bannerkanmatsu.gif


第5回
内部監査をする側の留意点
(現)府中市生活文化部経済観光課長
(元)府中市総務部情報システム課長
地方公共団体セキュリティ対策支援フォーラム 幹事・人材育成部会長
中川裕基


 3回にわたり「内部監査を受ける立場からの留意点」について記述してきましたが、今回はいよいよ監査を“受ける側”から“する側”の話になります。
 地方自治体における監査の実施率を見てもわかるように、まだまだ「内部監査をやってみよう」という意識が非常に低いようです。個人情報の保護条例や情報セキュリティポリシーを策定したから大丈夫ではなく、次のステップである研修、そして監査の実施とPDCAサイクルによるマネジメントが非常に重要です。
 我われ自治体の業務は、市民の大切な個人情報をお預かりして事務事業を遂行している以上、この監査を通して、職員一人ひとりが個人情報の保護と情報セキュリティの認識を深めることが大切です。また、市民からより一層信頼されるためにも、自らの手で職場を定期的に監査し、より一層の向上を目指すことがいま求められています。
 そこで、今回は内部監査を「する側」として、どんな計画を立て、何を準備すればよいのか、それに沿った内部監査の実施方法と、その結果のまとめ方など、情報セキュリティ対策のさらなる向上を目指すための留意点をお話しします。

1.内部監査計画および関連文書の作成

(1)内部監査実施要綱の作成
 まずは、なぜ内部監査が必要なのか、その目的をしっかりと捉え全職員に周知することが非常に大切です。
 そのためにも、内部監査実施要綱を作成しましょう。
(2)内部監査実施手順等の作成
 毎年実施することが非常に重要です。欲張らずにできることからやってみましょう。
(3)内部監査体制の構築
 全庁から選任し、2人一組の体制でやると効率的です。内部監査人は係長相当職が適任です。また最高情報セキュリティ責任者から任命していただくと内部監査人も、受ける側もスムーズに協力的なヒアリング等が行えます。
(4)中期計画・年度計画の策定
 監査は、毎年実施することが重要であり、まずは3、4年の中期計画を立て、それから年度ごとに無理のない計画を設定し、実施することがスパイラルアップにつながります。

2.内部監査の準備

(1)内部監査実施計画の承認
 情報セキュリティ委員会等による監査計画の承認を受けましょう。
(2)受ける部署との調整
 余裕のあるスケジュールを立てましょう。まずは受ける側のスケジュールを尊重することが大切です。
(3)監査項目の作成
 何の項目を監査するのかを明確にすることが大切です。事前アンケートを実施し、簡易項目のチェックをすることも有効です。
(4)内部監査実施の事前説明会の開催
 監査を開始する前に各課の課長および担当者を対象としたオープニングミーティングを開催し、監査実施概要、スケジュール等の説明をします。また情報セキュリティ研修を併せて実施するとより効果的です。

3.内部監査の実施

(1)実施手順等のすり合わせ
 実施手順書とは、各課の業務における情報セキュリティ対策を実施するための具体的な手順を示すものであり、主管課では実際にどうやって作成したらいいのか分からないなどの理由から、なかなか整備されてないケースが多々あります。
 このような時は、協力してそれぞれの主管課にあった実施手順書等を作成しましょう。
(2)ヒアリングや監査証拠の確認作業
 監査はあら探しではありません。協力し合うことで、より良い事実確認ができます。
(3)理想的な管理策と情報資産の分析
 理想的な管理策とされる監査基準と、内部監査の対象となる情報資産の実際の管理状況とのギャップ分析をしっかり行いましょう。

4.内部監査の改善

(1)内部監査報告書の作成、承認、配布
 見た、聞いた事実を示し、できればその場で被監査部署の承認をもらいましょう。
(2)改善点の確認と改善計画の作成
 予算化が必要な場合もあるので、できるところから改善しましょう。
(3)改善点の実施
(4)実施手順を含む情報セキュリティポリシーの見直し
 見直した結果は、関係職員に必ずフィードバックしましょう。

 以上の流れが一般的な内部監査の方法です。なお、ペネトレーションテスト(侵入検査)を外部委託する際などの契約仕様書に、内部監査の導入支援や集合研修の実施などを盛り込むのもスムーズに実施するためのひとつの方法です。
 ぜひ、これらを参考に情報セキュリティ内部監査をやってみましょう。


告知
内部監査の次は外部監査
でも、外部の監査人が自治体業務をわかっていないのは
とても不安そんな監査人にオススメの研修が

自治体業務知識研修

詳しくは自治体業務知識研修のサイト


●地方公共団体セキュリティ対策支援フォーラムについて
地方公共団体および有識者、民間企業、関連団体等の連携の下、地方公共団体の情報セキュリティ対策支援を目的に設立された組織。地方公共団体の入会費・年会費は無料。詳細はホームページ(http://lg-sec.jp/)まで。



バックナンバーへ戻るspacer新風トップへ