監査を行う主体に関する法的関係

「情報セキュリティ監査」を行う主体に対しては、被監査主体に対する法的責任、監査結果を信頼した第三者に対する法的責任が発生する可能性がある。

被監査主体に対する法的責任

監査を行う主体は、監査の依頼者である被監査主体に対する契約上の責任と、不法行為責任を負う可能性がある。このうち、契約上の責任を明確化するためには、契約の書面化、契約における監査の判断の尺度の具体化が有益であると考えられる。すなわち、「情報セキュリティ管理基準」以外の判断の尺度を追加して用いるような場合は、その旨を契約上明確化しておくことが有益であると考えられる。これは、保証型監査であるか助言型監査であるかを問わず言えることである。

監査結果を信頼した第三者に対する法的責任

「情報セキュリティ監査」を利用した情報セキュリティマネジメントの確立は、訴訟リスクを軽減する可能性があると考えられる。

紛争の終局的解決は裁判所の判断による為、本スキームに基づく「情報セキュリティ監査」もこれによっていることそれ自体をもって、直ちに訴訟上の免責を導くものではないと言える。とはいえ、責任の基礎としての過失の判断においては、一般人の能力、具体的には、インシデント当時において一般的に求められる行為の水準が決め手となる。そのため、本スキームによって示される情報セキュリティマネジメントに共通する枠組みは裁判所の過失の判断に大きな影響を与え、これに従うことは、有責のリスクを軽減することとなると考えられる。