外部主体による情報システム野信頼性等に対する保証サービスの多様性、及び内部監査部門による情報システム監査の多様性に鑑み、さまざまな連携パターンを想定し、両者の連携モデルを構想してきた。 本研究におけるモデル構築にとっての大きな壁となったのは、外部主体による保証サービスと内部主体による保証サービスとの接合点をいかに設定するかにあった。外部主体では、さまざまなサービス間にみられる保証主題及び保証対象範囲の大きな相違、保証に際して利用される保証規準のバラツキ、さらには保証手続きの厳格度の差異であった。その一方で、内部主体による保証では、セキュリティ対策に特化したものが多く、保証を付与するというよりも、セキュリティ対策の欠陥なり不備を検出して、それに対する改善勧告を行うというケースがほとんであった。 そこで、まずもって、プライバシーマーク制度やISMS審査登録制度など、その審査及び運営に際して内部監査が義務付けられているケースに焦点を絞って、内部主体による保証ないしは監査結果が外部主体による保証にいかなる影響を及ぼすかの理論的な分析を行い、それに基づいて内部主体で保証が付与されているケースともっぱら改善勧告のみが行われているケースとに分けた上で、前者については、内部主体による保証結果の信頼性について外部主体が検証することで、その信頼性の程度によって、「内部主体による保証への依拠」が行われるモデルとして構想した。また、後者のように、内部主体が改善勧告のみを行っているケースについては、外部主体による保証に際して、そのフォローアップを確認するプロセスを通じて内部主体による監査の結果への依拠を高めるモデルとして構想した。 このような構想のもとで、情報システムの信頼性に対する内部主体による保証ないしは監査結果を外部主体による保証サービスに結び付けるための概念モデルを構築した。
|