IT統制
企業の業務を適正に行う為の仕組みである内部統制。全従業員が対象となり守るべきルールである内部統制には6つの要素がありますが、その1つがITへの対応を達成するための「IT統制」です。今回は、IT統制における情シスの役割や注意すべきポイントについて解説します。
IT統制の情シスの役割とは
IT統制は、情報システムに関わる仕組みが健全に機能・運用されているかを確認するものです。ITにより日々の業務が正しく行われているか、適切に維持・監督できているかを管理します。
IT統制は、基本的に内部監査部門と情シス部門によって行われます。
- 内部監査部門:IT統制は内部統制の1つであるため、内部監査部門が評価を行う
- 情シス部門:ITに関する専門知識を有しているため、IT統制の仕組みづくりや評価を行う
特に、IT統制ではセキュリティ対策やプロセス管理、データ管理があり、これらは情シスの業務部分でもあります。情シスは、IT統制のための仕組みや運用を担うことが求められます。
監査で指摘された点は鵜呑みにしない
監査法人によるIT統制のチェックは、以下のポイントを中心に行われます。
- パスワード設定・管理
- データ管理
- プロセス管理
権限の設定や第三者による操作ができないようになっているか、データ消失時の復旧方法や復旧までの時間はどうなっているかなど、業務を適正に行うためのIT運用ができているかを確認するのです。
監査で指摘されたポイントは、すべて対応しなければいけないわけではありません。監査はマニュアル通りに行われることも多く、各社の実態にそぐわない指摘が行われることもあります。
情シス部門として、リスクがどこにあるのか、そのリスクに対してどのようなルールを作り、運用しているかをしっかりと説明できることが大切です。
IT統制の外部委託は間違い?
外部委託の問題点
IT統制を外部委託すると、次の問題が生じる可能性があります。
- 営業秘密やノウハウなどの流出
- 委託先の不正や情報漏洩などの不祥事
- 委託先の納期遅れなどの契約違反
- 委託先でノウハウが空洞化する
- コストが言いなりになるなど固定化してしまう
- 不適切な委託先を選んでしまう
外部委託をすると、自社で行っている業務と異なり企業内での全社的な内部統制が効きません。そのため、思わぬ問題が生じてしまう恐れがあるのです。
外部委託する際の注意点
ITシステムを外部委託することは、自社の情シス部門の負担を軽減し本来の業務に集中できるメリットがあります。しかし、その一方で外部に任せっきりにしてしまうと自社でノウハウ消失やトラブル発生時の責任の所在が不透明になる恐れがあります。
外部委託する際には、定期的に委託先をチェックするなど任せっきりにしないことが求められます。
外部委託先選定のポイント
外部委託先を選ぶときには、まず自社内で委託内容や選定基準を明確にしておく必要があります。選定基準としては、以下のポイントが挙げられます。
- 情報セキュリティ
- 業務能力
- 不祥事や事故履歴の有無
- 財務状況
また、選定時には委託先と業務内容や情報管理についてしっかりと契約を結ぶことが大切です。
アウトソーシング会社を安さだけ選ぶのは要注意
情報システム部門では社内の重要な機密情報を取り扱うため、アウトソーシング会社を選ぶ際には安易に「安さ」だけで決めてはいけません。まずは、情報の取り扱いがしっかり行われていることを大前提にすることが必要です。
知らないと損をする重要なポイントを押さえつつ、おすすめできるアウトソーシング会社をご紹介します。これにより、リスクを下げた情シスアウトソーシングの選択ができるようになります。
IT統制の外部委託先管理
IT統制を外部委託するときには、情報流出や契約違反などの問題が起こらないよう、しっかりと外部委託先の管理を行うことが求められます。
管理手法について、2つの紹介しておきましょう。
契約により委託先をコントロールする
外部委託後は、基本的に契約によって業務が行われます。定期的な委託先からの作業報告、問題発生時の責任の所在、監査権限、情報セキュリティ、自動更新や更新期間についてなど、細かいところをしっかりと契約に盛り込みましょう。
委託先を定期的に評価する
委託先を定期的に評価することにより、委託先の緊張感が維持できます。また、委託先の評価はノウハウの蓄積や委託継続の判断を行う材料にもなります。
定期的なバックアップの実施やトラブル時の原因分析・対応先の実施、定期的なログ監視実施など、委託先からレポートをもらい検証を行いましょう。
委託先の評価は、第三者に依頼して行うこともできます。
外部委託をしていてもIT統制は可能
外部委託をすることでIT統制にリスクが生じるのは確かですが、委託先をしっかり選定して適切な契約を結ぶ、定期的に委託先を評価するなどの対応によってリスクを軽減することが可能です。
情シス業務の負担を軽減するためにも、外部委託を検討することは悪いことではありません。委託後の管理についてしっかりとルールを定めることが大切です。
IT統制の業務委託サービスを紹介
ここではIT統制に関する業務委託サービスを提供している業者について紹介・解説します。2021年6月28日時点においてインターネットで「情シスアウトソーシング」と検索し、プライバシーマークやISO27001のどちらかを取得している企業を3つ選出しています。
クロス・ヘッド:情シスSAMURAI
問題解決に特化したサービス
クロス・ヘッドの提供するサービスは、「情シスコンサルティングによる業務代行や改善支援」と「情シスBPOによるアウトソースサービス」の大きく2通りがあります。情シスのスペシャリストであるスタッフが情シス業務の代行だけではなく、属人化してしまっている業務を標準化・体系化することで効率的な業務体制を整える支援を行います。また、自社運営の設備として運用センターを保持しており、さまざまな業務を安定して代行することが可能です。
