Contents
  1. テーマ:「他人の日記」を読む作法 ~プライバシーと知的財産~
  2. 【練習問題】パート1 セクションB-6-c

テーマ:「他人の日記」を読む作法 ~プライバシーと知的財産~

セクションB-6-cは、内部監査人がアクセスする情報の「権利」に関するルールです。

監査人は強力なアクセス権限を持っていますが、それは「何でも見てよい」「データを自分のものにしてよい」という意味ではありません。

GIAS(グローバル内部監査基準)では、情報は誰か(個人や組織)の所有物であり、監査人は一時的にそれを「預かっている」に過ぎないという謙虚な姿勢が求められます。

1. 導入:2つの「尊重」すべき権利

このセクションでは、以下の2つの概念を区別して理解する必要があります。

  1. プライバシー(Privacy): 「人」に関する権利です。従業員、顧客、取引先担当者の個人情報(PII)がこれに当たります。「見られたくない」「勝手に使われたくない」という個人の権利です。
  2. 情報の所有権(Ownership of Information): 「組織」「知的財産」に関する権利です。組織のデータ、購入したソフトウェア、外部ベンダーの独自ノウハウなどが該当します。監査人が作成した監査調書でさえ、通常は監査人個人ではなく「内部監査部門(または組織)」に所有権があります。

★ポイント: 現代の監査では、GDPR(EU一般データ保護規則)や各国の個人情報保護法の影響が極めて大きくなっています。「監査だから免除される」という甘い考えは捨て、法的な制約の中で監査を行う必要があります。

2. プライバシーへの配慮(データ・ミニマイゼーション)

監査業務において、プライバシーを尊重するための鉄則は「データ・ミニマイゼーション(Data Minimization)」です。

  • 原則: 監査目的を達成するために「必要最小限」の情報だけを取得する。
  • 具体例:
    • 給与計算のロジックをテストする場合、従業員の「氏名」や「住所」は不要かもしれません。「従業員ID」と「金額」だけで十分なら、氏名を含むリストはダウンロードすべきではありません。
    • もし氏名が必要な場合でも、監査終了後は速やかに削除するか、マスキング(黒塗り)処理を行います。

3. 情報の所有権への配慮

情報は「拾ったもの」ではなく「借りているもの」です。

  • 知的財産の尊重:
    • 監査中に、現場部門が使用している「ライセンス違反のコピーソフト」を発見したら報告すべきです(法令遵守)。
    • 逆に、監査人自身が、組織で購入した監査ツールを無断で自宅のPCにコピーしたり、退職時に持ち出したりすることは「所有権の侵害」です。
  • データの帰属:
    • 監査業務で得たデータやノウハウは組織に帰属します。これを自分の副業や、友人の会社のコンサルティングに流用することは、所有権の侵害であり、利益相反にもなります。

4. 試験で問われる「判断のバランス」

試験では、「監査の必要性(証拠収集)」と「プライバシー保護」が対立する状況が出題されます。

状況誤った対応(×)正しい対応(○)
機微な個人情報を含むデータのテスト「監査権限があるから」と、生データをそのままコピーして持ち歩く。データを匿名化(Anonymization)または仮名化して分析する。あるいは、セキュリティの強固な環境でのみ閲覧する。
外部ベンダーの監査ベンダーの独自技術(営業秘密)を詳細にコピーし、自社の開発部に「参考資料」として渡す。監査に必要な範囲でのみ閲覧し、外部ベンダーの知的財産権(所有権)を侵害しないよう、自社内への共有を制限する。

5. GIASにおける「公益」との関連

GIASでは「公益(Public Interest)」が強調されています。 プライバシー保護は単なる社内ルールではなく、社会的な要請です。顧客データを雑に扱うことは、組織の評判リスクに直結し、最終的に公益を損なうことになります。

監査人は、データセキュリティのチェックを行うだけでなく、監査人自身の振る舞いとしても、プライバシー保護の模範とならなければなりません。

まとめ

セクションB-6-cの核心は、「Access ≠ Ownership(アクセス権は所有権ではない)」です。

  • あなたは「鍵」を持っていますが、そこにあるものはあなたのものではありません。
  • 個人情報(プライバシー)には「触れない工夫」を、組織の資産(所有権)には「敬意」を払うことが求められます。

【練習問題】パート1 セクションB-6-c

Q1. 内部監査人が人事部門の福利厚生プロセスを監査している。監査手続の一環として、病気休暇の取得傾向を分析することになった。データには、従業員の氏名、具体的な病名、治療歴などの機微な個人情報が含まれている。GIASおよびプライバシー尊重の観点から、内部監査人の対応として最も適切なものはどれか。

