Forgot your password?
Document Actions
ASIS Information Vol.9
月刊セキュリティ研究 2005年4月号掲載
富士ゼロックス株式会社 ビジネスイノベーション事業部
中央大学 研究開発機構 客員研究員
情報セキュリティ大学大学院 講師
工学博士
藤本 正代
米国の情報セキュリティ担当者の関心事
わが国では今、4月に施行される個人情報保護法に向けての対応が、情報セキュリティ担当者の閑心を集めていますが、米国ではエンロン1やワールドコム2の不正事件を受けて制定された企業改革法(サーベインス・オックスレイ法)への対応が、最重要課題として取り組まれています。企業改革法は、2002年7月に成立しました。また、米証券取引委員会(SEC)は、2003年6月に、企業改革法の要求事項をより具体的に明らかにした内容を提示しています。これにより、多くの米国企業は、要求事項に合致した具体策を策定してきました。現時点では、その対策作りがひととおり終了し、見直しを行う第2フェーズに入ったというところです。
企業改革法の要求事項
企業改革法は、平たく言えば、経営者や役員などが、内部統制を適切に実施し、その証拠を第三者が見ても納得がいくような形で残しておくことを要求しています。内部統制というのは、たとえば不正な会計処理を防ぐためのルールを作り、監視することなどを指します。
企業改革法で重要な条項は、第302条「財務報告に関する会社の責任(経営者の民事責任)」、第404条「経営者による内部統制の評価」および第 906条「財務報告に関する会社の責任(経営者の刑事責任)」への対応の3条項と言われています。特に第404条は、どこまで実践すれば、内部統制を適切に実施していると判断できるか、難しい課題を抱えています。
日本版企業改革法の導入も検討されています。たとえば、東京証券取引所では、有価証券報告書等において、不実の記載がないことを代表者が確認することなどを盛り込んだ報告書を公表しています。米国における企業改革法への対応は、多くの日本企業の参考になるでしょう。
情報セキュリティ管理との関係
特に難しいのが、情報が正確であることを証明しなければならない点です。企業改革法の中で、情報セキュリティ管理を義務付けることが明記されているわけではありませんが、日々の業務活動の中で、「財務関連文書」が正しいことを保証できるようになっているかを改めて見直す必要が出てきたといえます。
企業改革法対応として、内部統制のフレームワークを確立する際、よりどころにする資料として、「COSOフレームワーク3」があります。COSOの「内部統制モデル」は、1992年に作成され、2004年には、より経営活動に関する視点を取り入れた「ERM4モデル」が作成されました。COSOフレームワークでは、リスクを評価しそれに基づいて対策を策定し、それが適切に実施されているかどうかを監視するといった一連の内部統制活動のプロセスを規定しています。これを受けて、個々の組織では、財務システムを規定した管理方法に従って機能するように変更するなどの対策を実施します。この一連の要求事項は、情報セキュリティ管理における真正性確保と多くの共通部分を有しています。管理のためのルール、たとえばアクセス権限などは、そのひとつといえます。
記録文書のライフサイクル
この企業改革法への取り組みの中で、重要性が高まってきたのが、「記録文書」です。情報セキュリティ管理の関連から言えば、記録文書が増えることはリスクの増大を意味します。単に企業改革法に対応するためだけの作業という考えて取り組んだ場合、新たに作り出される文書が増え、リスクとコストが増大するといったことになるのです。しかしながら、業務プロセスの効率化を同時に進めるなどの方法で、文書を作成し、活用し、保管し、破棄するといった一連のライフサイクルを見直すことで、逆に文書が減りコスト削減を実現するよい機会としてとらえることも可能なのではないでしょうか。
最近は、文書といっても紙に文字を書いたものだけでなく、画像や動画を含む広義の意味で使うことが多くなりました。録音テープを文書と呼ぶことに抵抗を感じる人はまだ多いでしょう。しかしながら、紙の文書をスキャナで読み込んだ、電子化文書を、紙の文書とすることにはそれ程抵抗を感じないでしょう。このような電子化文書も作成した日付を付加し、改ざんされたことがわかるようにしておけば、十分記録文書として扱うことができるのです。実際に、わが国でも、法令により保存が義務付けられている文書・帳票を電子保、存できるようにするe-文書法が2005年4月から施行されます。
これまで、その必要性を十分に検討せずに蓄積してきた記録文書や活用できていない情報を見直し、どの文書をどのような形式で保管する必要があるのかを再度見直すことが重要です。業務プロセスと文書のライフサイクルは、互いに関連しているので、文書の流れを見ることで、業務プロセスの改善点などが見えてくるのです。企業改革法の導入も、単に守らなければならない法規制としてではなく、業務プロセス改善や文書管理コスト削減の機会と考えるとよいのではないでしょうか。
表1 企業改革法のポイント
| 第302条… | 財務関連の書類やデータの記載が正しいことを会社として確認することを要求しています。経営者は、その内容に責任を持たなければなりません。 |
| 第404条… | 内部統制についてどのようなフレームワークを使用したか、また内部統制の有効性について経営者が評価しなければならないとしています。 |
| 第906条… | 違反した場合、最長10年の禁国刑か100万ドルの罰金、あるいはその両方の刑事罰が加えられます。故意に違反した場合には、最長20年の禁固刑か500万ドル以下の罰金、あるいはその両方の刑事罰が加えられます。 |
1 エンロンはエネルギー開運の製品をインターネットで取引するビジネスで急成長した米国企業。2001年に巨額の簿外債務があるなどの不正が発覚し倒産した。
2 ワールドコムは、1983年に設立され米国第2位にまでなった長距離通信会社。2002年に粉飾決算によって40億ドル近い利益をねつ造していたことがわかり経営破綻した。
3 COSOは、トレッドウェイ委員会組織委員会(Committee of Sponsoring Organizations of Treadway Commission)の略称で、米公認会計士協会(AICPA)、米内部監査人協会(IIA)などにより設立された団体。
4 ERMは、Enterprise Risk Managementの略