« 2007年9月 | トップページ | 2007年11月 »

■IT統制de会社法対策■
「内部統制システム構築の基本方針」新年度版作成に向けて 06

本シリーズでは、会社法とその実務ガイドラインにあたる会社法施行規則の中で、特に内部統制に関連する表記部分をピックアップしています。今回も引き続き、各規則の統制ポイントと、必要と考えられるIT統制に関して解説を進めたいと思います。

◎会社法施行規則 第100条第1項第2号

損失の危険の管理に関する規程その他の体制

ここで言う「損失」の定義を、いかに的確に解釈し、具体策を講じていくかで企業のリスク管理能力が決まると言っても過言ではありません。まず損失への対策として、最重視すべき統制ポイントはコンプライアンスです。今後は法令遵守を社内通達や告知で行うのではなく、ITによって物理的に徹底することが重要です。そんな中、今後特に重点的に取り組むべき法律は下記の4法が考えられます。今回は、その4法に関して、想定すべきケースと、必要となるIT統制を考えたいと思います。

1.個人情報保護法
2.不正アクセス防止法
3.著作権法対策
4.不正競争防止法

まず今週は個人情報保護法について解説します。

1.個人情報保護法

個人情報に関しては、1件でも不正流出があれば甚大な損害を発生すると捉えるべきです。具体的に、下記のようなケースを想定し、またIT統制を導入することが重要になると考えられます。

■想定ケース①/社員本人が全ての個人情報ファイルを把握できていない

■ IT統制①/個人情報関連ファイル探査機能整備

■想定ケース②/オリジナルの顧客データを社員各自がソフトで加工

■IT統制②/ソフトで加工されたファイルも対象にした個人情報探査

■想定ケース③/未認可ソフトによる顧客データ加工

■IT統制③/利用禁止ソフトウェアの起動制御

■想定ケース④/WinnyなどのP2Pソフトで個人情報が流出

■IT統制④/利用禁止ソフトウェアの起動制御

■想定ケース⑤/リース返却PCから個人情報が流出

■ IT統制⑤/HDD内データ完全消去管理体制整備

■想定ケース⑥/個人情報関連ファイルをUSB メモリにコピーして持ち出し

■IT統制⑥/外部記憶媒体へのデータコピー制御

いかがでしょうか、IT統制のポイントをご理解いただけたでしょうか。次回は残り3つの法制度対策について解説いたします。

なお、クオリティでは、今回ご紹介したIT統制に即活用できる各ツールを幅広くご用意しています。詳細はテクノロジーサイトでご確認ください。

Dr.QがITサプリをお届けしました。 次回もお楽しみに。

なお、現在クオリティでは、今回ご紹介した「システム管理基準の管理項目と統制目標の対応」をベースに「内部統制チェックテスト2」を公開しています。質問に答えることで、御社のIT 統制の到達度をチェックできます。ぜひトライしてください。

Banner_itrisk
内部統制チェックテスト2

10月 31, 2007 ■IT統制de会社法対策■ | | トラックバック (0)

■IT統制de会社法対策■
「内部統制システム構築の基本方針」新年度版作成に向けて 05

会社法とその実務ガイドラインにあたる会社法施行規則の中で、特に内部統制に関連する表記部分をピックアップしている「IT統制de会社法対策」。今回も引き続き 、「会社法施行規則 第100条第1項第1号」に関する統制ポイントと、必要と考えられるIT統制に関して解説を進めていきます。

◎会社法施行規則 第100条第1項第1号
取締役の職務の執行に係る情報の保存及び管理に関する体制

この規則を遵守するためには、下記の3つの統制ポイントがあり、それぞれにIT統制が必要です。

  1. 取締役の職務に関する重要情報の管理体制整備
  2. 取締役の法令違反、およびその可能性に関する事実および事項の監視・発見体制の確立
  3. 取締役が職務上使用した情報に関して、監査部および監査役会などで定期的に分析できる体制の確立

