブル)。
注3 企業規模のプライバシー特別委員会は、企業規模のプライバシーの規準及びその他の指針を策定中である。それが発行
されれば、この文書におけるプライバシー規準は書き換えられることになるだろう。
注4 「個人情報」という用語は、企業が法律上その他のプライバシー義務とコミットメントを持っている個人の同一性を証明でき
る情報その他の機微な情報を含む。
注5 内部統制の例は、例示に過ぎない。検証対象企業での実際のポリシー、手続、内部統制を識別し、文書化するのは検証
責任者の責務である。
注6 これは、欧州連合(EU)指令と合衆国セーフハーバー原則 で、2000年7月21日までに定義された語義である。
注7 世界中のいくつかの国では、第三者調停は消費者苦情の取扱いのために認められた手段ではない。それらの国では、サ
イトは慣習法と規則に従うべきである。このような実務は電子商取引システム上に開示されるべきである。
注8 認証局についての監査意見表明は、適合するTrustサービス規準及び技術的実務手引の例示部位における認証局のた
めのWebTrustのための適合するTrustサービス規準で扱っている。
注9 証明業務基準書第10号の第1章「証明業務」、修正証明基準(AICPA 職業的基準第1号 ATセクション101.24)を参照。
注10 書面の記述書が入手できなかった場合の検証責任者の選択肢の記述については、SSAE第10号第1章(ATセクション
101.58)を参照。
- 61 -
注11 SSAE第10号第1章(ATセクション101.64)を参照。
注12 そのような状況でWebTrustシールを発行するかどうかを決定するに際しては、検証責任者は、「他の原則に対する準拠
性不足を伝達する実施責任」の項の指針に留意すべきである。
注13 SSAE第10号第1章(ATセクション501.34及び601.53)を参照。
注14 SSAE第10号第1章(ATセクション101.51)を参照。
注15 追加的な意見表明の指針については、SSAE第10号第1章(ATセクション101.84∼87)及び付録A(ATセクション101.110)
を参照。
注16 ある対象事項については、業務の実施と意見表明のための追加的要求事項を提供する特定の後発事象の基準が策定
されている。更には、検証責任者は、後発事象の指針として留意すべき、SSAE第10号 第5章「財務報告のための企業の内部
統制への意見表明」(ATセクション501.65∼68)、第6章「準拠性の証明」(ATセクション601.50∼52)で対象としていない事項に
ついての内部統制の有効性や整備状況を検証する業務を行う。
注17 SSAE第10号第1章(ATセクション101.95∼99)を参照。
注18 検証責任者が実施すべき手続は特定のユーザーと検証責任者が合意する。
注19 合意された手続業務は、SSAE第10号の第二章「合意された手続業務」(ATセクション201)の下で行われる。
- 62 -
Fly UP