この2年ほどでテレワーク、在宅勤務、オンライン会議が珍しいモノから当たり前のものに変わりました。
ISOの審査でもリモート審査(ICT審査)が行われていますが、国際認定フォーラム(IAF)から、「認証審査/認定審査を目的とした情報通信技術(ICT)の利用に関するIAF基準文書(IAF MD 4:2018)」に基づいて実施されています。
ここでは、リモート内部監査のガイドライン作成の前段階として、ICT審査に求められることを整理しました。
なお、この記事の内容は「IAF MD 4:2018」について、私が理解した内容であることをご了承ください。
ICT審査とは
ICT審査で「IAF MD 4:2018」によるICT(情報通信技術)の定義は、後述していますが、簡単にいうと次の様になります。
- ICT審査の利用対象となるICTは、これから出てくる新しいICTを含めすべてが対象
オンライン会議などで使われているICTを列挙してみると、次の様なものがあります。
- スマホ、タブレット、パソコンなどの個人で使うデバイス
- オンライン会議システム(ZoomやマイクロソフトTeamsなど)
- イントラといわれるもの(ファイルサーバーやグループウェアなど)
- 様々なインターネットサービス(GoogleやマイクロソフトのOfficeツール、基幹システムなど)
- 工場であれば、生産管理システムやMESなど
これらの物やサービスなどを審査に使うのがICT審査です。
メタバースでのISO審査を想像してみる
2022年現在話題となっているメタバース(Metaverse)を使うとどうなるのか想像してみました。
私のメタバースでのISO審査イメージは、審査側も受審側もアバターによる審査となります。
実際にどんな風になるのか分かりませんが、次の様な課題を解決していくことで、メタバースでのISO審査も不可能ではないような気がしています。
- 相手をどうやって特定するか
- 何をもってエビデンス(客観的証拠)とするか
例えば発言についての責任は対面と場合と同じなので、受審側はアバターだからといって発言や振る舞いには同じような責任があるでしょうし、メタバースという世界ならではの新たな注意事項も出てくるのではないでしょうか。
ICT審査の技術的制約について考えてみる
ICT審査を技術的側面から見た時の課題等について列挙します。
審査側、受審側、立場による違いはあると思いますが、メリットが大きく、デメリットにはリスク対策をするなどして対応していくことになると考えています。
ICT利用について課題や問題が出てきた場合には、審査の目的を改めて振り返ることで、合意点(妥協点)を探っていくのではないかと考えています。
なお、ICT審査での仮想サイト(例えば、企業のイントラネット)といった概念は、ICTによる新しい概念の1つであると思います。
対面での会話との比較(リアルタイム性)
いくつかのオンライン会議ツールなどを使ってみましたが、審査でのコミュニケーションにおいて、オンラインによるリアルタイム性については、技術的に大きな問題はないと判断しています。(ネットワーク環境に依存するのは確かですが、会社で仕事に使っているネットワーク品質であれば問題ないと考えています。)
そういえば、2000年代にはパソコンやインターネットが急速に普及していきました。当時、携帯電話による会話(通話)については、音声回線と通信用のデジタル回線とでは通話品質が違うと言ったことも聞きましたが、今ではこの様な話は聞かなくなりました。
AIやスーパーフェイク
AIやスーパーフェイクなどにより、悪意をもって虚偽な説明をするようなケースへの対応については、ICT審査においても事前に検討したり、審査実施においても配慮する必要がありそうです。
現場での対面であれば、実際の場所で審査側と受審側が同時に存在しています。これを音声や画像に置き換えた場合には、技術的には別の画像を作り出すことも可能です。
これについて技術的に解決するのは、それこそ現実的な対応ではありませんので、審査側と受審側とで合理的な方法で事前に合意しておくのが現実的な対応になると考えています。
ICTへの依存による新たな課題
ICT審査は、当然のことですがICTに依存することになります。
ICTが想定通りに使えていれば問題ありませんが、次の様な場合への事前準備は必要になります。
- ネットワークトラブルによりオンライン会議を継続できなくなった場合に使用する一時的な代替手段
