ドクターQがお届けするIT統制ブログ　ITサプリ

1月19日、経済産業省から「システム管理基準 追補版(財務報告に係るIT統制ガイダンス)」(以下、追補版)が公開されました。

その内容は、金融庁の「財務報告に係わる内部統制の評価および監査に関する実施基準 草案」(以下、実施基準案)を補完し、システム部門が実施すべき項目が、分かりやすく解説されています。とはいえ、追補版は約150ページのボリューム。そこで、今回から新たなシリーズ「徹底解説!! 財務報告に係わるIT統制ガイダンス」をスタートさせます。

まず、第1回目の今回は、追補版を読み解く上で必要になる、用語を解説したいと思います。追補版で新たに追加された用語もあります。実際に追補版では、第一章で各用語の概念が解説されています。その概念をベースに進めたいと思います。

■IT統制
今回の追補版では、「IT統制」の概念が明確化されました。IT統制に含まれるのは、ふたつです。金融庁の実施基準案では、「ITへの対応」が、1)IT環境への対応、2)ITの利用、3)ITの統制と、3つのカテゴリーで解説されましたが、IT統制の概念には、2)と3)の双方が含まれます。

※補足解説
1)IT環境への対応　(社内外のITの活用状況)
2)ITの利用　(財務情報の信頼性に係る内部統制の実現におけるITの利用)
3)ITの統制　(ITを利用した情報システムに対する内部統制)

また追補版では、IT統制が、次の3つに分類され、それぞれの概念が明確化されています。

■IT全社的統制
企業の統制が全体として有効に機能する環境を保証するためのITに関連する方針と手続等、情報システムを含む内部統制。

■IT全般統制
業務処理統制が有効に機能する環境を保証するための統制活動を意味しており、通常、複数の業務処理に関係する方針と手続のうち、IT基盤を単位として構築する内部統制。

■IT業務処理統制
業務を管理するシステムにおいて、承認された業務がすべて正確に処理、記録されることを担保するために業務プロセスに組み込まれたITに係わる内部統制。

さらに、金融庁の実施基準案で解説がなかったIT基盤に関しても、今回の追補版で概念が明確化されています。

■IT基盤
ITに関与する組織の構成、ITに関する規程及び手順書等、ハードウェアの構成、ソフトウェアの構成、ネットワークの構成、外部委託の状況。

追補版を理解する上でポイントになるのは、上記の5つです。それでは次回から、追補版の中身を解説していきますのでお楽しみに。

さて、クオリティでは、ユーザID・パスワード管理やアクセスログデータの取得、アプリケーション起動記録などに有効な、内部統制システム構築に最適なツールを多数ご用意しています。また12月1日より内部統制に関する特設サイト「内部統制Ｑ救室」もオープンしました。ぜひ一度、お立ち寄りください。

■特設サイト「内部統制Ｑ救室」はこちら>>　内部統制Ｑ救室

クオリティから、新技術の話からITの活用が明記された新法制度の解説や動向など、情報システムご担当者様の仕事に役立つ情報をお届けするメールマガジン「情報システムQ救隊」を創刊しました。購読は無料ですのでぜひご購読ください。※配信は「まぐまぐ」を利用しています。

金融庁のWebサイトで公開されている「財務報告に係る内部統制の評価及び監査に関する実施基準（公開草案）」。本シリーズでは、同公開草案の中盤に参考資料として登場する「財務報告に係る全社的な内部統制に関する評価項目の例」にフォーカスを当てています。

統制環境、リスクの評価と対応、統制活動、情報と伝達、モニタリング、ITへの対応、と内部統制の5つの基本的要素、それぞれに関する評価基準が記述されています。それらの評価項目から、情報システムの整備・強化ポイントを把握することを本シリーズの目標に設定しています。2回目となる今回は「統制環境」に関する評価項目例です。

「財務報告に係る全社的な内部統制に関する評価項目の例／統制環境」は、全部で13項目があげられています。個々の項目は金融庁のWebサイトをごらんいただくとして、今回は情報システムへのニーズが明確な、2項と6項に関して解説していきます。

2）適切な経営理念や倫理規程に基づき、社内の制度が設計・運用され、原則を逸脱した行動が発見された場合には、適切に是正が行われるようになっているか。

↓↓↓↓↓↓↓

上記の用件を満たすコンプライアンスを徹底できる統制環境を整備するため、情報システムには下記のような要求がされると思われます。

• 重要アプリケーションへの不正アクセス防止の徹底
• 機密文書の不正活用防止の徹底
• 不正アプリケーション起動制御の徹底
• 個人情報ファイルの適正な管理状況の徹底
• クライアントPCのセキュリティポリシ遵守の徹底

