②保証型のシステム監査

ウェブサイトのセキュリティ対策について、保証型のシステム監査を行った事例です。

 事案   趣味の稀覯品に特化した専門オークションサイトを運営するA社では、サイトのセキュリティ・ホールを利用してオークションシステムを不正に操作し、落札を受けるという不正が起こりました。しかも、セキュリティ・ホールの内容は掲示板で公開されてしまったため、わずか2日の間に30件を超える不正が行われてしまいました。A社では、セキュリティ・ホールをふさぐとともに、システムログから不正を行った会員を特定し、退会等の処分を行いました。しかし、退会させられた会員から、セキュリティ・ホールはオークション・システムの致命的なバグであって未だ根本的な対応はなされておらず、退会等の処分も誤って科されているとの噂が流され、脱会者が出るなどの騒動となってしまいました。A社は、サイト上で説明を試みたものの、会員の理解を得られない状況が続いていたため、ITSにシステム監査を依頼しました。

 解決  A社自身による説明は、「対応した」という限度のもので、ITに詳しい会員の納得を得られるものではありませんでした。他方で、詳しく情報を出し過ぎると、セキュリティ上の秘密も明かになってしまうため、それにも限界があります。そこで、保証型のシステム監査を実施し、セキュリティ・ホールの内容、対応のための考え方・方策、そのための(外部委託者を含めた)体制、セキュリティ問題に対する継続監視のための方針などについて、調査やヒアリングに基づいて「十分と認められる」との結論を出しました。そして、監査報告書をサイトに掲示するほか会員個々にに送付し、サイトでは継続監視の状況を適宜報告する体制を敷きました。これにより、当初は掲示板での批判や個別の照会が残ったものの、一時は20%近く減少した会員数も3か月ほどでほぼ回復するに至りました。

 ポイント  企業の不祥事をきっかけにした内部統制の法制化に伴い、企業の説明責任(accountability)がクローズアップされていますが、これは当然、企業の最大の利害関係者である消費者にも向けられるべきものです。他方、企業外部のステークホルダーに説明責任を果たそうとする場合、常に、説明の必要性と情報流出のジレンマに悩まされます。この事例では、事がセキュリティ問題であったために、そのジレンマも深刻でしたが、保証型のシステム監査による、「中立的な専門家であるシステム監査人の保証」を組み込むことで、事態を収めています。同様の事案で、更に込み入った案件、大規模な案件の場合、弁護士や会計士等による第三者委員会を組織して対処することも行われますが、その場合の報告書には保証型の(システム)監査報告書の性質があると言えるでしょう。

※ この事例は説明用のもので、実際の事件とは一切関係がありません。