概要 
- B社・・・店舗販売メインの百貨店
- 近年のネット販売普及をうけて「通販システム」を構築し売上拡大へ取り組む
- 通販システム
- 保守業者P社に委託
同業他社で業務委託に関して顧客情報の漏えい事故が発生したこともあり
自社の通販システムについて「情報セキュリティ管理状況の監査」を行うこととした。
予備調査の結果
- B社にはシステム部.通販課が存在する
- P社の保守担当者は、正社員+契約社員の5名体制
- ただし、毎年4月に一部入れ替えが発生
- 業務委託契約に基づき、毎月のP社業務体制図(※)を受領している(※担当者氏名、役割、着任年月、再委託先社名など記載)
- 再委託先の変更
- 当初Q社へ再委託⇒今年1月からR社に変更
通販システムで使用するテストデータの準備方法
[B社] [P社]
------(保守依頼発生)------> <<テストデータ作成依頼書>>
を作成
<------(依頼書送付)------- ↑-----「P社責任者の内容確認と承認」
<<専用ツールでデータ作成>>
※マスク処理あり
|
(テストデータ番号、ファイル名発行)
|
(CD-R)+(マスク処理結果表)への出力
|
<<データ依頼書への追記>>
※テストデータ番号を記入
↓
「責任者が内容確認と承認」
+------------(依頼書,CD-R,受領書を返送)-----------> (資材などを受領) ←「責任者がCD-Rの内容を確認、承認。受領書に受け取ったテストデータ番号を記入」
|
|
|
(依頼書のコピー保管)
|
|
<<写しと照らし合わせる>>
|
(受領書確認と保管) <------(受領書送付)-------
情報セキュリティ管理状況について
- 情報セキュリティ確認書を、B社と業務委託先との契約締結時および年1回(毎年12月)提出させている
- P社からの情報セキュリティ確認書の状況
- 契約締結時と毎年12月に提出されている
- B社課長の確認印あり
- 添付資料として、体制図、教育実施記録あり
本調査計画
<マスク処理の確認>
| 項番 | 監査要点 | 監査手続 |
|---|---|---|
| 1 | B社課長はテストデータがマスク処理されていることを確認しているか | ・データ依頼書の写しを閲覧し、確認印が押されていることをチェック ・データ依頼書の写しとマスク処理結果票の照合 |
【補足】
データ依頼書の確認印だけでは、B社課長の確認行為はOKとなる
ただし、マスク処理内容に不備があってもOKをだしている可能性も否定できないため、
追加で、依頼書の写しに対してマスク処理結果票を照合すべきである。
<データ受渡結果の適切性>
| 項番 | 監査要点 | 監査手続 |
|---|---|---|
| 2 | B社が依頼されたテストデータを業務委託先で確かに受領したかを確認しているか | 受領書ファイルに保管されたデータ依頼書の写しとP社保守業務担当課長の確認印がおされた受領書を照合 ⇒ テストデータ番号が一致しているか |
【補足】
データ依頼書と受領書が一致しない = 作成されたデータが適切に渡されていない可能性がでてくる(途中で盗難、細工されているなどもありえる)
<教育の実施状況の確認>
| 項番 | 監査要点 | 監査手続 |
|---|---|---|
| 3 | B社システム部は委託先の情報セキュリティ教育の実施状況を適切に確認しているか | P社からの情報セキュリティ確認書を閲覧し ・B社課長の確認印を確認する ・業務体制上のすべての従業員について実施記録があるか確認する ・従業員の着任年月と教育実施年月が一致しているか確認する |
追加事項
- 毎年4月に入れ替わりが発生する。しかし一方で確認書の提出時期は12月
↓
入れ替わった社員に対する記録があるかどうかが不明となっている
↓
受託従業員に対する教育実施記録を網羅的に確認する必要がある
<再委託先の変更についての監査観点>
| 項番 | 監査要点 | 監査手続 |
|---|---|---|
| 4 | B社は業務委託先を通じて、再委託先の情報セキュリティ管理状況を適切に確認しているか | ・P社からのセキュリティ確認書に「再委託先からの確認書」が添付されていることを確認する ・再委託先からの確認書について、P社課長の確認印があることを確認する |
指摘事項1:B社が直近切り替わった現在の再委託先R社について情報セキュリティ管理状況を確認できていない
【改善提案】
- P社を通じてR社の情報セキュリティ管理状況をすみやかに確認すること
- 外部委託管理規定をあわせて改定すること
再委託先など委託業務体制が変更された場合、速やかに情報セキュリティ確認書を提出させる
最新コメント