ドクターQがお届けするIT統制ブログ　ITサプリ

本シリーズでは、会社法とその実務ガイドラインにあたる会社法施行規則の中で、特に内部統制に関連する表記部分をピックアップしています。今回も引き続き、「◎会社法施行規則　第100条第1項第2号」に関する統制ポイントと、必要と考えられるIT統制に関して解説を進めたいと思います。

◎会社法施行規則　第100条第1項第2号

損失の危険の管理に関する規程その他の体制

1.個人情報保護法
2.不正アクセス防止法
3.著作権法対策
4.不正競争防止法

今週は不正アクセス防止法、著作権法、不正競争防止法の３つについて解説します。

2.不正アクセス防止法

例えば、基幹サーバアクセス用のIDやパスワードが不正流出し、第三者によって不正に活用された場合、不正アクセス防止法に抵触します。具体的に、下記のようなケースを想定し、またIT統制を導入することが重要です。

■想定ケース①／複数の社員によってID・パスワードを共有
↓
■ IT統制①／クライアントPC脆弱性監査

■想定ケース②／ID・パスワードの外部への不正流出
↓
■IT統制②／不正PCのインターネット接続強制遮断

■想定ケース③／コンピュータウィルス感染によるWinnyを介した情報漏洩
↓
■IT統制③／ソフトウェア利用状況の記録と定期分析

■想定ケース④／未許可サイトへの不正アクセス
↓
■IT統制④／Webサイトへのアクセス制御

■想定ケース⑤／未認可プログラムによるハッキング行為
↓
■ IT統制⑤／社内のソフトウェア環境統一管理

■想定ケース⑥／個人情報関連ファイルをUSBメモリにコピーして持ち出し
↓
■IT統制⑥／外部記憶媒体へのデータコピー制御

3.著作権法対策

例えば、購入ライセンス以上の台数のクライアントPCで市販ソフトを利用した場合、著作権法に抵触します。
具体的に、下記のようなケースを想定し、またIT統制を導入することが重要です。

■想定ケース①／市販ソフトウェアを購入ライセンス数以上にクライアントPCにインストールして起動(利用)
↓
■ IT統制①／ソフトウェアのライセンス管理

■想定ケース②／市販ソフトウェアをCDやDVD、USBメモリに不正コピー
↓
■IT統制②／外部媒体へのデータコピー制御

■想定ケース③／不正入手した市販ソフトウェアをインストールして利用
↓
■IT統制③／利用禁止ソフトウェアの起動制御

■想定ケース⑤／Winnyなどでソフトウェアが不正流出
↓
■ IT統制⑤／ポリシ違反クライアントPCのインターネット接続強制遮断

■想定ケース⑥／Winnyなどで個人鑑賞用の音楽データを不正流出
↓
■IT統制⑥／ポリシ違反クライアントPCのインターネット接続強制遮断

■想定ケース⑦／Winnyなどで画像データを不正取得
↓
■IT統制⑦／ソフトウェア利用状況の記録と定期分析

4.不正競争防止法

例えば、クライアントから支給された機密データが外部へ流出した場合、不正競争防止法に抵触します。
具体的に、下記のようなケースを想定し、またIT統制を導入することが重要です。

■ 想定ケース①／Winnyなどで開発データが不正流出
↓
■ IT統制①／利用禁止ソフトウェアの起動制御

■想定ケース②／自宅作業用に開発データを持ち帰り、そのデータが自宅PCから漏洩
↓
■IT統制②／外部記憶媒体へのデータコピー制御

■想定ケース③／悪意を持った元社員が機密データを社外へ不正持ち出し
↓
■IT統制③／機密データ専用配信システム整備

■想定ケース④／開発委託先のクライアントPCから機密データが漏洩
↓
■IT統制④／自社、協力会社、委託先までを含めたファイルアクセス制御

■想定ケース⑤／リース返却PCから開発データが漏洩
↓
■ IT統制⑤／HD内データ完全消去管理体制整備

■想定ケース⑥／Winnyなどで他社の機密データを不正取得
↓
■IT統制⑥／利用禁止ソフトウェアの起動制御

いかがでしょうか、IT統制のポイントをご理解いただけたでしょうか。

なお、クオリティでは、今回ご紹介したIT統制に即活用できる各ツールを幅広くご用意しています。詳細はテクノロジーサイトでご確認ください。

Dr.QがITサプリをお届けしました。 次回もお楽しみに。

なお、現在クオリティでは、今回ご紹介した「システム管理基準の管理項目と統制目標の対応」をベースに「内部統制チェックテスト2」を公開しています。質問に答えることで、御社のIT 統制の到達度をチェックできます。ぜひトライしてください。