...

IT委員会報告第 号『業務上取り扱う電子データの漏洩を防ぐ セキュリティ

by user

on
Category: Documents
11

views

Report

Comments

Transcript

IT委員会報告第 号『業務上取り扱う電子データの漏洩を防ぐ セキュリティ
公開草案
平成 19 年 10 月 24 日
IT委員会研究報告第
号
「IT委員会報告第
号『業務上取り扱う電子データの漏洩を防ぐ
セキュリティの指針』のQ&A」について
平成
年
月
日
日本公認会計士協会
―目
次―
1.本研究報告の目的.................................................................................................... 1
2.Q&A...................................................................................................................... 2
Ⅰ.はじめに .................................................................................................................. 2
Q1
委員会報告の対象になるのは監査業務だけと考えてよいでしょうか。 ....................... 2
Q2
管理すべき情報としてはいろいろなものがあると思いますが、なぜ、業務に直接
関係するものに限定しているのでしょうか。 ................................................................... 2
Q3
品質管理基準委員会報告書第1号「監査事務所における品質管理」の 84 項に電子
的な監査調書の取扱いに関する記載がありますが、IT委員会報告第
号との関係
を教えてください。 ........................................................................................................... 2
Q4
紙媒体の情報の管理も重要だと思うのですが、どうしたらよいでしょうか。 ............ 3
Ⅱ.IT時代における秘密漏洩の危険性....................................................................... 4
Q5
公認会計士が業務上留意すべき情報セキュリティの問題は、事務所の品質管理に
どのような影響を与えるのでしょうか。 .......................................................................... 4
Q6
「業務上知り得た秘密」と「個人情報保護法」との関係を教えてください。 ............ 4
Q7
秘密となる情報の範囲は、どのように考えればよいでしょうか。 .............................. 4
Q8
どのような観点から秘密漏洩のリスクと対策を考えたらよいでしょうか。 ................ 5
Q9
情報が漏洩してしまったら(PC紛失など)、どのように対応したらよいでしょ
うか。................................................................................................................................. 5
Q10 コンピュータ・ウィルスを防ぐためのウィルス対策ソフトは使用しておりません。
インターネットに接続して問題ありませんか。 ............................................................... 5
Q11
クライアント情報が保存されているPCは、インターネットにつないではいけな
いのでしょうか。............................................................................................................... 5
Q12 電子メールにおける「なりすまし」とはどういうことでしょうか。 .......................... 6
Ⅲ.電子データの分類とリスク分析・対応 ................................................................... 7
Q13 電子データの重要度に応じた分類の例を教えて下さい。............................................. 7
Q14 重要な電子データの管理は、どのような方針を定めるのがよいでしょうか。 ............ 7
Q15
監査等の業務に利用しているPCを業務以外にも利用していますが、何か注意す
る点はありますか。 ........................................................................................................... 7
Q16
警備保障会社、清掃業者など職員以外の人が事務所内に立ち入ることがあり、こ
れらの会社とは守秘義務契約などを締結していますが、リスク要因として考える必
要がありますか。............................................................................................................... 8
Ⅳ.経営者の役割........................................................................................................... 9
Q17 情報セキュリティの対策は、どこまで行うことが必要でしょうか。 .......................... 9
Q18 セキュリティ・ポリシーの例示はありませんか。........................................................ 9
Q19
小規模な事務所なのですが、どのようなセキュリティ・ポリシーが必要でしょう
か。 .................................................................................................................................. 15
Q20 重要なデータに誰でも無制限にアクセスできてしまいます。大丈夫でしょうか。... 15
Q21 情報セキュリティ担当者がいないのですが、どうしたらよいでしょうか。.............. 15
Q22
セキュリティ・ポリシーを実効性あるものにするためには、文書管理ソフトやグ
ループウェアが有効であるとのことですが、具体的にはどのようなものがあります
か。 .................................................................................................................................. 15
Q23 セキュリティ・ポリシーに関連する各種管理規程の文例(雛形)はありませんか。
.......................................................................................................................................... 16
Q24 どのようにしたら情報セキュリティの意識を職員全員が持つようになりますか。... 16
Q25
セキュリティ・ポリシーを作成し、従業員への研修も行いました。これで十分で
しょうか。 ....................................................................................................................... 17
Q26
研修会を開きたいのですが、どのような内容のものを行ったらよいでしょうか。
また、外部に頼むことはできないでしょうか。 ............................................................. 17
Q27
電子メールを使ったクライアントとのやりとりがありますが、どのような点に留
意したらよいでしょうか。 .............................................................................................. 17
Q28 電子メールに関するセキュリティ・ポリシーの例示はありませんか。..................... 18
Q29
当会計事務所(監査法人)は小規模であり、PCはスタンドアロンでの利用を行
い、またインターネット利用はしていません。この場合でも情報セキュリティ対策
は必要でしょうか。 ......................................................................................................... 18
Q30
当会計事務所(監査法人)は小規模であり、複数の公認会計士と共同で業務を行
っています。この時、データの管理方針はどのようにしたらよいでしょうか。 .......... 19
Q31
電子データの保管期限等を定めることが必要と聞きましたが、どのように考えた
らよいでしょうか。 ......................................................................................................... 19
Ⅴ.情報セキュリティ担当者の役割 ............................................................................ 20
Q32 今すぐできるセキュリティ対策はありますか。 ......................................................... 20
Q33 安全なPCを買いたいので、推奨機種を教えてください。 ....................................... 20
Q34 ノートPCから情報が漏れないようにするには、どうしたらよいでしょうか。 ...... 21
Q35 事務所は事務職員を含め 10 人です。なお、このうち非常勤の公認会計士が5人
います。業務でのPC使用は以下のとおりですが、どの程度セキュリティ対策(改
善)を行えばよいでしょうか。....................................................................................... 21
Q36
今までパスワードの変更を行っていません。今後は変えるようにしようと思いま
すが、何日ぐらいの間隔が適当でしょうか。 ................................................................. 23
Q37 パスワードのルールを決めようと思います。留意点を教えてください。 ................. 23
Q38 電源起動時のパスワード、Windows ログオンのパスワードや指紋認証機能を利用
するように設定しましたが、それで十分でしょうか。 .................................................. 23
Q39
重要なデータのパックアップ方針を決めようと思います。留意点を教えてくださ
い。 .................................................................................................................................. 24
Q40
電子データをバックアップしたあとの媒体の管理はどのようにしたらよいでしょ
うか。............................................................................................................................... 24
Q41 ウィルス対策を行おうと思います。どのような点に留意したらよいでしょうか。... 25
Q42
無線LANを設置しようと思いますがどのような点に留意すればよいでしょうか。
.......................................................................................................................................... 25
Q43 HDの暗号化をする手段はありますか。 .................................................................... 26
Q44
PCをインターネットや社内のネットワークにつながなければ特に対策をしなく
てもよいでしょうか。 ..................................................................................................... 26
Q45
最新のITを利用してしまう行為が情報漏洩につながりかねないといいますが、
どのような最新のITが危険か教えてください。.......................................................... 26
Q46
社内にサーバを設置して管理していくことができず、レンタルサーバを利用して