6）経営者は、問題があっても指摘しにくい等の組織構造や慣行があると認められる事実が存在する場合に、適切な改善を図っているか。

↓↓↓↓↓↓↓

こちらの場合、情報システムには、社内の不正行為を見逃さないIT監査体制の整備し、次のような監査サポートを定期的に作成することが、要求されると思われます。経営者は客観的な監査サポートをベースに、適切な改善策を講じる必要があるのです。

• ユーザID・パスワード管理状況解析レポート
• 重要アプリケーションへのアクセスログ解析レポート
• 機密文書の操作ログ解析レポート
• 不正アプリケーション起動記録解析レポート
• セキュリティソフトのパッチ適用状況解析レポート
• 個人情報ファイルの運用状況解析レポート
• セキュリティポリシ違反PCの接続拒否状況解析レポート

内部統制では、このようなレポートによって、その有効性を立証していくことが求められる訳です。いかがですか。今後の準備期間でのシステム強化ポイントなどが、少しクリアになったでしょうか。

さて、クオリティでは、ユーザID・パスワード管理やアクセスログデータの取得、アプリケーション起動記録などに有効な、内部統制システム構築に最適なツールを多数ご用意しています。12月1日より内部統制に関する特設サイト「内部統制Ｑ救室」もオープンしました。ぜひ一度、お立ち寄りください。

■特設サイト「内部統制Ｑ救室」はこちら>>　内部統制Ｑ救室

次回は、「財務報告に係る全社的な内部統制に関する評価項目の例／統制環境」にフォーカスを当てたいと思います。Dr.QがITサプリメントをお届けしました。

クオリティではメールマガジン「Q-NEWS」を毎週配信中。今回ご紹介した
ドキュメント管理に関するツールなど、即役立つ情報を無料で手に入れる
ことができます。ただいまプレゼントが当たる、キャンペーン実施中です。

11月21日、金融庁の企業会計審議会内部統制部会から「財務報告に係る内部統制の評価及び監査に関する実施基準(公開草案)」が公開されました。もう目を通されましたか？　トータル93ページにわたって、企業内でどのように内部統制を導入していくべきかが具体的に解説されています。しかし、日々多忙をきわめるシステム管理者のみなさんが、全ページを熟読するのは至難のワザ。そこで、今回から「公開草案を通して理解すべき、内部統制のポイント」と題して、新たなシリーズをスタートさせたいと思います。

本シリーズのポイントは、公開草案の中盤に参考資料として登場する「財務報告に係る全社的な内部統制に関する評価項目の例」です。内部統制の5つの基本的要素である、統制環境、リスクの評価と対応、統制活動、情報と伝達、モニタリング、ITへの対応それぞれに関する評価基準が記述されています。その評価項目を読み解くことで、情報システムの整備・強化ポイントを把握することができます。それではさっそく、シリーズ1回目として「モニタリング」に関する評価項目例を読み解いていきましょう。

「財務報告に係る全社的な内部統制に関する評価項目の例／モニタリング」には、下記の7つの項目があげられています。

• 日常的モニタリングが、企業の業務活動に適切に組み込まれているか。
• 経営者は、独立的評価の範囲と頻度を、リスクの重要性、内部統制の重要性及び日常的モニタリングの有効性に応じて適切に調整しているか。
• モニタリングの実施責任者には、業務遂行を行うに足る十分な知識や能力を有する者が指名されているか。
• 経営者は、モニタリングの結果を適時に受領し、適切な検討を行っているか。
• 企業の内外から伝達された内部統制に関する重要な情報は適切に検討され、必要な是正措置が取られているか。
• モニタリングによって得られた内部統制の不備に関する情報は、当該実施過程に係る上位の管理者並びに当該実施過程及び関連する内部統制を管理し是正措置を実施すべき地位にある者に適切に報告されているか。
• 内部統制に係る重要な欠陥等に関する情報は、経営者、取締役会、監査役又は監査委員会に適切に伝達されているか。

社内における組織面での体制整備も必要ですが、やはり情報システムに要求される機能に注目したいと思います。ここで必要になるのは、社内の不正行為を見逃さないIT監査体制の整備です。もっと具体的に解説すると、下記のようなデータを定期取得できる体制を整備することが重要になると思われます。

• ユーザID・パスワード管理状況解析データ
• 重要アプリケーションへのアクセスログ解析データ
• 機密文書の操作ログ解析データ
• 不正アプリケーション起動記録解析データ
• セキュリティソフトのパッチ適用状況解析データ
• 個人情報ファイルの運用状況解析データ
• セキュリティポリシ違反PCの接続拒否状況解析データ

内部統制では、上記のような解析データによって、有効性の立証が求められる訳です。いかがですか。今後の準備期間でのシステム強化ポイントなどが、少しクリアになったでしょうか。

