ドクターQがお届けするIT統制ブログ　ITサプリ

本シリーズでは、会社法とその実務ガイドラインにあたる会社法施行規則の中で、特に内部統制に関連する表記部分をピックアップしています。今回も引き続き、各規則の統制ポイントと、必要と考えられるIT統制に関して解説を進めたいと思います。

◎会社法施行規則　第100条第1項第2号

損失の危険の管理に関する規程その他の体制

ここで言う「損失」の定義を、いかに的確に解釈し、具体策を講じていくかで企業のリスク管理能力が決まると言っても過言ではありません。まず損失への対策として、最重視すべき統制ポイントはコンプライアンスです。今後は法令遵守を社内通達や告知で行うのではなく、ITによって物理的に徹底することが重要です。そんな中、今後特に重点的に取り組むべき法律は下記の4法が考えられます。今回は、その4法に関して、想定すべきケースと、必要となるIT統制を考えたいと思います。

1.個人情報保護法
2.不正アクセス防止法
3.著作権法対策
4.不正競争防止法

まず今週は個人情報保護法について解説します。

1.個人情報保護法

個人情報に関しては、1件でも不正流出があれば甚大な損害を発生すると捉えるべきです。具体的に、下記のようなケースを想定し、またIT統制を導入することが重要になると考えられます。

■想定ケース①／社員本人が全ての個人情報ファイルを把握できていない
↓
■ IT統制①／個人情報関連ファイル探査機能整備

■想定ケース②／オリジナルの顧客データを社員各自がソフトで加工
↓
■IT統制②／ソフトで加工されたファイルも対象にした個人情報探査

■想定ケース③／未認可ソフトによる顧客データ加工
↓
■IT統制③／利用禁止ソフトウェアの起動制御

■想定ケース④／WinnyなどのP2Pソフトで個人情報が流出
↓
■IT統制④／利用禁止ソフトウェアの起動制御

■想定ケース⑤／リース返却PCから個人情報が流出
↓
■ IT統制⑤／HDD内データ完全消去管理体制整備

■想定ケース⑥／個人情報関連ファイルをUSB メモリにコピーして持ち出し
↓
■IT統制⑥／外部記憶媒体へのデータコピー制御

いかがでしょうか、IT統制のポイントをご理解いただけたでしょうか。次回は残り３つの法制度対策について解説いたします。

なお、クオリティでは、今回ご紹介したIT統制に即活用できる各ツールを幅広くご用意しています。詳細はテクノロジーサイトでご確認ください。

Dr.QがITサプリをお届けしました。 次回もお楽しみに。

なお、現在クオリティでは、今回ご紹介した「システム管理基準の管理項目と統制目標の対応」をベースに「内部統制チェックテスト2」を公開しています。質問に答えることで、御社のIT 統制の到達度をチェックできます。ぜひトライしてください。