いるのですが、どのような点に留意すればよいでしょうか。 ....................................... 27
Q47 PCを廃棄する際にはどのような点に留意すればよいでしょうか。 ........................ 27
Q48
業務でUSBメモリをよく使いますが、どのようにすればUSBメモリとしての
セキュリティを保てるのでしょうか。............................................................................ 28
Q49 電子メールの暗号化にはどのような種類がありますか。........................................... 28
Q50
プリンタで印刷した書類がそのまま放置されていることが多いのですが、どう対
応したらよいでしょうか。 .............................................................................................. 29
Ⅵ.利用者の役割......................................................................................................... 30
Q51 PCに重要な電子データがたくさん入っていますが、大丈夫でしょうか。.............. 30
Q52 喫茶店や電車の中でPCを使って仕事をしていますが、問題はありますか。 .......... 30
Q53
インターネットカフェ等で利用可能なPCを使ってメールをやり取りする等の業
務を行うことに問題はありますか。 ............................................................................... 30
Q54
業務に利用しているPCを業務以外にも利用していますが、何か問題点はありま
すか。............................................................................................................................... 30
Q55 パスワードが多すぎて覚えられません。何かよい方法はないでしょうか。.............. 31
Q56 通勤途中にPCを盗られてしまいました。盗られない良い方法はないでしょうか。
.......................................................................................................................................... 31
Q57
電子データ交換の際にUSBメモリ等の携帯型記憶媒体をよく使うのですが、注
意すべき点はありますか。 .............................................................................................. 31
Q58
メールで重要な情報をクライアントとやり取りする事がありますが、問題はあり
ますか。 ........................................................................................................................... 32
Q59
他の仕事で作成したワープロや表計算ソフトのデータを使い回しする時は注意す
るように言われているのですが、なぜでしょうか。 ...................................................... 32
Q60 ウィルス対策はどの様にしたらよいでしょうか。...................................................... 32
Q61 よくわからないソフトをインストールしてはいけないのはなぜでしょうか。 .......... 33
Q62 プリンタで印刷する場合、情報漏洩という点から注意することはありますか。 ...... 33
Q63 書類等に対するセキュリティはどうしたらよいでしょうか。 ................................... 33
付録1:平成 17 年9月 27 日付け会員・準会員宛メッセージ.................................... 34
付録2:電子化の変遷と公認会計士のセキュリティ................................................... 37
付録3:情報セキュリティに関連した用語解説 .......................................................... 40
付録4:役に立つWebサイト ................................................................................... 44
付録5:通信の暗号化について ................................................................................... 45
付録6:チェックリストについて................................................................................ 48
1.本研究報告の目的
本研究報告はIT委員会報告第
号の内容について、Q&A方式での具体的な解説を提
供し会員に理解を深めていただくことを目的として作成した。
「2.Q&A」については、IT委員会報告第
るため、IT委員会報告第
号の項目と対応するように作成してい
号と対応させながら読んで理解を深めて頂ければと思ってい
る。
なお、平成 17 年9月 27 日にIT担当常務理事より会員・準会員宛に向けたメッセージ
が発せられており、その一部をここに抜粋する。全文は付録1に掲載した。
一方私どもの業務の前提は信頼性であり、その信頼性の内にはクライアント情報に対す
る取扱に関することも含まれていることは言うまでもありません。このため一会員個人あ
るいは一会員事務所におけるクライアント情報の紛失は、当該個人や当該会員事務所に対
する信頼性の喪失にまず繋がるわけですが、そればかりでなくこのようなクライアント情
報の紛失は業界全体の信頼性の喪失にも繋がります。つまり私どもの業務の前提の崩壊に
も繋がるということです。
その意味で個人情報保護法への対応を的確かつ適切に行うことはもとより、少なくとも
クライアント情報に対する管理体制について厳正に見直すとともに、会員事務所及びその
関係会社において業務に従事する全ての者の情報管理意識を適切なものとするよう措置を
講ずることが必要です。
一人の情報の紛失が業界に対する信頼性の喪失に直結することを改めて認識され、情報
管理体制の厳正な見直しを行うべきことを改めて強く要請いたします。
1
2.Q&A
Ⅰ.はじめに
Q1
委員会報告の対象になるのは監査業務だけと考えてよいでしょうか。
A1
監査業務だけには限定されません。公認会計士の業務は、監査、税務、コンサルテ
ィングなど多岐にわたり、その中で取り扱う情報もさまざまですが、情報漏洩(紛失
を含む)という観点からは全て管理すべき情報だからです。
Q2
管理すべき情報としてはいろいろなものがあると思いますが、なぜ、業務に直接関
係するものに限定しているのでしょうか。
A2
情報漏洩(紛失を含む)が特に問題となるのは、業務に直接関係するデータと考え
られるからです。だからといって、紙媒体でしか存在しないデータ、公認会計士事務
所や監査法人の管理部門が管理する電子化されたデータを管理しなくて良いというこ
とではありませんので、公認会計士事務所(監査法人)においては、委員会報告に準
じて管理体制を検討するのがよいと思います。
なお、監査調書については、品質管理基準委員会報告書第 1 号「監査事務所におけ
る品質管理」において取扱が明示されているため、留意する必要があります。
Q3
品質管理基準委員会報告書第1号「監査事務所における品質管理」の 84 項に電子的
な監査調書の取扱いに関する記載がありますが、IT委員会報告第
号との関係を教
えてください。
A3 品質管理基準委員会報告書第 1 号「監査事務所における品質管理」の 84 項では監査
調書を電子的に作成している場合の留意点を示しています。
84.監査事務所は、監査調書に関し、機密性、保管の安全性、情報の完全性、アク
セス可能性及び検索可能性を合理的に確保するため、監査調書の管理に関する方針
及び手続に、例えば、次の事項を含める。
・電子的な監査調書へのアクセスを制限するため、パスワードを使用すること
・電子的な監査調書について、適時にバックアップを行うこと
・監査業務開始時における監査実施者への監査調書の配付、監査業務実施中の監
査調書の管理及び監査業務終了時の監査調書の整理を適切に実施すること
2
・電子的な監査調書のハードコピーに対し、アクセス管理、配付及び保管を適切
に実施すること
基本的な考え方は情報漏洩を防ぐことにあり、IT委員会報告第
号の取扱いと変
わるところはないと思われます。上記のうち、特に1つ目の「電子的な監査調書への
アクセスを制限するため、パスワードを使用すること」について説明を行います。
電子的な監査調書へのアクセスを制限するためには、まず、セキュリティ・ポリシ
ーに基づき決定された秘密度に応じて、電子的な監査調書にアクセスできる人の範囲
を決めます。委員会報告の具体的な分類の例では、監査調書は「レベル2(秘
密):
業務担当以外の使用を禁止する」に該当すると考えられ、業務担当者は、監査チーム
メンバーや審査担当者(レビューパートナー)
、その他業務上アクセスする必要のある
者になると考えられます。ですので、業務担当者以外の社員・職員が電子的な監査調
書にアクセスできないようにする必要があります。
アクセスの制限方法については、公認会計士事務所(監査法人)のセキュリティ・
ポリシー等によることとなりますが、たとえば、ファイルサーバを用いてクライアン
トの電子データを管理している場合には、クライアントごとにフォルダが作成されて
いると思いますので、そのフォルダごとにアクセス権を設定することになると考えら
れます。
「パスワードを使用すること」とありますが、これはパスワードを利用してアクセ
ス管理を行うという意味であって、パスワード以外の他の認証方法を用いることも可
能です。また、上述したとおり、パスワードでアクセス管理を行う場合、フォルダ毎
に管理するのか、個々のファイルにパスワードを設定するかは公認会計士事務所(監
査法人)のセキュリティ・ポリシーにより決定することになると考えられます。
なお、重要な電子データにアクセスする場合は、個人別のIDとパスワードを用い
た認証方法を検討しなければならないと考えます。
Q4
紙媒体の情報の管理も重要だと思うのですが、どうしたらよいでしょうか。
A4
おっしゃるとおり紙媒体の情報の管理も重要です。委員会報告は業務に直接関係す
る電子データを対象としていますが、情報管理という点では紙も電子データも違いは
あまりないと考えられますので、この委員会報告から電子データ特有の部分を除いて
参考にされるとよいと思います。
3
Ⅱ.IT時代における秘密漏洩の危険性
Q5
公認会計士が業務上留意すべき情報セキュリティの問題は、事務所の品質管理にど
のような影響を与えるのでしょうか。
A5
公認会計士事務所(監査法人)における品質管理の範囲はどこまでかということに
なりますが、最近の公認会計士業務においてはPCの利用が増えてきており、情報セ
キュリティに対してもしかるべき対策が必要になっています。この対策を怠ると重大
な社会問題を引き起こす可能性もあります。したがって、情報セキュリティ対策は十
分に行わなければなりません。
Q6
「業務上知り得た秘密」と「個人情報保護法」との関係を教えてください。
A6 「個人情報保護法」では、
「個人情報取扱事業者」
(5,000 人を超える個人情報データ
ベース等を事業の用に供している者)に対して、個人データの安全管理措置等の義務
を定めています。公認会計士法第 27 条(秘密を守る義務)
「...正当な理由がなく、
その業務上取り扱ったことについて知り得た秘密を他に漏らし、又は盗用してはなら
ない。(以下略)」とは直接の関係はありません。
例えば、会計監査の過程で、被監査会社の「個人情報データベース」が監査対象にな
った場合でも、監査手続の実施によって直ちに監査人自身が個人情報取扱事業者になる
わけではありません。当然、個人情報であるか否かにかかわらず、業務上知り得た事項
は、守秘義務対象の情報となります。
監査業務と個人情報保護法との関係及び個人データの例は、リサーチ・センター審理
情報〔No.22〕に記載されています。
Q7
秘密となる情報の範囲は、どのように考えればよいでしょうか。
A7 公認会計士の守秘義務の対象となる秘密とは、公認会計士法第 27 条に『業務上取り
扱ったことについて知り得た秘密』と規定されていることから、業務上取り扱ったこ
とにより知り得た、一般の第三者が知ることができない情報で、相手方が秘密と認識
している情報、公表により利害関係者に影響が及ぶと思われる情報等が該当すると考
えられます。
4
Q8
どのような観点から秘密漏洩のリスクと対策を考えたらよいでしょうか。
A8
漏洩が生じた場合の損害の大きさから、情報を分類し、その分類ごとに標準的な取
扱(アクセス権限、保管輸送方法、暗号化など)を規定として定めます。損害の大き
さとは、損害賠償、信用の失墜、これに伴う業務収益の低下、連絡調査等の事務費用
など想定される支出、損害を網羅的に考慮する必要があります。
Q9
情報が漏洩してしまったら(PC紛失など)、どのように対応したらよいでしょう
か。
A9
あらかじめ定められた手順に従い、漏洩した情報の内容、範囲を調査して、速やか
に当該情報の利害関係者に通知する必要があります。なお、漏洩した情報の内容によ
っては、監督官庁への届出などが義務づけられていることもありますので、留意が必
要です。委員会報告「Ⅳ.経営者の役割」の「9.情報漏洩時の対応」を参照してく
ださい。
Q10
