Contents
  1. テーマ:「金庫の頑丈さ」と「中身の扱い方」の違い
  2. 【練習問題】パート1 セクションA-5-c

テーマ:「金庫の頑丈さ」と「中身の扱い方」の違い

現代のビジネスにおいて、ITシステムとデータは組織の生命線です。これらを守るために、内部監査部門には「ITセキュリティ監査」と「プライバシー監査」という2つの重要なアシュアランス業務が求められます。

この2つは密接に関連していますが、目的と視点が明確に異なります。 「セキュリティが完璧なら、プライバシーも守られている」というのは大きな誤解です。 試験では、この両者の違い(定義、目的、守るべきもの)を正確に区別できるかが問われます。

1. ITセキュリティ監査(The Shield:盾)

ITセキュリティ監査の目的は、組織の情報資産(データ、システム、ネットワーク)が脅威から守られているかを評価することです。 ここでは、セキュリティの基本概念である「CIAの3要素」が確保されているかを確認します。

  • 機密性(Confidentiality): 許可された人だけがアクセスできるか?(情報漏洩の防止)
  • 完全性(Integrity): データが改ざんされず、正確か?(データの信頼性)
  • 可用性(Availability): 必要な時にいつでもシステムが使えるか?(システムダウンの防止)

具体的な監査対象

  • 論理的アクセス管理: ID/パスワード管理、多要素認証。
  • 物理的セキュリティ: サーバールームへの入退室管理、防災対策。
  • サイバーセキュリティ: ファイアウォール、ウイルス対策、侵入検知。

2. プライバシー監査(The Right:権利)

プライバシー監査の目的は、個人情報(PII: Personally Identifiable Information)が適切に取り扱われ、個人の権利が守られているかを評価することです。 ここでは、「情報を守る技術」だけでなく、「情報を扱うルールと倫理」が問われます。

データのライフサイクル全体の評価

プライバシー監査では、データが入ってから消えるまでの全工程を見ます。

  1. 収集: 同意を得て、必要な情報だけを集めているか?
  2. 利用: 目的外に使っていないか?
  3. 保管: 安全な場所に置いているか?
  4. 開示: 第三者に勝手に渡していないか?
  5. 廃棄: 不要になったら確実に消去しているか?

法令・規制への準拠

GDPR(EU一般データ保護規則)や各国の個人情報保護法など、厳格な法規制への準拠確認が中心となります。

3. セキュリティとプライバシーの関係性

ここが試験の最重要ポイントです。

鉄則:「セキュリティはプライバシーの必要条件であるが、十分条件ではない。」

  • セキュリティ(鍵)がなければ、プライバシー(中身)は守れません。だからセキュリティは必要です。
  • しかし、どんなに頑丈な金庫(セキュリティ)に入れていても、その鍵を持つ担当者が名簿を勝手に業者に売ってしまったら、プライバシーは侵害されます。だからセキュリティだけでは不十分なのです。

4. 内部監査人の役割

  • ITセキュリティ監査において:
    • 技術的な脆弱性診断の結果をレビューしたり、アクセス権限の棚卸し状況を確認したりします(専門スキルが必要な場合は、外部専門家と連携します)。
  • プライバシー監査において:
    • プライバシーポリシーが実態と合っているか、従業員が個人情報の重要性を理解しているか(ソフト・コントロール)を評価します。

5. 試験で狙われる「ひっかけ」ポイント

  1. ×「ファイアウォールを設置したので、プライバシー監査は完了したとみなす」
    • 解説: ファイアウォールはセキュリティ対策です。プライバシー監査では「集めたデータを目的外利用していないか」などの運用面を見る必要があります。
  2. ×「プライバシー監査は法務部の責任であり、内部監査人は関与すべきではない」
    • 解説: 法的解釈は法務部ですが、個人情報管理プロセスが有効に機能しているかの「評価(アシュアランス)」は内部監査の重要な役割です。
  3. ×「可用性(Availability)はシステムの問題であり、セキュリティ監査の対象ではない」
    • 解説: 間違いです。システムが止まって業務ができなくなることは、CIA(機密性・完全性・可用性)の一角を崩す重大なセキュリティインシデントです。

