【参考】3ライン

1. 3ラインとは何か

3ラインは、ガバナンスの中で

• 第1ライン：現場が“リスクと統制を所有し、運用する”
• 第2ライン：専門機能が“現場を支援し、ルール化し、モニタし、異議を唱える”
• 第3ライン：内部監査が“独立にアシュアランス（保証）を提供する”

という役割の区別を明確にするモデルです（番号は“順番”ではなく同時並行）。（出典：¹）

---

2. まず押さえる前提：統治機関・経営管理者・内部監査

3ラインは「ラインの人たちだけで完結」しません。

2020年代のThree Lines Modelでは、ガバナンスを成立させる最上位の役割として、統治機関（取締役会等）と経営管理者を明示し、 そのうえで内部監査の独立性を強調します。（出典：¹）

---

3. 第1ライン：業務とITが“リスクと統制を所有する”

3.1 第1ラインの定義（システム監査の文脈）

第1ラインは「プロセスやシステムの所有者」です。 IT監査の文脈では、例えば次が含まれます。

• プロダクト/業務部門（業務要件、業務プロセス、データ利用の責任）
• 情シス/インフラ運用（ID管理、設定、運用監視、バックアップ、変更管理など）
• 開発チーム（SDLC、設計レビュー、テスト、脆弱性対応、CI/CD管理など）
• 支援機能（IT、総務、設備など）：Three Lines Modelでは支援機能も第1ラインに含め得る

3.2 第1ラインの責任（責任の核）

• リスクを識別し、評価し、日々の意思決定に反映する
• 統制（コントロール）を設計し、実装し、運用し、証跡を残す
• 例外（統制の未実装、期限切れ、代替統制）の場合、リスク受容の判断とエスカレーションを行う（出典：²）

---

4. 第2ライン：専門機能が“支援し、牽制し、整流化する”

第2ラインは、リスク管理・コンプライアンス・セキュリティ・品質保証などの機能で、 **第1ラインの活動を「リスク関連の観点で補完」**します。

4.1 第2ラインがやること（IT監査に直結）

• ルール整備：ポリシー/標準/手順、統制要求（例：アカウント管理標準、ログ標準など）
• 方法論：リスク評価基準、重要度分類、例外承認プロセス、リスク受容の権限設計
• モニタリング：KRI/KPI、準拠状況、脆弱性や構成逸脱の監視
• “チャレンジ”：現場判断に対する異議・再評価要求
• 横串：全社のリスクを集約し、リスクポートフォリオとして俯瞰

4.2 よくある誤解

• 「セキュリティ部門がリスクを“管理する”」
  • 第2ラインは広い責任を担い得ますが、リスク管理の責任そのものは第1ラインに残る、が基本です。（出典：¹）

---

5. 第3ライン：内部監査が“独立に保証する”

第3ライン（内部監査）は、ガバナンスとリスクマネジメントの妥当性・有効性について、 独立・客観にアシュアランスと助言を提供します。

5.1 第3ラインの責任（IT監査に落とす）

• 監査計画（リスクベース）：重大リスク領域（例：ID/権限、クラウド設定、委託先、BCP等）を優先
• 監査実施：統制の設計・運用有効性の評価、証跡検証、サンプリング、インタビュー
• 指摘：原因分析（Why）、是正・改善の提言、期限とオーナーの明確化
• フォローアップ：是正完了の確認

5.2 独立性の注意（超重要）

内部監査が第1/第2ラインの役割（例：日常運用の承認、セキュリティ例外の許可、設計の“最終決裁”）を担うと、 その領域の「独立した保証」が不可能になります。そうした場合、別の保証提供者が必要になります。（出典：¹）

---

6. リスク管理の大まかな手順

複数フレームワークに共通する“いつもの流れ”を、監査で使える形にまとめます。（出典：³⁴⁵）

6.1 いつもの流れ（8ステップ）

1. 目的と前提を確定（事業目標、対象範囲、外部環境）
2. リスクの識別（リスクシナリオで列挙：資産×脅威×脆弱性×影響）
3. リスク分析（影響×発生可能性、既存統制の有無）
4. 優先順位付け（リスク選好/許容度と照合し、重要順に並べる）
5. リスク対応（回避・低減・移転/共有・受容）
6. 統制の具体化（標準・手順・技術設定、証跡設計）
7. モニタリング/報告（KRI/KPI、例外、インシデント、委託先状況）
8. レビュー/改善（重大変更・事故・監査結果を踏まえ更新）