コンピュータ・ウィルスを防ぐためのウィルス対策ソフトは使用しておりません。
インターネットに接続して問題ありませんか。
A10 ウィルスに感染してしまった場合、次のような被害が発生すると考えられます。
①
ファイルやデータが消失する。
②
システム障害が起きる。
③
他のコンピュータにウィルスを感染させる。
④
他の人にウィルス付きメールを送信する。
⑤
PC内のファイルを勝手に持ち出す。
このように、一人がウィルス対策ソフトを使用していないことにより、知らないうち
に、自分ばかりか他の人にも影響(被害)を与える可能性があります。コンピュータを
利用する以上、最低限のウィルス対策ソフトを使用することは利用者としての義務とい
えると思います。
Q11
クライアント情報が保存されているPCは、インターネットにつないではいけない
のでしょうか。
5
A11
インターネットを通じてのウィルス感染等を考慮して、重要な情報を保存している
PCをネットワークに接続しないというのは、有効な対策のひとつですが、電子メー
ルの利用などを考えると、日常の業務に使用するPCをインターネットにつながない
というのはきわめて利便性を損なうでしょう。適切なセキュリティ対策を施したPC
であれば、インターネット接続禁止を強制することは現状の業務にそぐわないかもし
れません。ただし、長期に電子データを保管するサーバについては、物理的またはフ
ァイアウォールによってインターネット等から隔離することは有効な対策となります。
Q12 電子メールにおける「なりすまし」とはどういうことでしょうか。
A12
「なりすまし」とは、他人のユーザIDやパスワード等を利用し、その本人である
ようなふりをしてメールの送受信、データのダウンロード、インターネットで買い物
をする行為をいいます。
PCを盗まれて、そのPCの普段利用しているメールソフトからメールが発信されて
しまう場合だけでなく、インターネット上の掲示板や、匿名メールアカウントを利用し
て、他人の名前やメールアドレスで投稿等をする場合も「なりすまし」に該当します。
本人からのメールか、他人が発信者として当該メールアドレスを使用しただけの「な
りすまし」であるかを判別するには、メールヘッダ中の発信元のメールサーバ名をチェ
ックすることにより、ある程度の判断は可能ですが、盗まれたPCの環境で使用された
場合、
「なりすまし」を行った人が同一のメールサーバを使用している場合は、
「なりす
まし」を見抜くことは難しくなります。
6
Ⅲ.電子データの分類とリスク分析・対応
Q13 電子データの重要度に応じた分類の例を教えて下さい。
A13
委員会報告では秘密度に応じて以下の様な分類例が示されています。レベル3の電
子データにはパスワードだけではなくICカードや生体認証等を用いたアクセス制御
を行うこととされるのが一般的ですので、秘密度の非常に高い電子データに限ってレ
ベル3に分類するのがよいでしょう。なんでもかんでもレベル3に分類してしまうと
アクセスが面倒なだけでなく、本来の運用が行われない可能性もあります。
レベル3(極
秘):特定の責任者以外の使用を禁止する。
レベル2(秘
密):業務担当以外の使用を禁止する。
レベル1(社外秘):社内のみの使用に限定する。
レベル0(公
開):使用制限なし。
レベル3に該当する電子データとしては、関与先の買収、合併及びこれらに伴う資
産査定情報、などが考えられます。一般的な監査調書や業務上の資料はレベル2に分
類されると考えます。
なお、そもそも保持する必要のない、もしくは既に不要となった電子データについ
ては、削除してしまうことをおすすめします。その方が、管理する手間が省けるから
です。
Q14 重要な電子データの管理は、どのような方針を定めるのがよいでしょうか。
A14
重要な電子データに対しては、正規の利用者のみが利用できるよう、アクセス制御
を行う必要がありますので、電子データが保管されているサーバやPCへのアクセス
を制限します。具体的には物理的に安全な保管場所にすること、電子データに暗号化
を施すこと、パスワード、ICカードや生体認証等を用いて利用者確認をすることが
必要です。また、外部とのやり取りに際して電子メールを用いてよいかどうかも十分
検討し、場合によっては禁止する必要があります。
Q15
監査等の業務に利用しているPCを業務以外にも利用していますが、何か注意する
点はありますか。
A15 多くの企業や自治体では、PCを業務以外の目的に使用することを禁止しています。
これは、業務に関係ないインターネットのサイトを見るなど、就業時間中に許可なく
7
業務とは無関係な行為を、会社所有の設備や物品を使用し行うことになり、一般的な
良識の範囲では許されません。また、PCを家庭に持ち帰るような場合には、ゲーム
ソフトや私用のソフトを利用することにより、ウィルス感染したり障害の発生する原
因となったりする可能性が高くなることになります。特に最近ではファイル共有ソフ
トにウィルスが感染し、ファイルが流出する事故が相次いでいます。業務用のPCと
業務以外に使用するPCを分けて使用するのがよいでしょう。PCの利用にあたって
の取決めは、セキュリティ・ポリシーやその細則で定めることとなります。
Q16
警備保障会社、清掃業者など職員以外の人が事務所内に立ち入ることがあり、これ
らの会社とは守秘義務契約などを締結していますが、リスク要因として考える必要が
ありますか。
A16
警備保障会社、清掃業者といった外部業者と各種契約を結ぶことがあります。これ
らの契約締結時には、守秘義務などに関する条項も盛り込まれるのが通常ですが、そ
れらの契約を結んだだけでは情報漏洩のリスクを下げることはできないと考えます。
これらの契約は、警備保障会社、清掃業者以外の第三者へ情報が漏洩する危険は少
なくなります。たとえば、警備保障の契約をしておけば不審者の侵入による盗難は防
げるでしょうし、清掃業者と契約をしておけば廃棄物から情報が漏洩する危険は少な
くなります。しかし、警備保障会社、清掃業者そのものから情報が漏洩する危険まで
も下げることはできません。たとえば、PCが施錠されることなく置かれている、重
要な書類やCD−R・USBメモリが机に出したままである、書類がシュレッダーさ
れることなくゴミ箱に捨てられている、といった状況では、悪意のある人であれば、
怪しまれることなく持ち出してしまうことが可能となります。
従って、通常はリスク要因としてとらえることが必要と考えます。
8
Ⅳ.経営者の役割
Q17 情報セキュリティの対策は、どこまで行うことが必要でしょうか。
A17
情報漏洩を完全に防ぐことは困難である以上、情報セキュリティ対策に「ここまで
やれば大丈夫。」という明確な基準はありません。仮に対策がとられていないことによ
りリスクが顕在化した場合、どのような影響が及ぶかを考慮したうえで、取扱う電子
データの質的・量的重要性に応じて対策を検討する必要があります。ただし、例えば
情報の保管場所の施錠管理を徹底する、情報の送信時にはファイルにパスワードをつ
ける、情報の外部への持ち出しを必要最小限にする、といった対策をとるだけでも漏
洩リスクは大幅に軽減されます。多大なコストをかけてセキュリティを強化したり、
情報機器に難しい設定を施す前に、普段の心がけで防げるような基本的な対策から率
先して行う姿勢が重要です。
Q18 セキュリティ・ポリシーの例示はありませんか。
A18 以下に掲げるセキュリティ・ポリシーの例は、所員数 10 人程度の会計士事務所(監
査法人)が最低限検討すべき事項を前提として作成しています。
9
情報セキュリティ基本方針の例
1.基本方針
この基本方針は、公認会計士○○事務所の業務を実施するに当たり遵守すべき方針であり、
すべての情報はその重要性に応じ「情報セキュリティ対策基準」に基づき取り扱われなけれ
ばならない。
2.対象範囲
この基本方針の対象とする情報の範囲は、以下の事項とする。
・ 業務実施により知り得た関与先の情報
・ 実施した業務に関する情報(契約金額、作業時間等)
・ 事務所がノウハウとして独自に保有する情報(マニュアル、事例など)
・ その他の情報(事務所職員の人事情報、経営情報など)
3.対象者と適用範囲
この基本方針の対象者には、事務所職員のみではなく、警備・清掃業務等の委託先、派遣
職員を含む。また、基本方針は、対象範囲の情報を取り扱うすべての場所、回線、機器に適
用する。
4.管理体制
情報管理の責任は、事務所長が担うものとする。その実行、管理に当たっては、セキュリ
ティ責任者を定め、各部門でセキュリティ担当者を任命して以下の体制により実施する。
(体制の例)
事務所長
セキュリティ
責任者
システム担当
システムセキュリティ
責任者
総務担当
セキュリティ
担当者
監査責任者
監査
担当者
セキュリティ
担当者
(※)セキュリティ責任者は、情報セキュリティの全般管理を実施する役割として設置するこ
とが望ましいが、必ずしも設置が求められるものではなく、組織の規模に応じ各部門のセキ
ュリティ担当者を中心にセキュリティ体制を構築することもひとつの方法として考えられ
る。
10
5.情報の分類
対象となる情報については、以下の観点から重要性に応じた分類を行う。
(1) 漏洩による影響
担当者の不正使用及び担当者以外の事務所職員及び外部からの不正アクセス、文書・媒
体の複製及び持出し、盗難に関して、当該情報が漏洩した場合の信用の失墜、損害賠償、
罰則を考慮して重要性を決定する。
(2) 消失による影響
事故、不正操作、火災、天災等により当該情報が消失した場合、情報を適時に利用でき
ない場合の影響を考慮して重要性を決定する。
(3) 誤謬による影響
過失、改ざん等により、情報に誤謬を生じた場合の影響を考慮して重要性を決定する。
6.情報の保管期限
情報の種類、重要度に応じて保管期限を定める。なお、保管期限を過ぎた情報については、
必要な承認手続きを経て、廃棄・削除するものとする。
7.実施状況の点検及び監査
情報セキュリティ基本方針及び情報セキュリティ対策基準の遵守状況について、定期的にセ
キュリティ実施状況の点検を行うとともに、内部監査を実施する。
11
情報セキュリティ対策基準の例
1.物理的対策基準
(1) 事務所
・事務所への入退出を適切に管理すること
・窓、非常口など通常の出入口以外の通路を適切に管理すること
・地震、火災、侵入などの影響を考慮した立地、建造物であること
(2) セキュリティ区画
・重要度の高い電子データを保有する区画、又はアクセス可能な端末を設置する区画につい
て、ドアが施錠され、壁又は堅牢なパーテーションで区切られ、入退室を適切に管理する
こと
・同区画において、温度、粉塵、湿度、振動等の環境要因を適切に管理し、消火設備、検知
器が必要な保守点検を受けていること
・同区画に対して、深夜休日単独作業を管理すること
2.システム対策基準
(1) ネットワーク
・ネットワーク接続の仕様、機器を統一して管理すること
・各ネットワーク機器の状況、トラフィック、システム停止に関して、適切な統制管理を行
うこと
・レベル2以上のデータを保有する機器について、ファイアウォール、暗号化通信等の適切
なセキュリティ仕様を適用し、適切に運用されていることを適時に管理すること
(2) ハードウェア
・セキュリティレベルに応じて信頼性のある機器を選定すること
(3) OS、ソフトウェア(グループウェア、データベース等)
・セキュリティに配慮したソフトウェアの設定を行うこと
・適時にパッチなどの更新プログラムを適用すること
(4) 業務システム
・適切な品質管理を行い、利用するデータのレベルに応じたセキュリティ対策をとること
(5) ウィルス
・適切なウィルス対策ソフトを使用し、パターンを適時に更新すること
(6) バックアップ
・データの重要度分類に基づき、適切な頻度でデータ等のバックアップを行うこと
12
3.アクセス管理基準
(1) アクセス管理
・重要な電子データにアクセスする場合は、個人別にIDとパスワードを用いること
・電子データごとに利用(変更可能権限を含む)可能な権限を設定すること
・当該権限は、定期的及び職務権限変更時に見直すこと
(2) ID管理
・管理台帳(紙か電子的かを問わない)を整備し、常に最新の状態に保つこと
・定期的に棚卸を行い、退職者などの不要なIDが残されたままになっていないか確認する
こと
(3) パスワード管理
・推測されにくいパスワード(例えば英数混在の8桁以上)を使用すること
・有効期限を決めるなど、必要に応じて変更すること
・上記仕様は、システムで強制設定すること
4.職員等行動基準(以下の項目を含む手順書を作成する。)
・電子メールの利用制限
・インターネットの利用制限
・ソフトウェアのインストール制限
・重要電子データの個人保管の禁止
・書類の管理(コピー、プリンタ、メモリ、ディスクなど)
・機密事項に関する会話に関する注意
・PCの管理
13
データ分類の例示
公認会計士○○事務所の情報を、次の4種に分類する。
レベル3(極
秘):特定の責任者以外の使用を禁止する。
レベル2(秘
密):業務担当以外の使用を禁止する。
レベル1(社外秘):社内のみの使用に限定する。
レベル0(公
レベル3 (極
利用可能者
開):使用制限なし。
秘)
当該業務の責任者及び責任者の許可した主任担当者
事務所内で任命された品質管理者等
保管場所
物理的媒体の場合、常時施錠された金庫等に保管する。
電磁記録は暗号化し、紙媒体の場合、複写を困難とする対策を講じる。
インターネット経由の電子メール送信は禁止する。
運搬・通信
高度の暗号化を行い安全に行う。
なお、電送の場合は、専用回線又はこれと同等の回線を使用する。
認証
保管データの使用に当たっては、指紋等による生体認証、ICカード、パ
スワード等の認証方法を複数組み合わせる。
レベル2(秘
密)
職務担当者
当該業務責任者の許可した担当者
保管場所
物理的媒体の場合、施錠可能な保管庫等に保管する。
電磁記録は暗号化し、ファイルサーバに共有データとして保存する場合、
当該サーバは十分な安全対策を施す。
電子メールでの送信については、十分な暗号化対策を講じる。
運搬・通信
物理的媒体の場合は、担当者又は信頼できる業者が安全に輸送する。
電子データについては、適切な暗号化を行う。
認証
利用に当たっては、ICカード、物理鍵、パスワード等の認証を必要とす
る。
レベル1(社外秘)
職務担当者
事務所職員
外部委託の場合、秘密保持契約を要する。
保管場所
配布資料は回収する。
十分な職員教育を行う。
14
Q19 小規模な事務所なのですが、どのようなセキュリティ・ポリシーが必要でしょうか。
A19
Q18 では、所員数 10 名程度の公認会計士事務所をモデルにしたセキュリティ・ポリ