まとめ

セクションA-5-cのポイントは、「箱と中身」です。

  • ITセキュリティ監査は、「箱(システム)」が壊されたり、泥棒に入られたりしないかをチェックする。
  • プライバシー監査は、「中身(個人情報)」が持ち主(個人)との約束通りに扱われているかをチェックする。

両者は補完関係にありますが、イコールではないことを理解してください。

【練習問題】パート1 セクションA-5-c

Q1. 内部監査人がIT監査を実施中に、大規模な自然災害が発生した際、メインサーバーがダウンし、バックアップサイトへの切り替えに失敗して業務が3日間停止するリスクがあることを発見した。この発見事項は、情報セキュリティの3要素(CIA)のうち、主にどの要素に関連するか。

A. 機密性(Confidentiality)

B. 完全性(Integrity)

C. 可用性(Availability)

D. プライバシー(Privacy)

【解答・解説】

正解と解説を表示

正解(C): 可用性とは、必要な時に情報やシステムが利用可能であることを指します。システムダウンや災害復旧(DR)の失敗は、情報の利用を妨げるため、可用性に関するリスクとなります。

不正解(A): 機密性は、アクセス権のない者への情報漏洩に関する要素です。

不正解(B): 完全性は、データの正確性や改ざん防止に関する要素です。

不正解(D): プライバシーは個人情報の権利に関する概念であり、CIAの3要素とは別の枠組みです。

Q2. 内部監査部門長(CAE)は、次年度の監査計画に「プライバシー監査」を組み込んだ。この監査において重点的に評価すべき項目として、最も適切なものはどれか。

A. 外部からの不正アクセスを防ぐためのファイアウォールの設定強度。

B. 顧客から収集した個人情報が、収集時に通知した利用目的の範囲内でのみ使用されているか。

C. 財務データの入力ミスを防ぐためのインプット・コントロールの有効性。

D. サーバー室の入退室ログの保存期間。

【解答・解説】

正解と解説を表示

正解(B): プライバシー監査の核心は、個人情報(PII)の取り扱いが法令やポリシー、および本人との合意(通知・同意)に従っているかを確認することです。「目的外利用」のチェックは、プライバシー監査特有の重要な手続きです。

不正解(A): これはITセキュリティ監査(サイバーセキュリティ)の領域です。

不正解(C): これはIT全般統制やアプリケーション・コントロール(完全性)の領域です。

不正解(D): これは物理セキュリティの領域であり、プライバシー保護の一要素ではありますが、プライバシー監査の核心的テーマ(権利保護)よりはセキュリティ寄りです。

Q3. 組織のセキュリティ対策とプライバシー保護の関係に関する記述として、最も適切なものはどれか。

A. 強固なITセキュリティ対策を講じていれば、自動的にプライバシーも保護されているとみなせる。

B. プライバシー保護は法務部門の専管事項であり、ITセキュリティとは無関係である。

C. ITセキュリティはプライバシー保護のための必要条件であるが、それだけでは十分ではない(十分条件ではない)。

D. プライバシー侵害は外部への情報漏洩によってのみ発生するため、外部攻撃対策(セキュリティ)が唯一の解決策である。

【解答・解説】

正解と解説を表示

正解(C): プライバシー(個人情報)を守るためには、システムを攻撃から守るセキュリティ対策が不可欠です(必要条件)。しかし、正規の権限を持つ従業員がデータを悪用したり、不適切に収集したりする問題はセキュリティ技術だけでは防げないため、ポリシーや運用の管理も必要となります(セキュリティだけでは不十分)。

不正解(A): セキュリティが完璧でも、データの利用方法が不適切であればプライバシー侵害となります。

不正解(B): 両者は密接に関連しており、技術的対策なしにプライバシーは守れません。

不正解(D): 内部者による目的外利用や、過剰なデータ収集などもプライバシー侵害に該当します。