Special Issue
<IT統制ソリューション特集>取引先からの要求が強まる 企業規模を問わず「IT統制」はすべての企業に
2008/07/28 19:56
週刊BCN 2008年07月28日vol.1245掲載
情報漏えい対策はほとんどの企業に必須
「個人情報保護法」が完全施行された2005年以降、各企業における情報漏えい対策が強化されたことは、まだ記憶に新しい。当初、対象外として積極的に対策を施してこなかった企業も、取引先などからの要請を受け、毎月チェックシートを提出するというようなケースが増えてきている。その内容は非常に細かく、ウイルス対策ソフトの定義ファイル、Windowsのアップデート、ハードディスクドライブの暗号化、定期的なパスワードの変更、クライアントPCのハードコピーなど、さまざまな項目が含まれている。法令の対象でない企業であっても、セキュリティに関して「何もしない」という訳にはいかない状況だ。
取引先の企業の側に立ってみれば、どれほど自社のセキュリティを高めたとしても、その取引対象から情報が漏えいしてしまったら対策の意味がない。サプライチェーンでつながれているすべての企業に対して、自社と同様のセキュリティレベルを求めることは、当然の動きと言えるだろう。
IT統制の構築は上場企業のみならず
内部統制についても、同様の動きが見られるようになった。証券取引法を改正した「金融商品取引法」が施行され、上場企業は09年3月期以降の決算から、内部統制報告書の提出が義務づけられるようになった。いわゆる日本版SOX法の適用である。これらは「上場企業」が対象となっているが、「個人情報保護法」と同様に、対象企業の取引先にも内部統制の強化が求められている。「個人情報保護法」や「内部統制」は、企業規模を問わず、事実上ほとんどの企業が何らかの対策を施す必要に迫られているのだ。
もともと「内部統制」が求められるようになったのは、企業の粉飾決算や証券取引法違反が相次いだからだ。これらの事件によって市場経済の根幹が揺さぶられることになり、市場は大きな打撃を受けた。株価を引き上げるために違法行為を行ったとされるライブドア事件などは、その象徴的な事件であった。この事件をきっかけに、経営者は「決算書を作るプロセスを含めて正しいことを証明する」必要があると日本版SOX法によって定められ、決算書類と同様に監査法人の確認が必要とされるようになった。つまり、財務報告書が正しく作られていることはもちろん、その保証までも求められるようになったということだ。
その基盤作りとして、IT統制を行い、基盤を確立することが求められている。「内部統制」を実現するには、どうしても財務諸表に関連する会計システムや基幹システムに目がいきがちだ。しかし、たとえこれらのシステムを堅牢にしたところで、データの入出力を行っているクライアントPCが正しいデータを入力していなければ、最終的な財務諸表の正確性も疑わしい。クライアントPCを適切に管理・運用できていなければ、内部統制の確立は、到底実現できないのだ。
管理・運用工数の削減も大きなテーマに
実際にIT統制を考慮する場合は、経済産業省が公表した「システム管理基準追補版(財務報告に係るIT統制ガイダンス)」や企業会計審議会が公表した「財務報告にかかる内部統制の評価および監査の基準ならびに財務報告にかかる内部統制の評価および監査に関する実施基準案の設定について(意見書)」などを読み解きながら、必要なツールを導入・運用しなければならない。また、あまり吟味せずに製品を導入すると、管理工数が増大し、本来業務に支障が生じることになりかねない。
実際に、セキュリティ対策や情報漏えい対策などのポイントソリューションを数多く導入し、運用工数の増大を生んでいる企業は多い。また、企業システムの実態を把握しないままポイントソリューションを導入し、その結果うまく運用できずにコントロールできなくなっている企業システムもあるだろう。特に、中堅・中小企業では専任のITマネージャーを配置できないケースも多く、管理工数が増大してしまえば、企業にとっての負担増になるのは必至だ。こういった背景から、管理・運用工数を削減しながらもIT統制を実現したいというニーズが高まっている。
これまでも「何をどうしていいのかわからない」というユーザーに対して、コンサルティングや導入・運用支援が提供されてきた。しかし、決められた予算の中で、これらのサービスメニューを活用することは非常に難しい。「やらなければいけない」のだが「どうすればいいのかわからない」という板挟みの企業は、決して少なくない。
そのような状況において、製品の提供のみならず、IT統制の運用支援サービスを付加し展開しようとしている企業も登場し始めている。セキュリティポリシーの策定もままならず、「何をどうしたらいいのかわからない」という企業でも、これらサービスを活用することで、短期間でIT統制の実運用まで引き上げようとする試みである。
意識のギャップを埋めるツールの活用
また、企業内での意識のズレも課題として挙げられている。独立行政法人情報処理推進機は07年12月、「情報セキュリティに関する脅威に対する意識調査(2007年度第1回)」という報告書を公開した。「情報セキュリティに対する意識(職業別)」をみると、企業の経営者・役員や会社員、契約社員/派遣社員などで、情報セキュリティに対する意識が大きく異なることが明らかになっている。情報セキュリティへの意識が低ければ、そこがリスクとなる。そのギャップを埋めてリスクを低減するには、IT資産管理ツールやロギングツールを活用したセキュリティ監査が有効であろう。これまでも、これらのツールはセキュリティマネジメントを実現すべく活用されてきた。現状を可視化し、次の対策へつなげるツールは、これまで以上に重要となっている。
IT統制は、上場企業だけでなく、中堅・中小企業でも実運用しなければならない状況となっているのだ。