シー(「情報セキュリティ基本方針」及び「情報セキュリティ対策基準」)の例を掲載
しています。事務所規模の大小に関わらず、情報セキュリティが重要であることには
変わりませんので、自らの扱う情報の重要性を認識し、情報媒体、PC、電子メール
等の取扱いについて同等の管理を行う必要があります。
Q20 重要なデータに誰でも無制限にアクセスできてしまいます。大丈夫でしょうか。
A20
使用が限定されるべき重要なデータ(監査調書やクライアントの経理データ、税務
申告データなど)に、誰でも無制限にアクセスできる状況は問題です。電子データの
分類方針に基づき、電子データの重要度に応じたアクセス制御の設定を行い、機密性
の高い重要な電子データは必要な人だけがアクセスできるような体制を構築すること
が必要です。
Q21 情報セキュリティ担当者がいないのですが、どうしたらよいでしょうか。
A21
組織の規模によっては、情報機器の管理や様々な設定を外部の業者に任せていて情
報セキュリティ担当者がいないケースも考えられます。このような場合でも、専任の
情報セキュリティ担当者を設置する代わりに、外部業者のサービスレベルを的確に把
握できるような担当者を任命・設置することにより、情報システムにセキュリティ上
の問題が発生した時には、当該担当者が外部業者と連携して適切に対処できるような
管理体制を築いておくことが経営者の役割であるといえます。
Q22
セキュリティ・ポリシーを実効性あるものにするためには、文書管理ソフトやグル
ープウェアが有効であるとのことですが、具体的にはどのようなものがありますか。
A22 文書管理ソフトやグループウェアを使用すると、
①
文書の作成者と承認者が明確になる。
②
文書の最新版がすぐ分かる等、文書の版(バージョン)管理を行うことがで
きる。
③
文書の保管操作が容易になる。
15
④
サーバで文書を一元管理できるため、セキュリティが高まる。
などのメリットがあります。
具体的な製品には様々なものがあり、使用する環境に応じて選択をしなければなり
ません。インターネットや情報誌等を利用して、それらを比較検討することもできま
す。
Q23 セキュリティ・ポリシーに関連する各種管理規程の文例(雛形)はありませんか。
A23
情報機器の取扱いに関する管理規程、メールやインターネットの利用に関する管理
規程など、情報セキュリティの一環として定めておくべき管理規程には様々なものが
あります。また、たとえば人事規程で触れなければならない項目もあるなど、非常に
多岐にわたります。したがって、公認会計士事務所(監査法人)として用意すべきす
べての規程を提供することに等しいため、ここで文例(雛形)を提供することは行い
ません。こうした各種管理規程の一般的な文例は出版書籍やインターネットを通じて
入手することが可能です。
ただし、規程の中で定める内容や要求水準は組織によって異なることから、入手し
た文例をそのまま適用するのではなく、組織の実態に応じて適宜カスタマイズするこ
とが必要であると考えられます。
なお、IT委員会報告第
号と本研究報告に基づいたチェックリストを付録に掲載
しますので、セキュリティの向上に役立ててください。
Q24 どのようにしたら情報セキュリティの意識を職員全員が持つようになりますか。
A24
経営者がセキュリティ・ポリシーを作成しても、その方針が職員に浸透しなければ
意味がありません。したがって職員に対する意識の啓発は重要です。そのためには職
員に対して定期的に教育研修を行い、仮に情報漏洩が発生した場合、組織にどのよう
な影響が生じるのかについて周知させる方法などが挙げられます。
また職員に対し、情報の取扱いに関する機密保持の誓約書を採用時や毎年提出して
もらうことや、万が一漏洩事故を起こした場合の罰則について就業規則に定めておく
ことにより、抑止効果を通じて情報セキュリティの重要性を認識してもらうという方
法も考えられます。
16
Q25
セキュリティ・ポリシーを作成し、従業員への研修も行いました。これで十分でし
ょうか。
A25
セキュリティ・ポリシーをただ単に作成しただけではポリシー自体が形骸化してし
まいかねません。また研修を実施したとしても、その意義(情報セキュリティの必要
性)を従業員が正しく理解していなければ、電子データを組織として適切に保護する
ことはできません。経営者は社内で取り決めたルール(方針、規程)が適切に運用さ
れているかどうかを常日頃よりモニタリングすることも検討する必要があります。そ
のためには計画(Plan)と実行(Do)だけでなく、自己点検や監査などを通じ
てルールの遵守状況を把握し(Check)、その結果明らかになった問題点を是正し
たうえで、必要に応じてルール自体を見直す(Act)というマネジメント・システ
ムの確立が求められます。
Q26
研修会を開きたいのですが、どのような内容のものを行ったらよいでしょうか。ま
た、外部に頼むことはできないでしょうか。
A26
情報セキュリティの内容は多岐に渡ります。研修にあたってはどのようなテーマを
選定すれば情報セキュリティ目的にかなうのかを検討しなければなりません。一例を
挙げるならば、
①
セキュリティ・ポリシーの内容について
②
情報セキュリティに関し、職員が果たすべき役割について
③
情報セキュリティのルールに違反した場合の措置について
④
情報漏洩の発生がもたらす影響
⑤
情報セキュリティに関するトピックな話題
などが考えられます。
また研修はできるだけ自社内で教育担当者を養成し実施することが望ましいですが、
組織の規模や実情に応じて外部のコンサルタントに研修実施を委託することも考えら
れます。ただしその場合でも、研修内容や教育効果については自社で管理・把握して
おく必要があります。
Q27
電子メールを使ったクライアントとのやりとりがありますが、どのような点に留意
したらよいでしょうか。
A27
電子メールは最も頻繁に使用されるものですが、添付ファイルからのウィルス感染
17
(ウィルス感染した電子メールを外部に送信してしまい、加害者になってしまうこと
もあります。
)、スパムメール(迷惑メール)、故意あるいは過失による機密情報の流出
等の問題点が一般的に指摘されています。これらの対策として、電子メールに関する
セキュリティ・ポリシーを整備し、職員も含め周知徹底させることを検討する必要が
あります。また、この他に盗聴・改ざん・なりすまし、といったリスクが電子メール
にはあります。電子メールはメッセージの先頭に宛名として、相手のアドレスを付け
て送信しますが、相手に届くまでに、様々なコンピュータを経由します。このコンピ
ュータの操作者は、簡単に電子メールのメッセージを読むことや、変更することがで
きます。また、発信者名は簡単に「なりすます」ことが可能です。したがって、IT
委員会報告第
号で述べているとおり、重要なメールを暗号化することについても考
慮しなければなりません。
Q28 電子メールに関するセキュリティ・ポリシーの例示はありませんか。
A28 たとえば、以下のようなものが考えられます。
・利用は業務目的に限定する。
・機密情報はメールでやり取りしてはならない。
・機密情報をメールでやりとりする場合は、クライアントと合意の上で行い、暗号
化などの措置を施さなければならない。
・個人のアドレスに転送してはならない。
・メールを送信する際には、宛先をよく確認し、誤った宛先に送信しないようにし
なければならない。
・ファイルを添付する場合には、パスワードを設定しなければならない。なお、そ
のパスワードは別手段により相手に通知しなければならない。
なお、一般的な事柄ですが、以下の点についても注意したほうがよいと考えます。
・文章表現、サイズ等に関し、一般的なメール使用上のマナーに反してはならない。
Q29 当会計事務所(監査法人)は小規模であり、PCはスタンドアロンでの利用を行い、
またインターネット利用はしていません。この場合でも情報セキュリティ対策は必要
でしょうか。
A29
インターネットにも内部のネットワークにも一切接続しないのであれば、漏洩の危
険は少なくなりますが、各種データの保存メディアを通じ、ウィルス感染等でデータ
18
が消失する可能性はあります。また、各種データの保存メディアを机上に置き忘れた
り、紛失等により、外部に情報が漏洩する危険もあります。このような問題を防止す
るため、ウィルスワクチンソフトのインストールを行うとともに、各種データの保存
メディアの運用や保管等の管理を行っていくことが必要不可欠となります。さらに、
PC自体の管理も重要です。クライアントのデータをPCに保存したままの状態にし
ておくと、盗難や盗み見による情報漏洩を招く危険が高くなります。したがって、P
CのBIOSパスワード、スクリーンセイバーロック、HD全体の暗号化等によるセ
キュリティ対策が必要となります。
Q30
当会計事務所(監査法人)は小規模であり、複数の公認会計士と共同で業務を行っ
ています。この時、データの管理方針はどのようにしたらよいでしょうか。
A30
当会計事務所(監査法人)に所属していない複数の公認会計士と共同で業務を行う
場合、PCが貸与されないケースが多いと思いますので、各自のPCで作業を行うこ
とから作成された電子データがそれぞれのPCの中に保存されることになります。そ
のため、電子データの一元管理ができないだけでなく、各自のPCのセキュリティの
程度がわからないことから、漏洩のリスクも高まることになります。
経営者としては、このような場合の管理方針を定めることが必要です。たとえば、
業務に使用するPCのセキュリティのレベルを統一するように求め、業務終了時には
各自のPCには電子データを残さず、すべて回収する、といったことが考えられます。
Q31
電子データの保管期限等を定めることが必要と聞きましたが、どのように考えたら
よいでしょうか。
A31
電子データの重要度に応じた管理を行うには、多大な労力を伴います。そのため、
不要になった電子データを廃棄・削除することは、漏洩のリスクがなくなるだけでは
なく、管理の手間を省くことにもつながります。したがって、保管期限や要不要を判
定する定期的な棚卸を行うことは非常に有用と考えます。
保管期限については、事務所で定めている監査調書、税務に関する書類等の保管期
限と同一にするというのも一つの考え方だと思います。また、電子データの保存が法
律により要請されているものでないのであれば、もっと短くすることも考えられます。
また、あまり古い電子データを保存しておいても、ワープロや表計算ソフトがその
古い電子ファイルを開くことができなくなることもありますので、注意が必要です。
19
Ⅴ.情報セキュリティ担当者の役割
Q32 今すぐできるセキュリティ対策はありますか。
A32 WindowsPCで追加のソフトウェア購入なしにできるセキュリティ対策としては、以
下の項目があります。
①
電源起動時のパスワードを設定する(BIOS パスワードとも呼ばれ、PCの説明
書に記載されています)
。
②
Windows に標準で用意されているファイアウォール等のセキュリティ機能を利
用する。
③
ユーザの設定を適切に行い、特殊な権限を持っている Administrator を利用し
ない。
④
Windows ログイン時のパスワードを設定し、ログインにはユーザ名とパスワー
ドを使用するように設定する。
⑤
Windows 標準のスクリーンセイバーを使用し、パスワードを設定する。
⑥
これらのパスワードを書き留めない。
⑦
パスワードを入力するときは他人に盗み見られないように素早く入力する。
⑧
PCから一時的に離れるときは、ログオフを実施する。
⑨
PCを持ち運ぶ時や帰宅時には、スタンバイ機能を使わずに電源を切る。
⑩
Windows やワープロ・表計算ソフトの不具合を修正するソフト(パッチ)を適
時に適用する
⑪
各ファイルにパスワードを設定する。
⑫
ファイル名、フォルダ名に関与先名、重要な案件名称を使用しない。
当然のことですが、PCの紛失、盗難予防のため保管方法等に注意する必要があり
ます。また、⑨については、電源起動時のパスワード入力が省略されてしまう結果と
なることから、セキュリティのレベルが下がってしまうことになりますので、注意す
ることが必要です。
なお、⑩については、不具合を修正するソフトを適用することによって別の不具合
が発生することがありますので、適用前に評価を行うなど、ルールを定めることも考
えられます。
Q33 安全なPCを買いたいので、推奨機種を教えてください。
A33
暗号化、指紋認証などの機能を最初から備えている機種もありますが、ソフトウェ
20
アの追加で同様の機能を実現できるため、どのメーカーのハードウェアでも、一定の
セキュリティ対策を施すことができます。ソフトウェアに関しては、サポートの終了
した旧世代のソフトはセキュリティ上問題のあるケースもありますので、注意が必要
です。最も重要なのは、PCを使う人間側の意識の問題です。
Q34 ノートPCから情報が漏れないようにするには、どうしたらよいでしょうか。
A34
外部にノートPCを持ち出した場合、盗難や紛失により情報が漏れる危険性があり
ます。これらの危険性を減らすためには、盗難や紛失が起こらないようする対策と盗
難や紛失が起こった場合を想定した対策を、公認会計士事務所(監査法人)の方針と
してルール化し、利用者に指導しておくことが必要です。
(1)盗難や紛失が起こらないようする対策
①
PCを外部に持ち出さない。
②
PCを外部に持ち出す場合は手元から離さない。
③
PCを事務所、自宅で保管する際は、鍵付のロッカー、金庫等に保管する。
(2)盗難や紛失が起こった場合を想定した対策
①
持ち出す必要のない機密情報・個人情報は格納しない。
②
HDに保存するファイルには暗号化を施す。
③
HDを丸ごと暗号化するソフトウェアを使用する。
④
PC起動時のパスワード、Windows 起動時のパスワードは必ず設定しておく。
また、盗難や紛失が発生した場合の対処策や責任の所在を明確にしておくことも必
要です。
Q35 事務所は事務職員を含め 10 人です。なお、このうち非常勤の公認会計士が5人いま
す。業務でのPC使用は以下のとおりですが、どの程度セキュリティ対策(改善)を
行えばよいでしょうか。
①
非常勤者のPCは各自のPCであり、機種やOSが統一されていません。
②
監査調書の作成に各人のノートPCでワードとエクセルを使っていますが、基本
的に紙に出力して整理しています。ただし、次回のために電子ファイルは事務所
のファイルサーバ(所長席の横に設置したPCで、OSは Windows2000)に保管し
ています。
③
