ITGC テンプレート記述標準調査
調査日: 2026-05-15 調査者: [email protected] (Claude Sonnet 4.6 調査) 目的: ADR-0041 遡及リサーチ。経産省システム管理基準 R6.12・COBIT 2019・SOX/J-SOX 実務との整合性検証 調査モデル: Claude Sonnet 4.6(Gemini/GPT 追加調査は別途)
1. サマリー(結論・採用判断)
現行テンプレートは基本構造を持つが、SOX/J-SOX 監査で必須とされる3フィールドが欠落している。採用継続。ただし必須フィールド3つを追加する。
追加必須:
統制責任者(Control Owner)— J-SOX・SOX 共通要件。ソロ開発でも「実施者=起案者」として明記リスクレーティング(H/M/L)— 統制範囲の正当化に必要。PCAOB AS 2201 準拠最終テスト日・テスト結果— 「設計の有効性」と「運用の有効性」の区分証明に必須
2. 調査内容
2.1 経産省システム管理基準 R6.12(2024年12月改訂)
ITGC 評価対象 6 管理領域:
| 領域 | 本プロジェクトの適用 |
|---|---|
| アクセス管理 | GAS 権限・Script プロパティ管理 |
| プログラム変更管理 | clasp push / PR フロー |
| データ変更管理 | Sheets 直接編集防止(Env 経由ルール) |
| ITインフラ管理 | Google Workspace 管理 |
| 日常運用管理 | Time-driven Trigger・バッチ処理 |
| 外部委託管理 | Anthropic API 利用 |
「情報資産の管理方針および体制は文書化され、経営陣が承認している」を要件とするが、個人事業規模への厳格な強制ではなく自社実情に合わせた適用が前提。
2.2 SOC 2 / J-SOX 実務で標準的な ITGC 文書フィールド
| フィールド | 現テンプレートの対応 | 優先度 |
|---|---|---|
| 統制識別 / 管理領域 | frontmatter id + ITGC 領域フィールド ✓ | — |
| 統制目標 | 1. 統制目標 ✓ | — |
| 統制活動・手順 | 2. 統制活動テーブル ✓ | — |
| 統制責任者 | 未記載 | 必須 |
| リスクレーティング H/M/L | 未記載 | 必須 |
| 証跡・エビデンス | 2. 統制活動「証跡」列 ✓ | — |
| 証跡保管場所 | 3. 証跡の保管場所 ✓ | — |
| 最終テスト日・テスト結果 | 未記載 | 必須 |
| 頻度の選択理由 | 2. 統制活動「頻度」列のみ(理由なし) | 推奨 |
| 既知の統制の弱点 | 4. 既知の統制の弱点 ✓ | — |
| 是正計画ステータス | 未記載 | 推奨 |
| 次回レビュー日 | 5. Review After ✓ | — |
2.3 ソロ開発での職務分掌(SoD)代替パターン
SOX/J-SOX は「補完統制(Compensating Controls)」による SoD 代替を公式に認める。認められる代替措置:
- 全操作の自動ログ記録(GAS
Logger.log/ Stackdriver) - GitHub Branch Protection(PR 必須化 → 自己レビューの強制)
- CI/CD による自動検証(adr-lint.mjs 等)
- 事後レビューの定期実施と証跡化
重要: 補完統制も「文書化・定期テスト済み」が条件。ITGC テンプレートの「4. 既知の統制の弱点」セクションで SoD 制約と代替措置を明記する現行設計は正しい。
2.4 「既知の統制の弱点」明示の監査的位置づけ
ベストプラクティスかつ実質要件。PCAOB AS 2201 は全統制欠陥の3段階分類(Control Deficiency / Significant Deficiency / Material Weakness)を義務付け。弱点を自発的に文書化し補完統制を明記することは、「管理層が内部統制の限界を認識・管理している」証拠となり監査人の信頼を高める。
3. 参照元
- 経産省 システム管理基準追補版 R6.12 — 2024-12-25
- ITGC Testing SOC2/SOX — CloudEagle.ai — 2026-05 参照
- J-SOX とは — IPO Compass — 2026-05 参照
- Control Deficiencies 3 Categories — Pathlock — 2026-05 参照
4. プロジェクトへの示唆
現行テンプレートのメタデータセクションに以下3フィールドを追加。セクション構造は変更不要:
# ITGC — <領域名>
**ITGC 領域**: <!-- 変更管理 | アクセス管理 | 運用管理 | データ管理 -->
**統制責任者**: [email protected](← 追加)
**リスクレーティング**: <!-- H / M / L(← 追加)-->
**最終テスト日**: YYYY-MM-DD(← 追加)
**テスト結果**: <!-- Pass / Fail / Partial(← 追加)-->
**準拠基準**: 経産省「システム管理基準追補版 R6.12 改訂」
**最終レビュー**: YYYY-MM-DD
是正計画ステータスは「4. 既知の統制の弱点」セクション内に自由記述で追記(構造化不要)。