さて、クオリティでは、ユーザID・パスワード管理やアクセスログデータの取得、アプリケーション起動記録などに有効な、内部統制システム構築に最適なツールを多数ご用意しています。12月1日より内部統制に関する特設サイト「内部統制Ｑ救室」もオープンしました。ぜひ一度、お立ち寄りください。

■特設サイト「内部統制Ｑ救室」はこちら>>　内部統制Ｑ救室

次回は、「財務報告に係る全社的な内部統制に関する評価項目の例／統制環境」にフォーカスを当てたいと思います。Dr.QがITサプリメントをお届けしました。

クオリティではメールマガジン「Q-NEWS」を毎週配信中。今回ご紹介した
ドキュメント管理に関するツールなど、即役立つ情報を無料で手に入れる
ことができます。ただいまプレゼントが当たる、キャンペーン実施中です。

　2007年1月の正式公開が予想される、内部統制報告実務基準・実施基準。もは
や、一刻の猶予もありません。しかし、外部の監査法人に対する過度な期待は、
厳禁です。内部統制システム構築をアウトソーシングした結果、「財務報告書
の信頼性向上」という単に一つの目標達成をテーマにした内部統制システムに
なってしまうことが予測されます。

本シリーズで解説してきた通り、内部統制の最大のテーマは、「不正のない健
全な企業風土づくり」です。ITを有効活用し、新しい企業風土を根本からつく
りあげることが、最も大切なのです。そのためにも、いま一度「内部統制とは
何なのか」を正確に理解し、「現行システムの機能と運用方法に何が足りない
のか」をしっかり把握することで、準備期間の作業ボリュームを把握していた
だきたいと思います。そこで5回目の今回は、「不正対策の必要性」というテ
ーマで解説したいと思います。

不正は、企業にとってビジネスリスクです。現在、ご存知の通り社会の注目を
集めるような不祥事も連日報道されています。こうした不正の発生は、企業に
とって直接的な経済的損害を与えることはもちろん、市場での信用やブランド
イメージの低下といった間接的なダメージも与えます。こうした観点からも、
企業には内部統制システム構築を通して、しっかりとした「不正防止プログラ
ム」を構築する必要があるのです。

具体的に、不正防止プログラムは5つの要素によってサイクルを形成させる必
要があります。

1. 不正リスクの評価
2. 不正防止の統制環境の構築
3. 不正防止のための統制活動の整備・運用
4. 不正対応における情報の伝達と共有
5. 不正のモニタリング

では、もっと具体的に、不正防止プログラムにおいて重要になるデータをピッ
クアップしてみましょう。

• 機密文書の操作ログ取得
• 重要アプリケーションへのアクセスログ取得
• 個人情報関連ファイルの運用状況監視情報取得
• 不正アプリケーション起動情報取得
• セキュリティポリシ違反PCの接続情報取得
• セキュリティソフトのパッチ適用情報取得

上記のようなデータ取得が必要になることを考慮すると、現行システムに何が
足りないのか、その差分がクリアになるのではないでしょうか。

さて、クオリティでは、こうしたデータ取得に有効的、つまり内部統制システ
ム構築に最適なツールを多数ご用意しています。また12月1日より内部統制に
フォーカスを当てた特設サイト「内部統制Ｑ救室」もオープンしましたので、
ぜひ一度、お立ち寄りください。

■特設サイト「内部統制Ｑ救室」はこちら>>　内部統制Ｑ救室

いかがですか。今後の準備期間でのシステム強化ポイントなどが、少しクリア
になったでしょうか。
一つ一つ着実に対策を講じ、強固な内部統制システムを確立してください。
もちろん、Dr.Qもしっかりお手伝いします。
Dr.QがITサプリメントをお届けしました。

クオリティではメールマガジン「Q-NEWS」を毎週配信中。今回ご紹介した
ドキュメント管理に関するツールなど、即役立つ情報を無料で手に入れる
ことができます。ただいまプレゼントが当たる、キャンペーン実施中です。

内部統制のホント4/5をお送りする予定でしたが、
内容を変更してお届けします。

　さる11月20日、BIGニュースが飛び込んできました。
金融庁で企業会計審議会内部統制部会の第15回部会が開催され、実施基準
の公開草案の正式版を数日中に公表することが明らかになりました!!　
　今後のスケジュールとしては、近日中の正式版公開後、パブリック・コメント
を受け付け、今年末から年明けに正式な実施基準として公開される予定です。

　実施基準は、日本版SOX法が要求する、内部統制の整備、評価、監査に
関する実務上のガイドラインです。これをシッカリと把握できれば、現行システ
ムの強化・整備ポイントがクリアにできます。
　そのためにも、まずは11月8日から金融庁のサイトで公開された、「実施基準」
の草案を把握することが大切でしょう。

