« ■IT統制de会社法対策■
「内部統制システム構築の基本方針」新年度版作成に向けて 03 | トップページ | ■IT統制de会社法対策■
「内部統制システム構築の基本方針」新年度版作成に向けて 04 »

■IT統制de会社法対策■
「内部統制システム構築の基本方針」新年度版作成に向けて 02[訂正版]

※2007年10月3日16時に公開しました「■IT統制de会社法対策■<BR>「内部統制システム構築の基本方針」新年度版作成に向けて 02」の記事内容に誤りがありました。お詫びして訂正いたします。

前回からスタートした新シリーズ「IT統制de会社法対策」。会社法とその実務ガイドラインにあたる会社法施行規則で内部統制に関連する表記部分に関して、前回は解説しました。さて今回からいよいよ、各規則の統制ポイントと、必要と考えられるIT統制に関して解説を進めていきたいと思います。

● 会社法施行規則第100条第1項第4号 ●
使用人の職務の執行が法令及び定款に適合することを確保するための体制

この規則を遵守するためには、具体的に下記の3つの統制ポイントとIT統制が必要になると思われます。

  1. 従業員に対する企業理念、企業行動規範、企業行動基準及びグループ企業倫理規程の遵守に対する徹底
  2. 従業員の業務における法令遵守状況に関して、監査部および監査役会などで定期的に分析できる体制の確立
  3. 従業員の法令違反、およびその可能性に関する事実および事項の発見・連絡体制の確立

今回はその中の1と2の解説を行います。

1.従業員に対する企業理念、企業行動規範、企業行動基準及びグループ企業倫理規程の遵守に対する徹底

■IT統制■
文書通達の限界と、性善説の限界を認識すべきです。IT統制によって、従業員のコンプライアンス(法令遵守)を物理的に徹底管理していく必要があります。具体的に今後のIT統制は、下記の法律に関しても遵守対象として検討・強化を図る必要があります。

  • 著作権法
  • 不正アクセス防止法
  • 個人情報保護法
  • 不正競争防止法

特に、今後の法整備動向として個人情報保護法は「個人」が刑罰対象になる可能性があります。従業員が知らず知らずのうちに個人情報保護法に抵触する行為を行ってしまうケースを、未然にIT統制で防止することも重要になります。

2.従業員の業務における法令遵守状況に関して、監査部および監査役会などで定期的に分析できる体制の確立

■IT統制:①社員の業務内容に対するモニタリング■
従業員が利用している全てクライアントPCの操作ログを収集し、モニタリング体制を確立する必要があります。

  • クライアントPC上でアクティブになったウインドウタイトル履歴
  • クライアントPC上で操作されたファイルの履歴
  • アクセスしたファイル履歴
  • プリンタ名、ログオンユーザ名、印刷ドキュメント名履歴
  • Webサイトへのアクセス履歴
  • ユーザの送受信アドレス、添付ファイルを含むMailの送受信履歴
  • FTPサイトに対するファイルのアップロード・ダウンロード履歴
  • クライアントPCで起動した全てのプロセス

上記の操作ログを収集できれば、不正行為も即座に発見できるだけでなく、万一の場合の証拠としても有効活用できます。また不正行為の抑止にもつながることは言うまでもありません。

■IT統制:②機密文書に対するフレキシブルな操作制御の設定■
機密文書に関しては、電子ファイルでの社内の運用が基本となります。具体的には、下記の機能システムに強化することで統制効果を期待できます。

  • 暗号化を基本とした機密文書専用配信システムの確立
  • 機密文書(電子ファイル)受信者のレベルに応じた操作権限の設定
  • 受信者のファイル操作ログ収集
  • 配信後のファイルの無効化機能

■IT統制:③業務で活用されるクライアントPCに対するモニタリング■
クライアントPCの利用状況に対してモニタリング体制を整備することも要求されます。特に重視されるのは、下記の4点です。

  • 不正アプリケーションの利用状況
  • 不正アプリケーションの起動制御
  • セキュリティソフトの定義ファイル適用状況
  • アプリケーションのパッチファイル適用状況


■IT統制:④ネットワークに対するモニタリング■
特に従業員が利用する基幹ネットワークに対するモニタリング体制も必須です。

  • 私物PCの基幹ネットワークへのアクセス禁止
  • セキュリティポリシ違反PCの基幹ネットワークへのアクセス認証
  • ネットワーク構成機器の接続状況モニタリング

■IT統制■
モニタリングデータの数値化と、定期レポート化が必須となります。具体的には、社内の従業員に対して、またネットワークに対してなど行ったモニタリングによって収集されたデータをレポート化し、一定期間毎に比較検討して統制活動の有効性分析と、社内に潜在するリスクの抽出することが極めて重要になります。

  • Webアクセス状況
  • 不審Webアクセス状況
  • サーバファイルアクセス状況
  • メール送信状況
  • 禁止ソフトウェア導入状況
  • 個人情報ファイル保有状況
  • ファイル別個人情報ポイント状況
  • クライアント脆弱性診断状況

上記のレポート作成が自動化され、監査部や監査役会で即分析できる体制の整備が重要です。

いかがでしょうか、IT統制のポイントをご理解いただけたでしょうか。クオリティでは、今回ご紹介したIT統制に即活用できる各ツールを幅広くご用意しています。詳細はテクノロジーサイトでご確認ください。

Dr.QがITサプリをお届けしました。 次回もお楽しみに。

なお、現在クオリティでは、今回ご紹介した「システム管理基準の管理項目と統制目標の対応」をベースに「内部統制チェックテスト2」を公開しています。質問に答えることで、御社のIT 統制の到達度をチェックできます。ぜひトライしてください。

Banner_itrisk
内部統制チェックテスト2

10月 11, 2007 ■IT統制de会社法対策■ |

トラックバック

この記事のトラックバックURL:
http://app.cocolog-nifty.com/t/trackback/173353/16648823

この記事へのトラックバック一覧です: ■IT統制de会社法対策■
「内部統制システム構築の基本方針」新年度版作成に向けて 02[訂正版]: