Title Author(s) Citation Issue Date Type eコマースにおける保証と監査の概念枠組み 堀江, 正之 一橋論叢, 128(4): 470-485 2002-10-01 Departmental Bulletin Paper Text Version publisher URL http://hdl.handle.net/10086/10245 Right Hitotsubashi University Repository (92) eコマースにおける保証と監査の概念枠組み 堀 江 正 之 I 序一トラストとそのレベル eコマースは,インターネットを介して,デジタル信号に変換された取引デー タを送受信することによる取引特性一すなわち不特定多数の人間が時間的・地理 的制約を受けることなく,かっ非対面で取引を行うこと一に起因する脅威にさら されている.eコマースに参加する取弓1主体が安心して確実に取弓1を行えるよう にするためにはどうすれぱよいか. 取弓1主体たるエンティティA(事業者)がエンティティB(消費者)との閻で トラスト(trust)1〕を構築するためには,AはBの期待を裏切らないような対策 を実行し,そしてできれぱそれをBに示すことである.例えぱ,Aは取引に際し てアクセス制限や暗号通信を確立し,その事実をホームページに「プライバシー に関する声明」と題して明示することである.ここまでが,トラスト構築の第1 段階としてのセキュリティ対策の設定である.内部統制(intema1contro1)の 構築と言い換えてもよい.これを「第1レベルのトラスト」と呼ぷことにする. しかし,Aの対策が適切であるとは限らないし,Bにはその適切性を確かめる ための手立てがないということも起こり得る.そこで,Aのセキュリティ対策が 適切かどうかを確かめるための仕組みが追加されれば,BのAへの信頼はより高 まるであろう.これがトラスト構築の第2段階としての保証(assurance)であ る.すなわち,A及びBという取弓1当事者以外の専門家による検証手続を通じた 適否の判定である.これを「第2レベルのトラスト」と呼ぶことにする. トラストを確立する目的は,取引当事者の一方または双方が受け入れることの 470 eコマースにおける保証と監査の概念枠組み (93) できる水準まで取弓1に関わるリスクを引下げることにあるが,なぜトラストに2 っのレベルの区別が必要かは,次の例で説明すると分かりやすいであろう. 「何らセキュリティ対策がとられていない場合に,外部からの攻撃によって Webサイトのサービス機能停止が1O回/年の確率で発生するとする.しかし ファイアウォールを設置すれば,外部攻撃によるWebサイトの機能停止の可 能性を大幅に低減(1回/年)できる.とはいえ,ファイアウォールの運用 に問題がある場合があるので,サービス機能停止のリスクは必ず残る.そこで, 当事者以外のセキュリティの専門家によってファイアウォールの運用上の問題 点が明らかにされ,定期的な改善が図られれぱ,残余リスクをさらに一段低減 (O.1回/年)することができる.」 このように考えると,「第1レベルのトラスト→第2レベルのトラスト」とい う順序で,当事者の一方または双方が受容できる水準までリスクを引下げるよう にトラストを構築するのが本来の在り方であろう.もし,第1レベルのトラスト だけで受容可能なリスク水準が達成されていれぱ,第2レベルのトラストでは “問題なし”とのお墨付きを第三者が与えればよい.なお,第1レベルのトラス トがそもそも存在しない場合には,第2レベルのトラストだけで当事者が受容可 能な水準までリスクを引下げなければならないこともあろう. II トラストとしての保証と監査の意味 それでは,第2レベルのトラストとして位置づけられる保証とは何か.本稿で は差し当たって,次のように定義して用いたい2〕. 「保証とは,ある事象に対して,意思決定を行う人または組織と,当該事象 に責任をもつ人または組織との間に存在する不信感を取り除くために,当事者 以外の専門家が検証し,当該事象の適否を明らかにする行為をいう.」 この定義にっいて,以下の議論のために予め幾っかのことを確認しておきたい. 第1に,保証という行為が必要とされるのは二者問に存在する不信感の払拭に あるから・一方の当事者が何の不信をもち,その不信の程度をどこまで弓1下げた いのかによって,保証の目標(target)は異なったものとなることである.