2021-05-17 第204回国会 参議院 決算委員会 第6号
今お話しいただきましたとおり、システム監査、特に経産省所管のこのシステム監査という意味では、主に民間企業を中心に、今先ほど大企業では約六割というお話もございました、そういった形で、今、システムが適切にまた管理運用されているかどうかということを確認する手法としてその役割を果たしていただいてきたというふうに思っております。
今お話しいただきましたとおり、システム監査、特に経産省所管のこのシステム監査という意味では、主に民間企業を中心に、今先ほど大企業では約六割というお話もございました、そういった形で、今、システムが適切にまた管理運用されているかどうかということを確認する手法としてその役割を果たしていただいてきたというふうに思っております。
その一つがシステム監査であります。システム監査基準では、システム監査とは、専門性と客観性を備えたシステム監査人が、一定の基準に基づいて情報システムを総合的に点検、評価、検証をして、監査報告の利用者に情報システムのガバナンス、マネジメント、コントロールの適切性等に関する保証を与える、又は改善のための助言を行う監査の一類型であると定義をされているところであります。
○国務大臣(梶山弘志君) システム監査についてお尋ねがありました。 システム監査は、情報システムの設定、管理、運用状況等について、企業自身又は第三者が点検、評価、検証してシステムの信頼性等を確保するとともに、その結果を対外的に示すことで当該企業に対する信用を高めるものであり、経済産業省としても重要な取組であると認識をしております。
そのために、デジタル庁においては、システム監査に関する基準を策定して、統括、監理の権限を通じて検証、監査の実施を全省庁に徹底していきたいと考えています。 今回のコロナ関連のような緊急かつ重要なシステムについては、今回、各省、勝手にどんどんつくってしまいましたけれども、これからはデジタル庁が自ら整備することになると考えています。
この今後の対応方針については、外部専門家による厚生労働省及び受託者を対象としたプロジェクト管理を含むシステム監査を実施し、今回の事案が生じた原因の徹底的な究明を行う、その結果を踏まえ必要な対応を行うと、こう記されているわけなんですが、この監査体制というのは、どの程度の期間で、また外部専門家というのは何人ぐらいの方を起用して監査を行うのか、またこのシステムの運用の再開のめどはどうなっているのか、この点
〔委員長退席、理事石田昌宏君着席〕 このシステムの不具合でございますが、御指摘のように今回二回目でございまして、事態を重く受け止めまして、外部の専門家も入れて厚生労働省及び受託者を対象としましたプロジェクト管理を含みますシステム監査を実施しまして、今回の事案が生じた原因の徹底的な究明を行うこととしておるものでございます。
私どもの事務ガイドラインにおきまして、このシステム管理体制につきましては定期的に第三者からの評価を受けることが望ましいということと、それから、システム部門から独立した内部監査部門又は外部監査人によるシステム監査を定期的に実施しているかどうかといった点につきまして監督上の着眼点としておりまして、これも立入検査を通じてその状況についてのモニタリングを行っているところでございます。
いわゆる官民双方におきましての会計検査でありますとか、それから、情報システムの方の仕事もずっとしてまいりまして、情報システム監査でありますとか、そういうシステムを活用したような監査、そういうようなことにも実務経験がございます。公認会計士としては比較的珍しく、国とか独立行政法人、あるいは自治体なんかの監査、コンサルティングなんかにも従事をしてまいりました。
また、自衛隊におきましては、それ以外の陸上自衛隊システム防護隊が約六十名、海上自衛隊の保全監査隊が約百四十名、航空自衛隊システム監査隊が約五十名ということでサイバー防衛に取り組んでいるというところでございます。
また、ネットワークを通じて被害が拡大するおそれがある場合等につきましては、共同の部隊でございますサイバー防衛隊が、関係機関の情報システムの防護を行う部隊、陸上自衛隊システム防護隊、海上自衛隊情報保全監査隊、航空自衛隊システム監査隊に対しまして対策を指示するなどの防衛省全省としての対応を行うということになってございます。
そして、翌年に報告書が出ていまして、地方公共団体の監査を全国的にサポートするためのシステム、監査サポート組織、地方共同法人の創設の必要性が出ております。そしてまた、今般の地方制度調査会の答申にも、地方公共団体の監査を支援する全国的な共同組織の構築の必要性、これも出ているわけであります。
また、各自衛隊におきましても、陸上自衛隊には陸上自衛隊システム防護隊、海上自衛隊には海上自衛隊保全監査隊、航空自衛隊には航空自衛隊システム監査隊などの各隊がそれぞれの陸海空自衛隊のシステム防護に当たっているところでございます。
これを踏まえまして、地方三団体側におきましても、J―LIS自身のガバナンスの見直しが必要であるという考えから、J―LISが自主的に平成二十八年九月に定款変更を行いまして、代表者会議に出席することができるメンバーを限定する、情報システムの安全性、信頼性、運営の透明性を確保するために情報システム監査等を明文化するといったような対応を行ってきたわけでございます。
技能に関しての資格といいますと、情報セキュリティーのスペシャリストが二十名、ネットワークスペシャリストが九名、データベーススペシャリストが四名、システム監査技術者四名、プロジェクトマネジャー七名、ITストラテジスト二名、システムアーキテクト五名、ITサービスマネジャー三名といったことでございます。