A. 監査憲章により完全なアクセス権限が付与されているため、すべての詳細データを含むファイルを監査用ノートPCにダウンロードし、分析を行う。

B. プライバシー保護のため、この領域の監査はリスクが高いと判断し、監査範囲から除外する。

C. データの管理者(人事部門長)と協議し、個人を特定できる情報(氏名など)を削除またはマスクしたデータセットの提供を受け、そのデータを用いて傾向分析を行う。

D. 従業員全員に対してアンケートを一斉送信し、自分の病歴データを監査人が閲覧してもよいか個別に同意を求める。

【解答・解説】

正解と解説を表示

正解(C): 監査人はプライバシーを尊重するため、「データ・ミニマイゼーション(必要最小限のデータ利用)」の原則を適用すべきです。傾向分析(トレンド把握)が目的であれば、個人の特定は不要であるため、匿名化されたデータを使用するのがベストプラクティスです。

不正解(A): アクセス権限があることと、機微な情報を不必要に複製・保有することは別問題です。不要な個人情報の持ち出しは、情報漏洩リスクを高める行為であり、プライバシーの尊重に欠けます。

不正解(B): 必要な監査を放棄すべきではありません。適切な手法(匿名化など)を用いて実施すべきです。

不正解(D): 監査業務において全従業員の個別同意を求めるのは実務的ではなく、また監査の機密性を損なう可能性があります。

Q2. 内部監査人は、IT部門が開発した独自の在庫管理アルゴリズムの有効性を監査している。このアルゴリズムは競合他社に対する重要な競争優位の源泉(知的財産)である。監査終了後、監査人はこのアルゴリズムが非常に優れていることに感銘を受け、友人が経営する別の会社(競合ではない)にこのロジックを教えようと考えた。この状況に関する記述として、正しいものはどれか。

A. 友人の会社は競合他社ではないため、組織に損害を与えることはなく、情報の所有権の侵害には当たらない。

B. アルゴリズムのロジックは監査人の頭の中にある知識(スキル)の一部となったため、これを他者に伝えることは監査人の自由である。

C. アルゴリズムの所有権は組織に帰属しており、監査人がこれを許可なく第三者に開示または流用することは、情報の所有権および守秘義務の重大な侵害である。

D. 監査報告書が発行され、監査業務が完了した時点ですべての情報はパブリックドメイン(公知)となるため、自由に共有できる。

【解答・解説】

正解と解説を表示

正解(C): 監査業務を通じて得た組織の知的財産(所有権のある情報)を、組織の許可なく外部に移転することは、所有権の侵害であり倫理違反です。競合かどうかは関係ありません。

不正解(A): 損害の有無や競合関係にかかわらず、所有権者の許可なく財産(情報)を利用することは認められません。

不正解(B): 監査で得た具体的な「内部情報・秘密」は、監査人個人のスキルや知識とは区別されます。

不正解(D): 監査報告書が発行されても、その元データや機密情報の所有権や秘密性は維持されます。

Q3. 内部監査部門は、顧客データベースのセキュリティ監査を実施するために、本番環境のデータをテスト環境にコピーして侵入テストを行う計画を立てている。このデータベースには数百万件の顧客のクレジットカード情報が含まれている。プライバシーと情報の所有権を尊重する観点から、テスト実施前に監査人がとるべき措置として最も適切なものはどれか。

A. テスト環境は外部から隔離されているため、そのまま本番データをコピーして使用する。

B. クレジットカード情報などの機密データをダミーデータに置き換えるか、スクランブル(無意味化)処理を行った上でテスト環境で使用する。

C. 顧客に対して「監査のためにデータを使用する」旨の通知をウェブサイトに掲載し、事後承諾を得る。

D. データの所有権はIT部門にあるため、IT部門長が許可すれば、どのような状態でデータを使用しても監査人の責任は問われない。

【解答・解説】

正解と解説を表示

正解(B): プライバシー保護の観点から、テスト目的で本物の機密データ(Live Data)を使用することは極力避けるべきです。データのマスキングやダミーデータの使用は、情報漏洩リスクを低減し、プライバシーを尊重するための標準的な監査手法です。

不正解(A): 隔離された環境であっても、本物の個人情報を不必要に複製することは、データ管理上のリスク(漏洩や目的外利用)を増大させます。

不正解(C): プライバシーポリシーに記載がない限り、一方的な通知だけでは不十分な場合が多く、またセキュリティリスク自体の低減にはなりません。

不正解(D): データの所有権がどこにあろうと、監査人(および組織)には顧客のプライバシーを保護する義務があります。IT部門の許可があっても、監査人としての倫理的・専門的判断は免除されません。