公開された草案は、下記の3つから構成されています。

1. 内部統制の基本的枠組み（案）…30ページ
2. 財務報告に係る内部統制の評価及び報告（案）…33ページ
3. 財務報告に係る内部統制の監査（案）…25ページ

※金融庁／企業会計審議会第14回内部統制部会　議事次第へ

　しかし、トータル88ページを熟読する手間が……という方のために、上記1～
3が上手くまとめられた3ページの統括資料が公開されています。それぞれ
の案がフロー型式で各1ページにまとめられています。
※統括資料へ（PDF）

1. 財務報告に係る内部統制構築のプロセス
2. 財務報告に係る内部統制の評価・報告の流れ
3. 業務プロセスに係る内部統制の不備の検討

今回は「財務報告に係る内部統制構築のプロセス」をご紹介しましょう。

◎プロセス１／基本的計画及び方針の決定
経営者は、内部統制の基本方針に係る取締役会の決定を踏まえ、それを組
織内の全社的なレベル及び業務プロセスのレベルにおいて実施するため
の基本的計画及び方針を決定。
※経営者が定めるべき基本的計画及び方針としては、以下が挙げられる。

1. 内部統制の構築に当たる責任者及び全社的な管理体制
2. 構築すべき内部統制の範囲及び水準
3. 内部統制構築の手順及び日程
4. 内部統制構築に係る人員及びその編成、教育・訓練の方法等

◎プロセス2／内部統制の整備状況の把握
内部統制の整備状況を把握し、その結果を記録・保存

1. 全社的な内部統制について、既存の内部統制に関する規程、慣行及びそ
   の遵　守状況等を踏まえ、全社的な内部統制の整備状況を把握し、記録・保存。
   ※暗黙裡に実施されている社内の決まり事等がある場合には、それを明文化。
2. 重要な業務プロセスについて内部統制の整備状況を把握し、記録・保存。
   • 組織の重要な業務プロセスについて、取引の流れ、会計処理の過程を整理し、理解する。
   • 整理、理解した業務プロセスについて、虚偽記載の発生するリスクを識別しそれらリスクの財務報告又は勘定科目等との関連性、業務の中に組み込まれた内部統制によって十分に低減できるものになっているかを検討。

◎プロセス3／把握された不備への対応及び是正
把握された不備は適切に是正

　このフローだけを見ても分かる通り、多くの企業がシステムの強化や整
備を含め、今後の準備期間で想像以上に数多くジョブをクリアしなければ
いません。
一刻の猶予もありません。しかし最も大切なことは、内部統制を「面倒な
新法」として捉えるのではなく、「健全な企業風土づくり」の絶好のチャ
ンスとしてポジティブに捉えることです。そのためにも今回のシリーズ
「内部統制のホント」を通して、システムの今後の強化ポイントなどを把
握していただきたいと思います。

次回は、予定通り「内部統制のホント4/5：健全な企業風土づくりと定期監査」をお届けします。Dr.QがITサプリメントをお届けしました。

クオリティではメールマガジン「Q-NEWS」を毎週配信中。今回ご紹介した
ドキュメント管理に関するツールなど、即役立つ情報を無料で手に入れる
ことができます。ただいまプレゼントが当たる、キャンペーン実施中です。

日本版SOX法が要求する「内部統制とは何なのか」を今一度正確に理解する
ことで、「現行システムの機能と運用方法に何が足りないのか」をしっかり
把握して、準備期間の作業内容をクリアしていただくことを目的にスタートした、
今シリーズ。

2回目の今回は「モニタリングの重要性」についてです。

モニタリングは、内部統制システムの目的を達成するために不可欠な要素。
内部統制基準の中で、モニタリングは次のように定義されています。

「内部統制が有効に機能していることを継続的に評価するプロセスをいう。
モニタリングにより、内部統制は常に監視、評価及び是正されることになる。」

つまり、内部統制用のシステムが随時その機能と効果を発揮し続けるように
監視することが重要になる訳です。これを情報システムに当てはめてみると、
「監視機能」と「データ化」の2つの強化が要求されていると考えられます。

1／監視機能

監視機能の具体例として、次のような機能が考えられます。

• セキュリティポリシー違反のPCを基幹システムにアクセスさせない監視
• 個人情報を含む重要ファイルの管理方法に対する定期的な確認
• 機密文書の配信時における、パスワードロック等の漏洩防止策採用状況の定期的な確認
• 機密ファイルに対して不正アクセスをさせない監視
• 従業員のコンプライアンスマニュアルの理解と遵守状況に関する定期的な確認

