ドクターQがお届けするIT統制ブログ　ITサプリ

4月から監査対象期間となる日本版SOX法（以下、J-SOX）。その影響は、上場企業と現在取引をしている中小企業や、今後、上場企業との取引をスタートしたい中小企業にも確実に及びます。いま大切なのは、J-SOXによって取引企業としてどのような対策を取るべきか、シッカリ判断することです。

第9回目の今回は、「委託先選定基準の厳格化」です。

◎委託先選定基準の厳格化

■現状の委託先選定基準における課題

注目したいのは、個人情報が関係する業務委託に関する部分です。これまで、この分野における一般的な委託先選定基準は下記の5項目が標準でした。

(1)ISMS・プライバシーマーク等、第三者認証取得状況
(2)委託業務における個人情報の安全管理対策整備状況
(3)再委託の取扱状況
(4)過去における個人情報漏洩経歴の有無と、漏洩経歴に対する再発防止措置の実施状況
(5)委託先における個人情報取扱ルール遵守姿勢

ただし、実情を振り返ってみると(1)と(2)と(4)の3項目が最重視される傾向があり、実質的に(3)と(5)に関しては軽視とは言わないまでも、重視レベルに差がありました。しかし、この重視レベルの差が、昨今の情報漏洩が多発する一つの要因となってしまった訳です。

■J-SOXで委託先管理が厳格化、外部監査も定期化

そんな中、J-SOXの実質施行にともない、(3)と(5)に関して厳格化が進み、さらに(2)に対しても一層の厳格化が進むことが確実視されています。上場企業にとっては情報漏洩リスクに対する強化が命題になります。結果、委託先選定に関しても厳格にならざるを得ない、というのが実情です。

具体的に、上場企業が厳格化したいポイントは 3つ考えられます。

(1)個人情報の完全管理状況に関する数値ベースの定期的な立証
(2)再委託先に対する数値ベースの IT統制環境の整備
(3)再委託先における個人情報の完全管理状況の数値的立証

このほか、従来は委託業務開始時に実施されていた上場企業による監査も「定期化」されます。リスク管理体制の維持徹底と、リスク予見を目的に監査も委託先だけでなく再委託先の双方に実施されることが予測されます。

いかがでしょうか。上場企業を取り巻くビジネス環境の現状を、ご理解いただけたでしょうか。さて、 クオリティでは、中小企業の内部統制対策に即活用できる各ツールも幅広くご用意しています。詳細はテクノロジーサイトでご確認ください。

また「最短1ヶ月 IT統制最終強化プロジェクト」には、経済産業省が提唱する「システム管理基準追補版(財務報告に係るIT統制ガイダンス)」のシステム監査項目と、各項目に対応したクオリティ製品マップもご用意しております。ぜひご覧ください。