保証 471 (94) 一橋論叢 第128巻 第4号 平成14年(2002年)1O月号 の目標を個人情報保護というように限定してよいこともあるだろうし,セキュリ ティ対策全般というように包括的にとらえなけれぱならないこともあるだろう、 また,高い保証水準によってしか不信感を取り除けない場合もあるだろうし,緩 い保証水準で満足できる場合もあるだろう. 第2に,保証主体には次の2つの要件が必要とされることである. ・保証主体は保証対象についての専門技能を有していること一専門性の要件 という一 ・保証主体は保証対象から独立していること 独立性の要件という一 この2要件が最低限必要とされる理由は、もしWebの専門技能をもたない者 が検証手続を行い,あるいはWebサイトの運営当事者が自らの正当性を主張し ても,保証を求める人を納得させることは難しい,ということを考えればよい・ 第3に,何を保証の対象とするかによって,次の3っの類型があることである・ 第1類型:事業者が採用した“内部統制”を対象とした保証 第2類型1事業者が採用した内部統制についての事業者による“言明}(asser− tion)を対象とした保証 第3類型 “事象”そのものを対象とした保証 すなわち内部統制を介在さ せない保証一 それでは,保証と監査はどう違うか.本稿では,監査をもって保証の一っの形 態と考えたい3).保証というサービスの典型が監査であるという理解である.し たがって,上で述べた保証にっいての議論は監査においてもそのまま当てはまる・ しかし、保証というサービスの中でもそれを監査と言い得るためには・少なくと も以下の条件を追加した検証手続が行われなければならない.この追加条件は, 監査結果の利用者が納得しうる合理的な保証水準が確保されるための基本的な枠 組みを提供するものだからである. ・検証手続に際して適否の判断に用いられる尺度 判断規準という一が存 在すること ・検証手続に際して遵守すべき行為の基準 監査基準という一が存在する こと 472 eコマースにおける保言正と監査の概念枠組み (95) 今日,eコマースにおけるトラストを構築するための手段あるいはサービスと して,証明,認定,認証,審査登録等々の類義語が乱立し,それらと保証ならび に監査との区別や関係にっいて複雑怪奇な構造を呈している. そこで以下では,さまざまなトラスト・サービスのうち,差し当たって「デジ タル認証」「プライバシーマーク(付与認定)制度」「ISMS審査登録制度」 「WebTrustTMプログラム」という巽なったタイプの4つのサービスを取り上げ て,それぞれ保証及び監査との関係を検討してみたい. 皿 第三者機関によるデジタル認証 1.デジタル認証という保証 いま,ある事業者がWebサーバを使って,消費者のパソコン上のWebブラ ウザとの間で商品販売取弓1を行うとする.なお,消費者は商晶の購入に当たって, 住所,電話番号,クレジットカード番号などの個人情報を送信しなければならな い.両取弓1当事者は,通信データの内容が盗み見されないこと,通信データの内 容が改変されないこと,通信内容が相手によって不当に事後否認されないこと, そして取弓1の前提としてお互いが正当な当事者であることを確認できること,と いう条件を満足したいと欲求するだろう.そのために使われる技術基盤が“公開 鍵暗号基盤”(PK11Pub1ic−Key lnfrastructure)である. このような条件を満たすことを取弓1当事者以外の第三者機関か提供するサービ スがある.Webサイトを運営する事業者の実在証明と,取引当事者問における SSL暗号をパッケージにしたveriSign社の「安心サイトシール」(http:// WWW,VeriSign.COm)などは,その例である. ここで,認証機関(Certification Authority:以下,単にCAという)によ ,4〕 る次のようなデジタル認証サービスを想定してみよっ.これは果たして“保 証”と言えるであろうか、 「取引当事者とは独立した信頼できる専門機関としてのCAが,取弓1当事者 の実在を確認した上で,当該当事者と公開鍵一厳密には公開鍵と秘密鍵のペア ーが正しく対応していることを証明するデジタル認証書(Digital Certificate 473 (96) 一橋論叢 第128巻 第4号 平成14年(2002年)10月号 :公開鍵証明書ともいう)を発行し,破棄及び更新手続を行う.これによって, プラウザからサーバに通信要求があると,デジタル認証書をお互いに交換し合 い,CAによる認証済みの公開鍵を使って暗号通信を行う.」 上の想定例で付された条件のようにCAが取引当事者から独立した専門機関で 5〕 あれば,専門性と独立性の要件は満たしている.そこでもし,CAがデジタル 認証書の発行・管理(破棄及び更新手続を含むライフサイクル)に際して,認証 書申請者のセキュリティ対策にっいて何らかの評価を行うことがあれば,明らか に第2レベルのトラストすなわち保証が提供されていることになる.第1類型と しての保証である. しかし,ほとんどのデジタル認証†一ビスがそうであるように,セキュリティ 対策についての評価を行わず,「ある公開鍵の保持者が実在し,かつ公開鍵と特 定の個人または組織とが正しく対応していることを確かめる手続とその運用」を 通じてトラストを構築している.その場合の公開鍵の証明は,第3類型としての 保証と考えられる.しかし申請者の実在証明では,申請者から提供される情報と, その信懸性を確かめるための手続によって確証度が異なり6),またデジタル認証 書の発行・管理が適切に行われるかどうかはCA自身の内部統制に依存すること から,現実には保証の水準に大きなバラッキがでることが多い. 2.CAによるデジタル認証と監査との関係 CAによるデジタル認証と監査との閻には,異なった2っの関係がみられる. 一っは,「認証局運用規定」(Certification Practice Statement1CPS)にお ける監査の要求である.認証局運用規定とは,CAがどのように運用されるか, またどのような制約を受けるかを明らかにするために,CA自らが作成し,公開 する文書である、例えば,IETF(The Intemet Engineering Task Force)の RFC2527では,当該運用規定の中で,“準拠性監査”(comphance audit)とい う名称の監査が要求されている7〕、この監査は,事業体内の内部監査部門による 監査として想定されている ただし当該監査機能のアウトソーソンクを否定す るものではない 474 eコマースにおける保証と監査の概念枠組み (97) RFC2527によれば,準拠性監査の内容として以下の事項を定めなけれぱなら ないとされている. ・ エンティティごとの監査の頻度 ・ 監査人の資格要件 ・ 被監査エンティティと監査人との関係一監査人の独立性の保持 ・ 監査の対象範囲のリスト ・ 監査によって発見された欠陥事項への対処法 ・ 監査の結果一監査報告書の提出先等一一 これは,CAによるデジタル認証という仕組みの中に,監査をいわぱ’入れ子 構造”として組み込む考え方である.しかし監査人の行為基準として特別なもの が用意されているわけではない.内部監査を前提とすれぱ,.内部監査人協会 (I1A)の監査基準を用いることになるのだろうか.さらに言えば監査上の「判 断規準」も明確ではない.これらの点を明確にしない限り,CSPの中で要求さ れる準拠性監査をもって監査と呼ぷことはできないだろう. いま一っの関係は,CAの認可申請における監査の要求である.CA認可の前 提として監査が要求されるものであり,監査の継続性を前提としないという意味 でCPSにおける準拠性監査とは全く異なった位置づけになる.例えば米国ワシ ントン州では,CAの認可申込書に,外部監査人による監査報告書またはその要 約の添付を求めている.監査の判断規準として,NISTの ‘℃ommon Criteria (CC)Protection Profi1e(PP)for Commercial Security2(CS2)”が適用され, その監査主体は公認会計±またはコンピュータ・セキュリティの専門家 すな わち,CISA:Certified Information Systems AuditorまたはC1SSP1Certi− fied Information Systems Security Professional一でなければならない. CISAによる監査であれば,ISACA(Information Systems Audit and Contro1 Association)の監査基準と倫理規則が適用される.このように,基本的には, 監査と呼び得るための形式条件は揃っているとみてよさそうである.しかし, CA開設後の監査を先に述べた入れ子構造として引き継ぐのかどうか,その場合 の保証水準の違いをどのように考えるのか,判然としないところがある. 