その1については先週紹介しましたので、今回は残りの2と3の解説を行います。

2.取締役の法令違反、およびその可能性に関する事実および事項の監視・発見体制の確立

■IT統制①:取締役が利用するクライアントPCに対する脆弱性監査■
機密ファイルが集中する可能性が高い取締役のクライアントPCは、従業員以上の監査レベルで脆弱性監査を行う必要があります。特に重点的に取り組むべきポイントは下記の5つでしょう。

  • 不正ソフトウェアの起動制御
  • 不正ソフトウェアのアンインストール
  • ウイルス対策ソフトウェアの定義ファイル更新管理
  • 業務用ソフトウェアのセキュリティパッチ更新管理
  • 業務用自社開発ソフトウェアのアップデート管理

■IT統制②:取締役が利用するクライアントPCに対するモニタリング■
内部統制システムを正常稼動させるためには、監査役のクライアントPCも例外ではありません。各情報(ファイル)に対してどのような操作を行ったのか、モニタリングして可視化する必要があります。全ての操作ログの収集が必須になると考えられます。

  • アプリケーションの起動記録
  • ドキュメントの参照記録
  • Webサイトへのアクセス記録
  • ファイルの操作記録
  • eメールの送受信記録
  • プリント出力記録
  • アクティブウインドウタイトル記録
  • FTPサイトへのアクセス記録
  • クリップボードへの利用記録
  • デスクトップ画面のスクリーンショット記録

上記10のログが収集されることで、各情報(ファイル)の利用状況と取締役の業務を全て可視化できます。万一の場合は、証拠として有効活用も可能となります。

3.取締役が職務上使用した情報に関して、監査部および監査役会などで定期的に分析できる体制の確立

■IT統制■
各取締役のクライアントPCから収集された各情報を、定期的にレポート化できる体制の整備が重要です。

  • Webアクセス状況
  • 不審Webアクセス状況
  • サーバファイルアクセス状況
  • メール送信状況
  • 禁止ソフトウェア導入状況
  • 個人情報ファイル保有状況
  • ファイル別個人情報ポイント状況
  • クライアント脆弱性診断状況

内部監査部、監査役からの要請に対して、速やかにレポートを提出できれば、リスクの最小化にも効果的です。

Dr.QがITサプリをお届けしました。 次回もお楽しみに。

なお、現在クオリティでは、今回ご紹介した「システム管理基準の管理項目と統制目標の対応」をベースに「内部統制チェックテスト2」を公開しています。質問に答えることで、御社のIT 統制の到達度をチェックできます。ぜひトライしてください。

Banner_itrisk
内部統制チェックテスト2

10月 24, 2007 ■IT統制de会社法対策■ | | トラックバック (0)

■IT統制de会社法対策■
「内部統制システム構築の基本方針」新年度版作成に向けて 04

会社法とその実務ガイドラインにあたる会社法施行規則の中で、特に内部統制に関連する表記部分をピックアップしている「IT統制de会社法対策」。今回も引き続き 、各規則の統制ポイントと、必要と考えられるIT統制に関して解説を進めたいと思います。

◎会社法施行規則 第100条第1項第1号

取締役の職務の執行に係る情報の保存及び管理に関する体制

この規則を遵守するためには、具体的に下記の統制ポイントとIT統制が必要になると思われます。

1.取締役の職務に関する重要情報の管理体制整備

■IT統制:重要文書の暗号化とアクセス制限および操作ログ収集■
特に経営判断に直結する重要なドキュメントは全て、認証キー付暗号化ファイルでの運用が必須になると考えられます。

  • 認証キー付PDFなどによる機密文書配信システムの整備と運用の徹底
  • 取締役個々に応じたファイルアクセス権限設定
  • ファイル操作ログの収集

結果、ファイル単位での操作履歴をチェックできるため職務遂行状況も管理可能となります。

いかがでしょうか。次回は、「◎会社法施行規則 第100条第1項第1号」の2と3の規則についてご紹介します。

Dr.QがITサプリをお届けしました。 次回もお楽しみに。

なお、現在クオリティでは、今回ご紹介した「システム管理基準の管理項目と統制目標の対応」をベースに「内部統制チェックテスト2」を公開しています。質問に答えることで、御社のIT 統制の到達度をチェックできます。ぜひトライしてください。

