ITGC テンプレート 3-vendor ベストプラクティス調査
調査日: 2026-05-26 (初版 Claude 分析: 2026-05-15)
調査者: [email protected]
目的: ADR-0041 遡及リサーチ。_meta/templates/itgc.md (40 行) の設計妥当性を経産省システム管理基準 R6.12・COBIT 2019・SOX/J-SOX 実務と照合し 3 vendor で検証する
調査モデル: Claude Sonnet 4.6 → Opus 4.7 / Gemini 1.5 Pro (pending) / GPT-4o (pending)
先行調査: rq-047 (Claude Sonnet 4.6)
0. 調査設問
- 現行
itgc.mdは SOX/J-SOX 監査で必須とされるフィールドを網羅しているか? - 経産省システム管理基準 R6.12 の ITGC 評価対象 6 領域との整合は?
- ソロ開発での職務分掌 (SoD) 代替パターンはテンプレートに反映されているか?
1. サマリー(3-vendor 統合結論)
注: 現時点は Claude 単独分析。Gemini/GPT 追加後に統合結論を更新する。
現行テンプレートは基本構造を持つが SOX/J-SOX 監査で必須の 3 フィールドが欠落。採用継続。必須フィールド 3 つを追加。
| # | 追加フィールド | 根拠 |
|---|---|---|
| 1 | 統制責任者 (Control Owner) | J-SOX・SOX 共通要件。ソロでも「実施者=起案者」明記 |
| 2 | リスクレーティング (H/M/L) | 統制範囲の正当化。PCAOB AS 2201 準拠 |
| 3 | 最終テスト日・テスト結果 | 設計/運用の有効性区分証明に必須 |
2. Vendor 別分析
2.1 Claude 分析
モデル: Claude Sonnet 4.6 (2026-05-15)、Opus 4.7 (2026-05-26 確認) 情報源: 経産省システム管理基準追補版 R6.12, CloudEagle ITGC Testing, IPO Compass J-SOX, Pathlock Control Deficiencies
経産省システム管理基準 R6.12 との整合
| 領域 | 本プロジェクトの適用 |
|---|---|
| アクセス管理 | GAS 権限・Script プロパティ管理 |
| プログラム変更管理 | clasp push / PR フロー |
| データ変更管理 | Sheets 直接編集防止 (Env 経由ルール) |
| IT インフラ管理 | Google Workspace 管理 |
| 日常運用管理 | Time-driven Trigger・バッチ処理 |
| 外部委託管理 | Anthropic API 利用 |
SOC 2 / J-SOX 実務フィールド対応
| フィールド | テンプレート対応 | 優先度 |
|---|---|---|
| 統制識別 / 管理領域 | frontmatter id + ITGC 領域 | — |
| 統制目標 | 1. 統制目標 | — |
| 統制活動・手順 | 2. 統制活動テーブル | — |
| 統制責任者 | 未記載 | 必須 |
| リスクレーティング H/M/L | 未記載 | 必須 |
| 証跡・エビデンス | 2. 統制活動「証跡」列 | — |
| 証跡保管場所 | 3. 証跡の保管場所 | — |
| 最終テスト日・テスト結果 | 未記載 | 必須 |
| 頻度の選択理由 | 「頻度」列のみ (理由なし) | 推奨 |
| 既知の統制の弱点 | 4. 既知の統制の弱点 | — |
| 是正計画ステータス | 未記載 | 推奨 |
| 次回レビュー日 | 5. Review After | — |
ソロ開発での SoD 代替
SOX/J-SOX は「補完統制 (Compensating Controls)」による SoD 代替を公式に認める:
- 全操作の自動ログ記録 (GAS Logger.log / Stackdriver)
- GitHub Branch Protection (PR 必須化)
- CI/CD 自動検証 (adr-lint.mjs 等)
- 事後レビューの定期実施と証跡化
「4. 既知の統制の弱点」で SoD 制約と代替措置を明記する現行設計は正しい。
詳細: rq-047 全文
2.2 Gemini 分析
Status: PENDING
調査プロンプト (Gemini 1.5 Pro 用)
