問1 情報システムに関する内部不正対策の監査について
近年、従業員などの内部不正による、情報システムを対象とした情報漏えいなどが増えている。内部不正による損害には、情報漏えいなどに伴う直接的な損害に加え、組織の管理態勢の不備や従業員などのモラルの低さが露呈するなど、組織の社会的信用の失墜がもたらす損害も無視できない。
内部不正の動機は、組織、上司、同僚などへの不満、金銭目的など、様々である。また、従業員などが不正を行える環境や不正を正当化できる状況を組織が放置することも、内部不正を誘発する大きな要因になる。
情報システムに関する内部不正では、従業員などが業務を行うために有するアクセス権限を悪用して情報の不正窃取、改ざんが行われる場合が多く、外部の者や権限を有しない内部の者による不正アクセスよりも、その防止や発見が難しい。したがって、内部不正対策では、技術的対策に加え、組織的対策を適切に組み合わせることが重要になる。組織的対策には、例えば、規程の整備、労働環境の整備、内部不正が発生した際の対応手順の整備、規程・手順が遵守されるための各種施策の実施などがある。
システム監査では、内部不正を予防し、その被害を最小限にとどめるための技術的対策だけでなく、組織的対策が適切に行われているかどうかを確かめる必要がある。また、監査を行うに当たっては、当該対策が法令などに準拠して行われているかどうかという観点も重要になる。
あなたの経験と考えに基づいて、設問ア~ウに従って論述せよ。
設問ア あなたが携わった組織において、内部不正が発生した場合に重大な影響を及ぼす情報システムの概要と、その情報システムにおいて内部不正が発生した場合の影響について、800字以内で述べよ。
設問イ 設問アに関連して、内部不正の技術的対策の実施状況を確認するための監査手続について、内部不正の特徴を踏まえた留意点を含めて、700字以上1,400字以内で具体的に述べよ。
設問ウ 設問アに関連して、内部不正の組織的対策の実施状況を確認するための監査手続について、内部不正の特徴を踏まえた留意点を含めて、700字以上1,400字以内で具体的に述べよ。ここまで問題。ここから答案。
第1章 概要・影響
1-1. 内部不正リスクをはらむ情報システムの概要
社員数1,400名規模のマンションメーカーであるA社の経営陣は、営業秘密の漏洩に大きな危機感を抱いている。なかでも特に、営業支援システムで管理される見込み顧客の情報流出を、最大の内部不正リスクと捉えている。
営業支援システムの概要は以下の通りだ。
①土地活用、特に賃貸マンション建築を検討いただける可能性のある見込み顧客の基本情報と、商談進捗を登録、参照できる。
②管理される基本情報は、計画地住所、主権者氏名、連絡先、家族構成、登記簿謄本、活用検討理由などだ。
③PC向けの「Web版」、社用スマートフォン向けの「アプリ版」がある。
④Web版、アプリ版ともにネットワークはA社LAN内に閉じており、利用には個人認証が必要。
⑤レポート機能を通じ、自身が担当する案件の見込み
顧客リストをCSV形式で出力することが可能。
1-2. 内部不正が発生した場合の影響
A社の経営陣が懸念している、見込み顧客情報流出のシナリオは、「退職予定者による、転職先である競合マンションメーカーへの持ち出し」だ。
当該内部不正が発生した場合に、A社が被る影響は、以下の通りに想定されている。
①競合に商談機会を奪取され、後攻有利でコンペに競り負け、失注し、短期的な売上計画が達成できない。
②個人情報保護法等の法令に準拠した、事後対応コストがかかる。
③個人情報流出の対外発表に伴ってA社の風評が落ち、成約率が下がり、中長期的な売上計画が達成できない。
第2章 技術的対策の監査手続き
私はA社監査室に所属するシステム監査技術者だ。中長期監査計画によって、2022年度は営業支援システムの内部監査を行うことが予定されていた。営業支援システムの保守開発プロジェクトの適切性等は他の監査人が担当することとなったが、経営が強いリスク評価を下している「見込み情報流出」に関する対策状況の監査は、私が担当することとなった。
第2章では、技術的対策の監査手続を論じる。
2-1.想定リスク
技術的対策を施すべきである想定リスクは以下だ。