475 (98) 一橋論叢第128巻第4号平成14年(2002年)1O月号 現在,CA向けの監査ソフトウェア’も販売されるなど,CA向けにさまざまな 監査サービスが展開されるようになってきているが,概念的に議論を詰めておか なければならないことは少なくないのである. 1V プライバシーマーク制度 1.マーク付与認定という保証 プライバシーマーク (付与認定)制度とは,JlS Q15001r個人情報保護に 関するコンプライアンス・プログラム8)の要求事項一に適合した個人情報保護 体制を整傭している事業者に対して,第三者機関である(財)日本情報処理開発 協会またはその指定機関が認定し,その旨を示すロゴマークを付与するサービス をいう(http://www.privacymark.jp).一般消費者は,事業者の個人情報保護 への取組みの適切性を視覚的に判断し,これを目安に取弓1事業者を選別すること が可能となる.BBBOnLineやTRUSTeなどのプライバシーシール・プログラ ムをはじめ,個人情報保護に特化したマーク付与認定サービスは数多い. マーク付与認定に当たる“指定機関”は個人情報の取扱いと保護にっいての知 見を有し,独立の非営利団体でなければならない.マーク付与認定を行う主体に は,専門性と独立牲の要件が求められるのである.またマーク付与認定に当たっ ては,事業者が作成したコンプライアンス・プログラムがJIS Q15001の要求事 項に適合しているかどうかの審査が行われる.このように,この制度は“個人情 報保護”という保証目標を限定した保証であり,“個人情報保護に関するコンプ ライアンス・プログラム”という事業者が採用した内部統制を対象とした保証と 考えられる.第1類型としての保証である.ホームページに掲記されたマークを クリックすると,「個人情報保護方針」を見ることができるようになっている. そこでもし,この「個人情報保護方針」を事業者による’言明”とみることが できれぱ,第2類型としての新しい形の保証サービスが行われる余地がある. なお,マーク付与を通じた保証に共通の特徴といってよいが,保証目標を限定 しているにもかかわらず,一般消費者が「この事業者との取引にはリスクがな い」と拡大して解釈する可能性が常にっきまとう.したがって,マーク付与認定 476 eコマースにおける保証と監査の概念枠組み (99) という形の保証では,少なくともマーク付与認定の対象及び付与認定の規準への ハイパーリンクが用意されている必要がある. 2.マーク付与認定における監査 ブライバシーマーク制度では,JIS Q15001の「要求事項」のなかに,監査の 実施を義務づける規定がある.また「プライバシーマーク制度設置及び運営要 頷」によれば,監査の実施体制と内容は,適合性審査において重視すべき項目の 一つとなっており,年1回以上の監査が要求される. JIS Q15001では,コンプライアンス・プログラムの基本モデルを,“個人情報 ・ 保護方針→計画→実施及び運用→監査→事業者の代表者による見直し”という一 連のプロセスとしてとらえ,継続的な改善を通じて螺旋上昇してゆく構造を描い ている.監査の実施にっいては,次のように定めている(JIS Q15001,§4.5). 「事業者は,コンプライアンス・プログラムがこの規格の要求事項と合致して いること及びその運用状況を定期的に璋査しなければならない一監査責任者は, 監査を指揮し,監査報告書を作成し,事業者の代表者に報告しなければならな い、事業者は,監査報告書を管理し,保管しなければならない.」 この規定を読むと“マーク付与認定=監査”と勘違いしそうであるが,そうで はない.この制度では,いわゆる “P(計画)一D(実行)一C(チェック)一A (見直し)”のサイクルにおける3番目のチェック機能(C)として監査を置いて いる.このような理解の仕方をする場合には,いうまでもなくP,D,Aの当事 者と別の人または組織がCの機能を担うという前提で考えないといけない. 内部監査人による監査が想定され,監査上の判断規準としてJ1S Q15001の要 求事項 厳密にはそこから監査の規定を除いたものとなるだろう一が周いら れることは明らかであるが,監査人の行為基準は必ずしも明確になっていない. なお,プライバシーマークはBBBOnLineとの間でマーク付与認定の相互承 認が行われているが,それは監査の結果を含めた相互承認となることに着目しな ければならない.