顧客情報や事務処理用のアプリケーションは事務職員のPCのみで運用していま
す。
21
④
電子メールを使っており、メールサーバは外部のプロバイダのものです。また、
インターネットアクセスは社内LAN(無線を使用)からこのプロバイダに接続
して行っています。なお、ファイアウォールはありません。
⑤
ホットスポットからインターネットに接続して利用することがあります。
⑥
各人のノートPCはよく外に持ち出して使用していますが、Windows のログイン時
のパスワード以外にパスワードを入れることはありません。ウィルス対策ソフト
は 2 年前にインストールしたままです。
⑦
USBメモリ等の使用に関して特段の制限は設けていません。
⑧
グループウェアは使用していません。ただし、外部にいるとき便利なのでインタ
ーネット上の共有フォルダサービスを使っています。
⑨
携帯メールも業務上の連絡に利用しています。ただし、携帯電話は各人の所有で
す。
A35
IT委員会報告第
号によれば少なくとも以下の改善を行うことが望ましいと考え
られます。
①
非常勤者のPCは事務所のLANに直接接続しない運用とし、作成した電子デー
タはその都度事務所所有のPCに移動する。なお、この場合、非常勤者のPCは
公認会計士事務所(監査法人)の管理対象となりますので、注意が必要です。
②
事務所所有のPCであっても常時保管する電子データは最小限のものとし、不急
のものは事務所のサーバのみに保存する。
③
PCのデータフォルダのうち機密性の高いものは暗号化を施す。Windows XP であ
ればOSの機能で可能。
④
PCの BIOS パスワードを設定する。
⑤
PCのウィルス対策ソフトを常にアップデートする。
⑥
不必要なソフトウェアをインストールしない。
⑦
不必要なWebサイトにアクセスしない。
⑧
ファイルサーバは鍵のかかる部屋等の中に設置する。
⑨
電子データの保管は暗号化CD−R等を利用する。
⑩
電子メールでは機密事項はやりとりしない。(携帯電話の電子メールも同様)
⑪
USBメモリは事務所所有とし、業務専用とする。暗号化ソフトを使用する。
⑫
ファイアウォールソフト(パーソナル版)をPCに導入する。
⑬
機密性の高い電子データは共有フォルダサービスを利用せず、それ以外の電子デ
ータは個々に暗号化を施す。
⑭
定期的に各人の運用状況に問題がないかどうか確認する。
22
Q36
今までパスワードの変更を行っていません。今後は変えるようにしようと思います
が、何日ぐらいの間隔が適当でしょうか。
A36
他人に推測されにくいパスワードでも、長時間かければ割り出されてしまう可能性
があることや、パスワードが割り出されてしまったとしても、なりすましなどの被害
を受け続けることが避けられることから、パスワードを変更することが必要です。
パスワードの変更頻度は、対象となる電子データの重要度やパスワードの露見可能
性、使用頻度、多重度(複数のパスワード)、ロックアウト(一定回数間違えると入力
を受け付けなくなる)設定の有無に応じてリスクの評価を行い判断します。
変更頻度に関する明確な基準があるわけではありませんが、対象となる電子データ
の重要度に応じて、30 日から 90 日くらいで変更を行うことが一般的と思われます。
Q37 パスワードのルールを決めようと思います。留意点を教えてください。
A37
パスワードは他人に推測されにくく、ハッキングツールなどの機械的な処理で割り
出しにくいものを作成する必要があります。そのためには
①
名前や生年月日、社員番号など、容易に推測される文字、数字を用いない。
②
同じ文字の繰り返しやユーザIDと同じ文字列にしない。
③
パスワード文字数を8文字以上とする。
④
アルファベット、数字、特殊記号を混在させる。
などのルールを決めて、利用者に指導することが必要です。
また、パスワードが他人に漏れないように、パスワードの管理についても
①
パスワードを同僚などに教えないで秘密にする。
②
パスワードのメモを作ったり、PCのディスプレイにメモを貼ったりさせな
い。
③
パスワードを使用するソフトウェアに記憶させない。
などのルールを決めて、利用者に指導することが必要です。
Q38 電源起動時のパスワード、Windows ログオンのパスワードや指紋認証機能を利用す
るように設定しましたが、それで十分でしょうか。
A38
それだけでもセキュリティのレベルは格段に高まりますが、HDを取り出して他の
PCにつなぐことにより電子データを取り出すことが可能なため、必ずしも十分とは
いえません。
23
事務所の方針としてどこまでのセキュリティ対策を施すかにもよりますが、HDの
暗号化を検討することも必要と考えます。
Q39 重要なデータのパックアップ方針を決めようと思います。留意点を教えてください。
A39
データは必要な時に必要な人が使用できるようにしておくことが必要です。情報セ
キュリティ担当者は、コンピュータやネットワークに障害があった場合にも、可能な
限り業務に影響を与えず迅速に復旧できるよう、適切にバックアップを行っておくこ
とが必要です。
バックアップはサーバで保管している共有データと、各利用者がPCに保存してい
るデータの両方について行うことが必要です。サーバのバックアップについては、O
Sに搭載されているバックアップユーティリティやバックアップツールを使用し、そ
のスケジューリング機能を利用して自動で実施することが効率的です。また各利用者
がPCに保存している電子データについては、各利用者に対しバックアップを行うよ
う教育・指導することが必要です。
バックアップの実施頻度は対象となる電子データの重要性によりますが、少なくと
も1週間に1回は行うことが必要と思われます。情報セキュリティ担当者は「どのフ
ァイルをいつバックアップするか」について電子データの分類に応じた方針を定め、
バックアップを行っていくことが必要です。
Q40
電子データをバックアップしたあとの媒体の管理はどのようにしたらよいでしょう
か。
A40
バックアップした媒体も元の電子データと同様に厳重な管理が必要です。バックア
ップ媒体として、FD、光磁気ディスク等のディスクやコンパクトフラッシュメモリ、
USBメモリ等のフラッシュメモリがありますが、いずれも持ち運びが気軽にでき、
媒体自体の価格も安くなってきています。このため管理意識も希薄になりがちです。
しかし、重要なのは記録されている情報であり、媒体の紛失により業務上知り得た重
要な情報が外部に漏洩した場合には、多大な責任を負うことになります。したがって、
退席時において媒体等の机上等への放置を禁止するなど、盗難や紛失を防止するため
の規則を作る、移送時における盗難や紛失に対応するため、媒体に保管されている情
報の暗号化を義務付ける、媒体の廃棄時にはファイル復活を防止する措置を取る等の、
物理的・技術的安全管理対策を行うことが必要です。
24
Q41 ウィルス対策を行おうと思います。どのような点に留意したらよいでしょうか。
A41
公認会計士事務所(監査法人)のコンピュータをウィルスから防御するためには、
すべてのPC・サーバにウィルス対策ソフトを導入するとともに、常に最新のパター
ン・ファイルに更新されるようにしなければなりません。そのため、情報セキュリテ
ィ担当者はすべてのコンピュータにおいてパターン・ファイルの更新の設定を正しく
行うことが必要です。また、公認会計士事務所(監査法人)として一元的にウィルス
の進入口の防御を行うことも重要です。たとえば、メールサーバ用のウィルス対策ソ
フトをインストールすることで、外部との電子メールの送受信の段階でウィルスを除
去することができます。
ウィルス感染が発生した場合、感染したコンピュータを事務所内のネットワークか
ら切り離した上で、当該コンピュータからのウィルス駆除を実施するとともに、他の
コンピュータへの感染状況を確認するといった、被害を最小限に留めることが重要で
す。そのため、ウィルス感染が発生した場合には、利用者が直ちに情報セキュリティ
担当者に報告するように指導しておくことが必要です。
また、信用できないホームページは閲覧しないようにする、不明な内容の添付ファ
イルは開かないようにするなどの基本的な防衛策を利用者に対して指導するとともに、
業務に必要な安全なソフトウェアのみPCにインストールするため、インストール権
限を情報セキュリティ担当者のみに設定するなどの対策が考えられます。
Q42 無線LANを設置しようと思いますがどのような点に留意すればよいでしょうか。
A42
無線LANは、有線LANにおけるケーブルを無線に変えたもので、高い利便性か
ら普及が進んでいます。しかし無線LANは無線を利用するという性質上、通信内容
の傍受やアクセスポイントの「なりすまし」等の危険性を加味したセキュリティ対策
が必要となります。無線LANにおける一般的なセキュリティ対策は、
①
WEPによる暗号化
②
MACアドレスによるフィルタリング
③
SSID の設定
があげられます。
WEPは無線区間でデータを暗号化する機能です。これにより無線区間でデータを
傍受されても、そのデータを解読することが困難になります。またMACアドレスに
よるフィルタリングは、無線LANのアクセスポイントにPC・サーバのMACアド
レスを登録しておくことで、接続を許可するPC・サーバを制限できる機能です。こ
25
れにより、外部からのネットワークへの侵入が難しくなります。SSID は、無線LAN
のネットワークの識別子で、これによりアクセスポイントと同じ SSID を設定した無線
LANのPC・サーバのみ通信可能となります。
より高いセキュリティ対策を行う場合には、WPA-PSK 方式や WPA-EAP 方式の暗号化を
利用することが考えられます。
いずれにしても無線LANの機器に備わっている機能を十分に理解し、有効に活用
することが必要です。
Q43 HDの暗号化をする手段はありますか。
A43
業務で使用するPCから電子データが漏洩するのを防ぐ手段として、PCに搭載さ
れている内蔵HDを丸ごと暗号化する方法があります。暗号化する方法としては、P
Cの機能として用意されている場合、Windows 等のOSの機能として用意されている場
合、専用の暗号化ソフトを利用する場合、が考えられます。
HDを暗号化しておけば、万が一PCが盗難にあったとしても、パスワードなどに
よる認証を破られない限り、情報の流出を防ぐことができます。ただし、この方法も
パスワードなどを用いた暗号化技術であり、パスワードなどによる認証を見破られれ
ば情報の流出は避けられないことから、パスワードの管理も必要です。パスワードの
管理についてはQ55 を参照してください。
Q44
PCをインターネットや社内のネットワークにつながなければ特に対策をしなくて
もよいでしょうか。
A44
インターネットにも内部のネットワークにも一切接続しないのであれば、漏洩の危
険は少なくなります。しかし、FDやUSBメモリ経由でウィルスに感染する可能性
があり、ウィルス感染等で電子データが消失する危険性があります。また、HDを取
り外して別のPCにつなげば、ディスクの中身は全て見られてしまいます。ファイル
のパスワードも、解析ツールなどで時間をかければ解かれてしまいます(数字4桁の
パスワード等は、一瞬で解かれてしまいます)
。したがって、インターネットにつない
でいなくても、扱っている電子データの重要度に応じたウィルス対策やHDの暗号化
を検討しなくてはなりません。
Q45
最新のITを利用してしまう行為が情報漏洩につながりかねないといいますが、ど
26
のような最新のITが危険か教えてください。
A45
例えば、最近はデスクトップ検索ツールといったものが各社から提供され始めてい
ますが、これはユーザに代わってツールがコンピュータ内の膨大なデータを種類ごと
に索引化し、検索を簡単に行うものです。したがって、もしコンピュータ・ウィルス
がこの機能を悪用した場合、従来よりも簡単にデータにたどりつくことができ、情報
漏洩の危険性が高まることになります。
しかし、逆に Windows などは旧バージョンではなく、最新のバージョンにアップデ
ートしなければセキュリティホールが残ってしまい、やはり情報漏洩の危険性が高ま
ることになります。
これらからも分かるように、最新のITはセキュリティを弱くも強くもすることが
ありますので、利用しようとするITがセキュリティにどのような影響を与えるのか
をよく考えることが必要です。
Q46
社内にサーバを設置して管理していくことができず、レンタルサーバを利用してい
るのですが、どのような点に留意すればよいでしょうか。
A46
レンタルサーバを借りるときに、きちんとそのサーバ会社がセキュリティに対して
適切な体制を整えているかをチェックしないと、実際に情報が漏洩した際にそのサー
バ会社を選んだことに対して委託元としての法的な管理責任を問われる可能性があり
ます。しかしながら、委託元にはそのようなチェックを行うノウハウがないために実
質的にはチェックは困難な状況です。ISMS 等のセキュリティに関する認証を取得して
いるか、ユーザ認証、通信経路、ファイル自体の暗号化について比較・検討を十分に
行い、安心して任せられるサーバ会社を選択することが必要と思います。
Q47 PCを廃棄する際にはどのような点に留意すればよいでしょうか。
A47
PCに格納されているデータを削除したり、HDをフォーマットしたりするだけで
は、画面上ではデータが消えているように見えてもHD上にデータが残されているこ
とがあり、特殊なソフトウェアを利用することで削除したはずのファイルを復元する
ことが可能です。
PCの廃棄の際には以下の方法によることが望まれます。
①
データ消去用のソフトウェアを利用する。
②
専門業者のデータ消去サービスを利用する。
27
③
HDを物理的に破壊する。
PCを修理に出す際や、フロッピーディスクやMO、CD−R、USBメモリの廃
棄に際しても留意が必要です。
PCの廃棄は情報セキュリティ担当者が取りまとめて処分を行うなど、事務所内で
ルールを確立し運用することが望まれます。
Q48
業務でUSBメモリをよく使いますが、どのようにすればUSBメモリとしてのセ
キュリティを保てるのでしょうか。
A48
USBメモリは便利ですが、盗難・紛失が起きてしまった場合、一気に情報漏洩の
危機に直面します。最近ではUSBメモリへ保存するデータを暗号化したり、パスワ
ードを入力しないと利用できないものが多くなってきていますので、そのような製品
を使うと良いでしょう。
Q49 電子メールの暗号化にはどのような種類がありますか。
A49 電子メールは、便利な反面、A12 やA27 の回答にもあったように大きな危険を伴う
