システム監査は、情報システムが企業の目的に沿って企画・開発・運用されているかどうかを、当事者から独立したシステム監査人が評価し、その結果を企業内(経営者や内部監査室など)、あるいは企業外(株主や取引先など)のステークホルダーに報告するものです。例えば、次のような場合にご利用頂けます。

・現在進めている開発プロジェクトの問題点とその改善策を知りたい
・新取引システムのセキュリティ対策が十分なものであることを取引先に表明したい
・情報システム部門が提案している企画について、費用対効果が妥当か検証したい

 問題点を指摘して改善点を提案する「助言型」のシステム監査では、情報システムの安全性・信頼性・効率性のレベルアップを図ることができます。また、一定の基準に照らして判断した結果を宣言する「保証型」のシステム監査によって、企業としての説明責任を果たすことができます。このシステム監査では、法とITの両面から監査する点に特長があります。

システム監査では、アイティーエス法律事務所のIT弁護士が、公正中立なシステム監査の結果をステークホルダー等に報告します。

※ 「システム監査」では、監査としての性質上、監査結果についてはご要望にお応えできない場合があります。

新システムの提案の費用対効果について、助言型のシステム監査を行った事例です。

 事案   独立行政法人であるA法人は、ホスト・コンピュータの保守停止に伴うシステム・コンバージョンを、予算上の制約からウェブ系システムへの単純移行と計画していました。しかし、RFPを提示していたベンダの一つであるB社から、事業の状況に合わせて新規構築するという代案の提案を受けました。A法人では、法人事業の変革への対応やオペレーション・コストの低減要請のある中、この機にそれらの問題をクリアできる代案に強い魅力を感じました。ただ、新規構築には新たな予算上の手当が必要であり、費用対効果を厳しく見なければならないため、明確な決断が下せないでいました。そこで、ITSにB社からの提案の費用対効果について、妥当性検証を依頼しました。

 解決  B社の提案は、効果に関する見積は比較的正確だったのに対し、費用のうち、導入後の保守について、毎年法令改正による影響を受けるというA法人の業務特性を過少評価している可能性があることが分かりました。他方、そのような業務についてのシステムをそのまま単純移行しても、保守費の問題は解消されないため、一部の業務については、システムのあり方そのものを検討すべきことを指摘しました。その結果、A法人では、業務に変動の少ない大量反復の基幹部分と、変動要素の大きい周辺部分とに分け、前者については単純移行を、後者については(必要であれば手作業を組み合わせた)EUCを取り入れた新規開発とすることを前提に、B社を含めたベンダに改めて提案を求めることになりました。

 ポイント  システム監査の対象は一般に、情報システムの安全性・信頼性・効率性と言われていますが、システム開発の問題点や、この事例のような費用対効果の評価など、多岐に渡ります。運用中のシステムの問題に比べると、開発時の問題は、ベンダとの取引関係や責任問題など、システム的な視点だけでは解消できない問題を孕んでいます。この事例の費用対効果は、ベンダの営業に伴うものですから、一定のバイアスが入っていることは容易に見てとれます。他方で、危なそうなものをただ排斥するだけでは、有利な投資機会を失うことにもなります。ITSのシステム監査は、法的な視点からのアプローチを含め、こうした複雑な対象についても、弁護士として中立・独立の立場から的確に対処できます。

※ この事例は説明用のもので、実際の事件とは一切関係がありません。

ウェブサイトのセキュリティ対策について、保証型のシステム監査を行った事例です。

 事案   趣味の稀覯品に特化した専門オークションサイトを運営するA社では、サイトのセキュリティ・ホールを利用してオークションシステムを不正に操作し、落札を受けるという不正が起こりました。しかも、セキュリティ・ホールの内容は掲示板で公開されてしまったため、わずか2日の間に30件を超える不正が行われてしまいました。A社では、セキュリティ・ホールをふさぐとともに、システムログから不正を行った会員を特定し、退会等の処分を行いました。しかし、退会させられた会員から、セキュリティ・ホールはオークション・システムの致命的なバグであって未だ根本的な対応はなされておらず、退会等の処分も誤って科されているとの噂が流され、脱会者が出るなどの騒動となってしまいました。A社は、サイト上で説明を試みたものの、会員の理解を得られない状況が続いていたため、ITSにシステム監査を依頼しました。