上記以外にも様々な具体例が予想されますが、こうした監視機能を情報システム
に追加採用することで、新法に対応した内部統制システムを構築できると
思われます。

2／データ化

モニタリングは、その全ての結果がデータ化される必要があります。
例えば機密ファイルに対する操作ログが、不正行為の原因究明に多いに
役立ちます。またWinnyなど、P2Pソフト（ファイル交換ソフト）の起動記録が、
社員のコンプライアンス意識分析に活用できます。
モニタリングデータは、社内の問題を明確にできるのです。
内部統制担当者の間で積極的にデータを共有して、
有効活用していくことが重要でしょう。

さて、クオリティでは、こうしたモニタリングに最適なツールを多数
ご用意しています。テクノロジーサイトへぜひ一度アクセスしてみてください。

いかがでしょうか。現行システムの課題が少しクリアになったでしょうか。
一つ一つ着実に対策を講じ、強固な内部統制システムを確立してください。
もちろん、Dr.Qもしっかりお手伝いします。

次回は、「内部統制のホント3/5：リスクマネジメントとしてのセキュリティ」に関して
解説します。 Dr.QがITサプリメントをお届けしました。

クオリティではメールマガジン「Q-NEWS」を毎週配信中。今回ご紹介した
ドキュメント管理に関するツールなど、即役立つ情報を無料で手に入れる
ことができます。ただいまプレゼントが当たる、キャンペーン実施中です。

日本版SOX法に適用する、より安全性の高いシステム構築に向けての具体的な対策、第17回目です。

さて、今回は個人情報の利用と加工における統制活動に関して解説しましょう。

ホームページやフィードバックハガキによって集められた個人情報は、性別や年齢別に分類したり、居住地で絞り込んだりしながら、マーケティング活動や販促活動の有効なソースに変移します。こうしたプロセスを、個人情報の利用と加工と位置づけます。ここで重要なポイントはふたつ。企業は、取得した個人情報を取得時に通知した利用目的以外に利用できません。また、本人の同意なく第三者へ情報を提供することもできません。
個人情報を利用して加工する段階でも、様々なリスクが存在しています。それでは、どのようなリスクが存在して、どのような統制活動が必要なのか、具体的に解説しましょう。

■個人情報の利用と加工におけるリスク

大きく分けて、下記の3つのリスクが想定できます。
◎取得時に通知してない目的で利用してしまうリスク
◎本人の同意を得ずに、個人情報を第三者へと提供してしまうリスク
◎利用・加工段階の不適切な取扱いによって個人情報が漏洩してしまうリスク

いずれも個人情報保護法に抵触する恐れがあります。ケースによっては、カード偽造などの犯罪へと発展する可能性もあり、企業の信頼性維持の面からも非常に重視すべきリスクと言えます。

■個人情報の利用と加工における統制活動

前述のようなリスクを軽減させる具体的な統制活動は下記の4つがあります。

1：利用および加工に関するルールの明確化

下記のような社内ルールを明文化し、全社員への通達と教育を徹底することが重要です。
◎取得時に通知してない目的での利用禁止(二次利用禁止)
◎個人情報を社外に持ち出す際の許可手続

2：IT統制

ルールに頼るだけでなく、つぎのようなIT統制もリスク軽減で有効的です。

◎不正アクセス対策（個人情報のファイル自体にアクセス制御を施し、仮にデータが第三者に渡った場合もファイルを閲覧できないシステムの構築）
◎受け渡し対策（個人情報受け渡し専用の暗号化などを施した安全性の高いシステムの構築）
◎P2Pソフト(ファイル交換ソフト)対策（WinnyなどのP2PソフトがインストールされたクライアントPCでは、個人情報が受け取れない仕組みを持ったシステムの構築）
◎データ持ち出し対策（CD-Rやフラッシュメモリなどの外部記憶デバイスを使って社外にデータを持ち出させないシステムの構築）

3：確認用フローチャートの確立

個人情報が、いつ、だれによって、どのように利用され、また加工されているかを確認することも重要です。対策例として、確認用のフローチャートを作成し、作業記録を保管するなどの手法が考えられます。
フローチャートには、項目には最低でも下記の5つを含めることが要求されるでしょう。

◎利用者名
◎利用期日
◎利用目的(加工目的)
◎利用後(加工後)の保管体制
◎責任者認証

4：管理者による定期的な確認作業

個人情報の利用と加工に関わる各部署の責任者が、個人情報の利用と加工における社内ルール遵守状況を定期的に確認します。

いかがでしょう
このような統制活動を実施することで、リスクを確実に軽減できます。
御社は大丈夫でしょうか。
ひとつひとつ確実に整備することで、強固な内部統制を確立してください。
もちろん、Dr.Qもしっかりお手伝いします。

次回は、「個人情報の保管における統制活動」に関して解説します。
Dr.QがITサプリをお届けしました。

なお、クオリティではメールマガジン「Q-NEWS」を毎週配信中。今回ご紹介したドキュメント管理に関するツールなど、即役立つ情報を無料で手に入れることができます。ただいまプレゼントが当たる、キャンペーン実施中です。

