ドクターQがお届けするIT統制ブログ　ITサプリ

日本版SOX法(金融商品取引法)と同様に、全ての上場企業に内部統制システム構築を義務づけている会社法。本シリーズでは、同法と実務ガイドラインにあたる会社法施行規則の中で、内部統制に関連する表記部分をピックアップしています。ではさっそく、今回の施行規則の解説を始めます。

◎会社法施行規則　第100条第1項第5号
当該株式会社並びにその親会社及び子会社から成る企業集団における業務の適正を確保するための体制

子会社などを有している場合、内部統制は当該会社だけでなく、子会社等も含む企業グループ全体を対象として構築することが必須となります。グループ会社や子会社に対する統制活動として、関係会社管理規程やコンプライアンス行動憲章を整備するケースが大半ですが、このような単なるルールの整備だけでは、統制効果は不十分です。

やはりIT統制によって、物理的にグループ全社(子会社)に対してリスク管理とコンプライアンスを徹底させることが、不可欠となっています。第100条第1項第5号に関するIT統制は以下の5つを挙げることができます。

• グループ全社、クライアント(PC)脆弱性監査体制の整備
• IT統制によって、小規模企業にも内部統制を徹底
• 定期的なセキュリティレポートの監査と取締役会への報告体制整備
• グループ全社で共有する機密文書(ファイル) に関する厳密なアクセスコントロー
• 機密文書(ファイル)操作に関するモニタリング

それでは、第100条第1項第5号に関するIT統制を解説しましょう。

■グループ全社、クライアント(PC)脆弱性監査体制の整備

当該会社だけではなく、グループ全社に対して、リスク管理とコンプライアンス徹底の中心として、クライアント(PC)の脆弱性監査を導入することが極めて重要です。監査のポイントは、次の3つです。

◎ (OSやソフトなど)マイクロソフト関連のセキュリティパッチ適用状況
◎ WinnyやShare等の使用禁止ソフトのインストール状況
◎ ウイルス対策ソフトのパターンファイル更新状況

3つのポイントをクリアできれば、統制効果は確実にアップします。

■IT統制によって、小規模企業にも内部統制を徹底

グループ全社に内部統制を検討する場合、やはり小規模企業の負担コストへの配慮も必要となります。そこで低コストのASPサービスなどを積極的に活用し、全社に漏れの無い内部統制を導入することが重要です。

いかがでしょうか。
次回も引き続き、第100条第1項第5号に関する残り3つのIT統制の解説を行います。Dr.QがITサプリをお届けしました。 次回もお楽しみに。

クオリティでは、今回ご紹介したIT統制に即活用できる各ツールを幅広くご用意しています。詳細はテクノロジーサイトでご確認ください。

なお、現在クオリティでは、今回ご紹介した「システム管理基準の管理項目と統制目標の対応」をベースに「内部統制チェックテスト2」を公開しています。質問に答えることで、御社のIT 統制の到達度をチェックできます。ぜひトライしてください。

会社法と実務ガイドラインにあたる会社法施行規則の中で、内部統制に関連する表記部分をピックアップしている「IT統制de会社法対策」。

前回に引き続き、「会社法施行規則　第100条第1項第3号」の「取締役の職務の執行が効率的に行われることを確保するための体制」について解説します。

取締役の職務執行を効率的に進める体制を作るには、倫理規定やセキュリティポリシなどの遵守状況を定期的にチェックできるレポート作成が必要になります。内部統制システムの有効性を確認するためには、具体的に次のレポートが必要になると考えられます。

■クライアントPC脆弱性診断レポート

クライアントPCの脆弱性について、セキュリティポリシで定義されているレベルに制御されているか、その状況を数値で判断できるレポートが必要です。また、月別推移も重要です。

■禁止ソフトウェア導入状況レポート

Winnyなどのファイル交換(P2P)ソフトやゲームソフトなど、規定違反となる対象を明確に定義して、禁止ソフトがインストールされたクライアントPC数を判断できるレポートが必要です。ファイル交換(P2P)ソフトをはじめとする禁止ソフトのインストール数が毎月1件もなければ、内部統制システムの有効性を数値で立証できます。