このことは,監査による保証水準に両制度で大きな差異がない という前提で運用されていなけれぱならないことを意味する、だからこそ監査人 477 (100) 一橋論叢 第128巻 第4号 平成14年(2002年)1O月号 の行為基準を明確にしておくことが重要なのである、 V ISMS審査登録制度 1.審査登録という形の保証 ISMS(Information Security Management System)審査登録制度とは, 第三者機関たる審査登録機関が,事業者のセキュリティ対策の「ISMS認証基 準」への適合性を審査し,適合していると認められた場合に認証書を発行する サービスをいう(http://www,isms.jipdec.or.jp).(財)日本情報処理開発協会 が開発した制度で,ISMS適合性評価制度またはISMS認証制度ともいう. この制度では“ISMS認定マーク”と呼ばれる登録済みの事実を視覚的にあら わすマークか用意されているが,それは“認証書”に示されるだけで,今のとこ ろホームページヘの掲記は行われない.審査登録機関としての専門性及び独立性 要件は,「ISMS審査登録機関認定基準」においてきわめて詳細かっ厳格に定め られている. 先に述べたプライバシーマーク制度は保証目標を個人情報保護に限定するのに 対して,このISMS審査登録制度は事業者のセキュリティ対策の有効性を包括 的に保証するところに大きな違いかある、またこの制度は、事業者が採用した内 部統制を対象とした保証と考えられる.第1類型としての保証である. 適合性審査に当たっての尺度として用いられる「ISMS認証基準」(Ver.1.O) はIS0/IEC17799:2000(JIS x5080:2002)及び英国規格BS7799−2=1999を基 に作成されている.その意昧で,ISMS審査登録制度設定の大きな目玉は,国境 を越えたeコマースの普及と進展を見据えた国際標準の導入にあった.また,.情 報及びシステムに対する脅威と脆弱性を分析し,リスクが顕在化する可能性と事 業活動への影響度を測定し,その結果に基づいてセキュリティ対策の整備及び運 用状況を検証するというアプローチが採用されている.すなわち審査登録の前提 として,個別的なセキュリティ対策を想定するのではなく,リスク管理のプロセ スとして位置づけようとしていることも本制度の大きな特徴である. なお,ISMS構築過程の最終段階において“適用宣言書”と呼ばれる書類が作 478 eコマースにおける保証と監査の概念枠組み (101) 成され,審査員に提出される.これは「ISMS認証基準」における“要求事項” の選択の可否を記載した文書である.リスク評価の緒果を踏まえて要求事項のう ち適用不可能な要求事項が生じた場合にそれが選択されなかった理由,さらに要 求事項にない管理策を必要に応じて追加した場合にはその理由にっいての記載が 求められる.この適用宣言書は,その用途からみてISMS構築における最終段 階での確認書程度の意味しかもたないものと理解できるが,もしこれを事業者に よる“言明”として記載事項を整理し直すならぱ,第3類型の保証として展開さ れる可能性がある. 2.1SMS審査登録における監査 「lSMS認証基準」では,‘’システム監査の考慮事項”にっいて定めている、ま た,ISMS審査登録に当たっての要点を取りまとめた「lSMSガイド」では, ’ISMS遵守確認のための内部監査”の実施を定めている.この2っの異なった 名称の監査を同一のものとみなしてよかどうかという問題はあるが,いずれも概 念上は“審査登録”の中に‘’監査”を入れ子構造として組み込むようになってい る.その意味で,監査の位置づけはすでに述べた℃PSにおける監査”,’プラ イバシーマーク付与認定における監査”の場合と基本的には同じ構図のようにみ える、 ところが突き詰めて考えてゆくと,lSMS審査登録がそもそも“監査”として の要件を十分に満たしているのではないかという疑問が生ずる.っまり,1SMS 審査登録は,審査登録機関という名の外部監査人による監査を相当強く意識した 制度として想定されているように思えるのである. その第1の理由は,「ISMS認証基準」が監査上の判断尺度として,また 「ISMS審査登録機関認定基準」が監査人の行為基準として十分な内容をもって いることである.特に注目すべきは,「1SMS審査登録機関認定基準」の中に, 外部監査を想定した‘‘監査基準”に相当する要件が定められていることである. 例えぱ,審査機関(審査員)の独立性の保持にっいては,審査結果の信懸性を左 右しうる外観上の独立性確保を明記し,コンサルティング・サービスとの兼業も 479 (102) 一橋論叢 第128巻 第4号 平成14年(2002年)lO月号 禁止している.