《速報解説》
会計士協会が「公認会計士業務における情報セキュリティの指針」の
Q&A改正の公開草案を公表
~リモートワークの定着化及び顕在化した課題への対応等について新たに記載~
公認会計士 阿部 光成
Ⅰ はじめに
2021年11月17日、日本公認会計士協会は、「IT委員会研究報告第34 号「IT委員会実務指針第4号「公認会計士業務における情報セキュリティの指針」Q&A」の改正」(公開草案)を公表し、意見募集を行っている。
これは、リモートワークの定着化及び顕在化した課題への対応等について述べたものである。
意見募集期間は2021年12月17日までである。
文中、意見に関する部分は、私見であることを申し添える。
Ⅱ リモートワーク関連技術・対策のQAの追加など
1 電子データ授受に関する方針を定める上での留意点(Q22)
電子データ授受に関する方針を定める上での留意点を追加し、主に次の事項を記載している(Q22)。
① 電子データ授受の過程における責任の範囲をクライアントとの間で明確にすること。
② 授受対象となるデータの範囲や方法を選択するにあたっては、公認会計士事務所(監査法人)のセキュリティ・ポリシーだけでなく、クライアントのセキュリティ・ポリシーも勘案する必要があること。
2 リモート会議の実施に対する主なリスクの例示(Q35)
リモート会議の実施に対する主なリスクの例示を追加している(Q35)。
例えば、次の事項である。
① リモート会議ツール関連リスク(リモート会議ツールの脆弱性の対応が事業者によってなされないなど)
② リモート会議実施に関わるリスク(会議参加環境の整備など)
3 リモートワークの導入に当たってのセキュリティ対策(Q36)
リモートワークの普及に伴い、総務省から、リモートワークの導入に当たってのセキュリティ対策についての考え方や対策例を示した「テレワークセキュリティガイドライン」が公表されている(Q36)。
Ⅲ リスクアセスメントの例示の更新
「付録2:業務の局面におけるリスクとリスク対応例」を更新している。
Ⅳ 予防のみならず被害を受ける前提の早期検知・対策(Q7、27)
近年のサイバーセキュリティ攻撃は巧妙になってきており、これを予防的に防ぎきることは難しくなってきている。このため、早期の検知を行えるような組織やシステム運用上の仕組みを導入することや、影響の特定早期化や対応の早期化など被害の最小化につながる取り組みを行っていくことも大事であるとしている(Q7)。
また、サイバー攻撃等のインシデントが発生したことを想定し、外部業者等セキュリティに関して相談できる窓口等について事前に確認したり、セキュリティベンダー等に日頃の対策について意見を求めたりするなどの対応が有効と考えられるとしている(Q27)。
Ⅴ クラウドサービス等外部委託先を利用することを前提とした記載の強化(Q9、11、12)
業務の実行やIT機能は外部に移転することが可能だが、説明責任は移転することができないことから、外部にどのような作業や業務を委託するのかによって、扱う情報も異なることを前提にリスクに応じた対策を行うことが肝要であるとしている(Q9)。
そのほか、Q11、Q12についても改正している。
Ⅵ PC等からの情報漏洩を避ける日常的な防止策の例示の追加(Q25)
重要な情報を取り扱うファイルサーバや仮想デスクトップ等の場合は、ディスク障害や保守メンテナンス時に重要なデータが保存されたHD、SSDを返却せずに、自社で保管又は処分が可能な「ディスク返却不要オプション」を用意している機器ベンダーもあるので、自社で情報漏洩のリスクを完全にコントロールできるサービスがあれば積極的に検討することが望ましいなどの記載が行われている(Q25)。
(了)
