経済産業省は2008年5月21日、「IT統制のための財務会計パッケージソフトウェア向けプロテクションプロファイル モデル(以下、PPモデル)」を公表した。日本版SOX法(J-SOX)への対応を考慮し、会計データの保護を目的に財務会計パッケージが備えておくべきセキュリティの要件を記述した。
PPモデルは「J-SOXに対応するユーザー企業が財務会計パッケージを選ぶ際の参考指針として作成した」(経産省情報セキュリティ政策室)という。会計データのバックアップ、パスワード設定の方法や頻度、不正や誤操作の防止などに必要な機能例を提示している。ユーザー企業は財務会計パッケージを選ぶ際にPPモデルをパッケージ・ベンダーに提示することで、「パッケージがJ-SOX対応で求められる水準のセキュリティ機能を備えているかを確認できる」(同)。
PPモデルは、IT製品のセキュリティにかかわる仕様書とその評価・認証の方法を定めた「ISO/IEC 15408」にのっとって記述している。プロテクションプロファイルはISO/IEC 15408で規定している文書の1つだ。そのためPPモデルを使うことは「ユーザー企業だけでなく、財務会計パッケージ・ベンダーにもメリットがある」(同)という。ベンダーが会計パッケージを開発する際、PPモデル通りのセキュリティ機能を実装することで「ISO/IEC 15408の認証の取得につながる」(同)からだ。
PPモデルは経産省が07年12月に公表した「システム管理基準 追補版(財務報告に係るIT統制ガイダンス)追加付録」で初めて公表された。今回のPPモデルは「追加付録の際に分かりにくかったことから、解説を付与したうえで内容を詳細にした」(同)位置づけである。