くわえて審査登録機関内における品質マニュアルの策定及び運用, 適切な文書化と記録の保持及びその守秘義務,そして審査登録機関内における内 部品質管理監査などが要求されているのである. 第2の理由は,審査の正式な報告として「審査報告書」が作成され,申講者に 交付されることである.℃PSにおける監査”や’プライバシーマーク付与認定 における監査”では,このような報告書は作成されない9).審査報告書には,① 審査の日付及び審査報告書に責任をもっ者の氏名,②審査を実施した対象,③審 査した登録範囲またはその登録範囲を示す文書の参照,④不適合についての明確 な記述を含む審査登録の要求事項に対する組織の1SMSの適合性に関する意見, ⑤該当する場合には以前の審査結果との有益な比較,⑥終了時の会議で組織に提 示した情報との相違についての説明が記載される.この審査報告書は外部公表を 前提とはしていないものの,その記載内容をみる限り,通例,外部監査人監査で 作成される「監査報告書」と違いはなく,むしろそれを参照している節さえ読み 取ることができるのである. VI WebTrustTMプログラム 1.WebTrustという保証 WebTrustとは,事業体が開示しているサービス内容及び事業体の採用して いる内部統制にっいて,事業者から’言明”を求め,「WebTrust原則及び規 準」に準拠しているかどうかを公認会計士または監査法人が検証し,“無限定意 見報告書”が提出されると,それに基づいてホームページに掲記されるロゴマー クを付与するサービスをいうlo〕.ここで「WebTrust原則」とは内部統制の有 効性を検証するための全般的尺度であり,それを検証項目ごとに詳細な判断尺度 として落とし込んだとしたものを「WebTrust規準」という.サービス・プロ バイダーやCAを対象としたWebTrustもあり,保証の対象や目的ごとに 「WebTrust原則及び規準」の組合せを変えたサービス・プログラムがパッケー ジとして用意されている(http://www.aicpa.org/assurance/webtrust). WebTrustは,Webサイトに関わる内部統制の整備及び運用状況を確かめる 480 eコマースにおける保証と監査の概念枠組み (103) ことを目標とした包括的な保証であるが,オンライン・プライバシー保護などに 範囲を限定したサービスーすなわち「WebTrust原則及び規準」のモジュー ルごとの保証一も可能である.またISMSとは異なり,WebTrustは事業者 による“言明”を対象とした保証である.第2類型としての保証である. 財務諸表監査の専門家としての職業会計±が,なぜこのような保証サービスを 提供し得るのか,また利用者からみたとき会計士が当該保証サービスを展開する ことのメリットはどこにあるのかが問題となる.この点にっいては,会計士が保 証報告書に皿署名”することの意味が重要な論拠となっている1l〕.すなわち,第 1に会計士は長年にわたって培ってきた財務諸表監査及びそれに付随する内部統 制の検証業務を通じて保証サービスにっいて十分なノウハウを蓄積していること, 第2に会計士にはきわめて厳格な専門性,独立性,不偏性,客観性が要求され社 会の人々にも広く認識されていること,第3に会計±には倫理規則の遵守が義務 づけられていることである.このように,WebTrsutが1SMSと異なり,また 各種マーク付与制度との違いを鮮明にしようとしているのは,保証主体の高度か っ厳格な職業基盤にあるといってよい. 2.財務諸表監査の延長としてのWebTrust保証 WebTrustは,職業会計±が伝統的な財務諸表監査の枠組みを拡張してさま ざまな保証サービスに乗り出すために,アメリカ公認会計士協会(AICPA)及 びカナダ勅許会計士協会(C1CA)によって開発された保証サービスである.職 業会計±による決算財務諸表の監査市場に飽和化の兆しがみられ,新たな保証 二一ズを発掘すべく開発されたものである. WebTrustは,財務諸表監査の枠組みをそのまま弓1継ぎ,その業務拡張の延 長線上に位置づけられる.財務諸表監査といえども会計±は財務諸表だけを監査 の対象としているわけではなく,財務諸表の作成に関連する内部統制の有効性を 検証している.WebTrustは,Webサイトに関わる内部統制の有効性の検証が その目的であり実体的内容である.