 解決  A社自身による説明は、「対応した」という限度のもので、ITリテラシーの高い会員の納得を得られるものではありませんでした。他方で、詳しく情報を出し過ぎると、セキュリティ上の秘密も明かになってしまうため、それにも限界があります。そこで、保証型のシステム監査を実施し、セキュリティ・ホールの内容、対応のための考え方・方策、そのための(外部委託者を含めた)体制、セキュリティ問題に対する継続監視のための方針などについて、調査やヒアリングに基づいて「十分と認められる」との結論を出しました。そして、監査報告書をサイトに掲示するほか会員個々にに送付し、サイトでは継続監視の状況を適宜報告する体制を敷きました。これにより、当初は掲示板での批判や個別の照会が残ったものの、一時は20%近く減少した会員数も3か月ほどでほぼ回復するに至りました。

 ポイント  企業の不祥事をきっかけにした内部統制の法制化に伴い、企業の説明責任(accountability)がクローズアップされていますが、これは当然、企業の最大の利害関係者である消費者にも向けられるべきものです。他方、企業外部のステークホルダーに説明責任を果たそうとする場合、常に、説明の必要性と情報流出のジレンマに悩まされます。この事例では、事がセキュリティ問題であったために、そのジレンマも深刻でしたが、保証型のシステム監査による、「中立的な専門家であるシステム監査人の保証」を組み込むことで、事態を収めています。同様の事案で、更に込み入った案件、大規模な案件の場合、弁護士や会計士等による第三者委員会を組織して対処することも行われますが、その場合の報告書には保証型の(システム)監査報告書の性質があると言えるでしょう。

※ この事例は説明用のもので、実際の事件とは一切関係がありません。

ITベンチャーの新規事業について、第三者委員会を組織してシステム監査を行った事例です。

 事案   IT系のベンチャー・ビジネスであるA社は、SaaSを中心としたクラウド・サービスで業績を伸ばしていました。また、そこで培った技術を生かした新規の事業分野への進出にも積極的で、2~3か月に1件はパイロット・プロジェクトを立ち上げていました。ところが、非常に有望と思われた新規事業の一つが、稼働直前になってプライバシー保護上の問題があるとの疑いが生じました。いろいろとリカバリーを試みたものの、現状の事業スキームのままでは問題を取り除ける目処は立ちませんでした。結局、実稼働は見送りとなり、投入した資金も無駄に終わりました。そこで、事後の新規事業については、第三者委員会を組織して監査することとし、ITSに法律問題についての委員を依頼しました。

 解決  新規事業は社内の有志が企画し、その事業性・収益性については当然、経営会議が会社としての判断を下します。第三者委員会はこれとは別に、経営から独立した委員会が、技術、法律、倫理の観点から新規事業を評価するというものです。委員は各分野の外部専門家(技術者、弁護士、学者)に委嘱されましたが、各領域は相互に関連しているため、委員会として相当の協議を経たうえ、監査報告書をもって会社に助言するという形が採られました。初年度は4件の監査が行われ、うち1件で技術上のフィージビリティにつき疑義が出され(他社技術の導入により回避)、別の1件で業法違反が指摘され(一部事業縮小することで回避)ましたが、ひとまず4件とも実稼働に漕ぎ着けました。

 ポイント  新規事業の企画の際は、事業性や収益性に目が行きがちですが、リスクについても慎重な判断が必要です。その点A社では、バイアスのない専門的・中立的な判断を重視したこと、会社の現有人材は現業に注力させたかったことから、外部の力を借りることにしたものです。第三者委員会は、不祥事や事故の後始末として組織されることがが多いものですが、ここでは前向きの経営課題がテーマであったため、社外への説明を意識した厳格な手続はあえて採りませんでした。協議なども極めてオープンな形で行い、適宜、会社の責任者を交えたウォークスルーも試みました。その結果、社内に外部専門家の知見や問題意識が導入されるなど、副次的な効果も得られました。

※ この事例は説明用のもので、実際の事件とは一切関係がありません。