Banner_itrisk
内部統制チェックテスト2

10月 17, 2007 ■IT統制de会社法対策■ | | トラックバック (0)

■IT統制de会社法対策■
「内部統制システム構築の基本方針」新年度版作成に向けて 02[訂正版]

※2007年10月3日16時に公開しました「■IT統制de会社法対策■<BR>「内部統制システム構築の基本方針」新年度版作成に向けて 02」の記事内容に誤りがありました。お詫びして訂正いたします。

前回からスタートした新シリーズ「IT統制de会社法対策」。会社法とその実務ガイドラインにあたる会社法施行規則で内部統制に関連する表記部分に関して、前回は解説しました。さて今回からいよいよ、各規則の統制ポイントと、必要と考えられるIT統制に関して解説を進めていきたいと思います。

● 会社法施行規則第100条第1項第4号 ●
使用人の職務の執行が法令及び定款に適合することを確保するための体制

この規則を遵守するためには、具体的に下記の3つの統制ポイントとIT統制が必要になると思われます。

  1. 従業員に対する企業理念、企業行動規範、企業行動基準及びグループ企業倫理規程の遵守に対する徹底
  2. 従業員の業務における法令遵守状況に関して、監査部および監査役会などで定期的に分析できる体制の確立
  3. 従業員の法令違反、およびその可能性に関する事実および事項の発見・連絡体制の確立

今回はその中の1と2の解説を行います。

1.従業員に対する企業理念、企業行動規範、企業行動基準及びグループ企業倫理規程の遵守に対する徹底

■IT統制■
文書通達の限界と、性善説の限界を認識すべきです。IT統制によって、従業員のコンプライアンス(法令遵守)を物理的に徹底管理していく必要があります。具体的に今後のIT統制は、下記の法律に関しても遵守対象として検討・強化を図る必要があります。

  • 著作権法
  • 不正アクセス防止法
  • 個人情報保護法
  • 不正競争防止法

特に、今後の法整備動向として個人情報保護法は「個人」が刑罰対象になる可能性があります。従業員が知らず知らずのうちに個人情報保護法に抵触する行為を行ってしまうケースを、未然にIT統制で防止することも重要になります。

2.従業員の業務における法令遵守状況に関して、監査部および監査役会などで定期的に分析できる体制の確立

■IT統制:①社員の業務内容に対するモニタリング■
従業員が利用している全てクライアントPCの操作ログを収集し、モニタリング体制を確立する必要があります。

  • クライアントPC上でアクティブになったウインドウタイトル履歴
  • クライアントPC上で操作されたファイルの履歴
  • アクセスしたファイル履歴
  • プリンタ名、ログオンユーザ名、印刷ドキュメント名履歴
  • Webサイトへのアクセス履歴
  • ユーザの送受信アドレス、添付ファイルを含むMailの送受信履歴
  • FTPサイトに対するファイルのアップロード・ダウンロード履歴
  • クライアントPCで起動した全てのプロセス

上記の操作ログを収集できれば、不正行為も即座に発見できるだけでなく、万一の場合の証拠としても有効活用できます。また不正行為の抑止にもつながることは言うまでもありません。

■IT統制:②機密文書に対するフレキシブルな操作制御の設定■
機密文書に関しては、電子ファイルでの社内の運用が基本となります。具体的には、下記の機能システムに強化することで統制効果を期待できます。

  • 暗号化を基本とした機密文書専用配信システムの確立
  • 機密文書(電子ファイル)受信者のレベルに応じた操作権限の設定
  • 受信者のファイル操作ログ収集
  • 配信後のファイルの無効化機能

■IT統制:③業務で活用されるクライアントPCに対するモニタリング■
クライアントPCの利用状況に対してモニタリング体制を整備することも要求されます。特に重視されるのは、下記の4点です。

  • 不正アプリケーションの利用状況
  • 不正アプリケーションの起動制御
  • セキュリティソフトの定義ファイル適用状況
  • アプリケーションのパッチファイル適用状況