ものとなっています。したがって、電子メールの利用に際しては、内容の重要度に応
じて暗号化を行うのがセキュリティ上は望ましいということになります。
電子メールを暗号化する場合は、公開鍵暗号方式を用いて、メールそのものを暗号
化します。これは、電子認証局と電子証明書等を利用しますので、強固なセキュリテ
ィが確保できます。最近の電子メールソフトではこれらの技術を利用できるものがあ
り、有効な手段となります。
上記の方法は、電子認証局と電子証明書等を利用しますので、多少の手間とコスト
がかかります。そこで、最低限の方法として、添付ファイルだけでも暗号化すること
が考えられます。具体的には、添付ファイルを作成したソフトによって、パスワード
を設定します(パスワードの設定方法は、それぞれのソフトウェアのマニュアルを参
照してください)。しかし、この方式ではパスワードを相手にどうやって伝えるか(電
話や別のメールで送る等)、途中で改ざんされていないかを保証できない、といった欠
点があります。
28
Q50
プリンタで印刷した書類がそのまま放置されていることが多いのですが、どう対応
したらよいでしょうか。
A50
データへのアクセス制限を徹底したとしても、印刷した重要書類が放置されていて
は意味がありません。書類を印刷した際にはその都度回収するように意識付けを行う
とともに、定期的にプリンタ周辺の見回りを行うなどして、印刷した書類が放置され
ない体制にしておくことが必要です。
29
Ⅵ.利用者の役割
Q51 PCに重要な電子データがたくさん入っていますが、大丈夫でしょうか。
A51
近年PCの性能が非常に高まり、大量の電子データの処理や保存が可能となり、そ
れに伴い利用者は、電子データを大量に保管する傾向にあります。反面、PCを紛失
した際には、大量の電子データが紛失する事となり、その影響は重大で広範囲に及び
ます。したがって、可能な限り当座で必要最低限の電子データのみ保管するようにす
ることが必要です。当座必要でない電子データについては、公認会計士事務所(監査
法人)の方針に従い、サーバなどで保管することになります。
Q52 喫茶店や電車の中でPCを使って仕事をしていますが、問題はありますか。
A52
隣接する他者から当該電子データの内容を盗み見られてしまう可能性がありますの
で、上記状況下でPCを使いながら仕事をする事は控える必要があります。特に公表
前の決算情報については、その影響が非常に大きいことに十分留意しなければなりま
せん。またPCを利用しなくとも紙媒体のデータについても同様の配慮が必要です。
Q53
インターネットカフェ等で利用可能なPCを使ってメールをやり取りする等の業務
を行うことに問題はありますか。
A53
インターネットカフェ等で用意されているインターネットアクセス用のPCは、不
特定多数の利用者が操作可能であり、中には悪質な意図を持ち、情報搾取を目的とし
たソフトウェアがインストールされている可能性がありますので、当該PCを利用し
て業務を行う事は厳に慎む必要があります。
Q54
業務に利用しているPCを業務以外にも利用していますが、何か問題点はあります
か。
A54
業務で利用するPCと業務以外で個人的に利用するPCとは明確に区別する必要が
あります。PCを業務以外の用途で個人的に利用する際には、業務目的以外のアプリ
ケーション等をインストールする可能性があり、それをきっかけとしてウィルスに感
染したり、セキュリティホールを介した情報漏洩等の可能性が高まります。
30
また、特に家庭内において家族共用で利用するPCを業務用途に使う場合には、関
係者以外の者による、電子データへのアクセス可能性がありますので、当該共用PC
の業務利用は厳に慎む必要があります。
Q55 パスワードが多すぎて覚えられません。何かよい方法はないでしょうか。
A55
パスワードを手帳等にメモする事は、手帳の紛失に伴いパスワードが流出する可能
性がありますので厳に慎む必要があります。文章をパスワードに加工したり、基本と
なるパスワードをベースとして一定の変化を与える等工夫をする事が考えられます。
Q56 通勤途中にPCを盗られてしまいました。盗られない良い方法はないでしょうか。
A56
PCの盗難や紛失のリスクを軽減するためには、盗難や紛失が起こらない様に事前
に行う対策と、盗難や紛失が起こった後のことを考えて行う対策が必要です。
①
盗難や紛失が起こらないようにする対策
・PCを持ち歩かない。
・外出時PCを携帯する場合には、手元から離さない。
・鞄を一つにまとめる。
・PCを保管する際には、保管状況に留意する。
・可能な限り単独ではなく複数で移動し、お互い警戒する。
②
盗難や紛失が起こった場合を想定した対策
・当座不要な電子データはPCに残さない。
・できるだけファイルにパスワード等を設定する。
・ソフトウェア等でHD自体を暗号化処理する。
・PC起動時、Windows ログイン時に容易に推測できないパスワードを設定する。
Q57
電子データ交換の際にUSBメモリ等の携帯型記憶媒体をよく使うのですが、注意
すべき点はありますか。
A57
現在のUSBメモリ等の携帯型記憶媒体は、非常にコンパクトで可搬性が高く、か
つ大容量化していますので、紛失時の影響が非常に大きくなることが予想されます。
当該携帯型記憶媒体を利用する際には、常に紛失等のリスクの存在を十分認識する事
が必要です。また携帯型記憶媒体の紛失等が情報漏洩に直結しない様に、データの暗
31
号化や推測が困難なパスワードの設定を行う必要があります。指紋等の生体認証機能
付の携帯型記憶媒体の利用も考えられます。さらに、電子データの授受が終了次第、
携帯型記憶媒体上の当該電子データを削除する事が必要です。
Q58
メールで重要な情報をクライアントとやり取りする事がありますが、問題はありま
すか。
A58
公認会計士事務所(監査法人)の方針に従い、電子データの重要度に応じて対応す
る必要があります。当該情報をメールで送ることができる場合には、送信先が適切な
受信者となっているか、送信前に確認する必要があります。また、誤配信等による情
報漏洩を防止するため、情報の暗号化や推測が困難なパスワードの設定を行う必要が
あります。
Q59
他の仕事で作成したワープロや表計算ソフトのデータを使い回しする時は注意する
ように言われているのですが、なぜでしょうか。
A59
ワープロや表計算ソフトは、そのデータファイルに作成者の会社名や個人名、見出
しを自動で設定することがあります。また、編集履歴を残すように設定されているこ
とがあり、誰がどのような修正をしたかという履歴が残っていることもあります。そ
のため、A会社向けに作成した報告書などを加工してB会社向けの報告書とした場合、
B会社向け報告書のデータファイルにA会社向けの報告書の情報が残っていることが
あり得ます。これらの情報は、簡単な操作で見ることができるため、ファイルをクラ
イアント等に提供した場合に問題となることが考えられますので、注意が必要です。
Q60 ウィルス対策はどの様にしたらよいでしょうか。
A60
まず、公認会計士事務所(監査法人)の方針に従い、ウィルス検知用のパターン・
ファイルの更新を適宜行う必要があり、定期的にウィルスチェックを行うことが重要
です。また、ウィルス自体はメールやWebサイトの閲覧を介して感染する可能性が
高いため、身に覚えの無いメールや、怪しいWebサイトへのアクセスは控える必要
があります。もし、ウィルスに感染した可能性がある場合には、直ちに、公認会計士
事務所(監査法人)の方針に従って、情報セキュリティ担当者や、外部の専門家に具
体的な対策を打診し対応する必要があります。
32
Q61 よくわからないソフトをインストールしてはいけないのはなぜでしょうか。
A61
よくわからないソフトをインストールすると、以下のような問題が生じる恐れがあ
ります。
・ウィルスに感染し、PCが正常に稼動しなくなる。
・知らない間にライセンス違反となる可能性がある。
・ネットワークに接続されている場合、ウィルスが蔓延し、他のPCの誤動作を招い
たり、ネットワークに負荷がかかってダウンしたり、スパイウェアが知らないうち
にインストールされ、予想外の情報漏洩が発生する。
Q62 プリンタで印刷する場合、情報漏洩という点から注意することはありますか。
A62
プリントアウトした情報を速やかに回収することが必要です。回収するのを忘れて
放置してしまうと、誰でも持ち出すことができてしまいますし、関係ない人が内容を
見てしまうことになりますので、注意しましょう。
Q63 書類等に対するセキュリティはどうしたらよいでしょうか。
A63
一般的にPC等の情報機器を紛失する際は、情報機器単体を紛失する場合よりも、
当該情報機器を収納しているカバンごと紛失する場合が多いといえます。紙媒体の書
類については、ある程度のセキュリティ対策を施した電子データと異なり、情報内容
へのアクセスが容易であり、書類紛失が情報漏洩に直結する可能性があることに十分
留意して取り扱うことが必要です。特に未公表の決算資料や、関与先建物への入館証
については、紛失の影響が非常に大きいため、慎重な対応が望まれます。
33
付録1:平成 17 年9月 27 日付け会員・準会員宛メッセージ
会員・準会員
各位
平成 17 年9月 27 日
日本公認会計士協会
IT担当常務理事 高木 勇三
一人の情報の紛失は、業界に対する信頼性の喪失に直結しています
本年4月に個人情報保護法(注1)が施行されて以来、会員事務所でのノートPC(パ
ソコン)の紛失が報道されていますが、私どもの業務においてはいまやノートPC、US
Bメモリ等の電子機器などに、クライアントから入手した個人情報も含めた種々の情報や
監査調書等の業務のために取りまとめた情報といったいわゆるクライアント情報を電子フ
ァイル化して持ち歩くことが常態となっています。つまりこれら情報の紛失の可能性は以
前と比べて格段に高まっているわけです。
一方私どもの業務の前提は信頼性であり、その信頼性の内にはクライアント情報に対す
る取扱に関することも含まれていることは言うまでもありません。このため一会員個人あ
るいは一会員事務所におけるクライアント情報の紛失は、当該個人や当該会員事務所に対
する信頼性の喪失にまず繋がるわけですが、そればかりでなくこのようなクライアント情
報の紛失は業界全体の信頼性の喪失にも繋がります。つまり私どもの業務の前提の崩壊に
も繋がるということです。
その意味で個人情報保護法への対応を的確かつ適切に行うことはもとより、少なくとも
クライアント情報に対する管理体制について厳正に見直すとともに、会員事務所及びその
関係会社において業務に従事する全ての者の情報管理意識を適切なものとするよう措置を
講ずることが必要です。
一人の情報の紛失が業界に対する信頼性の喪失に直結することを改めて認識され、情報
管理体制の厳正な見直しを行うべきことを改めて強く要請いたします。
まずは紛失リスクを小さくすること
情報の紛失リスクは、次のような式で考えられます。
「ノートPC等に保存されている情報の質と量」×「ノートPC等の機器の紛失リスク」
ノートPCやUSBメモリ等はモビリティ性があるからこそ便利なわけですが、モビリ
ティ性があるということは常に紛失のリスクにさらされていることも意味します。したが
って、まずノートPC等に保存するクライアント情報の質的重要性を極力低いものとし同
時に、その量を極力少なくすることを考えるべきです。例えば「その日に外出先で必要と
なるクライアント情報に限定してノートPC等に保存する」というような対応です。
次にクライアント情報が保存されているノートPC等を携帯する機会をできるだけ少な
くするということが重要です。もちろん携帯時には常に注意を払うべきといった意識を持
34
つことも重要です。盗難という事態も想定しその可能性を低めるための取り組みも必要で
す。
紛失しても漏洩となるリスクを少しでも引き下げること
盗難等による紛失という事態が生じてしまった時、それが外部への漏洩につながると極
めて深刻な事態となりますが、その漏洩リスクをゼロに近づけることはテクノロジとして
可能です。例えばノートPCにはパスワードによるセキュリティを施すことが基本的に可
能です。ノートPC内のハードディスクを暗号化することも可能ですし、USBメモリ等
の外部記憶装置についても暗号化可能です。
このようなテクノロジを複合的に施すことにより漏洩に至るリスクを極めて小さなもの
とすることが可能であり、その経済的負担もそれほどではありませんので、PC等の機器
への一定レベルのセキュリティ対応は是非とも求められます。
そもそも情報セキュリティ体制を構築しておくこと
以上のような具体的な対応とともに、会員事務所における情報セキュリティのための組
織・規定を整備し、情報セキュリティに対する社員・職員等の意識レベルを高めることも
同じく重要です。これらについてはIT委員会研究報告第 26 号(平成 16 年6月)
、「公認
会計士が業務上留意すべき情報セキュリティ」において説明されていますが、改めてお読
みください。
個人情報保護法に関するガイドラインの適用
個人情報・データの取扱や紛失・漏洩に関しては、私どもは金融庁が定めている個人情
報保護法ガイドライン(注2)の適用を受けるあるいはその遵守に努めることとなります。
個人情報保護法と併せて当該ガイドライン、そして当該ガイドラインの安全管理措置等に
ついての実務指針(注3)について改めてお目通しください。
なお個人情報保護法でいう個人情報取扱事業者には、会員事務所として取扱う個人情報
数は合計でカウントされますので、かなりの数の会員事務所が該当することとなると思わ
れます。改めて、ご確認ください。
万一紛失が発生した場合
1.個人情報を入れたノートパソコン、USBメモリなどを紛失した場合は、直ちに金融
庁に報告することとされています。紛失した全容が把握されていない段階であっても、紛
失したという事実については直ちに報告すべきものと考えられます。
(金融庁ガイドライン
22 条1項)
2.金融庁への報告と同時に紛失した個人情報の対象者に対して速やかに通知することと
されています。通知は会員事務所が講ずべきとされている措置ですが、クライアントから
35
入手した個人情報であればまずクライアントに連絡し、クライアントから当該対象者に通
知していただくことも考えられます。(金融庁ガイドライン 22 条3項)
3.以上の報告および通知とともに二次被害防止等の観点から事実関係・再発防止策等に
ついて早急に公表することも求められています。(金融庁ガイドライン 22 条2項)
以上、個人情報保護法への対応を含め、会員事務所としての対応について概括的にお示