それから、システム監査を含めて監査担当を機構にこれも常駐をさせて監督機能の強化を図りました。それから、機構LANあるいはインシデント対応等の責任の所在、今回の事案ではかなりここが十分ではなかったということが露呈をしたわけでありまして、年金局のシステム室に一元化をする、このシステム室の体制の強化を図るということを行いました。
基幹システムを厚労省のものとしてやってきたけれども、その後がちょっとよくわからなかったんですが、先ほどの監査の問題だとすれば、今先生御指摘のように、平成二十二年度から二十四年度までは年金局において情報セキュリティー対策に関するシステム監査をやって、二十五年度から機構の内部監査を厚労省の方がダブルチェックをするという仕組みに変わっているわけでありますが、今回の事案を考えてみれば、先ほど西村先生にも御答弁
○長妻委員 そして、もう一つお尋ねしたいのが、システム監査のうち機構の情報セキュリティー体制に対する監査は、平成二十四年度までは年金局事業企画課監査室が行っていたわけですね。年金局が行っていた。ところが、平成二十五年度以降は機構における内部監査に切りかわってしまったということなんですが、これはなぜですか。
機構発足当初でございますが、平成二十二年から二十四年まで、年金局において情報セキュリティー対策に関するシステム監査を行ってきたところでございます。私どもが受ける立場でございました。二十五年度からは、機構における内部監査を実施し、さらに年金局において、機構の実施した監査について経済産業省が作成するシステム監査基準に基づいてその有効性を確認するダブルチェックを実施している。
平成二十二年度から二十四年度までの間に、情報セキュリティー対策に関するシステム監査という形で四回実施しまして、二十五年度以降は、日本年金機構が実施している監査の有効性の確認というところに重点を置く形での監査というのをやっております。
実は私は仕事、公認会計士をやって、今でも資格はあるんですが、特にこのシステム監査ですか、当然パスワード管理とか、特に我々会計士が監査をしますと、当然パソコンを持っていくんですよね。そのときに、又は事務所で監査をしますと、まず、外出するときには飲み会には絶対パソコンを連れていっちゃいけない、こういうルールがあります。電車の棚にも上げちゃいけないと。
○樽見政府参考人 そういうことでいいますと、システム監査等についてもやっておりますので、ちょっと、そこの中でどこまでやっていたかということについては、きょうはお答えする材料を、申しわけありません、持ち合わせておりませんが、そういう観点については持っていたということでございまして、ちょっと詳細については、きょうのところはお答えすることができません。お許しください。
○田淵公述人 公認システム監査人、そしてIFRSコンサルタントの田淵と申します。 あとは、多分この中にも読者の方はおられると思うんですが、ある有名なIT企業のコラムニストをしております。大体一万人ぐらいの方がごらんになっていると聞いています。 さて、それでは、きょうのタイトルなんですが、こちら、お手元の資料で「弱者に優しい消費税」、こういうタイトルのものをつくりました。
中島 正純君 ………………………………… 公述人 (株式会社日本総合研究所理事長) 高橋 進君 公述人 (全国商工会連合会会長) 石澤 義文君 公述人 (中央大学法科大学院教授) 森信 茂樹君 公述人 (デフレ脱却国民会議事務局長・経済評論家) 上念 司君 公述人 (公認システム監査
まず、ユーザーの意識向上のための議員等を対象とした情報セキュリティ研修や、システムの脆弱性についての第三者によるシステム監査を実施しているほか、不正通信の二十四時間監視体制の整備等の対策を講じております。このほか、抜本的なセキュリティシステムの在り方についても外部の調査、協力を求め、検討しているところでございます。
当時、現場ではそんなことはできっこないとずっと言っておりましたけれども、システム監査を導入をして、期中でやるべきことは期中でやる、現場の不正摘発や何かはとにかく三月末になるまでにやって、期末には数字の、全体の決算の数字のチェックをすればいいと。そうやって、めり張りを付けて業務を分けることによって、実は民間は大きくこうした決算の早期化、実現をした例がございます。
○若林健太君 本来は、先ほどのその現場でのチェック等はその期中の中でやるべきであって、それがその翌年度に、三月以降に業務がずれ込んでいるということに実は大きな問題があって、そのことが手続を遅くしていると、こういうふうに思うんですけど、システム監査についての取組、どんなふうに取り組んでおられるか、システム監査技術者あるいは公認会計士が今会計検査院の中にどれぐらい所属されているか、システム監査の取組はどうされているか
○会計検査院長(西村正紀君) システム監査と申しますか、民間の場合の監査と国の会計検査というのは少し違うと思います。 もちろん、会計検査におきましては各省庁の情報システムについての検査もしております。
検査官の任命同意に関する件のため、本日の委員会に参考人として検査官候補者・公認会計士・公認情報システム監査人・有限責任監査法人トーマツパートナー森田祐司君の出席を求め、所信を聴取することに御異議ございませんか。 〔「異議なし」と呼ぶ者あり〕
剛正君 横粂 勝仁君 伊東 良孝君 小泉進次郎君 齋藤 健君 橘 慶一郎君 佐々木憲昭君 服部 良一君 ………………………………… 議長 横路 孝弘君 副議長 衛藤征士郎君 事務総長 鬼塚 誠君 参考人 (検査官候補者(公認会計士・公認情報システム監査
まず、検査官任命につき同意を求めるの件についてでありますが、去る二十四日の理事会において、藤井内閣官房副長官から、内閣として、検査官に公認会計士・公認情報システム監査人・有限責任監査法人トーマツ パートナー森田祐司君を任命いたしたい旨の内示がありました。 つきましては、理事会申し合わせに基づき、検査官の候補者から、所信を聴取することといたしたいと存じます。