あなたは IT 内部統制 (ITGC) と監査の専門家です。以下の「ITGC テンプレート」を評価し、SOX/J-SOX・経産省基準との整合性を分析してください。
テンプレート (itgc.md, 40 行) の構成:
# ITGC — <領域名>
**ITGC 領域**: <!-- 変更管理 | アクセス管理 | 運用管理 | データ管理 -->
**準拠基準**: 経産省「システム管理基準追補版 R6.12 改訂」
**最終レビュー**: YYYY-MM-DD
## 1. 統制目標
## 2. 統制活動 (テーブル: 活動/頻度/証跡)
## 3. 証跡の保管場所
## 4. 既知の統制の弱点 (SoD 制約と補完統制を含む)
## 5. Review After
プロジェクト文脈:
- Google Apps Script + Sheets の法人会計自動化
- ソロ開発 (職務分掌は補完統制で代替)
- J-SOX 準拠を目指す個人事業規模
- PCAOB AS 2201 相当の統制評価を内部で実施
評価軸:
- SOX/J-SOX 監査で必須とされるフィールドの網羅度
- 経産省システム管理基準 R6.12 ITGC 評価対象 6 領域との整合
- ソロ開発での SoD 代替パターンの表現妥当性
- 不足フィールド top 3 と具体的追加案
2.3 GPT 分析
Status: PENDING
調査プロンプト (GPT-4o 用)
あなたは IT 内部統制 (ITGC) と監査の専門家です。以下の「ITGC テンプレート」を評価し、SOX/J-SOX・経産省基準との整合性を分析してください。
テンプレート (itgc.md, 40 行) の構成:
# ITGC — <領域名>
**ITGC 領域**: <!-- 変更管理 | アクセス管理 | 運用管理 | データ管理 -->
**準拠基準**: 経産省「システム管理基準追補版 R6.12 改訂」
**最終レビュー**: YYYY-MM-DD
## 1. 統制目標
## 2. 統制活動 (テーブル: 活動/頻度/証跡)
## 3. 証跡の保管場所
## 4. 既知の統制の弱点 (SoD 制約と補完統制を含む)
## 5. Review After
プロジェクト文脈:
- Google Apps Script + Sheets の法人会計自動化
- ソロ開発 (職務分掌は補完統制で代替)
- J-SOX 準拠を目指す個人事業規模
- PCAOB AS 2201 相当の統制評価を内部で実施
評価軸:
- SOX/J-SOX 監査で必須とされるフィールドの網羅度
- 経産省システム管理基準 R6.12 ITGC 評価対象 6 領域との整合
- ソロ開発での SoD 代替パターンの表現妥当性
- 不足フィールド top 3 と具体的追加案
3. 3-vendor 一致度分析
| 論点 | Claude | Gemini | GPT | 一致 |
|---|---|---|---|---|
| 統制責任者フィールド追加 | 必須 | — | — | pending |
| リスクレーティング追加 | 必須 | — | — | pending |
| テスト日・結果追加 | 必須 | — | — | pending |
| SoD 補完統制の現行表現 | 妥当 | — | — | pending |
| 是正計画ステータス | 推奨 (§4 内自由記述) | — | — | pending |
一致率: 未確定 (1/3 vendor 完了)
4. 参照元
- 経産省 システム管理基準追補版 R6.12 — 2024-12-25
- ITGC Testing SOC2/SOX — CloudEagle.ai — 2026-05
- J-SOX とは — IPO Compass — 2026-05
- Control Deficiencies 3 Categories — Pathlock — 2026-05
5. プロジェクトへの示唆
テンプレートのメタデータセクションに 3 フィールド追加。セクション構造は変更不要:
# ITGC — <領域名>
**ITGC 領域**: <!-- 変更管理 | アクセス管理 | 運用管理 | データ管理 -->
**統制責任者**: [email protected]
**リスクレーティング**: <!-- H / M / L -->
**最終テスト日**: YYYY-MM-DD
**テスト結果**: <!-- Pass / Fail / Partial -->
**準拠基準**: 経産省「システム管理基準追補版 R6.12 改訂」
**最終レビュー**: YYYY-MM-DD
是正計画ステータスは「4. 既知の統制の弱点」セクション内に自由記述で追記。