ししましたが、公認会計士は「情報に関するプロ」と社会から位置づけられています。そ
のプロに寄せる社会からの期待を裏切らないために、以上に述べたような対応をとること
が是非とも求められるものであり、したがって職業倫理に係る話であるとの認識も必要で
あることを付言します。
以
上
(注1) 個人情報保護法:「個人情報の保護に関する法律」
(注2) 金融庁が定めている個人情報保護法ガイドライン:「金融分野における個人情報
保護に関するガイドライン」
(注3) ガイドラインの安全管理措置等についての実務指針:「金融分野における個人情
報保護に関するガイドラインの安全管理措置等についての実務指針」
36
付録2:電子化の変遷と公認会計士のセキュリティ
コンピュータの出現は企業の情報処理の効率を格段に向上させてきた。また、ネットワ
ークによりインターネットを介した外部接続が行われるようになると、スタンドアロンで
の情報処理のときとは比べものにならないような新たなセキュリティが必要となってきた。
以下、コンピュータの変遷が公認会計士のセキュリティに与える影響を整理する。
1.パーソナルコンピュータ(PC)の出現
企業の経理業務がコンピュータ処理された当初、公認会計士も企業の電子データを入手
し、コンピュータで計算突合、サンプリングなどの監査手続を試みた。しかし、企業デー
タを磁気テープで入手することから、これらの受渡し、運送、使用後の返却等にかなりの
神経を使い、ほとんどの場合、企業側で加工されない生の取引データの外部への持出しは
実現しなかった。
その後、PCが出現すると個人が手軽に電子データを処理することが可能となり、企業
の基幹システムは大型汎用コンピュータであっても、周辺の事務処理にPCが使用される
ようになり、さまざまな経理関連情報が作成されるようになった。
企業では、基幹システムからPCで処理できる形でのデータダウンロード機能を推進し、
コンピュータメーカー側でもPC処理できる機能追加を行ってきたことから、システムの
外に電子データを取り出すことが容易となり、かつて取扱いが厳重に行われていた生の取
引データも比較的容易に入手できるようになり、文書管理規程には、情報システムから作
成される電子データについてもその取扱いを規定する必要性が出てきた。
2.電子監査調書の出現
公認会計士(監査法人)側では、電子データによる監査手法のひとつとして、監査手続
の結果作成される監査調書をPCで処理し、電子監査調書とする動きも出てきた。
ワードプロセッサーや表計算ソフトウェアを利用した監査調書の作成は、過年度データ
の再利用、調書様式・データ処理の統一性の担保、計算処理の正確性、グラフなど可視的
表現の多様性などにより、監査手続及び監査調書作成の効率化の観点から多くの会計士事
務所(監査法人)で採用されている。
高性能、大容量のPCが手に入るようになると、単に紙に書いていた監査調書が電子
化されるだけではなく、企業が経理システム等からダウンロードした取引データ等を直
接入手して、計算突合、サンプリングなどの監査手続を行うことが可能となった。
この結果、企業の取引データ等が公認会計士を通じて企業外部に持ち出されるという
ことが日常的になってきたため、電子データによる企業情報の漏洩に対する新たなセキ
ュリティの必要性が生じてきた。
37
3.電子帳簿の出現
高度情報化社会に対応し、国税の納税義務の適正な履行を確保しつつ納税者等の国税関
係帳簿書類の保存に係る負担を軽減する等のため、平成 10 年7月より「電子計算機を使
用して作成する国税関係帳簿書類の保存方法等の特例に関する法律(平成 10 年法律第 25
号)」が施行された。
これによれば、国税関係帳簿(損益計算書、貸借対照表、棚卸表、仕訳帳、総勘定元帳、
取引証票として、注文書、送り状、納品書、貨物受領証、出入庫報告書、領収証、見積書、
契約書、請求書等)の全部又は一部について、コンピュータを使用して作成する場合、納
税地等の所轄税務署長等の承認を受け、国税関係帳簿書類に係る電磁的記録の備付け及び
保存を行うことができるようになった。
この法律により、一部の企業では国税関係帳簿書類のペーパーレス化が推進され、監査
の対象物が電子化され、紙の試算表、仕訳帳、総勘定元帳に代えて、これらを保存したC
D−Rの提供を受けるなど監査証跡に大きな変化が見られた。
このように、電子データを取り扱わなければ監査ができないような状態の出現が、ま
すます監査手続における電子データへの利用を促進し、企業情報の流出リスクを増大さ
せている。
4.電子申告の動き
平成 14 年6月 18 日の「e-Japan 重点計画−2002」
(IT戦略本部決定)に基づき、納税
に係るすべての申請・届出等手続を、原則として 24 時間、自宅や事務所から行うことを
可能にし、申請・届出等に必要な手数料納付、納税等をインターネット等により行うこと
を可能にするといった、いわゆる電子申告が、平成 16 年2月の名古屋国税局管内から開
始され、平成 16 年6月から全国に拡大された。
この電子申告の添付書類(損益計算書、貸借対照表及び株主資本等変動計算書)につ
いては、XBRL(eXtensible Business Reporting Language−拡張可能なビジネス報
告記述言語)形式が採用され、単なる帳簿書類の電子化ではなく、インターネット環境
における財務情報の流通促進を図るといった効用が期待されている。
電子申告で作成された税務用財務諸表(XBRLインスタンス文書)は、インターネ
ットを通じて決算公告に利用されたり、融資銀行との間での融資情報の交換に使われる
ことから、公表前の決算情報の取扱いには格別の留意が必要である。
5.e−文書法の制定
さらに、平成 15 年 12 月 18 日開催のIT戦略本部第 22 回会合における「e-Japan 戦略
加速化パッケージ」
(素案)の中で、
「4.IT規制改革の推進(D:Deregulation)−1」
e−文書イニシアティブ」が示され、これによれば、「法令により民間に保存が義務付け
られている財務関係書類、税務関係書類等の文書・帳票のうち、電子的な保存が認められ
ていないものについて、近年の情報技術の進展等を踏まえ、文書・帳票の内容、性格に応
38
じた真実性・可視性等を確保しつつ、原則としてこれらの文書・帳票の電子保存が可能と
なるようにすることを、統一的な法律(通称「e−文書法」)の制定の可能性も含めて検
討する。」となっている。
「e−文書法」が具体化すれば、財務関係書類、税務関係書類等の文書・帳票の電子化
が大幅に促進されることとなり、取引の発生から、分類、集計そして開示に至る一連の流
れが電子データとして一貫して行われることから、税務の認めている電子帳簿を採用して
いない企業についても電子化が促進され、監査環境が大きく変化し、電子化された企業情
報の範囲も外部から入手した納品書、請求書などの取引データにまで拡大することが考え
られる。
6.EDINET の義務化
証券取引法関係では、
平成 16 年6月以降提出の有価証券報告書から EDINET(Electronic
Disclosure for Investors' NETwork−証券取引法に基づく有価証券報告書等の開示書類
に関する電子開示システム)が強制適用となり、金融庁への提出書類等の電子化が本格
化した。
EDINET の導入により、開示書類の提出者は、開示書類提出のために財務(支)局に出
向く必要がなくなり、また、開示書類の印刷費用が削減されるなど、事務負担が軽減さ
れ、投資家は、提出されたすべての開示書類についてインターネット等を利用して閲覧
することができるようになるなど、企業情報への迅速かつ公平なアクセスが実現した。
有価証券報告書の開示内容の監査は、電子データを印刷したもので行われることが想
定されるが、有価証券報告書の原本は、EDINET に提出する HTML(Hyper Text Markup
Language)形式のものであり、この電子データで修正箇所が間違いなく更新されている
ことを確認する必要があり、被監査会社と公認会計士との間で開示前の電子データの送
受信が行われることになる。
7.ネットワーク環境の拡大
被監査会社も会計士事務所(監査法人)も情報の電子化に対応して、電子情報を共有
する社内ネットワークの構築に着手してきた。ネットワークの発達は、企業内部の情報
処理にとどまらず、インターネットを介して外部との接続を一般化し、企業の事業内容、
決算書などの情報を外部に発信したり、取引先などの必要な情報を外部から入手するよ
うになってきた。
これは従来のVAN(Value-Added Network)など専用回線によるEDI(Electronic
Data Interchange)取引も、インターネット経由の取引にとって代わられ、外部とのデ
ータの送受信がインターネット経由の電子メールなどで行われるのが日常的になってき
たことを意味する。このため、インターネットが持つ利便性の影に隠れているリスクが
情報漏洩につながる要因となってきている。
39
付録3:情報セキュリティに関連した用語解説
【生体認証(バイオメトリクス)】
パスワードの入力やICカードに代えて指紋、虹彩、手の静脈パターン、人相、声紋と
いった本人固有の生体的情報によって個人認証を行う技術をいう。
生体情報を使用する認証方式は、第三者による悪用の危険が少ないが、認識精度の問
題として、本人でも正常に認証されない、他人を誤認する、複製された生体情報パター
ン(指紋のコピー等)を許容するという可能性も存在する。さらに生体情報は個人のプ
ライバシー問題も存在することに留意する必要がある。
【セキュリティ・ポリシー】
企業等が情報資産や情報システムに対して、どのように取り組み、組織がどのように
行動すべきかという全社的なセキュリティの方針を、経営のトップが明文化した規範を
いい、企業倫理や業務内容を反映したものである。
【グループウェア】
コンピュータネットワークを利用して、グループでの情報共有やコミュニケーション
を円滑にするソフトウェアをいう。
電子メール、電子会議室、電子掲示板、共有ライブラリ、ワークフロー管理、スケジ
ューラなどを主な機能とする。
なお、最近では企業内にとどまらず、インターネット上で同様のサービスが提供され
ている。
【ピアトゥピア】
接続するコンピュータにサーバ機器とクライアント機器の区別がなく、すべてのコン
ピュータがサーバとしてもクライアントとしても機能するネットワークをいう。
専用サーバが不要であり、小規模なネットワークを構築しやすい。また、インターネ
ットを利用して、多数のコンピュータを相互につなぎ、ファイルや演算能力などの資源
を共有することもできる。
【共通鍵暗号方式】
暗号化と復号化に同じ鍵を用いる暗号方式をいう。「秘密鍵暗号方式」とも呼ばれる。
共通鍵暗号化方式では、暗号文の送信者と受信者で同じ鍵を共有する必要がある。
なお、暗号化に使用した鍵を、通信路とは別の安全な手段を使って、通信相手に届け
ておく必要がある。
40
【公開鍵暗号方式】
対になる2つの鍵を使ってデータの暗号化・復号化を行う暗号方式をいう。
2つの鍵のうち1つは広く公開するため公開鍵と呼ばれ、他方は本人が厳重に管理する
ため秘密鍵と呼ばれる。秘密鍵で暗号化されたデータはこれに対応する公開鍵で復号でき、
公開鍵で暗号化されたデータはこれに対応する秘密鍵で復号できる。
公開鍵暗号方式には、公開鍵を秘密にする必要がないので、鍵の配布が容易なため、鍵
の管理が簡単で安全性が高いことと、電子署名による認証機能を持つ、という利点がある。
【PGP(Pretty Good Privacy)】
Philip Zimmermann 氏が開発した暗号化ソフトとその規格をいう。
PGPは、電子メールを暗号化するために用いる。早くからいろいろなプラットフォー
ム上に移植されており、多くのユーザがいる。PGPは、公開鍵暗号方式を用いて暗号化
を行う。また、電子認証の機能も備えているが、鍵管理サーバが第三者認証機関となって
いないので、相手の署名が、正しい本人のものかどうかの保証の程度が低いと考えられる。
【S/MIME(Secure Multipurpose Internet Mail Extensions)】
電子メールの暗号化及び署名方式の規格をいう。
S/MIME は RSA Data Security 社によって提案され、IETF によって標準化された。公開
鍵暗号方式を用いてメッセージを暗号化して送受信する。現在使われている主要な電子
メールソフトはこの規格に対応している。S/MIME を利用するためには、電子認証局から
電子証明書を入手する必要があるが、相手の電子証明書とその発行元を確かめることに
より本人確認をすることができる。
【電子認証局(Certification Authority)】
暗号化メールや電子商取引で用いる電子証明書を発行することを目的とした組織をい
う。
認証局は個人や企業などからの発行申請に従って電子証明書を発行する。申請者の確
認は認証局が行い、この本人確認のための手順や手続の方法によって、発行する証明書
の信頼性の程度が高低する。
【電子証明書】
公開鍵暗号方式の公開鍵の本人性(公開鍵に対応した秘密鍵の持ち主)を証明するも
のをいう。
電子証明書は電子認証局が発行する。実際には電子証明書の中に公開鍵が含まれた形
になっており、電子証明書の内容に不備がないか、発行した認証局が信頼できる認証局
かどうかを確認することができる。
41
【PKI(Public Key Infrastructure)】
公開鍵暗号方式と電子署名を使用したセキュリティインフラをいう。「公開鍵基盤」と
訳される。
企業間や、企業消費者間の電子商取引が本格化した現在、データの盗聴、改ざん、なり
すまし、否認といったリスクを防ぐインフラとなる。具体的には、RSAなどの公開鍵暗
号技術、SSLなど暗号通信方式を用いたWebサーバ/ブラウザ、S/MIME・PGP などを使
った暗号化電子メール、電子証明書を発行する認証局などが結びついて構築されている。
【SSL(Secure Socket Layer)】
SSLは、通信先のサーバ証明書による認証、サーバとクライアント間の通信データ
の暗号化及び改ざん防止の機能をもった通信手順。
インターネット販売や会員情報の登録を行なうWeb サイトでは、WWWで通常使用
されるプロトコル http をSSLに適した https として広く利用している。
【RSA】
公開鍵暗号方式のアルゴリズムの一つである。
3人の開発者の名前の頭文字をとって名付けられた。公開鍵暗号方式の一つの標準と
して広く普及している。
【IETF(Internet Engineering Task Force)】