■不審Webアクセス状況レポート

掲示板やオークションサイトなど、業務に関係のないWebサイトに対するアクセス状況を数値化することも、従業員の業務に対するモニタリングとして重要です。不審Webアクセス数が低減すれば、内部統制システムが確実に機能していることを立証できます。

■ホスト別個人情報ファイル保有状況レポート

個人情報関連ファイルをクライアントPCに保存することは、その行為だけで様々なリスクへ発展する可能性があります。個人情報ファイルを保有しているクライアントPCを特定し、その状況を数値レポート化することが重要です。この監査によって、リスクに発展する可能性の高いクライアントPCを発見し、対策をいち早く講じることが可能になります。

■メール送信状況レポート

どのメールアドレスに対して、どのような内容のメールが送信されているか、件数も含めて確認できるレポートが必要です。職務以外でのメール送信、不審なメール送信などもいち早く検出できます。

■FTPアップロード状況レポート

どのようなファイルがアップロードされているか、ファイル名と時間も含めてチェックできるレポートが必要です。不正行為の検出やリスクの予見も可能になります。

■サーバファイルアクセス状況

顧客情報や機密情報などサーバファイルへのアクセス状況を確認できるレポートも重要です。社内での重要ファイルの運用状況も確認できます。

いかがでしょうか、IT統制のポイントをご理解いただけたでしょうか。クオリティでは、今回ご紹介したIT統制に即活用できる各ツールを幅広くご用意しています。詳細はテクノロジーサイトでご確認ください。

Dr.QがITサプリをお届けしました。 次回もお楽しみに。

なお、現在クオリティでは、今回ご紹介した「システム管理基準の管理項目と統制目標の対応」をベースに「内部統制チェックテスト2」を公開しています。質問に答えることで、御社のIT 統制の到達度をチェックできます。ぜひトライしてください。

準備作業がいまだ不明瞭な日本版SOX法と比較して、導入すべきIT統制が非常に分かりやすい会社法。本シリーズでは、そんな同法と実務ガイドラインにあたる会社法施行規則の中で、内部統制に関連する表記部分をピックアップしています。今回も引き続き、各規則の統制ポイントと、必要と考えられるIT統制に関して解説を進めます。

◎会社法施行規則　第100条第1項第3号
取締役の職務の執行が効率的に行われることを確保するための体制

取締役の職務が効率的に行われるためには、ITの導入が不可欠です。具体的には、内部統制の有効性と社内のコンプライアンスの状況を取締役が定期的にレビューして、確認できる体制を整備することが必須となります。IT統制が未導入企業の場合、コンプライアンスに関する目標は「コンプライアンスの徹底」など曖昧な表現にとどまっていました。しかし、今後は数値ベースで目標を設定し、その目標を取締役と従業員が共有することが理想と言えるでしょう。

■セキュリティレポートの定期作成

社内における法律、倫理規定、セキュリティポリシなどの遵守状況を定期的にチェックするために、PDFなどの電子ファイルでセキュリティレポートの作成が必要になります。

次回は具体的に、内部統制システムの有効性を確認するためのレポート例をご紹介します。Dr.QがITサプリをお届けしました。

なお、現在クオリティでは、今回ご紹介した「システム管理基準の管理項目と統制目標の対応」をベースに「内部統制チェックテスト2」を公開しています。質問に答えることで、御社のIT 統制の到達度をチェックできます。ぜひトライしてください。

本シリーズでは、会社法とその実務ガイドラインにあたる会社法施行規則の中で、特に内部統制に関連する表記部分をピックアップしています。今回も引き続き、「◎会社法施行規則　第100条第1項第2号」に関する統制ポイントと、必要と考えられるIT統制に関して解説を進めたいと思います。