クロス・ヘッドの導入事例
ここではクロス・ヘッドのセキュリティに関する事例を紹介します。不動産関係の情報を取り扱うクライアントの事例で、情報漏えいの対策が不可欠な状態に対して支援を行っています。安全性を確保しながらノンコア業務の負荷を減らしたいというニーズがあったものの、ルール化されたフローに手間がかかり職員に浸透しきっていないという課題がありましたが、クロス・ヘッドのソリューションを導入した結果ISMS認証の取得も実現し安心・安全がPRできるようになりました。クロス・ヘッドとはほかのシステム導入で既に付き合いがあったことからサポートの依頼に至っており、低コストで使いやすく続けやすいという点に大きな価値を見出しています。
参照:クロス・ヘッド導入事例(https://www.crosshead.co.jp/case/cybersecurity/jrei/)
クロス・ヘッドの会社情報
対応エリア | 記載なし |
営業時間 | 記載なし |
電話番号 | 03-4405-7911 |
公式HPURL | https://www.crosshead.co.jp/ |
リップル株式会社:Total IT Helper
幅広い対応範囲
リップルの提供するIT関連サービスは、グループで1,200名を超える規模のIT商社だからこその経営基盤がもたらす対応範囲の広さが魅力となっています。新たな情報やノウハウの共有もグループ内で密に行っており、さまざまな顧客の課題解決を実現しています。IT関連機器についてもさまざまな取り扱いがあるうえに今までの対応件数もかなりのボリュームとなっており、解決力に特化したノウハウを驚異的なコストパフォーマンスで実現しています。
リップル株式会社の導入事例
情シス部門がそもそもない企業や一人情シス状態の企業であれば、大きなトラブルが発生した際に対応に困るということが頻発してしまいます。しかしリップルのプロフェッショナルで迅速な作業によって問題や課題の解決を実現しています。実際にトラブル発生時に対応を依頼した事例では、ホームページへの問い合わせから5分後に連絡がきて、状況を説明したところ「自社サーバーにバッチが必要」との具体的アドバイスから処理を依頼することができています。他にも伴走型支援により他社ソフトやシステムに関する問い合わせにも丁寧に対応しており、その人材レベルの高さから非常に高い顧客満足度の獲得にも繋がっています。
参照:リップル株式会社導入事例(https://ithelper.ripple-call.co.jp/case)
リップル株式会社の会社情報
対応エリア | 記載なし |
営業時間 | 平日9:00~18:00(緊急対応可能) |
電話番号 | 0120-890-880 |
公式HPURL | https://ithelper.ripple-call.co.jp/ |
アイチーム株式会社:I team
4つの特徴を持つ情シスアウトソーシング
アイチームの情シスアウトソーシングは、「年間計画の作成によるPDCAサイクルの構築」「無制限の相談対応」「分野を区切らないトータルサポート」「システム導入などはPMとして専門コンサルタントが対応」という4つの特徴を持っています。障害発生時における一次切り分けに特化したライトプランをはじめ、セキュリティ対策やIT資産の棚卸までのトータルサポートを提供するカスタムプランまでクライアントの要望に応じたサービス提供を行っています。
アイチーム株式会社の導入事例
サーバの更新に伴い状況を洗い出した際に、使用していた2台のうち1台のサーバにアプリケーションが偏って搭載されていた事例では、ソフトウェア同士の干渉リスクやソフトウェアのアップデートにおける再起動タイミングの問題など、メンテナンス面・運用面において課題が発生していました。そこでアイチームはサーバ2台のリプレイス時にソフトウェアの分散を提供し、他ベンダーの移行作業調整も含めたスケジュール策定もアイチーム主導のもと行い、メリットなどもしっかりと説明して実行しました。結果としてスケジュール通りに進めることができ、リプレイス後に発生した軽微なトラブルのアフターフォローも行ってスムーズに作業が完了しています。
参照:アイチーム株式会社導入事例(https://i-team.co.jp/case/detail/information/planning/server-replacement-risk-hedge)
アイチーム株式会社の会社情報
対応エリア | 記載なし |
営業時間 | 記載なし |
電話番号 | 06-6537-9350 |
公式HPURL | https://ithelper.ripple-call.co.jp/case |
おすすめのアウトソーシング会社3選
情報セキュリティに関する第三者認定を取得している点に注目し、その上で他にも特徴的なサービスを提供しているアウトソーシング会社を選定し、おすすめしています。
「情シスアウトソーシング」とGoogle検索し、ヒットした上位50ページのサイトのうち、公式サイトが表示された会社28社を調査。そこから、オンサイト対応している、公式サイトに事例を掲載している、プライバシーマークもしくはISO27001を取得している会社からそれぞれ選定して紹介しています。(2024年4月15日調査時点)
情シス業務を引き継げる
本社所在地・対応範囲
所在地 | 東京都港区港南1丁目2番70号 品川シーズンテラス24F |
---|---|
対応 エリア |
日本全国 |
スク
を立ち上げられる
本社所在地・対応範囲
所在地 | 熊本県熊本市中央区辛島町3-20 NBF熊本ビル3階 |
---|---|
対応 エリア |
応相談 |
資産管理まで依頼できる
本社所在地・対応範囲
所在地 | 東京都千代田区大手町一丁目9番2号 大手町フィナンシャルシティ グランキューブ19F |
---|---|
対応 エリア |
記載がありませんでした |