インターネット上で開発されるさまざまな新しい技術を標準化するために設立された
組織をいう。
IETF がインターネットに関わるさまざまな技術の仕様・要件を、番号をつけて公開し
ている正式文書をRFC(Requests For Comment)という。
【電子署名】
電子データの正当性を保証するために付けられる情報をいう。
紙媒体に対して行われる署名を電子的手段で代替したもの。広義に電子署名という場
合には、公開鍵暗号方式以外の方法も含まれる。狭義には公開鍵暗号方式を用いて、文
書の作成者を証明し、かつその文書が改ざんされていないことを保証する署名方式をい
い、デジタル署名ともいう。
【電子公証】
電子データついて、本人が作成したものであること、改ざんされていないこと、いつ
作成したかということを証明するサービスをいう。
42
狭義には、公証人が文書の確定日付・内容を公的に証明し、法律上の効力を確定させ
るために公証役場で行われている公証サービスを電子的なデータについて行うサービス
をいい、電子公証制度が法令化されたのに伴い日本公証人連合会がサービスを開始して
いる。
43
付録4:役に立つWebサイト
情報セキュリティに関するWebサイトで、役に立つものや常にウォッチしておくとよ
いものとしては、以下のものがある。
・独立行政法人情報処理推進機構(IPA)
http://www.ipa.go.jp/security/
・財団法人日本情報処理開発協会(JIPDEC)
http://www.jipdec.jp/
・NPO日本ネットワークセキュリティ協会
http://www.jnsa.org/
・総務省(国民のための情報セキュリティサイト)
http://www.soumu.go.jp/joho_tsusin/security/index.htm
・社団法人電子情報技術産業協会
http://it.jeita.or.jp/
・NPO日本セキュリティ監査協会
http://www.jasa.jp/
・警察庁セキュリティポータルサイト@police
http://www.cyberpolice.go.jp/
44
付録5:通信の暗号化について
業務の中で、外部と秘密性の高いファイルの送受信をインターネットで行う必要が出て
くることがある。会計士事務所(監査法人)として、インターネットによるファイルの送
受信を禁じてしまえばよいが、現実には電子メールは広く使われており、根本的な解決に
ならない。
そこで、一般的に「業務上やむを得ず機密情報を社外へ送信もしくは受信する場合は、
定められた手順書に従い、内容に応じて暗号化、電子署名などの処置を施さなければなら
ない。」と規定し、通信の暗号化をすることとなる。
これを実現するための具体策と留意点を次に記述する。
通信を特定の相手と安全に行うためには、次の4つの条件を満たす必要がある。
1.盗聴防止(機密性)
2.改ざん防止
3.なりすまし防止(認証)
4.否認防止
最近のインターネットを用いた通信では、相手が本人かどうか分かり難くなっており、
機密性ばかりでなく認証も重要である。電子メールでデータを送受信する場合であっても、
受信者としては、送信者が本人かどうか、内容が途中で改ざんされていないかどうかを検
証する必要がある。
なお、情報の内容によってどの程度の機密性が必要かどうかの分類は重要である。必ず
しもすべてを高度に暗号化する必要はなく、情報の重要度に応じてパスワードの設定やデ
ータの分割送信などの適切な対応をすべきである。また、データを担当者しか復号化でき
ないまま放置した結果、後日、復号化不能になる事態も考えられる。データを暗号化した
場合は、その後の保存方法も含めて体系的にシステムを構築する必要がある。
インターネットを介してファイルを送受信するにはいくつかの方法がある。従来は、電
子メール(または、電子メールの添付ファイル)、サーバを介した方法などがあったが、最
近ではピアツゥピア方式によるファイルの送受信が可能になるソフト(ファイル共有ソフ
ト)が開発され利用されているが、そのソフトが違法なファイル交換に用いられるケース
も生じており、社会問題になっている。以下それぞれについて検討する。
(1)電子メールによる方法
現在、電子メールは広く用いられており、電子メール上でどのような手法を用いれば上
記の4条件を満たして安全な送受信ができるかを検討する。
最も単純な方法として、電子メールに暗号化したファイルを添付することが考えられる。
45
暗号化はパスワード等で保護できる機能を持つソフトを用いて行うが、これらは通常、共
通鍵暗号方式であるので、受信者だけに復号化のパスワード等を伝える必要がある。共通
鍵暗号化方式の長所としては単純かつ低コストなこと、短所としては、パスワード等の管
理が煩雑なこと、認証がついていないことがあげられる。
なお、複数の受信者に対して同じ添付ファイルを送信するとすべて同じパスワード等で
開封することになり、パスワード等の機密性の維持が難しくなる。結局、パスワード等の
管理が現実的な範囲に限られる。
このような共通鍵暗号方式に対して公開鍵暗号方式は、暗号化の鍵は秘密と考えられて
いた常識を覆し、鍵を公開してしまう画期的な技術である。公開鍵暗号方式では、送信相
手の公開鍵を使用して暗号化してデータを送信し、受信者はこれを自分だけが持っている
秘密鍵で復号化する。これにより共通鍵暗号方式の最大の問題である鍵の管理が解決され
た。公開鍵暗号方式は電子署名に応用され、認証機能も合わせ持つことができる。
公開鍵暗号方式を用いて比較的普及したソフトウェアとしてPGPがある。PGPの場
合、公開鍵を鍵サーバと呼ばれるサーバに保管するが、これは単に鍵を管理するのみであ
り、公開鍵が本人のものなのかどうかを保証する機能はない。しかし、公開鍵に保証人の
署名を付け、この信頼の輪によって本人確認を広げていく方式を採用している。
公開鍵暗号方式は「なりすまし」を防ぐことが重要であり、現在では公開鍵が本人のも
のであることを、第三者機関(CA(Certificate Authority:認証局))が保証する制度
が確立している。本人がCAに鍵の作成を依頼し、CAは本人の正当性を実際に審査した
後、CAの電子証明書に組み込まれた形で鍵を発行する。このように公開鍵をすべてCA
で管理、運営するようになれば、公開鍵の信用度は飛躍的に上昇する。しかし、そのため
には必然的に数多くのCAが必要となるが、それらを相互に認証するように有機的に結び
付 け 、 社 会 全 体 と し て 効 率 的 に 活 用 し て 行 こ う と い う 考 え 方 が P K I ( Public Key
Infrastructure:公開鍵暗号基盤)である。
PKIは、CAの相互認証、証明書が有効かどうかの検査(期限の確認、失効リスト管
理など)、通信方式やデータ形式の標準化が定められており、電子取引の社会基盤として欠
かせない。
S/MIME はPKIを利用する電子メール暗号化方式であり、CAが発行した電子証明書を
用いて暗号化と署名を行う。現在、S/MIME は主要な電子メールソフトウェアが対応してお
り、電子メールの送信者と受信者が互いにCAが発行した電子証明書をインストールする
ことにより、安全な通信を行うことができる。送信者側は受信者の公開鍵で暗号化すると
同時に送信者の公開鍵で電子署名を行い、受信者は自分の秘密鍵で復号化すると同時に送
信者の公開鍵の正当性を確かめることが可能となる。したがって、S/MIME を利用すると、
機密性と認証の双方を満たした形で通信を行うことができる。
46
(2)サーバ形式による方法
データ通信の相手が不特定多数の場合には、電子メールではなく、インターネット上で
安全に通信する仕組みを構築することが行われており、この仕組みはネット販売などで用
いられている。ただし、通常のネット販売の仕組みでは、申込者が本人かどうかの確認は
されておらず、申込者がCA発行の電子証明書を持っている必要はない。販売者は申込者
のクレジットカード情報や入金を確認すればよい。これに対して、申込者が本人かどうか
厳密な確認が必要な電子申告では、PKIを利用している。
情報の受取側でその情報を収集、利用する必要がある場合、電子メールを用いるよりも
上記のような仕組みを構築することが効率的である。
(3)ファイル共有ソフトによる方法
ピアトゥピア方式により、サーバを介さずにネットワークに繋がったPC間でファイル
を共有することが可能である。このようなソフトの使用は厳密にコントロールされる必要
がある。もし著作権に触れるデータの配信が会計士事務所(監査法人)で行われており、
従業員の違法行為を見て見ぬ振りをしたということになれば、その事務所は法的責任を問
われる。また、コンピュータ・ウィルスの侵入経路になる危険性もある。さらに、このよ
うなソフトウェアを使用する場合は、音楽や動画などネットワークの帯域を消費するデー
タを送受信することが常であり、ネットワーク管理上も好ましくない。したがって、現在
インターネット上に出回っているファイル共有ソフトをインストールすることは危険であ
ると考える。
一方、サーバを用いずにファイル共有ができることは非常にメリットのあることであり、
監査チームのようにプロジェクトチーム型の業務運営をする組織では、サーバで集中管理
するよりも利便性が高まることが期待できる。したがって、利用権限が適切にコントロー
ルされ、通信が暗号化されたファイル共有ソフトウェアが開発された場合には、業務にお
いての利用は検討に値する。
47
付録6:チェックリストについて
IT委員会報告第
号と本研究報告に基づいたチェックリストを掲載しますので、各会
員事務所やご自身のセキュリティ向上にお役立てください。
「チェック項目」は、IT委員会報告第
号と本研究報告に基づいて作成しており、「参
照箇所」はチェック項目に該当する解説箇所を示しています。
なお、このチェックリストは適宜カスタマイズしていただくことが必要であり、また、
チェック項目にすべて対応したから万全というわけではありません。日々の意識が重要と
なりますので、ご注意ください。カスタマイズしやすいように、別途、電子ファイルでの
提供を行っています。
・利用方法
適宜カスタマイズした上で、チェック項目に対する実施状況を「実施状況」欄に記載し
ます。「参照箇所」に記載された事項を参考にしながら、現在の状況について改善すべき事
項等がないかを検討し、
「実施状況」欄に追記してください(欄を別途設けてもよいでしょ
う)。
改善すべき事項等が特定された場合は、今後の改善計画等を検討し、実行に移していく
ことになると考えます。
チェック項目
参照箇所
・経営者の役割
経営者は自分の役割を正しく認識しているか
報告Ⅳ
自ら積極的に範を示しているか
報告Ⅳ
セキュリティ・ポリシーを定めているか
Q18
内容を定期的に見直しているか
報告Ⅳ.6
重要度に応じた分類を行っているか
報告Ⅲ.1(2)
電子データの保存期間等を定めているか
Q31
職員等への周知徹底を図っているか
報告Ⅳ.5
セキュリティ管理体制を構築しているか
報告Ⅳ.4
(2)
セキュリティに関する研修を行っているか
報告Ⅳ.7、
Q26
モニタリングを行っているか
Q25
電子メール利用上のルールを定めているか
報告Ⅳ.8、
Q27
48
実施状況
チェック項目
参照箇所
USBメモリ使用上のルールを定めているか
報告Ⅳ.8
他事務所や個人の会計士と共同で業務を行う
Q30
場合の電子データの取り扱いに関するルール
を設けているか
情報セキュリティ担当者がいるか。いない場合
Q21
は、どのように対応しているか。
情報漏洩時の対応策が用意されているか
報告Ⅳ.9
・情報セキュリティ担当者の役割
情報セキュリティ担当者は自分の役割を正し
報告Ⅴ
く認識しているか
経営者が実施した電子データの重要度分類の
報告Ⅴ.2
結果に基づき、電子データに対するアクセス権
限の設定方針を定めているか
情報機器のセキュリティ設定を行っているか
報告Ⅴ.7、
Q32、Q42
パスワードは定期的に変更されるように設定
報告Ⅴ.3、
されているか
Q36
パスワードのルールを利用者に指導している
報告Ⅴ.3、
か
Q37
パスワードのルールどおりに設定されている
報告Ⅴ.3、
か
Q37
必要と認める場合、HDの暗号化を行っている
Q34、Q43
か
重要な電子データのバックアップ方針を定め
報告Ⅴ.4、
ているか
Q39
重要な電子データのバックアップ方針どおり
報告Ⅴ.4
にバックアップを行っているか
電子データのバックアップ媒体は適切に管理
報告Ⅴ.4、
されているか
Q40
ウィルス対策を行っているか
報告Ⅴ.6、
Q41
OSやソフトウェアにセキュリティ上の欠陥
49
報告Ⅴ.6
実施状況
チェック項目
参照箇所
が発見され、メーカーによりその対策プログラ
ムが提供されているかどうかの情報に留意し
ているか
レンタルサーバを利用するなど外部の業者に
Q46
運用等を委託している場合、外部の業者の信頼
性を確かめているか
PCやCD−R等を廃棄する場合、HD等に残
報告Ⅴ.8、
っている情報は専用ツールを使って消去した
Q47
か。もしくは物理的に破壊したか。
USBメモリは暗号化やパスワード機能付き
報告Ⅴ.9、
のものを使用するなど、公認会計士事務所(監
Q48
査法人)で定めたルールに従ったセキュリティ
が確保されているものであるか。
電子メールは公認会計士事務所(監査法人)で
報告Ⅴ.9、
定めたルールに従ったセキュリティが確保さ
Q49
れているか。
・利用者の役割
利用者は自分の役割を正しく認識しているか
報告Ⅵ
PCには必要最低限の電子データしか入って
報告Ⅵ.2、
いないか
Q51
電子データの定期的なバックアップを行って
報告Ⅵ2.
いるか
喫茶店や電車の中でPCを利用しているか
Q52
業務で利用するPCを個人用途に使っていな
報告Ⅵ.2、
いか
Q54
パスワードを手帳などにメモしていないか
報告Ⅵ.3、
Q55
PCを持ち運ぶ際に、盗難等に注意を払ってい
報告Ⅵ.4、
るか
Q56
ネットワーク(特に無線LAN)に不用意につ
報告Ⅵ.5
ないでいないか
メールの利用に当たって、事務所のルールに従
報告Ⅵ.6、
っているか
Q58
50
実施状況
チェック項目
参照箇所
USBメモリを使用する際、事務所のルールを
報告Ⅵ.5・
守っているか
6、Q57
ウィルス対策ソフトを利用し、ウィルスチェッ
報告Ⅵ.7
クを定期的に行っているか
指示のあったセキュリティ対策プログラムは
報告Ⅵ.7
適時にインストールしているか
編集履歴、修正履歴、ファイルのプロパティな
どに注意を払っているか
51
Q59
実施状況
Fly UP