ドクターQがお届けするIT統制ブログ　ITサプリ

日々多忙を極めるシステム管理者のみなさんのために、「システム管理基準 追補版(財務報告に係るIT統制ガイダンス)」(※以下、追補版)のポイントを分かりやすく解説している本シリーズ。追補版の各章で登場するリスクと、具体的な対応策に着目しながら進めています。

さてシリーズ5回目の今回から、「5.モニタリング」に入ります。モニタリングの目的は、問題点の把握と是正を行い、継続的な改善を実施することで内部統制の有効性を確保することです。ITに関するモニタリングは、IT全社的統制、IT全般統制、IT業務処理統制のそれぞれにおいて実施することが要求されます。モニタリングは必然的に企業の各階層に関係することになります。今回は、想定リスクと対応策が具体的で分かりやすい、「IT全般統制のモニタリング」に着目しましょう。IT全般統制のモニタリングは、IT基盤ヘの統制が有効に機能しているかを監視し、問題点を是正するために行われます。

■リスクの例(1)■
IT全般統制についてモニタリング機能がないため、不正や誤り等を検出できない。

↓↓↓↓↓↓↓

○統制の例○
ITの日常的なモニタリングに関するポリシや手続き、ルールが定められ、これに基づいてモニタリング活動が実施され、記録(ログなど)が保存されている。


■リスクの例(2)■
連続したモニタリングでないと、不正等を検出できない。

↓↓↓↓↓↓↓

○統制の例○
モニタリングのログ等の情報収集は24時間365日連続して収集されている。

■リスクの例(3)■
モニタリングの証拠が正しく保全され、保管されていない。

↓↓↓↓↓↓↓

○統制の例○
ログ等の情報は正しく保全され、保管されている。

■リスクの例(4)■
モニタリング情報が適切な管理者に適時に報告されない。

↓↓↓↓↓↓↓

○統制の例○
モニタリング情報が、適切な管理者に適時に報告される仕組みとなっている。

以上、4つの例示から、IT全般統制に関するモニタリングの中核が「クライアントの操作ログ取得」であることが分かります。
具体的な操作ログとして、下記が必要になることが予測できます。

◎起動アプリケーションログ
◎ドキュメント操作ログ
◎WEB操作ログ
◎ファイルログ
◎Mail送受信ログ
◎プリンタ印刷ログ
◎ウインドウタイトルログ
◎クリップボードコピーログ
◎画面キャプチャ
◎FTPログ

貴社のIT統制の導入準備は万全でしょうか？
上記に掲載した統制活動を実施することで、リスクを確実に軽減できます。
ひとつひとつ確実にITセキュリティ整備を行うことで、強固な内部統制を確立してください。
もちろん、Dr.Qもしっかりお手伝いします。

■特設サイト「内部統制Ｑ救室」はこちら>>　内部統制Ｑ救室

クオリティから、新技術の話からITの活用が明記された新法制度の解説や動向など、
情報システムご担当者様の仕事に役立つ情報をお届けするメールマガジン「情報システムQ救隊」を配信中。購読は無料ですのでぜひご購読ください。※配信は「まぐまぐ」を利用しています。

リリースからわずか1ヶ月で、早くも内部統制に向けた情報システム強化のスタンダードになりつつある、「システム管理基準 追補版(財務報告に係るIT統制ガイダンス)」(※以下、追補版)。

追補版は金融庁からリリースされている「財務報告に係る内部統制の評価及び監査に関する実施基準(公開草案)」と比較して、統制活動に関する具体例が多数掲載されており、システム強化のポイントを明確に理解できます。そこでITサプリでは、追補版の各項目をさらに分かりやすく解説していきます。

シリーズ4回目の今回は、「③.IT全般統制／(3) 内外からのアクセス管理等のシステムの安全性の確保：②.アクセス管理等のセキュリティ対策」のポイントを解説しましょう。アクセス管理等のセキュリティ対策では、アクセス制御、パスワードの管理、ネットワークアクセスの制御、オペレーティングシステムのアクセス制御という、4つの対策が重視されています。追補版ではアクセス管理において想定されるリスクと、その対策としてIT統制(対応策)が豊富に例示されています(Ⅳ章33ページ(PDFの70ページ目)：【統制の例と統制評価手続の例】)。今回はその中でも、情報システムに対するニーズが明確な4つの例示に注目したいと思います。

■リスクの例(1)■
適切な認証がないと、データヘの改ざんや不正な参照が起きる。

↓↓↓↓↓↓↓

○統制の例○
すべての担当者の認証及びアクセス制御機能が存在し、アクセスが記録されている。

■リスクの例(2)■
担当者のアカウントの発行、停止等の管理がなされていないと不正使用されて、データヘの改ざんや漏えいが起きる。

↓↓↓↓↓↓↓

○統制の例○
担当者のアカウントの申請、設定、発行、一時停止、廃止に関する手続が存在しており、手順に従って適時に処理されている。

■リスクの例(3)■
適切なアクセス制御機能がなく、データヘの改ざんや不正な参照が起きる。

↓↓↓↓↓↓↓

○統制の例○
アクセス権に関して適宜見直して、確かめるための統制プロセスが存在し、これに従っている。

■リスクの例(4)■
インターネットを利用する場合は不正侵入対策が実施されている。

↓↓↓↓↓↓↓

○統制の例○
電子商取引等にインターネット等外部のネットワークを利用する場合には、ファイアウォール、侵入検知システム等が用いられている。さらに、脆弱性評価の結果によるパッチ等の適切な統制が存在して、不正アクセスを防いでいる。

