議事録
第19回議事録
2018/6/29
概要
- 2018/06/29 8:00-9:30
- 参加者:楠,林,佐藤、荻生、肥後、中島、須賀、樋田、鈴木、杉井、上原,松尾
agenda
- Agenda Bashing, Note Taker
- 過去議事録の確認・承認
- Status update
- Security WG Item
- Multi Stakeholder Process and Trust Framework
- Discussion time
- AOB / Housekeeping
- Tasks and To-Dos
議事サマリ
agenda1 Agenda Bashing, Note Taker
- なし
agenda2 過去議事録の確認・承認
- 第16回承認
agenda3 ステータスupdate
- BoT
- 会のホストについては後ほど
- リエゾン、関連団体進捗
- 新団体
- 会長と会合の予定がある
- この会は新団体のワーキンググループではなく、独立した立場でこういったものをまとめて、I-Dで公開するのと、TC307のドキュメントとして持っていくことを当面のゴールしているということを説明する予定
- 金融庁参事官
- TC307状況の説明が主題
- 成果物の現在の状態を見せても良いか
- (異議なし)
- JWG4については、進捗なし
- JBA
- 肥後が代表理事に。杉井も新たに理事に。加納は理事に。
- 新団体
agenda4 SecWG
- 議題
- WGを火曜と昨日に開催
- Internet Draftは、目次時点で公開したい。おおよそFixした.
- terminology。こちらもI-Dで来週ポストする。何を載せるか、の議論をした。
- 結論
- 目次
- 8章は3階層まで、9章は2階層までの公表とする。
- ページへの掲載まで含めて一任する。
- publishしたI-Dをwebに随時掲載するか
- 公表するところまで一任
- 目次
- 議論
- terminologyは別のドラフトに切り出した。
- 7/2までにI-Dとして01verとして投稿する。前回00ver、今回を01verとする。
- RFC4949 Internet security glossaryなどから引用もしつつ、ある程度埋めれたら7/2に投稿したい。
- TFに支援や協力を求めるところはあるか
- 少しでも手伝っても良いよ、と言う方は参加していただきたい。基本はWGで進める.
- publishしたI-Dをwebに随時掲載するのかどうか
- 公表するところまで一任
- terminologyは別のドラフトに切り出した。
agenda5 Multi Stakeholder Process and Trust Framework
- 議題
- 本日は頭出しのみ
- リエゾンしている団体と役割を分担するのか、我々として、自分たちの立ち位置や役割を整理するプロセスは何かしら必要だと考えている。
- 一部の人では、それをトラストフレームワークという概念で捉えていた。
- 枠組み・仕組みの議論が今後必要だろうと思っている。
- 議論・質疑
- 参考資料1
- ポリシーを作る人、運用する人、監査する人を分けて、やらなきゃいけないことを団体組織間で共有する。
- ポンチ絵(参考資料)のように,認定自主規制団体との関係や標準化団体との関係、当局の関係をモデル化して、次回以降議論するということか?
- その通り。
- 参考資料1
agenda6 Discussion
- 立命館への移動について
- 移動するものは何で、どういう形で移動するか。
- お財布(会計)、文書、が移動できれば実務上は良いが、手続き上の話がある。
- 移動なのか、立命館側にゼロから発生するのか、そのコンセンサスを得ておかないと、立命館側に渡せないという課題感がある
- 名前もそう。OO研究会でないといけない、など大学で受け入れるにあたりのクライテリアはあるか
- 形態
- 管理してくれる部署と詰めている。参考になるのは,立命館大学HPの研究機構の下に、コンソーシアムという名前で、複数あるが、そういう形態をとるのか、もっとゆるい形が良いのか。
- 任意団体だと今とあまり変わらない。かつ、会社から寄付やJoinの説明が難しいケースがあるのではないか?
- 研究コンソーシアムという名前にすると、お金を管理してくれる。
- お金は払いやすい、と思った反面、コンソーシアムということは会員企業という形で、会社名で名を連ねていくことになるのか
- そう。だが名を連ねるやり方は、コンソによって違う。お金払った人、の場合も、お金によってランクづけしてたり、もあるみたい。
- 議論ではコンソーシアムが良いのではないか、となっているが、その場合、どういう準備・事務作業が必要か?
- 担当部署に聞いている。
- 立命館のコンソーシアムとして進めていくということで異議はないか
- 異議なし。その方向で進める。
- 移動するものは何で、どういう形で移動するか。
- TFメンバー
- Facebook経由で募った.現在17名
- キーパーソンについては個別にリマインドする。
- 7月以降の活動をどうするか
我々のアウトプットは「基準」なのか?
- FISCでは実際の監査やチェックの体制はどうなっているか、を参考にできるのでは?