- 中止とする判断基準(誰が、どの様な基準で判断するか)
- 再審査の手順(計画通りであれば不要であったコスト負担)
ICT審査のマイナス面を説明しましたが、もちろん次の様なプラス面もあります。
- 移動時間が減る。
- リアルな審査と比べると、いわゆる挨拶などが簡素化が進む。(例えば、審査時間内だけの対応となる)
ICTを内部監査に適用する際の課題
ここまで、ICT審査について説明してきました。
内部監査にICTを利用する場合、会社による差は大きいと思いますが、ICTに慣れていない場合、次の2点が課題になります。
- 文書や記録の確認
- 監査を受ける側のICTスキル
内部監査でICTを利用する場合、記録の確認から次の段階に進もうとする場合に、直面する課題でもあります。
文書や記録の確認
文書や記録の確認については、次の様な考え方があります。
- ①事前に提出を求める。
- ②事前に準備をしてもらい、監査時間内に共有フォルダ等で確認する。あるいは、オンライン画面上に提示してもらう。
- ③定時を求めた文書や記録があればOKとする。この際、文書名、文書番号、発行日を記録する。
会社の状況にもよるのですが、単なる記録の有無の内部監査はできるだけ早くやめるようにした方がよいと考えています。
内部監査は、業務改善に役立てるものだと考えていますので、記録の確認は必要ですが、確認のために記録等を準備することはムダな作業であると考えているからです。
監査員としては、規定に定められた手順を踏んでいることを確認できれば良いわけで、記録を確認することが目的ではないということです。
実際に、内部監査責任者をやっていると、記録の確認は意外に悩ましい問題でもあることは分かるのですが。
監査を受ける側のICTスキル
例えば、内部監査でオンライン会議システムを使う場合、監査員側は事前に教育・訓練をすることで、単に会議を予約・実施するだけでなく、資料を見せることなどをさせることはできます。
しかし、監査を受ける側は部署長であり、
- オンライン会議に参加することができる
こと以上を求めることは、現実的に難しいのではないでしょうか?
記録の確認であれば、
- 記録を画面に映すことと確認できるように記録を映すことは大きく違います。
これを、監査員側で操作説明を加えながら監査するのも、手間も時間もかけているのに、やっていることは単なる記録の確認です。ムダだと思いませんか?
ICT審査に求められていること
「認証審査/認定審査を目的とした情報通信技術(ICT)の利用に関するIAF基準文書(IAF MD 4:2018)」で求められている、次の2点について簡単に説明します。
例えば、QMSの審査員でも、ICTに関する技術的なことや利用による影響、入手した情報についての注意なども求められています。
セキュリティ及び機密保持に関する要求
ICT審査だけでなく、情報セキュリティ対策として求められる基本的なことです。
以下に列挙します。
- 電子情報や電子的に送受される情報のセキュリティ及び機密保持(通常の審査以上にICT審査では重要ということです)
- 審査側と受審側とで、情報セキュリティ及びデータ保護の対策及び規則に従って相互に合意していること
次の場合には、ICT審査とは別の審査方法を使います。
- ICT審査をするための対策が未完了の場合
- 情報セキュリティ及びデータ保護の対策について合意が成立していない場合
審査プロセスに関する要求
ICTによる審査プロセスに求められていることについて説明します。
簡単にまとめてしまうと、「ICTの利用による審査への影響を事前に検討し、リスクや機会(メリット)を特定して、必要な対策をとり、これらを文書化すること」です。
以下に列挙します。
- 使用するICTの選択及び管理を含め、審査の有効性に影響を及ぼす可能性のあるリスク及び機会を特定し文書化する。
- ICT利用が提案された場合、審査側と受審側の双方で提案されたICT利用に必要なインフラが使えることも確認する。
- 審査計画において、特定されたリスク及び機会を考慮した上で、審査プロセスの完全性を維持しつつ、審査の有効性及び効率性を最適化するために、審査においてICTがどう活用されるのか、及びICTが活用される程度を特定する。(審査においてICTをどの様に使うのか明確にしておくこと)