財務諸表監査においては,監査意見の表明が 会計処理のアウトプットたる財務諸表に対してなされるのに対して,WebTrust 481 (104) 一橋論叢 第128巻 第4号 平成14年(2002年)1O月号 ではWebサイトが「WebTrust原則及び規準」に準拠している旨を記載した事 業者による言明に対して職業会計士の意見が表明されることになる.事業者によ る言明に対して会計士が意見を表明することで,Webサイトの運用とそれに関 わる適切な内部統制を構築する責任はあくまでも事業者にあり,会計士は自らが なした保証の方法と結果に対してのみ責任を負担するといういわゆる“二重責任 の原則”を明確にすることができる.また,財務諸表監査において職業会計±に は一般に公正妥当と認められる「監査基準」の遵守が要求されるのと同様,Web− Trustにおいては「証明基準」一その解釈指針である「証明業務基準書」を含 む を遵守した業務遂行が要求される このように,WebTrustの基本的な枠組みは財務諸表監査のそれを援用した ものであり,その点にこそ内部監査人監査を前提とした℃PSにおける監査”, ’プライバシーマーク付与認定における監査”,“ISMS審査登録における監査” との本質的な違いがみられる. なお,最近では,監査と保険料を連動させたユニークな保証サービスも登場し ている(http://www.eauditor.jp).「eAuditor」と呼ばれるサービスである. 監査の結果によって割引IT保険が提供される.理屈の上では,監査費用が保険 料の割引額を下回れぱ,監査に対する需要が生まれることになる.監査をもって 保険とみなす考え方が下敷きとなっており,理論的に興味深い新しい形の保証 サービスである. ㎜ むすびにかえて 以上,eコマースにおける代表的なトラスト・サービスを“保証”との関係で 位置づけ,かっ“監査”との関係にっいて概念上の検討を試みた.これを整理す れぱ,概略以下のようになる. 482 eコマースにおける保証と監査の概念枠組み CAによるデジタル認証 プライバシー (CPSにおける監査) 保証の目標 マーク制度 限定的 (公開鍵の適切性) 保証の主体 内容を明確に 要件(専門 規定するもの 性・独立性) はない 限定的 ISMS審査 登録制度 包括的 (105) WebTrust プログラム 包括的/限定的可 (個人情報保護 (セキュリティ (開示及び内部 対策の遵守性) 統制の有効性) 管理の有効性) 要件のみを 内容を詳細かっ 抽象的に規定 厳格に規定 内容を詳細かっ 厳格に規定 保証の対象 第3類型 第1類型 第1類型 第2類型 マーク付与 ある/なし ある なし ある 保証と監査 保証のなかに 保証のなかに 保証のなかに 監査の延長として の関係 監査を組込む 監査を組込む 監査を組込む 保証を位置づける ISMS認証基準 WebTrust原則 監査人の 不明確 JIS Q15001 判断尺度 監査人の 及び規準 不明確 不明確 行為基準 及び規準 審査登録機関 証明基準及び 認定基準 証明業務基準書 今回は紙幅の関係で検討できなかったが,各種トラスト・サービスには,保証 の水準に差があるかどうか,もし差が生ずるとすればそれはどのような要因によ るのか,という問題がある.保証水準は,「保証対象の性質と範囲の限定度」「保 証主体の専門技能と独立性の程度」「保証手続の強さ=入手される証拠の量と質」 「保証に当たっての判断規準の硬さ」の関数関係として認識できるのではないか と考えている・保証水準の差異がトラスト・サービスごとにどのように生ずるか の検討と整理は,別稿に委ねたい. 1)trust(信頼)にはさまざまな意味があるが,単に人やものに対するrelianceで はなく・それを確実にするという意昧をもたせた用語として理解できる.例えば, 〃功∫fθ{η棚〃刎∫〃召㎜肋閉α1〃c伽冊αηでは,assuredre1ianceonsome person or thingという説明がなされている.“確実な”(assured)という条件が 付されていることがポイントである.信用して依存できること (re1iance)の基礎 として,義務や責任の履行を置くのである. 483 (106) 一橋論叢 第128巻 第4号 平成14年(2002年)1O月号 2)本稿では,保証という概念をこのように広い意昧で解釈している.したかって 「債務保証」といった使い方に代表されるように,法的な意味に限定していないこ とに注意されたい.