内部統制に対応した、より安全性の高いシステム構築に向けての具体的な対策、第16回目です。

さて、今回は個人情報取得における統制活動に関してです。

企業のマーケティング活動や販促活動にとって、個人情報の取得は非常に重要です。しかし一方で、個人情報保護法を遵守することも不可欠です。コンプライアンスの観点から、個人情報の取得にあたっては、その利用目的をクリアにすることが要求されます。例えばIT系企業にとって、メールマガジンの会員登録と、セミナーやイベント情報を告知するダイレクトメールの発送は全く別の目的です。登録時に通知することなく、ダイレクトメールを勝手に送付できません。
個人情報取得の段階でも、様々なリスクが存在しています。それでは、具体的にどのようなリスクが存在して、どのような統制活動が必要なのか、具体的に解説しましょう。

■個人情報取得におけるリスク
大きく分けて、下記の3つのリスクが想定できます。
◎利用目的を未通知で取得してしまうリスク
◎間違った利用目的を通知して取得してしまうリスク
◎不適切な方法で取得してしまうリスク

■個人情報の取得における統制活動
前述のようなリスクを軽減させる統制活動として、具体的に下記の4つをあげることができます。

1：取得ルールの明確化
取得にあたって、下記のように方針や手続きを明確にし、全社員へ教育を徹底する必要があります。
●全社統一のプライバシーポリシー(個人情報の取り扱いに関する基準・方針)を明文化する
●個人情報を新規に獲得する場合は利用目的や通知内容に関して、法務セクションなどの管理部門に対して必ず事前確認を行う
●個人情報の取得状況を安全性の高いデータベースで管理する
●社内での個人情報の利用状況と利用目的の通知内容を定期的に見直す

2：登録者への通知を徹底でき、かつ安全性の高いホームページ構築
現在では、ホームページ経由で個人情報を登録するケースが大半です。個人情報を取得するためには、登録前に必ず自社のプライバシーポリシーを通知することはもちろん、つねにプライバシーポリシーを閲覧できるようにホームページを構成する必要があります。合わせて、SSLの導入といった安全性を確保することも重要です。プライバシーポリシーには、具体的に下記の内容が網羅されていることが望ましいと思われます。

※個人情報保護方針
※個人情報の利用目的について
※個人情報の外部委託先への開示について
※個人情報の第三者提供について
※開示等の求めに応じる手続き等
※個人情報に関するお問い合わせ窓口
※クッキー(Cookie)について
※SSLについて
※お客様のアクセスログ・履歴情報について

3：職務の分離化
職務を分離させることでチェック機能の二重化が可能になり、リスクを軽減できます。
※個人情報の取得(例：営業部)
※利用目的の通知内容と通知方法に関する確認(例：法務部)

4：管理者による定期的な確認作業
営業部などの管理者が、個人情報の利用目的の通知状況を定期的に確認

このような統制活動を実施することで、リスクを確実に軽減できます。
あなたの企業は大丈夫でしょうか。
ひとつひとつ確実に整備することで、強固な内部統制を確立してください。
もちろん、Dr.Qもしっかりお手伝いします。

次回は、「個人情報の利用と加工における統制活動」に関して解説します。
Dr.QがITサプリをお届けしました。

なお、クオリティではメールマガジン「Q-NEWS」を毎週配信中。今回ご紹介したドキュメント管理に関するツールなど、即役立つ情報を無料で手に入れることができます。ただいまプレゼントが当たる、キャンペーン実施中です。

日本版SOX法に適用する、より安全性の高いシステム構築に向けての具体的な対策、第15回目です。

さて、今回から個人情報管理において必要とされる、具体的な統制活動に関して解説したいと思います。最近、「弊社はコンプライアンス実践を経営の最重要課題と位置づけています」という社長の言葉を、WebサイトのIRページに掲載する上場企業が数多く見受けられるようになりました。大変素晴らしいことです。企業としてコンプライアンス(法令遵守)を徹底することは、すべてのステークホルダーからの共感につながり、企業としての存在価値を総合的に高めることにもなります。

コンプライアンス実践において重要なパートを占めるのは個人情報管理です。個人情報が漏洩した場合、個人情報保護法違反によって事業者は「6ヵ月以下の懲役または30万円以下の罰金」が課せられます。刑事罰による罰金は30万円と小額ですが、500万件、1000万件と漏洩したデータ件数に比例して、情報漏洩被害者の損害賠償リスクは膨れ上がります。また実被害はなくても、企業のブランドイメージは当然傷つくでしょう。

個人情報管理の各プロセスにおける、リスクと統制活動をしっかり把握するために、関連ITツールの有効性と活用方法を一層詳しく把握していただきたいと思います。もちろん、現状の管理体制のウィークポイントもクリアにできます。