- ICTを利用する際には、審査員及び関与する要員(例:ドローン操縦者、技術専門家)は、審査に採用されたICTを理解し、活用する力量及び能力をもたなければならない。(ICTに関する技術的な知識をもち使えること)
- 審査員は使用するICTにおけるリスク及び機会、並びに収集した情報の妥当性及び客観性にICTが及ぼすかもしれない影響を認識できなければならない。(審査員はICTにおるリスクや収集した情報にに対するICTの影響について認識していること)
- 審査報告書及び関連記録は、審査においてどの程度ICTを利用したかと、審査におけるICTの有効性を示さなければならない。
- 仮想サイトが範囲に含まれている場合、認証/認定文書には、仮想サイトが含まれていることに言及しなければならず、仮想サイトで行われている活動を特定しなければならない。
IAF基準文書「IAF MD 4:2018」について
国際認定フォーラム(IAF)から、「認証審査/認定審査を目的とした情報通信技術(ICT)の利用に関するIAF基準文書」が出ています。
原文はIAFのWebサイトですが、参考訳の「認証審査/認定審査を目的とした情報通信技術(ICT)の利用に関するIAF基準文書(IAF MD 4:2018)」は、公益財団法人日本適合性認定協会のWebサイトにあります。
認証審査/認定審査とあるように、審査機関を対象にした文書ですが、リモートでの内部監査ガイドラインを検討する際、参考にした部分のみ紹介しておきます。
内容が審査を想定している上に、とても硬い日本語なので意味が分かりにくいのですが、何度か読んでいてリモート内部監査で何を考慮すべきかは自分なりに理解したと考えています。
ISMSや情報システムの運用経験があると理解しやすいと思います。
「0.序文 ICTとは」
ICTとは、情報の収集、保存、読み出し、処理、分析及び伝送に技術を利用することである。
ICTには、スマートフォン、携帯端末、ラップトップコンピュータ、デスクトップコンピュータ、ドローン、ビデオカメラ、ウェアラブル技術、人工知能及びその他の、ソフトウェア及びハードウェアが含まれる。
ICTの利用は、現地で及び遠隔で行われる認証審査/認定審査において適切であるかもしれない。
引用先:「認証審査/認定審査を目的とした情報通信技術(ICT)の利用に関するIAF基準文書(IAF MD 4:2018)」
認証審査/認定審査におけるICTの利用例
認証審査/認定審査におけるICTの利用例には以下を含みうるが、これらに限定されない。
- 音声、映像及びデータ共有を含む、遠隔会議設備を用いた会議
- 情報への同期(リアルタイム)又は非同期(該当する場合)の遠隔アクセスによる、文書及び記録の認証審査/認定審査
- 静止画、動画又は音声の記録を用いて情報及び証拠を記録すること
- 遠隔地又は危険の可能性があるロケーションへの映像/音声アクセスの提供
引用先:「認証審査/認定審査を目的とした情報通信技術(ICT)の利用に関するIAF基準文書(IAF MD 4:2018)」
認証審査/認定審査においてICTを効果的に適用する目的
認証審査/認定審査においてICTを効果的に適用する目的は
i)従来型の認証審査/認定審査のプロセスを最適化するための、事実上、十分に柔軟で自由なICTの利用の方法を提供する。
ii)認証審査/認定審査のプロセスの完全性を損なうような誤用を避けるため、適切な管理がされていることを確実にする。
iii)安全と持続可能性の原則を支援する。
認証審査/認定審査活動を通してセキュリティ及び機密性を確実に維持するための処置も講じなければならない。引用先:「認証審査/認定審査を目的とした情報通信技術(ICT)の利用に関するIAF基準文書(IAF MD 4:2018)」
「3.定義 仮想サイト」
内部監査では意識しなくてもよいと考えています。
利用者が物理的な所在地に関わらずプロセスを実行することのできるオンライン環境を用いて、依頼組織が業務の実施又はサービスの提供を行う仮想の場所。
注記1:例えば、倉庫保管、製造、物理試験を行う試験所、物的製品の設置や修理など、物理的な環境でプロセスを実施しなければならない場合、仮想サイトと見なすことはできない。
注記2:仮想サイト(例:企業のイントラネット)は、認証/認定審査工数の計算上、一つのサイトと見なされる。
引用先:「認証審査/認定審査を目的とした情報通信技術(ICT)の利用に関するIAF基準文書(IAF MD 4:2018)」
「4.要求事項 4.1 セキュリティ及び機密保持」
