bannerkanmatsu.gif


第4回
監査の際の心構え
前橋市総務部情報政策課主任
地方公共団体セキュリティ対策支援フォーラム 会員

並木史一


 情報セキュリティ監査は、セキュリティポリシーの実施サイクルの上で重要なパートであることは周知の通りです。しかし、先進的な自治体はすでに取り組んでいるものの、多くの自治体では「ノウハウがない」「十分な予算がない」などの理由からなかなか実施が難しいというのが現状ではないでしょうか。また、監査には常に「不安」がつきまとうことも意外と見落とされがちです。
 本号では、監査業務へ急に携わることになった私が、外部監査と内部監査の体験を通じて、監査を受検する側がどんなことに「不安」を抱き、また監査する側はこの「不安」をどう解消すればいいのか、担当者として学んだことを紹介します。
 群馬県では、県が市町村とともに電子申請部会を設置し、電子申請等受付システムを運営しています。ここで、前橋市は参加団体としての「外部監査」を受けることになりました。具体的には、電子申請部会事務局が委託した監査会社が実施する外部監査を、電子申請等汎用受付システムを利用する部門を中心に受検したもので、この時の私の業務は利用部門と監査会社の間で調整を行うことでした。
 また、これと併行して電子申請部会では、サービス提供事業者に対して県と2市の職員が「内部監査」を行いました。私は、この監査人チームの一員として、事業者へインタビューを実施することになったのです。

●受検側の心構え
監査は余分な仕事ではなく業務改善の機会である

 外部監査には「助言型」と「保証型」の2種類があり、前橋市が受検したのは「改善提案を行って監査対象の情報セキュリティを改善する」ことを目的とした助言型監査でした。今回、監査を受検した利用部門の責任者は、業務の計画や改善に積極的な人だったため前向きに応じてくれましたが、それでも初めてのことで不安があったと語っています。
 監査は安心して業務を行うために必要なのだから、受検側は協力して当然――監査の実施側はこう考えがちです。しかし、受検側にとっては準備などノウハウがなく、普段何気なく使っている情報機器やシステムも監査となれば専門的で難しい話になるのではと不安感で一杯です。また監査の結果、業務手順に問題ありと指摘されたら大変です。そうした不安の払しょくには、ちょっとした気遣いと目的の提示が鍵となります。


 監査の目的は「不適切な点の指摘・非難ではなく、監査を通じて業務改善に結びつけること」です。
 これが理解できると、受検側の不安もかなり解消されます。われわれも監査会社のアドバイスを受けて、このことを繰り返し伝えるようにしました。実際に前述の責任者も、この言葉によって自然体で臨むことができたと話しています。さらに、「改善点に気付けば監査の前に直せばよい。それは隠すのではなく改善だ」と伝えると、最初は意外だったようですが、課全体で監査をセキュリティのノウハウを得るチャンスととらえ、分からないことはどんどん聞くようにしたそうです。


 そして監査の結果、(1)時間の制約から、なかなかできなかった業務プロセスの確認や見直しができた、(2)監査受検を通じて課全体のチームワークが強化された、といった副次的効果があったとも述べています。これは職員に「監査は余分な仕事ではなく、業務改善の機会だ」との目的意識が浸透した結果にほかならず、効果的な監査とするためにも不安払しょくの重要性を痛感させられました。

●実施側の心構え
業務を気遣った効率のいい監査手続きを

 一方、監査の実施側の心構えはどうあるべきなのか、内部監査を行う際、監査人研修で学んだことを紹介します。
 内部監査の際、受検側が負担に感じるのは業務への影響で、実施側はこのことに十分配慮しなければなりません。監査の計画や手続きによっては、職場をより安全にする手助けを行うはずの監査が、かえって業務の妨げになることもあります。
 そうならないためには、「インタビューは短く」「提出資料は業務への支障を考える」「報告書の記述は非現実的な改善提案をしない」といった配慮が必要でしょう。これによって、受検側の改善を支援するという実施側の意思を伝えます。
 この点については、財団法人地方自治情報センターが作成したDVD『やってみよう情報セキュリティ内部監査』でも、監査をスムーズに進めるためのポイントとして強調しています。また、私自身が外部監査受検の調整役をした経験に照らしても、こうした“気遣い”が案外とても大切なのだと感じました。

●受検側と実施側の共通の心構え
監査は改善の機会でありその目的は「住民サービス」である

 監査の最終目的は、「住民のためにしっかりしたセキュリティを確保する」ということです。この共通認識を持ち、受検側は「監査はセキュリティ向上の機会」と前向きにとらえ、実施側は「独立かつ専門的な立場から受検側を支援する」との意識を持ち、業務遂行にも配慮する――このような構図ができれば、内部監査は8割方成功したようなものです。
 監査依頼が来たら、あまり身構えずに気軽な気持ちで受検してみる、監査を行う際も、まずやってみることをお薦めします。


●地方公共団体セキュリティ対策支援フォーラムについて
地方公共団体および有識者、民間企業、関連団体等の連携の下、地方公共団体の情報セキュリティ対策支援を目的に設立された組織。地方公共団体の入会費・年会費は無料。詳細はホームページ(http://lg-sec.jp/)まで。



新風トップへ