---

7. 「リスクベース」の“リスク”とは何か

リスクはざっくり言うと「目的達成に対する不確実性の影響」です。 重要なのは、**“発生確率が高い危険”だけがリスクではなく、目的を大きく外す要因（低頻度・高影響も含む）**を扱う点です。（出典：³）

7.1 IT監査でのリスクの典型（分類）

• 情報セキュリティ：機密性/完全性/可用性、ログ、認証、脆弱性
• プライバシー：個人情報の不適切利用、越境移転、委託先管理
• オペレーショナル：運用停止、変更事故、BCP/DR不備
• サプライチェーン：外部委託、クラウド、SaaS、n次委託
• コンプライアンス：法令、規制、契約、監督当局対応

---

8. リスクを「どの線で」「どう判断する」か

監査で揉めやすいポイントは「判断の権限」と「判断の根拠」です。ここでは“判断”を3種類に分けて整理します。（出典：¹³）

8.1 判断の種類

判断	例	主担当（責任）	牽制/承認	監査の観点
A. 運用判断	例：ログ保存期間を30→90日に延長	第1ライン	第2ライン（基準/妥当性）	設計と運用が一致しているか
B. 例外判断	例：脆弱性未修正のまま稼働継続	第1ライン（リスク受容）	第2ライン（例外プロセス/上位承認）	例外の期限・代替統制・根拠
C. 重要判断	例：重要委託の採用/終了、リスク許容度	統治機関/経営	第2ライン（情報集約）	第3ライン（保証）

8.2 “リスク受容”の線引き（実務）

• 第1ラインが受容できるのは「委任された許容度内」
• 許容度を超える（または不確実）場合、第2ラインが整備した例外プロセスに沿ってエスカレーション
• 重大（クリティカル）な論点は統治機関（取締役会等）に上げる

---

9. システム監査でよく使う“基準の作り方”：管理策ベースライン

NIST SP 800-53Bは、システムの影響度レベル（低/中/高）に応じて、 管理策ベースラインを持ち、さらにテーラリングやオーバーレイで環境に合わせて調整する考え方を示します。（出典：⁶）

影響度（低・中・高）→ ベースライン選択 → テーラリング（追加/削除/調整）→ オーバーレイ（環境別の上乗せ）

9.1 3ラインとの対応

• 第1ライン：自システムの影響度（業務影響）を説明し、必要統制を実装・運用
• 第2ライン：影響度分類やテーラリング方針を標準化し、例外管理を統制
• 第3ライン：分類・選定・運用が妥当か（根拠と証跡）を評価

---

10. ケース：クラウド/委託先（サードパーティ）リスク

金融業界を含め、第三者サービス（TPSP）の活用は一般化しており、BCBSは第三者リスク管理の原則を示しています。 重要なのは、ボードが最終責任を負い、リスク許容度（特に“中断に対する許容度”）を明確にし、3ラインに統合する点です。（出典：⁷）

10.1 ライフサイクル（超要約）

1. 戦略（どこまで外部化するか、集中リスクの扱い）
2. リスク評価（サービスの重要性、依存関係）
3. デューデリジェンス（候補TPSPの評価）
4. 契約（監査権、SLA、情報提供、再委託、終了条件）
5. オンボーディング〜継続監視（KRI、インシデント、監査報告）
6. 終了/移行（出口戦略、データ返却/消去、代替手段）

---

11. 監査で見られる“証跡”（初心者が最初に押さえるセット）

監査でよく求められる証跡の典型例を、3ラインの役割分担（責任）と、委託先リスク管理、管理策ベースラインの観点で最小セットとして列挙します。（出典：¹⁷⁶）

• 重要資産台帳（システム/データ/委託）
• リスク登録簿（リスクシナリオ、評価、対応、残余リスク、受容根拠）
• 標準・手順（アクセス管理、変更管理、ログ、バックアップ等）
• 例外管理台帳（期限、代替統制、承認者、再評価）
• 監視結果（アラート、月次レポート、KRI、脆弱性状況）
• 委託先の評価・契約・継続監視資料