4.1.1 電子的情報、又は電子的に伝送される情報のセキュリティ及び機密保持は、認証審査/認定審査の目的でICTを利用する場合には特に重要である。
4.1.2 認証審査/認定審査の目的でICTを利用する前に、認証審査/認定審査の目的でICTを利用することについて、認証審査/認定審査を受ける機関と認証審査/認定審査を実施する機関との間で、情報セキュリティ及びデータ保護の対策及び規則に従って相互に合意しなければならない。
4.1.3 これらの対策の未完了、又は情報セキュリティ及びデータ保護の対策について合意がされていない場合、認証審査/認定審査の活動を実施する機関は、認証審査/認定審査を実施するために別の方法を使用しなければならない。
4.1.4 認証審査/認定審査におけるICT利用について合意が得られない場合、認証審査/認定審査の目的を達成するために別の方法を使用しなければならない。
引用先:「認証審査/認定審査を目的とした情報通信技術(ICT)の利用に関するIAF基準文書(IAF MD 4:2018)」
「4.要求事項 4.2 プロセス要求事項」
4.2.1 機関は、使用する技術の選択及びそれらをどう管理するかを含め、同一の条件下でのICTの利用ごとに認証審査/認定審査の有効性に影響を及ぼす可能性があるリスク及び機会を特定し文書化しなければならない。
4.2.2 認証審査/認定審査活動にICT利用が提案された場合、申請のレビューには、依頼者及び認証/認定機関が、提案されたICTの利用を支援するために必要なインフラを備えていることの確認を含めなければならない。
4.2.3 認証審査/認定審査計画は、4.2.1で特定されたリスク及び機会を考慮した上で、認証審査/認定審査のプロセスの完全性を維持しつつ、認証審査/認定審査の有効性及び効率性を最適化するために、認証審査/認定審査においてICTがどう活用されるのか、及びICTが活用される程度を特定するものでなければならない。
4.2.4 ICTを利用する際には、認証審査員/認定審査員及び関与する要員(例:ドローン操縦者、技術専門家)は、望まれる認証審査/認定審査の結果を達成するために採用された情報通信技術を理解し、活用する力量及び能力をもたなければならない。認証審査員/認定審査員は使用するICTにおけるリスク及び機会、並びに収集した情報の妥当性及び客観性にICTが及ぼすかもしれない影響を認識できなければならない。
4.2.6 認証審査/認定審査報告書及び関連する記録は、認証審査/認定審査の実施に際してどの程度ICTが利用されたか、及び認証審査/認定審査の目的を達成するにあたってのICTの有効性を示さなければならない。
4.2.7 仮想サイトが範囲に含まれている場合、認証/認定文書には、仮想サイトが含まれていることに言及しなければならず、仮想サイトで行われている活動を特定しなければならない。
引用先:「認証審査/認定審査を目的とした情報通信技術(ICT)の利用に関するIAF基準文書(IAF MD 4:2018)」
まとめ
この2年ほどでテレワーク、在宅勤務、オンライン会議が珍しいモノから当たり前のものに変わり、ISOの審査でもリモート審査(ICT審査)が行われています。
ICT審査は、国際認定フォーラム(IAF)から、「認証審査/認定審査を目的とした情報通信技術(ICT)の利用に関するIAF基準文書(IAF MD 4:2018)」に基づいて実施されています。
ここでは、リモート内部監査のガイドライン作成の前段階として、ICT審査に求められることを以下の項目で説明しました。
- ICT審査とは
- メタバースでのISO審査を想像してみる
- ICT審査の技術的制約について考えてみる
- 対面での会話との比較(リアルタイム性)
- AIやスーパーフェイク
- ICTへの依存による新たな課題
- ICTを内部監査に適用する際の課題
- 文書や記録の確認
- 監査を受ける側のICTスキル
- ICT審査に求められていること
- セキュリティ及び機密保持に関する要求
- 審査プロセスに関する要求
- IAF基準文書「IAF MD 4:2018」について
- 「0.序文 ICT」とは
- 認証審査/認定審査におけるICTの利用例
- 認証審査/認定審査においてICTを効果的に適用する目的
- 「3.定義 仮想サイト」
- 「4.要求事項 4.1 セキュリティ及び機密保持」
- 「4.要求事項 4.2 プロセス要求事項」
