情報システム・プライバシーに係るコントロール

基準

情報の信頼性とインテグリティに関わるコントロールの評価

「規準」2130.A1では、内部監査部門が評価すべき、組織体のコントロール手段の適切性と有効性について、4つの項目を挙げている。

「適用準則」2130.A1

内部監査部門は以下に関連し、組織体のガバナンス、業務及び情報システムにおけるリスクに対応するように、コントロール手段の妥当性と有効性について評価しなければならない。

  • 組織体の戦略目標の達成状況
  • 財務及び業務に関する情報の信頼性とインテグリティ
  • 業務とプログラムの有効性と効率性
  • 資産の保護
  • 法令、方針、定められた手続き及び契約の遵守

組織体の情報資産の保護及びリスクの管理

組織体が保有するデータは、組織体のもっとも重要資産の一つであり、情報資産に係るリスク管理は非常に重要である。情報資産に係るリスク管理は一般に以下のプロセスを含む。

情報資産の分類・識別

情報資産を適切に保護する方法を決める為に、情報資産を分類、識別する。

脅威、脆弱性の識別

脅威とは、情報資産有害な状況をもたらす事象である。脆弱性は情報資産の特性であり、脅威を助長する。

影響度、発生頻度の評価によるリスクの識別及び分析

情報資産に係るリスクは、見積もられた損失の値(影響度)及び驚異の発生頻度により計算され、分析される。

コントロールの導入

リスクを軽減するための、コントロールを導入し評価する。このコントロールがリスク管理(対策)、すなわち情報セキュリティである。

残余リスクの評価

残余リスクとは、リスクに対応するコントロールを導入した後にさらに残るリスクである。

プライバシー

個人情報を適切なコントロール手段を用いて保護することに失敗すると、組織体に重大な結果がもたらされることがある。その失敗は、個人や組織体の評判を毀損するかもしれないし、組織体を法的リスクにさらしたり、顧客および、/または従業員の信用を低下させるといったリスクにさらすことになるかもしれない。

プライバシーの定義は、組織体が事業を行なっている国の、文化、政治環境及び法的枠組みにより多岐にわたるが、以下のように分類することができる。

個人的プライバシー:身体的、心理的自由

空間的プライバシー:監視からの自由

コミュニケーションのプライバシー:モニタリングからの自由

情報に関するプライバシー:第3者により個人情報が収集、利用、開示されない自由

個人情報

個人情報とは、一般的に特定の個人を識別する情報、または、他の情報と組み合わせると特定の個人を識別できる特徴を持つ情報を指す。個人情報には、記録されているか否かまた媒体に関わらず、危機通夜主観的情報が含まれることがある。個人情報には、以下が含まれることがある。

姓名、職務履歴、信用情報、住所、収入等

組織体のプライバシー・フレームワークの評価における内部監査人の役割

  1. 個人情報保護の有効なコントロールは、組織体のガバナンス、リスク・マネジメントおよびコントロールの各プロセスにおける不可欠な構成要素である。取締役会は、組織体の主要なリスクの識別と、それらのリスク軽減の為の適切なコントロール・プロセスの実施の最終責任を負っている。これには、組織体に必要なプライバシー・フレームワークの確立と、その実施のモニタリングが含まれる。
    • 内部監査部門はプライバシーの目標に関連した経営管理者のリスクの識別の妥当性、及びリスクを許容できるレベルまで軽減するために確立されたコントロールの妥当性を評価することで、組織体の十分なガバナンスとリスク・マネジメントに貢献できる。
    • 内部監査人は、所属する組織体のプライバシーの枠組みを評価し、重大なリスクを識別し、同様にリスクを軽減するための適切な改善の為の提言が出来る立場にある。
    • プライバシーの課題は高い専門性及び法的性質を帯びる為、内部監査部門は、組織体のプライバシーの枠組みにおけるリスクおよびコントロールの評価を実施する為に、適切な知識と能力が必要である。
  2. 組織体のプライバシーの枠組みの管理を評価する際、内部監査人は以下を実施する。
    • 組織体が事業を行う司法管轄域における、プライバシー関連の法令及び方針を考慮する。
    • 組織体や組織体が事業を行う諸国において適用される、法令及び基準や実施慣行について、正確な性質を判断する為に、社内の顧問弁護士と連携をとる。
    • 情報セキュリティやデータ保護のコントロールが整備され、定期的にその適切性がレビューされ評価されていることを判断する為に、情報技術の専門家と連携をとる。
    • 組織のプライバシー実務のレベルや成熟度を考慮する。

コメント