■IT統制:④ネットワークに対するモニタリング■
特に従業員が利用する基幹ネットワークに対するモニタリング体制も必須です。

  • 私物PCの基幹ネットワークへのアクセス禁止
  • セキュリティポリシ違反PCの基幹ネットワークへのアクセス認証
  • ネットワーク構成機器の接続状況モニタリング

■IT統制■
モニタリングデータの数値化と、定期レポート化が必須となります。具体的には、社内の従業員に対して、またネットワークに対してなど行ったモニタリングによって収集されたデータをレポート化し、一定期間毎に比較検討して統制活動の有効性分析と、社内に潜在するリスクの抽出することが極めて重要になります。

  • Webアクセス状況
  • 不審Webアクセス状況
  • サーバファイルアクセス状況
  • メール送信状況
  • 禁止ソフトウェア導入状況
  • 個人情報ファイル保有状況
  • ファイル別個人情報ポイント状況
  • クライアント脆弱性診断状況

上記のレポート作成が自動化され、監査部や監査役会で即分析できる体制の整備が重要です。

いかがでしょうか、IT統制のポイントをご理解いただけたでしょうか。クオリティでは、今回ご紹介したIT統制に即活用できる各ツールを幅広くご用意しています。詳細はテクノロジーサイトでご確認ください。

Dr.QがITサプリをお届けしました。 次回もお楽しみに。

なお、現在クオリティでは、今回ご紹介した「システム管理基準の管理項目と統制目標の対応」をベースに「内部統制チェックテスト2」を公開しています。質問に答えることで、御社のIT 統制の到達度をチェックできます。ぜひトライしてください。

Banner_itrisk
内部統制チェックテスト2

10月 11, 2007 ■IT統制de会社法対策■ | | トラックバック (0)

■IT統制de会社法対策■
「内部統制システム構築の基本方針」新年度版作成に向けて 03

ITサプリの新シリーズとしてスタートした「IT統制de会社法対策」。前回は「会社法施行規則第100条第1項第4号」に関して、3つのIT統制のうち2つを解説しました。

● 会社法施行規則第100条第1項第4号 ●
使用人の職務の執行が法令及び定款に適合することを確保するための体制

  1. 従業員に対する企業理念、企業行動規範、企業行動基準及びグループ企業倫理規程の遵守に対する徹底
  2. 従業員の業務における法令遵守状況に関して、監査部および監査役会などで定期的に分析できる体制の確立
  3. 従業員の法令違反、およびその可能性に関する事実および事項の発見・連絡体制の確立

この規則を遵守するためには、具体的に3つの統制ポイントとIT統制が必要になると思われます。今回は3つめのポイントを解説したいと思います。

3.従業員の業務における法令遵守状況に関して、監査部および監査役会などで定期的に分析できる体制の確立

■IT統制■

モニタリングデータの数値化と、定期レポート化が必須となります。具体的には、社内の従業員に対して、またネットワークに対してなど、行ったモニタリングによって収集されたデータをレポート化し、一定期間毎に比較検討して統制活動の有効性分析と、社内に潜在するリスクの抽出することが極めて重要になります。

  • Webアクセス状況
  • 不審Webアクセス状況
  • サーバファイルアクセス状況
  • メール送信状況
  • 禁止ソフトウェア導入状況
  • 個人情報ファイル保有状況
  • ファイル別個人情報ポイント状況
  • クライアント脆弱性診断状況

上記のレポート作成が自動化され、監査部や監査役会で即分析できる体制の整備が重要です。

いかがでしょうか、IT統制のポイントをご理解いただけたでしょうか。クオリティでは、今回ご紹介したIT統制に即活用できる各ツールを幅広くご用意しています。詳細はテクノロジーサイトでご確認ください。

Dr.QがITサプリをお届けしました。 次回もお楽しみに。

なお、現在クオリティでは、今回ご紹介した「システム管理基準の管理項目と統制目標の対応」をベースに「内部統制チェックテスト2」を公開しています。質問に答えることで、御社のIT 統制の到達度をチェックできます。ぜひトライしてください。

Banner_itrisk
内部統制チェックテスト2

10月 10, 2007 ■IT統制de会社法対策■ | | トラックバック (0)