---

参考資料

---

原文抜粋

IIA – The Three Lines Model（2020, 日本語訳）（出典：¹）

「３ラインモデル」は、目標達成を最も支援し、かつ、強力なガバナンスとリスク・マネジメントを最も促進するような、組織体の構造を特定し、プロセスを設計し、責任を割り当てるのに役立つ。

---

IIA – ３つのディフェンスライン全体でのＣＯＳＯの活用（2015, 原典は2013モデル参照）（出典：²）

各グループ（または「ライン」）の責任は、以下の通りである。 １．リスクとコントロールを所有し管理する（現業部門の経営者）。 ２．経営者を支援してリスクとコントロールをモニターする（経営者が整備するリスク、コントロール、コンプライアンス機能）。 ３．リスクマネジメントとコントロールの有効性に関して取締役会と上級経営者に独立的なアシュアランスを提供する（内部監査）。

---

NIST SP 800-53B（2020, IPA日本語訳）（出典：⁶）

本出版物は、連邦政府のためのセキュリティおよびプライバシー管理策ベースラインを提供する。 セキュリティ管理策には３つのベースライン（低・中・高のシステム影響度レベルそれぞれに対して１つ）がある。 本出版物では、管理策ベースラインに加えて、テーラリングガイダンスと、（中略）オーバーレイの策定に関するガイダンスを提供する。

---

BCBS – Principles for the sound management of third-party risk（2023）（出典：⁷）

documentation evidencing TPRM processes (eg risks assessment and due diligence results, selection of TPSPs, and monitoring and termination of TPSP arrangements) and decisions (eg third-party strategy and board minutes reflecting a decision to enter into a critical TPSP arrangement) should be maintained in banks’ records.

---

COSO & Deloitte – デジタル時代のサイバーリスクマネジメント（日本語訳）（出典：⁴）

取締役会は、戦略を監視し、ガバナンスの責任を果たすことにより、経営者が戦略と事業目標を達成できるよう支援する。

Footnotes

1. IIA, The Three Lines Model (2020, 日本語訳)。ガバナンス、役割分担、第2・第3ラインの定義。 https://www.iiajapan.com/leg/pdf/data/iia/Three%20Lines%20Model%20_%20An%20Important%20Tool%20for%20the%20Success%20of%20Every%20Organization.pdf ↩ ↩² ↩³ ↩⁴ ↩⁵ ↩⁶ ↩⁷

2. IIA, The Three Lines of Defense in Effective Risk Management and Control (2013, 日本語訳)。第1ラインの責任定義。 https://www.iiajapan.com/leg/pdf/data/iia/201510.pdf ↩ ↩²

3. COSO, Enterprise Risk Management – Integrating with Strategy and Performance (2017)。リスク定義。 https://www.coso.org/Shared%20Documents/2017-COSO-ERM-Integrating-with-Strategy-and-Performance.pdf ↩ ↩² ↩³

4. COSO & Deloitte, Managing Cyber Risk in a Digital Age（日本語訳）。サイバーリスクとガバナンス。 https://www.iiajapan.com/leg/pdf/iia/info/COSO-Deloitte-Managing-Cyber-Risk-in-a-Digital-Age_Japanese.pdf ↩ ↩²

5. COSO, ERM for Cloud Computing（日本語訳）。クラウド利用時のERM。 https://www.iiajapan.com/leg/pdf/data/governance/COSO-ERM-for-Cloud-Computing_Japanese.pdf ↩

6. NIST SP 800-53B（IPA日本語訳）。管理策ベースライン。 https://www.ipa.go.jp/security/reports/oversea/nist/ug65p90000019cp4-att/begoj9000000bbez.pdf ↩ ↩² ↩³

7. BCBS, Principles for the Sound Management of Third-Party Risk (2023)。第三者リスクに対するボード責任。 https://www.bis.org/bcbs/publ/d605.pdf ↩ ↩² ↩³