経済産業省は10月8日に、情報化投資が適正かどうかを判断する手がかりとなる、新「システム監査基準」と「システム管理基準」の二つの基準を発表した。従来のシステム監査基準を強化するとともに、内容に応じて二つに分けた。システム管理基準は、情報システムを持つ企業がどのように行動すべきかをまとめたもの。一方の新しいシステム監査基準の内容は、システムの監査人がどのように行動すべきか、というものだ。

 システム管理基準と旧システム監査基準の最大の違いは、情報戦略についての基準を新設したこと。企業が情報システムを管理するために実行すべき基準として、全体最適化計画の作成やその運用、情報システム化委員会の設置、情報化投資や情報資産管理のあり方、事業継続計画やコンプライアンスの必要性などについて触れている。

 このほかにシステム管理基準では、システムの企画、開発、運用、保守、そしてこれらのすべてに共通する業務で実施すべき基準についても示している。その内容は幅広く、企画業務については29項目、開発業務は49項目、運用業務は73項目、保守業務は19項目、共通業務は76項目に及ぶ。さらに附則として、情報セキュリティ管理基準の活用もうたっている。

 名前はシステム管理基準だが、実態としてはシステムにかかわるすべてについての広範なガイドラインに近い。システム管理基準を公表した経産省商務情報政策局情報セキュリティ政策室によれば、同基準の策定に当たっては、ITガバナンス全体のフレームワーであるクCOBIT(Control Objectives for Information and Related Technology)を参考にしたという。「現在のシステム管理基準は、これを満たしていなければシステム監査に合格することはないといったものではなく、ガイドラインのようなものだ」(情報セキュリティ政策室)という。

 だが今後、数年という期間で見るとこの基準の意味合いは大きく異なる。エンロン事件などを経験した米国は、すでにサーベンス・オクスリー法(米国企業改革法)が施行された。日本でも年々、企業倫理に対する社会の視線は厳しくなっており、政府関係者の中には「同様の法律を日本で制定すべきではないか」との声がある。日本版サーベンス・オクスリー法が施行されるような時代がくれば、このシステム管理基準が、企業が果たすべき行動基準として求められるようになる可能性があるからだ。

(中村 建助=日経コンピュータ)