また監査論では,職業会言十士(公認会計士または監査法人)が 提供するサービスに限定して,この保証という概念を用いているが。本稿では会計 士という主体要件も外している.すなわち.職業会計士でなくても保証サーヒスを 提供できると考える. 3)論者によって説明の仕方に微妙な違いはあるが,監査論では,監査をもって保証 に包括される概念として理解する傾向にある.このような理解の仕方は,職業会計 士が行う財務諸表の監査こそが’監査”の最も代表的なものであるという思考が底 流にある.財務諸表監査を軸に据えて,その発展型として’保証”という新しい サービスを想定す’る.だから「保証のなかでも高水準の保証形態を監査という」 (lFAC,^∫ωταηc2肋g口g舳θ砿Exposure Draf仁Mar.1999,§17)あるいは「保 証のなかでも財務諸表を対象とした保証形態を監査という」(J C・Robertson&TJ・ Louwers,λ〃{伽g&λ∫∫〃他〃c百S2㈹{cω,McGraw−Hill1rwin.2002,pp.3−4)と の考え方が登場する. 4) ここでは,議論を単純にするために,単一のCAを前提としているが,実際には 複数のCAが存在し,あるCAが他のCAを認証する,あるいはCA同士で相互認 証する構造がとられることが多い.複数の対等または従属関係にあるCAをうまく 構造化することによって,デジタル認証書のチェーン(見方を変えれば,最終ユー ザーが辿る認証経路)が構築されている.M.Benantar,伽腕伽α{o〃o伽P肋1ゴc κεツ1抑ヵω重閉c伽他力γ肋θ〃地閉砿Prentice Ha11PTR,2002,ch−6. 5) ここでは,独立した専門機関としてのCAを前提としているが,CAは事業体の 内部に設置される場合もある.保証の要件とされる外観上の独立性は,①CAが事 業体内に設置される場合,②事業体から独立した民間事業者によって運営される場 合,③事業体から独立した公的機関または公的機関が認定した機関によって運営さ れる場合と,順次,その程度が強化されると考えてよいだろう、 6)例えば,VeriSign社のデジタル証明書では,申請者の実在にっいて,それをい かなる手段でどこまで確かめるかによって3段階のレペルを付けている一「クラス 1証明書」「クラス2証明書」「クラス3証明書」の順で,申請審査が厳格になる. 7) なお,1ETFのRFC2527では,この準拠性監査以外に。“セキュリティ監査手続” (security audit procedures)という用語が登場する一セキュリティ監査手続とい うのは,「手続」という用語があえて付されていることからも明らかなように・監 査ログ(証跡)として記録しておくぺき内容,周期,保存期間、あるいは監査ログ の保護手続やバックアップ等にっいて定めたものである.したがって厳密には・保 証としての’監査一ではなく,セキュリティ対策そのもの一内部統制手続一を 484 eコマースにおける保証と監査の概念枠組み (107) 指す用語として使われそいることには注意を要する. 1ETF,Network Working Group Request for Comments:2527Category,1ntemet X−509Pub11c Key Infra− stmcture Certificate Policy and Certification Practices Framework,Mar. 1999, §4.2.7&4.4.5. 8) ここで,コンプライアンス・プログラムとは、J1S Q15001:1999では「事業者が, 目ら保有する個人惰報を保護するための方針,組織,計画,実施、監査及び見直し を含むマネジメント・システム」(3.h)と定義されている. 9) プライバシーマーク制度では,認定番号,認定事業所,認定の有効期限,認定機 関が記載された「プライバシーマーク使用許諾証」は発行されるが,蕃査結果にっ いての報皆書は作成されないI lO)WebTrustにっいては,すでに別稿で詳細に検討している.拙稿「職業会計士に よるWebTrust保証プログラムの展開」『情報科学研究』第10号(日本大学情報科 学研究所,2001年3月),30−61ぺ一ジ. 11)職業会言十士であれば,誰でもかこのサービスを提供できるわけではない.AIC− PAとのライセンス契約を締結し,AlCPAが定めたトレーニングを受ける必要か ある. (日本大学商学部教授) 485
© Copyright 2024 ExpyDoc