・見込み情報が表示された営業支援システムの画面を印刷した紙を、退職予定社員が自宅に持ち帰り、転職先で活用する。
・見込み情報が表示された営業支援システムの画面をカメラで撮影した画像ファイルや、レポート機能で出力されたCSVファイルが、インターネット上に流出する。
2-2.あるべきコントロール
上述リスクに対して必要と考えられる技術的なコントロールは以下だ。
①営業支援システムに表示可能な顧客情報を、所属や役職の権限に応じて制御する(最小権限の原則)。
②退職予定社員による営業支援システムの画面印刷イベントのログを取る。
③イントラ内からインターネット側に流れる上り通信を、DLP(データ・ロス・プリベンション)製品等で監視、制御する。
2-3.コントロールの適切性監査
①最小権限の原則が適用されているか
営業支援システムの権限管理に関する仕様書と運用手順書を収集し、最小権限の原則に即しているかを確認する。また、異動や昇降格時の権限変更運用が適時になされていること、あるいはなされていないことは、運用手順書に加え、運用担当者へに聞き取りも行って、確認する。
②画面印刷イベントのログ
各自PCのOSログ、IT資産管理システムのログ、プリンターのログ等で、画面印刷イベントのログを取得できているかどうかを、IT管理者への聞き取りと、実際のログ査閲で確認する。また、リスクの高い「退職予定者」について人事部からの情報連携を受け、集中的な監視対象とできる態勢があるかどうかも、聞き取りおよび連携受領の履歴などを通じて確認する。
③ネットワーク監視の有無
UTM、DLPといった製品の導入状況を、ネットワーク構成図の査閲と聞き取りを通じて確認する。製品が導入されている場合にも、不審な上り通信に対してアラートを発報する機能が存在し、適切に設定されているかを、監査室内の情報処理安全確保支援士やネットワークスペシャリストの協力も得て、確認する。
第3章 組織的対策の監査手続き
第3章では、組織的対策の監査手続を論じる。
2-1.想定リスク
組織的対策を施すべきである想定リスクは以下だ。
・営業組織の社員流動性(退職率)が高すぎる。
・営業秘密持ち出しが判明した際に自身が被る不利益が、社員に理解されていない。
・リスクが顕在化した際の対処手順が明確化されていないことで対応が遅くなり、影響の極小化ができない。
2-2.あるべきコントロール
上述リスクに対して必要と考えられる組織的なコントロールは以下だ。
①営業社員の職場満足度向上や離職対策を行う。
②内部不正に対する懲戒規程等の周知徹底を行う。
③営業秘密が流出した際の対応手順書を作成する。
2-3.コントロールの適切性監査
①社員満足度向上、離職対策
人事部、及び任意に抜粋した営業支店長に聞き取りを行い、社員満足度を向上し、営業社員の離職を予防するための施策実施状況について確認する。ESサーベイなどのアンケート調査、メンター制度等による若手フォロー、契約歩合給の「横取り」が発生していないかなどが、具体的な着眼点となる。
②規定の周知徹底
内部不正、特に見込み顧客リストを他社に持ち出しした場合、どのような懲戒を受けるか、また、どのような不法行為責任をA社から問われ、どの程度の損害賠償金額を支払う必要が発生するかを、まとめた資料(規定やガイドライン)があること、あるいはないことを確認する。規定やガイドラインが存在する場合でも、社員がその内容を正しく認識していなければ実効性がないため、任意の営業社員に抜粋で規程内容の質問を行い、その回答状況も監査証拠として採用する。
③事後対応マニュアル
見込み顧客情報の流出可能性が認識された場合に、流出対象の情報の管理を行う支店長や営業本部、法務部、システム部、経営層がどのように動き、迅速な初動を行い、法令に則った事後対応を行うべきかを、わかりやすくまとめた手順書があること、またはないことを確認する。収集する監査証拠は、(あれば)手順書自体であり、また、存在有無の聞き取り記録も証拠とする。
また、手順書が存在しても、訓練等を行っておらず、手順の抜け漏れが多かったり、最終更新日が古く、準拠すべき法令の改正が反映されていなければ、不適切と判断すべきだ。訓練の実施状況を聞き取り、また、手順書の更新状況を最終更新日をもとに確認し、実効性を確認する。
―以上―