個人情報管理は、具体的に次の4 つのプロセスで構成されます。

1)個人情報の取得　→　2）個人情報の利用と加工　→　3）個人情報の保管　→4）個人情報の廃棄
それぞれのプロセスで様々なリスクが発生する可能性があります。
統制活動は、それらのリスクを低減させるために必要な対応策です。
次回から、各プロセスの統制活動を分かりやすく解説していきます。
ぜひ定期アクセスをよろしくお願いします。

さる6月7日、参議院本会議で金融商品取引法（日本版SOX法）が可決され、成立しました。一刻も早く、内部統制構築に着手してください。もちろん、Dr.Qもしっかりお手伝いします。

Dr.QがITサプリをお届けしました。次回もお楽しみに。

クオリティではメールマガジン「Q-NEWS」を毎週配信中。今回ご紹介したドキュメント管理に関するツールなど、即役立つ情報を無料で手に入れることができます。ただいまプレゼントが当たる、キャンペーン実施中です。

6月28日から6月30日までの3日間、東京ビックサイトにて「第3回情報セキュリティEXPO 2006」が開催されます。
（※入場の際には招待券、または事前登録を行なう必要があります。時間は午前10時～午後6時まで）

「第3回情報セキュリティEXPO 2006」は、情報漏洩対策や不正侵入、ウイルス対策など、情報セキュリティに関する製品やサービスが一同に終結した国内最大級の専門展です。情報システム部門をはじめ、監査部門や法務部門の担当者の方にとって、最新の製品や技術を比較検討できる機会です。

今回の「第3回情報セキュリティEXPO 2006」にクオリティも出展しています。会場ブースでは、内部統制・法制度対策に関する簡単なアンケートを行なっており、ご回答いただいた方にはオリジナル折りたたみ傘をプレゼントしていますので、ご来場の際にはぜひとも当社ブースにお立ち寄りください。

なお6月30日は「クライアントPCを基点とした内部統制対策」をテーマにしたセミナーを会場の"展示会隣接PRセミナー会場"にて開催しますので、こちらの公演にもぜひご参加ください。

■セミナー概要
時間：6月30日(金)　15：30～16：30(60分)
タイトル：クライアントPCを基点とした内部統制対策
公演者：クオリティ株式会社　三井智博
要約：クオリティでは「QND/QAW」を基盤とした『QND法制度対策ソリューション』により、現状把握から監査、利用制限、社員教育までの幅広い対策をご提供し、強固な内部統制構築をサポートいたします。

■イベントリンク
第3回情報セキュリティEXPO 2006

東京ビックサイト：会場交通案内

招待券（無料）のお申込み

今回は、第6回、情報漏洩対策として「私物PCを持ち込ませない体制」についてお話します。

これまでの記事は職場のPCを想定した話題でしたが、今回は私物のノートパソコンを職場に持ち込んで作業をする場合の対策です。

職場で私物PCを使い業務をおこなった後、そのまま自宅に持ち帰ったPCでWinnyを利用し、そこからウイルスに感染し機密情報や個人情報データが流出する事件が後を絶たちません。
これらのケースから、職場での私物PCの使用はとても危険なものだということがお分かりでしょう。

しかし、過去、官公庁や企業などが、予算の関係で業務用PCを貸与できなかったため、やむを得ず私物PCを職場に持ち込んで業務をおこなっていたことがあったようです。
また、私物PCの職場での利用を禁止した後でも、私物PCを職場に持ち込んでいるという話をいまだに聞きます。

そこで、Winnyの事件に限らず情報流出リスク低減のための対策には、職場に私物PCを持ち込ませず、職場内のネットワークに接続させないことが重要です。

　当ブログで連載中のITコラム「SOX法時代のセキュリティ体制へ…内部統制チェックテスト」でおこなっている質問事項をまとめたチェックプログラムを作成しました。
簡単な質問にYesかNoで答えるだけで、日本版SOX法に適応するためのITシステムのウィークポイントと課題が明確になります。
現在のITシステムとセキュリティポリシが日本版SOX法に適応しているかどうかを再確認するため、この機会にぜひお試しください。

「内部統制チェックテスト」へのリンクはこちら【無料】

※このチェックテストページをご覧になるには最新のFlash Playerが必要です。
お持ちでない方は下記リンクからダウンロードを行なってください。
Macromedia Japan: Macromedia Web Player ダウンロードセンター

今回は5つ目の情報漏洩対策として、「機密情報ファイルが流出しても情報は漏らさない」に関するお話です。
前回は職場のPCからデータを持ち出せないようにするため、外部記憶デバイスへの書き込みを禁止する対策を紹介しました。
しかしながら、機密情報ファイルの社外への持ち出しを完璧に防ぐというのは至難の業です。