◎会社法施行規則　第100条第1項第2号

損失の危険の管理に関する規程その他の体制

1.個人情報保護法
2.不正アクセス防止法
3.著作権法対策
4.不正競争防止法

今週は不正アクセス防止法、著作権法、不正競争防止法の３つについて解説します。

2.不正アクセス防止法

例えば、基幹サーバアクセス用のIDやパスワードが不正流出し、第三者によって不正に活用された場合、不正アクセス防止法に抵触します。具体的に、下記のようなケースを想定し、またIT統制を導入することが重要です。

■想定ケース①／複数の社員によってID・パスワードを共有
↓
■ IT統制①／クライアントPC脆弱性監査

■想定ケース②／ID・パスワードの外部への不正流出
↓
■IT統制②／不正PCのインターネット接続強制遮断

■想定ケース③／コンピュータウィルス感染によるWinnyを介した情報漏洩
↓
■IT統制③／ソフトウェア利用状況の記録と定期分析

■想定ケース④／未許可サイトへの不正アクセス
↓
■IT統制④／Webサイトへのアクセス制御

■想定ケース⑤／未認可プログラムによるハッキング行為
↓
■ IT統制⑤／社内のソフトウェア環境統一管理

■想定ケース⑥／個人情報関連ファイルをUSBメモリにコピーして持ち出し
↓
■IT統制⑥／外部記憶媒体へのデータコピー制御

3.著作権法対策

例えば、購入ライセンス以上の台数のクライアントPCで市販ソフトを利用した場合、著作権法に抵触します。
具体的に、下記のようなケースを想定し、またIT統制を導入することが重要です。

■想定ケース①／市販ソフトウェアを購入ライセンス数以上にクライアントPCにインストールして起動(利用)
↓
■ IT統制①／ソフトウェアのライセンス管理

■想定ケース②／市販ソフトウェアをCDやDVD、USBメモリに不正コピー
↓
■IT統制②／外部媒体へのデータコピー制御

■想定ケース③／不正入手した市販ソフトウェアをインストールして利用
↓
■IT統制③／利用禁止ソフトウェアの起動制御

■想定ケース⑤／Winnyなどでソフトウェアが不正流出
↓
■ IT統制⑤／ポリシ違反クライアントPCのインターネット接続強制遮断

■想定ケース⑥／Winnyなどで個人鑑賞用の音楽データを不正流出
↓
■IT統制⑥／ポリシ違反クライアントPCのインターネット接続強制遮断

■想定ケース⑦／Winnyなどで画像データを不正取得
↓
■IT統制⑦／ソフトウェア利用状況の記録と定期分析

4.不正競争防止法

例えば、クライアントから支給された機密データが外部へ流出した場合、不正競争防止法に抵触します。
具体的に、下記のようなケースを想定し、またIT統制を導入することが重要です。

■ 想定ケース①／Winnyなどで開発データが不正流出
↓
■ IT統制①／利用禁止ソフトウェアの起動制御

■想定ケース②／自宅作業用に開発データを持ち帰り、そのデータが自宅PCから漏洩
↓
■IT統制②／外部記憶媒体へのデータコピー制御

■想定ケース③／悪意を持った元社員が機密データを社外へ不正持ち出し
↓
■IT統制③／機密データ専用配信システム整備

■想定ケース④／開発委託先のクライアントPCから機密データが漏洩
↓
■IT統制④／自社、協力会社、委託先までを含めたファイルアクセス制御

■想定ケース⑤／リース返却PCから開発データが漏洩
↓
■ IT統制⑤／HD内データ完全消去管理体制整備

■想定ケース⑥／Winnyなどで他社の機密データを不正取得
↓
■IT統制⑥／利用禁止ソフトウェアの起動制御

いかがでしょうか、IT統制のポイントをご理解いただけたでしょうか。

なお、クオリティでは、今回ご紹介したIT統制に即活用できる各ツールを幅広くご用意しています。詳細はテクノロジーサイトでご確認ください。

Dr.QがITサプリをお届けしました。 次回もお楽しみに。

なお、現在クオリティでは、今回ご紹介した「システム管理基準の管理項目と統制目標の対応」をベースに「内部統制チェックテスト2」を公開しています。質問に答えることで、御社のIT 統制の到達度をチェックできます。ぜひトライしてください。