公開日: 2021/11/19
文字サイズ

《速報解説》 会計士協会が「公認会計士業務における情報セキュリティの指針」のQ&A改正の公開草案を公表~リモートワークの定着化及び顕在化した課題への対応等について新たに記載~

筆者: 阿部 光成

《速報解説》

会計士協会が「公認会計士業務における情報セキュリティの指針」の
Q&A改正の公開草案を公表

~リモートワークの定着化及び顕在化した課題への対応等について新たに記載~

 

公認会計士 阿部 光成

 

Ⅰ はじめに

2021年11月17日、日本公認会計士協会は、「IT委員会研究報告第34 号「IT委員会実務指針第4号「公認会計士業務における情報セキュリティの指針」Q&A」の改正」(公開草案)を公表し、意見募集を行っている。

これは、リモートワークの定着化及び顕在化した課題への対応等について述べたものである。

意見募集期間は2021年12月17日までである。

文中、意見に関する部分は、私見であることを申し添える。

 

Ⅱ リモートワーク関連技術・対策のQAの追加など

1 電子データ授受に関する方針を定める上での留意点(Q22)

電子データ授受に関する方針を定める上での留意点を追加し、主に次の事項を記載している(Q22)。

 電子データ授受の過程における責任の範囲をクライアントとの間で明確にすること。

 授受対象となるデータの範囲や方法を選択するにあたっては、公認会計士事務所(監査法人)のセキュリティ・ポリシーだけでなく、クライアントのセキュリティ・ポリシーも勘案する必要があること。

2 リモート会議の実施に対する主なリスクの例示(Q35)

リモート会議の実施に対する主なリスクの例示を追加している(Q35)。

例えば、次の事項である。

 リモート会議ツール関連リスク(リモート会議ツールの脆弱性の対応が事業者によってなされないなど)

 リモート会議実施に関わるリスク(会議参加環境の整備など)

3 リモートワークの導入に当たってのセキュリティ対策(Q36)

リモートワークの普及に伴い、総務省から、リモートワークの導入に当たってのセキュリティ対策についての考え方や対策例を示した「テレワークセキュリティガイドライン」が公表されている(Q36)。

 

Ⅲ リスクアセスメントの例示の更新

「付録2:業務の局面におけるリスクとリスク対応例」を更新している。

 

Ⅳ 予防のみならず被害を受ける前提の早期検知・対策(Q7、27)

近年のサイバーセキュリティ攻撃は巧妙になってきており、これを予防的に防ぎきることは難しくなってきている。このため、早期の検知を行えるような組織やシステム運用上の仕組みを導入することや、影響の特定早期化や対応の早期化など被害の最小化につながる取り組みを行っていくことも大事であるとしている(Q7)。

また、サイバー攻撃等のインシデントが発生したことを想定し、外部業者等セキュリティに関して相談できる窓口等について事前に確認したり、セキュリティベンダー等に日頃の対策について意見を求めたりするなどの対応が有効と考えられるとしている(Q27)。

 

Ⅴ クラウドサービス等外部委託先を利用することを前提とした記載の強化(Q9、11、12)

業務の実行やIT機能は外部に移転することが可能だが、説明責任は移転することができないことから、外部にどのような作業や業務を委託するのかによって、扱う情報も異なることを前提にリスクに応じた対策を行うことが肝要であるとしている(Q9)。

そのほか、Q11、Q12についても改正している。

 

Ⅵ PC等からの情報漏洩を避ける日常的な防止策の例示の追加(Q25)

重要な情報を取り扱うファイルサーバや仮想デスクトップ等の場合は、ディスク障害や保守メンテナンス時に重要なデータが保存されたHD、SSDを返却せずに、自社で保管又は処分が可能な「ディスク返却不要オプション」を用意している機器ベンダーもあるので、自社で情報漏洩のリスクを完全にコントロールできるサービスがあれば積極的に検討することが望ましいなどの記載が行われている(Q25)。

(了)

《速報解説》

会計士協会が「公認会計士業務における情報セキュリティの指針」の
Q&A改正の公開草案を公表

~リモートワークの定着化及び顕在化した課題への対応等について新たに記載~

 

公認会計士 阿部 光成

 

Ⅰ はじめに

2021年11月17日、日本公認会計士協会は、「IT委員会研究報告第34 号「IT委員会実務指針第4号「公認会計士業務における情報セキュリティの指針」Q&A」の改正」(公開草案)を公表し、意見募集を行っている。

これは、リモートワークの定着化及び顕在化した課題への対応等について述べたものである。

意見募集期間は2021年12月17日までである。

文中、意見に関する部分は、私見であることを申し添える。

 

Ⅱ リモートワーク関連技術・対策のQAの追加など

1 電子データ授受に関する方針を定める上での留意点(Q22)

電子データ授受に関する方針を定める上での留意点を追加し、主に次の事項を記載している(Q22)。

 電子データ授受の過程における責任の範囲をクライアントとの間で明確にすること。

 授受対象となるデータの範囲や方法を選択するにあたっては、公認会計士事務所(監査法人)のセキュリティ・ポリシーだけでなく、クライアントのセキュリティ・ポリシーも勘案する必要があること。

2 リモート会議の実施に対する主なリスクの例示(Q35)

リモート会議の実施に対する主なリスクの例示を追加している(Q35)。

例えば、次の事項である。

 リモート会議ツール関連リスク(リモート会議ツールの脆弱性の対応が事業者によってなされないなど)

 リモート会議実施に関わるリスク(会議参加環境の整備など)

3 リモートワークの導入に当たってのセキュリティ対策(Q36)

リモートワークの普及に伴い、総務省から、リモートワークの導入に当たってのセキュリティ対策についての考え方や対策例を示した「テレワークセキュリティガイドライン」が公表されている(Q36)。

 

Ⅲ リスクアセスメントの例示の更新

「付録2:業務の局面におけるリスクとリスク対応例」を更新している。

 

Ⅳ 予防のみならず被害を受ける前提の早期検知・対策(Q7、27)

近年のサイバーセキュリティ攻撃は巧妙になってきており、これを予防的に防ぎきることは難しくなってきている。このため、早期の検知を行えるような組織やシステム運用上の仕組みを導入することや、影響の特定早期化や対応の早期化など被害の最小化につながる取り組みを行っていくことも大事であるとしている(Q7)。

また、サイバー攻撃等のインシデントが発生したことを想定し、外部業者等セキュリティに関して相談できる窓口等について事前に確認したり、セキュリティベンダー等に日頃の対策について意見を求めたりするなどの対応が有効と考えられるとしている(Q27)。

 

Ⅴ クラウドサービス等外部委託先を利用することを前提とした記載の強化(Q9、11、12)

業務の実行やIT機能は外部に移転することが可能だが、説明責任は移転することができないことから、外部にどのような作業や業務を委託するのかによって、扱う情報も異なることを前提にリスクに応じた対策を行うことが肝要であるとしている(Q9)。

そのほか、Q11、Q12についても改正している。

 

Ⅵ PC等からの情報漏洩を避ける日常的な防止策の例示の追加(Q25)

重要な情報を取り扱うファイルサーバや仮想デスクトップ等の場合は、ディスク障害や保守メンテナンス時に重要なデータが保存されたHD、SSDを返却せずに、自社で保管又は処分が可能な「ディスク返却不要オプション」を用意している機器ベンダーもあるので、自社で情報漏洩のリスクを完全にコントロールできるサービスがあれば積極的に検討することが望ましいなどの記載が行われている(Q25)。

(了)

筆者紹介

阿部 光成

(あべ・みつまさ)

公認会計士
中央大学商学部卒業。阿部公認会計士事務所。

現在、豊富な知識・情報力を活かし、コンサルティング業のほか各種実務セミナー講師を務める。
企業会計基準委員会会社法対応専門委員会専門委員、日本公認会計士協会連結範囲専門委員会専門委員長、比較情報検討専門委員会専門委員長を歴任。

主な著書に、『新会計基準の実務』(編著、中央経済社)、『企業会計における時価決定の実務』(共著、清文社)、『新しい事業報告・計算書類―経団連ひな型を参考に―〔全訂第2版〕』(編著、商事法務)がある。

関連書籍

生産性向上のための建設業バックオフィスDX

一般財団法人 建設産業経理研究機構 編

適時開示からみた監査法人の交代理由

公認会計士 鈴木広樹 著

CSVの “超” 活用術

税理士・中小企業診断士 上野一也 著

税理士との対話で導く 会社業務の電子化と電子帳簿保存法

税理士 上西左大信 監修 公認会計士・税理士 田淵正信 編著 公認会計士 藤田立雄 共著 税理士 山野展弘 共著 公認会計士・税理士 大谷泰史 共著 公認会計士・税理士 圓尾紀憲 共著 公認会計士・税理士 久保 亮 共著

令和4年 税理士法改正 徹底解説

日本税理士会連合会 監修近畿税理士会制度部 編著
#