日本版SOX法に適用する、より安全性の高いシステム構築に向けての具体的な対策、第14回目です。

さて、今回は日本版SOX法に対応した情報資源バックアップ体制の、ウィークポイントと課題が明確になる質問リストです。より円滑に事業を運営していくには、万一の場合に備えてデータ、システム・ソフトウェア、アプリケーション・プログラムなどに関してバックアップ体制を整備しておくことが不可欠。内部統制を考える上でも重要なポイントです。御社の現状をチェックしてください。実際に監査法人に内部統制のコンサルティングを依頼した際、ほとんどの監査法人が質問してくると想定される質問リストです。

Q1.データの重要性に応じて、回数、タイミング、組数、媒体など最適なバックアップ方法を講じていますか?
（ YES ・ NO ） 

Q2.データ、プログラム、システム、構成管理情報などに関して、バックアップの対象範囲が明確化され、また文書化されていますか?
（ YES ・ NO ） 

Q3.システム関係文書（システム設計書、各種マニュアル、操作手順書、業務マニュアルなど）、業務継続計画書、災害時対応計画書などもバックアップの対象にしていますか?
（ YES ・ NO ） 

Q4.バックアップ媒体のオンサイト保管（自社内での保管）、オフサイト保管の（契約先や委託先などによる外部保管）の区分は適切ですか?
（ YES ・ NO ）

Q5.バックアップ媒体がオンサイト保管されている場合、耐火金庫などで保管されていますか?
（ YES ・ NO ）

Q6.バックアップ媒体がオフサイト保管されている場合、外部の専門保管業者の倉庫での保管、また事業所間の相互保管などが実施されていますか?
（ YES ・ NO ）

Q7.保管されているバックアップ媒体の記録内容、移動・廃棄状況について、台帳が作成されていますか?
（ YES ・ NO ）

Q8.バックアップ媒体からの復旧テストは、定期的に実施されていますか?
（ YES ・ NO ）

Q9.大規模なシステム変更があった場合は、バックアップ媒体からの復旧のテストが通常以上に入念に行われていますか?
（ YES ・ NO ）

Q10.バックアップ媒体からの復旧テスト方法の有効性を定期的に検討し、必要であれば改善できる体制を整備していますか?
（ YES ・ NO ）

いかがでしょうか。NOが一つでもあれば、内部統制評価でNGとなります。逆にすべてをクリアできていれば、新法に適用した内部統制システムが確立されていることを意味します。

2008年4月に向けて、カウントダウンははじまっています。

なお次回の「SOX法時代のセキュリティ体制へ…内部統制チェックテスト」では、
このブログに掲載した5回分の質問をまとめてチェックできる、IT管理者や経営者向けの
内部統制チェックプログラムを公開します。ぜひお試しください。

クオリティではメールマガジン「Q-NEWS」を毎週配信中。今回ご紹介したドキュメント管理に関するツールなど、即役立つ情報を無料で手に入れることができます。ただいまプレゼントが当たる、キャンペーン実施中です。

前回（5月17日掲載）は、システム管理者側からユーザPCの任意のソフトを起動制御する話を述べました。

今回は、機密情報漏洩防止策の3つ目として「機密データを持ち出させない」というお話をします。

前回までは、Winnyの検出と起動制御の話でしたが、職場で社内使用禁止ソフトの起動を制御しても、それだけでは対策は不十分です。社員が自宅で仕事をしようと会社の重要なデータをUSBメモリーやCD-Rなどにコピーして持ち帰り、なにもセキュリティ対策の施されていない私物PCからWinnyを媒介としてデータが流出したケースが多いのです。そこで重要なのが社内PCから「機密データを持ち出させない」ということです。

USBメモリなどの外部記憶デバイスは大容量化、低価格化しており、フロッピーなどを使っていた時代に比べて職場からのデータの持ち出しは容易になりました。この問題の解決策として、PCから外部記憶デバイスへのデータの書き込みを禁止できれば、重要データの社外流出という危険性は低減します。もちろんWinnyネットワークに機密情報が流出する可能性も低くなります。

  クオリティでは、USBメモリなど外部記憶媒体からのデータ利用は許可したまま、外部記憶媒体へのデータコピーを禁止、すぐに情報漏洩対策を実現できるeX WPをご用意しております。体験版もご用意しておりますので、ぜひ一度お試しください。
>eX WPに関する製品情報はこちら

Dr.QがITサプリをお届けしました。次回もお楽しみに。

クオリティではメールマガジン「Q-NEWS」を毎週配信中。今回ご紹介したドキュメント管理に関するツールなど、即役立つ情報を無料で手に入れることができます。ただいまプレゼントが当たる、キャンペーン実施中です。