03A システムオーナー実装基準
目的
本基準は、システムオーナーが満たすべき実装基準を定義する。システムオーナーは、技術実装の全作業を直接実施する必要はない。ただし、システム分類、データ分類、業務影響、リスク受容、改善計画、委託先責任を他者へ移管してはならない。
適用対象
本基準は、すべてのSystem IDに適用する。SaaS、委託先運用、子会社環境、AI/Dataを含む場合も、システムオーナーを定義しなければならない。
必須実装基準
| 領域 | 基準 | 統制目的ID | 必須証跡 |
|---|---|---|---|
| 所有者定義 | System ID、Owner ID、運用責任者、委託先責任者を定義する。 | G-01、A-01 | システム台帳、RACI |
| システム分類 | 01に基づきTier、External、AI/Data該当性を判定し承認する。 | G-03 | 分類判定記録 |
| 利用目的 | システムの業務目的、利用者範囲、重要業務との関係を記録する。 | A-01 | 利用目的記録 |
| データ分類 | 扱うデータ種別、保存場所、外部共有、保存期間、削除要件を定義する。 | A-03、D-01、D-02、D-05 | データ分類表、データフロー |
| リスク評価 | 主要リスク、業務影響、復旧要件、外部依存を評価する。 | G-02、R-02、T-01 | リスク評価記録、業務影響評価 |
| 例外承認 | 基準未達を05に基づき例外登録し、残余リスクを受容する。 | G-02、V-04 | 例外申請、承認履歴 |
| 改善計画 | 重大不備に期限、担当、予算要否、完了条件を設定する。 | G-04 | 改善計画、進捗記録 |
| アクセスレビュー | 利用者、管理者、委託先IDのレビューを承認し、不要権限削除を完了させる。 | I-04、I-06 | アクセスレビュー記録、削除チケット |
| 復旧要件 | RTO、RPO、復元試験頻度、代替業務を定義する。 | R-01、R-02、R-04 | 復旧要件、復元試験結果 |
| 委託先責任 | SaaS、委託先、再委託の責任分界、契約要求、終了処理を確認する。 | A-04、T-01、T-02、T-06 | 責任分界表、契約、削除証明 |
| AI利用 | AI利用目的、対象データ、外部送信、人間承認、出力利用範囲を定義する。 | AI-01、AI-02、AI-03 | AI利用台帳、承認記録 |
禁止事項
- システムオーナー不在のまま運用を継続してはならない。
- 委託先または開発担当の回答だけでリスク受容を完了扱いにしてはならない。
- データ分類が未了のシステムを本番利用してはならない。ただし、期限付き例外として承認された場合を除く。
- 期限、承認者、残余リスクがない例外を認めてはならない。
- 復旧要件未定義のまま重要システムをTier 1以上として運用してはならない。
例外条件
次の場合のみ例外を申請できる。
| 例外条件 | 必要な代替統制 |
|---|---|
| 分類に必要な情報が委託先から未提供である。 | 提供期限、契約上の要求、暫定リスク評価を記録する。 |
| データ分類が完了していない。 | 機微情報を扱わない前提で利用範囲を制限し、分類期限を設定する。 |
| アクセスレビューを期限内に完了できない。 | 特権IDを優先レビューし、未レビュー権限の利用を制限する。 |
| 復元試験を計画期間内に実施できない。 | バックアップ成功確認と机上復旧手順確認を暫定実施する。 |
評価指標
| 指標 | 基準 |
|---|---|
| Owner ID付与率 | 100%。未付与は統制不備。 |
| システム分類完了率 | 100%。未分類は新規リリース不可。 |
| データ分類完了率 | Tier 0/1は100%。Tier 2/3も本番利用前に完了。 |
| アクセスレビュー完了率 | Tier 0/1は四半期、Tier 2は半期、Tier 3は年次以上。 |
| 期限切れ例外数 | ゼロを基準とする。発生時は06に基づき報告。 |