- FISCのガイドラインと比べると、我々が準備している文章は、コンセプトとかoverviewしか入っていないので、具体的な監査項目に落ちて行かないと思う
- 証券業が一番近いリファー対象になると思うが、おそらく各証券会社が監査法人等に依頼して、自己監査・自己宣言していく、というレイヤーと、プラスアルファ、認定自主規制団体である日証協がその通りやっているか、というのを監査権を持って実施する、の2段階がある。
- 立ち入り検査も含めて、認定自主規制団体が指名され、そこがそういう権限を持っていくのが、あるべき姿だと思っている。
どこまでやるか
- 標準化活動の一環として要件の整理を行なっているが、指差し確認レベルまで文章をブレイクダウンするところまでの意思はない、と思っている。
- 我々が出したいくつかの紙を元に、新団体にて監査項目にブレイクダウンできるのかというとハードルはそうとう高いと思われる
- 要件出し、まで。基準づくりは他でやるべきかな。新団体など。基準づくりとなると、今回のメンバーとメンバーも違ってくるのでは。このメンバーでこのまま基準作りは難しいんじゃないかな、と思う。
- 新団体の体制作りを待っていたら基準づくりは後回しになってしまって進まないよね、となるのであれば、最終的には、別所でやるべきだが、プレとして先出しとしてやっても良い。
本会の活動内容の紹介
- プレゼンテーションデッキを共有して、皆さんが講演する時などに紹介できるようにしていく、とか地道な活動は色々あると思うが
- 紹介をすると必ず「これってどこまでやるつもりなの?」と聞かれることになる。
自分たちの立ち位置の整理
- ドキュメントを出したとしても結局それが、規制を作る人にきちんとリファーして使ってもらわないと、頑張っているのが水の泡。
- 自分たちは規制を作るわけではないが、規制の前段階のドキュメントを作っている。実質的にこれを参照しないわけにはいかないよね、という立場にできると良い。
- この先の作業やってくれるの、と聞かれた時に、どう答えるのか。
- ステークホルダーの整理とセットで考えるべき
現在の認識(ここまでの議論)のまとめ
- FISCと平仄を合わせる、となればFISCとも連携して行かないといけないし、新団体も、どこかのタイミングで、認定自主規制団体としての監査の内容を作っていく委員会を立ち上げざるを得ない。そういった時に、リファーしてもらうのと同時に、このメンバーからも適任がいたら紹介をする、あるいは、この会自体は、独立した存在として、大学の研究会として存続し、色々なコンセプトのドキュメントを発信していき、それをブレイクダウンしていくところというのは、監査実務にも精通した方々や、事業者でそれをビジネスをしていこう方々に入って頂く形でそれを作る。それがFISCの中にできるのか、認定団体にできるのか、別の形でできるのか、は依然として宙ぶらりんになっていて、それは業界団体も金融庁も考えて行かなくては行かない、という認識で現在は良いか。
- 規範にフォーカスしてきた。日本だけで通用するものではなく、国際コンセンサスに近い形でレビューをしてもらえるようにしていこう、ということで、I-Dとして出す、TC307のドキュメントとして出す、という判断をしているし、これだけでも、まだ作業としてはたくさん残っているし、粛々と進めていく。
- それがあっても監査できないですよ、というのはその通りだけれども、だからこれをやる意味ないとはならない。
- 残りの作業を誰が担っていくのか、はここで結論の出る話ではないが、おそらく、必要としている人は金融当局も含めて色々あるのだから、然るべきステークホルダーを集めてその中に我々も先に議論していたものとして入るかもしれない。
- この会のミッションとして、コンセプトのドキュメントを国際的な文書として発行していく、という機能を持ちつつ、協力を求められたら、会として、メンバーをご紹介などで関与をしていく。というのはコンセンサスにできる
監査実務は、監査法人、会計事務所が受け持つことになると思う。そういう話は出ているか
- 会計基準については、会計基準を4大監査法人で話す場があり、そこで決まっていく。一方で、システム監査については、そういう集まりがはっきりあるかというと、公認会計士協会の中で、そういう分野はあるが、合議をしているかは定かではない。
- 会計基準は合議しているが、システム監査の基準を合議で決めているか、は定かではない
実態判断
- KYC/AMLの話とセットで、結局のところ、規範を守っているか、ではなく、警察も金融庁も見ているのは、それで事故が起こっているか起こってないのか、を見る。よく実態判断という言い方をするが、その実態判断と規範がどのくらい整合が取れているのか、というフィードバックの仕組みは得ていく必要があって、それは、過去の事件から学ぶ、というところと、実務に携わっている人のレビューを入れていく、というところで担保して行かないといけないのだろうと思う
- 改めて、欲しいのは、CC事件もMtgox事件も何であったか、未だに明らかにされていない。これは、両方の事件とも今後犯人が捕まるとも考えにくいので、今のまま捜査情報だからといって全部秘密にされてはどうにもならない。それではPDCA回らないけど、いいの?、というのは言って行かないと
金融庁、FISC、認定団体と一回がっつり話をする
- 登録仮想通貨交換所の現場のエンジニアでこの活動に入ってくれる人をリクルーティングするところもクリアして行かないと。
金融庁が直接オブザーバーとして入ってくるような場を、我々は目指したいんだっけ
- そこはむしろ認定自主規制団体にホストしてもらう方が(適切ではないか)。我々がここに形式的に呼びにいくよりは、ちゃんとシステム部会を作ってください、と。そこに我々からセキュリティの専門家は呼べます。新団体で事業者はお願いします、と。そこに金融庁来てください、という方が、お互い色々やりやすいのではないか。
- ただし、その場は、現状のここのように、ざっくばらんではなく、もうちょっとピリピリした場になる可能性がある.
引き続き議論を続けていく