第1回 情報セキュリティを取り巻く各種制度：対策に最適な制度を活用する（3/4 ページ）

[丸山満彦（監査法人トーマツ），ITmedia]

●セキュリティ関連の監査

1.情報セキュリティ監査制度

　情報セキュリティ監査制度は、情報セキュリティ監査人が監査を実施し、組織や情報システムが情報セキュリティ管理基準などの判断基準に準拠していることを保証（保証型監査）、あるいはそれとのギャップは何かについて助言（助言型監査）する制度である。経済産業省は、「情報セキュリティ監査研究会」の報告に基づき、2003年からこの制度を開始している。現在は、経済産業省とともに、「NPO日本セキュリティ監査協会（JASA）」が主体となって制度の普及、啓発に努めている。

　JASAは、情報セキュリティ監査を実施する企業が中心となって設立された団体で、普及や啓発以外にも、監査の標準的な手続きなどを定めたり、監査人の質を向上させるための教育を行っている。また、今年度より、情報セキュリティ監査人の資格認定制度である「公認情報セキュリティ監査人資格制度（CAIS）」を開始している。なお、経済産業省のWebページには、情報セキュリティ監査を実施する企業を情報セキュリティ監査企業台帳として掲載している。

詳細サイト
JASA

2.システム監査制度

　1985年に開始されたシステム監査制度は、「組織体の情報システムにまつわるリスクに対するコントロールがリスクアセスメントに基づいて適切に整備、運用されているかを、独立かつ専門的な立場のシステム監査人が検証又は評価することによって、保証を与えあるいは助言を行い、もってITガバナンスの実現に寄与すること」（システム監査基準より）を目的としている。情報システムのライフサイクルに従った情報システム戦略および計画、設計、運用、保守といった観点から監査するところに特徴がある。

　現在は、NPOシステム監査人協会（SAAJ）が主体となって制度の普及、啓発に努めている。また、この団体とは別に「情報システムコントロール協会（ISACA）」がグローバルにシステム監査の普及、啓発を行っている。SAAJでは、システム監査の資格認定も行っている。さらに、「システム監査学会（JSSA）」が情報セキュリティ、個人情報保護、会計システムについての専門監査人資格認定を行っている。

詳細サイト
SAAJ
ISACA本部
JSSA
システム監査を実施する主体を掲載したシステム監査企業台帳

3.TrustサービスおよびWebTrust for CA

　Trustサービスは「米国公認会計士協会（AICPA）」と「カナダ勅許会計士協会（CICA）」が1999年より開始した情報セキュリティ、個人情報保護、電子商取引や電子認証局に関する監査制度だ。Webサービス（電子認証局を含む）に対して監査が行われた場合は、WebTrustマークをWebページに貼ることができる。Trustサービスにはセキュリティ、可用性、取引の完全性、オンラインプライバシー、機密保持がある。電子認証局に対する監査は、WebTrust for CAとなっている。

　Trustサービスを日本語で利用できるようになったのが2004年からであること、実施者が監査法人または公認会計士に限定されること、ほかの制度と比較して保証水準が高く、費用も掛かることから、取得数は多くない（2004年12月26日確認時点では全世界で38）。なお、WebTrustマーク取得企業は、AICPAのWebサイトに掲載されている。

詳細サイト
WebTrust

各種制度の位置付けを理解しよう