「まるちゃん」さんが嘆いていらっしゃる。

システム管理基準追補版をつくるべきではなかったのか・・・
http://maruyama-mitsuhiko.cocolog-nifty.com/security/2007/05/post_5.html

　ITGI/ISACAが、IT Control Objectives for SOXをつくっているのも同じ。。。つくるべきだったのか・・・
　ある監査法人は、「IT Control Objectives for SOXの項目については、しろ」と・・・、いや、正確にいえば、
・「IT Control Objectives for SOXに書かれている項目は、評価するんですよね。。。」
・「IT Control Objectives for SOXに書かれている項目のうちで整備しないものがあれば、整備しない理由というのがあるはずですよね。。。」
　という言い方らしいです。。。

個人情報保護法の時も、経産省のガイドラインはとにかく遵守しなきゃってことで、多くの会社の担当者の方は苦労なさいましたよね。でもそれって本質的じゃない気がする。思考停止というか。

追補版をつくるべきではなかったかというと、私はつくってよかったと思う。専門家が意見を寄せ合ってつくったものなのだから、企業の現場の担当者の方が対応を行う上で、大きな参考になるのは間違いない。問題は、追補版を参考にして考えて、自社に合った取り組みをすべきなのに、不磨の大典として「とりあえずこれやっときゃおk」的に使われてしまうことだろう。

原因は、現場の担当の方がとにかくお忙しいからじゃないかなあ。どの会社もシステム部門の担当の方が参画されているはずだが、システムの企画・開発・運用でもう目いっぱいだもんね。そして、それは監査法人の側も同じではなかろうか。とにかく数をこなさなきゃならないってことで、お客さんと「あるべき」を議論してる余力なんかないんだろうなあ。

願わくば、「J-SOX完全対応」なるパッケージ製品に安易に手を出して、エンドユーザの負担が上がり、運用が大変で気づくとなぜかセキュリティレベルも下がり、さらに全社的な統制なんてますます取れてないという完全に意味不明な状況が生まれないといいが。