「情報セキュリティ検証業務」について（PDF：779KB）

EY Advisory
「情報セキュリティ検証業務」について
アドバイザリー事業部 ITリスクアドバイザリー部 公認会計士 長尾慎一郎
Ⅰ 「情報セキュリティ検証業務」
の説明資料の公表
日本公認会計士協会では、財務諸表監査以
た評価結果を掲載した記述書（点数表）につい
て、監査法人が検証報告書を作成し、この検証
報告書を会社の利害関係者が利用する制度です。
この説明資料の中では、その報告書の使い方や、
外の保証業務として、IT委員会報告第5号「IT
業務の効果について、＜図1＞を使って具体的
に係る保証業務」および、IT委員会研究報告
に説明しています。
（以下、
第39号「情報セキュリティ検証業務」
39号）を公表しています。これらは、監査法
人が情報セキュリティを対象にした保証業務を
進めるための重要な指針となります。
情報セキュリティ検証業務は、企業の情報セ
キュリティについて外部監査人が検証した結果
を報告する制度ですが、39号は外部監査人向
けの研究報告なので、一般企業向けの説明では
ありません。そのため、一般企業の方が理解し
やすいようにとの目的で「39号『情報セキュ
リティ検証業務』の説明資料」
（以下、説明資
料）が協会から公表されました。この説明資料
は、2011年12月から協会のウェブサイトに
Ⅲ 情報セキュリティ検証業務の
効果
説明資料では、情報セキュリティ検証業務の
効果について、次の五つを挙げています。
自社に情報セキュリティを要求する企業等へ
の説明
自社の点数の内部監査への活用
公認会計士の検証による信頼性の付与
時系列比較
他社比較
掲載され、現在は誰でも自由に閲覧できるよう
例えば、内部監査への活用については、内部
になっています。本稿では、その内容の一部に
監査部門がグループ企業における情報セキュリ
ついて簡単にご紹介します。
ティの内部統制の程度を測定評価し、個々のグ
ループ企業間の比較をする例が挙げられていま
Ⅱ 情報セキュリティ検証業務とは
情報セキュリティ検証業務とは、情報セキュ
。さらに、この業務を毎期
す（＜図2＞参照）
継続することにより、改善の程度を時系列比較
することも可能になります。
リティの評価規準※に基づいて、経営者が行っ
※ 経済産業省告示の情報セキュリティ管理基準をベースに点数評価をしやすくしたもの
14
情報センサー Vol.69 March 2012
長尾慎一郎（ながお しんいちろう） 現在、当法人におけるシニアパートナー。システム監査技術者、公認情報システム監査人（CISA）。
日本公認会計士協会IT委員会のITアシュアランス専門委員会委員長を務める。
•図1
•図2
•図3
出典：日本公認会計士協会「IT委員会研究報告第39号
『情報セキュリティ検証業務』の説明資料」
Ⅳ 類似業務との比較
て、大変効果的です。経営者、情報セキュリ
ティの担当部署、または内部監査部門の方が、
情報セキュリティの評価には、情報セキュリ
この説明資料を活用することにより、情報セ
ティ検証業務の他に、保証型情報セキュリティ
キュリティの内部統制の向上に役立てていただ
監査や、情報セキュリティマネジメントシステ
くことを期待しています。
ム（ISMS）適合性評価制度、さらには情報セ
キュリティ格付などの制度があります。この説
明資料では、これらの制度を「規準の公開性」
＜お問い合わせ先＞
と「評点の有無」という二つの観点から客観的
アドバイザリー事業部
に比較しており、総じて情報セキュリティ検証
ITリスクアドバイザリー部
業務の報告書の利用価値が高いことを示してい
Tel：03 3503 2900（代表）
ます（＜図3＞参照）。
E-mail：[email protected]
Ⅴ 説明資料の活用
情報セキュリティ検証業務は、企業の情報セ
キュリティの内部統制を測定評価する手段とし
情報センサー Vol.69 March 2012
15