以上、4つの例示から、全社的なアクセスログの取得と、ID・パスワード管理、またクライアントPCに対する脆弱性監査というシステム強化のポイントが明確になったと思います。

そして、それら3つの統制活動の実行状況を定期レポート化できる体制の整備が不可欠であることが分かります。さらにに解説すると、下記の機能強化が要求されることが推測できます。

◎ファイル、アプリケーション、サーバに対するアクセスログ取得と、全クライアントPCの操作ログ取得
◎セキュリティポリシ違反のPC(未登録PC、私物PC含む)による基幹システムへのアクセス拒否
◎セキュリティポリシ違反PCを隔離して検査を行い、問題があれば治療できる、検疫ネットワーク機能
◎ID・パスワードの運用管理機能
◎OSのセキュリティパッチの漏れのないインストール
◎ウイルス対策ソフトの定義ファイルの漏れのないインストール

貴社のIT統制の導入準備は万全でしょうか？
上記に掲載した統制活動を実施することで、リスクを確実に軽減できます。
ひとつひとつ確実にITセキュリティ整備を行うことで、強固な内部統制を確立してください。
もちろん、Dr.Qもしっかりお手伝いします。

■特設サイト「内部統制Ｑ救室」はこちら>>　内部統制Ｑ救室

クオリティから、新技術の話からITの活用が明記された新法制度の解説や動向など、
情報システムご担当者様の仕事に役立つ情報をお届けするメールマガジン「情報システムQ救隊」を配信中。購読は無料ですのでぜひご購読ください。※配信は「まぐまぐ」を利用しています。

経済産業省から公表された「システム管理基準 追補版(財務報告に係るIT統制ガイダンス)」(※以下、追補版)の各ポイント解説を目的とした本シリーズ。先週に引き続き、今回も第Ⅳ章、「IT統制の導入ガイダンス」にフォーカスを当てたいと思います。

今回はⅣ章P27(PDFの64ページ目)に掲載されている、「3.IT全般統制／(2)システムの運用・管理／2構成管理」の解説です。
ここでの構成管理とは、情報資産の購買、設置、固定資産管理、廃棄等の統制結果を資産情報として管理することを意味します。情報システムの統制を間接支援する重要な要素として位置づけられています。追補版には構成管理に関する想定リスクとIT統制(対応策)が4つ例示されています。

■リスクの例(1)■
ソフトウェア、ハードウェア、アプリケーション・システム等が無断で設置・廃棄されることにより、誤処理やシステム停止が起こる。

↓↓↓↓↓↓↓

○統制の例○
購買、設置、固定資産、廃棄等が適切に管理されている。

■リスクの例(2)■
変更が正しくシステム管理情報に反映されないために、システムの不整合が起きるリスクがある。

↓↓↓↓↓↓↓

○統制の例○
変更管理の結果が、適時、構成管理に反映されている。

■リスクの例(3)■
管理期限の経過したハードウェア等の継続使用により、処理に誤りが起こるリスクがある。

↓↓↓↓↓↓↓

○統制の例○
情報資産の有効期限が適切に管理され、更新される。

■リスクの例(4)■
許可されないソフトウェアの使用によってデータの改変やシステムの停止が起こる。

↓↓↓↓↓↓↓

○統制の例○
IT資産を使用する従業員には、許可されたソフトウェア以外の使用を禁止する
(従業員のPCの特権IDやアドミニストレータ権限が禁止されている)。

4つの例示から、全社的なIT資産管理体制の導入が不可欠であることが分かります。同様に、全社のクライアントPCを随時モニタリングできるIT監査体制の確立も極めて重要になります。その他、リース切れなどの要因によって廃棄されるPCに対してハードディスクを暗号化するなどの対策も必要になります。具体的には、下記のような管理機能が必須になると考えられます。

◎管理外のPCがネットワークに接続した際のアラート
◎ソフトウェア利用状況の把握
◎禁止ソフトウェアの起動制御
◎業務用アプリケーションのバージョンの把握と、その統一
◎ハードディスクのメンテナンス時期のアラート
◎リース切れ目前のクライアントPCのアラート

さて、貴社のIT統制の導入準備は万全でしょうか？
クオリティでは、未登録PCの不正接続を検知する「eX IPD」や、禁止ソフトウェアの調査・起動制御を行う「QAW」など、IT全般統制に適したツールとベストなアドバイスをご用意しております。ぜひクオリティのテクノロジーサイトへ一度アクセスしてみてください。きっとIT統制成功のロードマップが見えてきます。
Dr.QがITサプリをお届けしました。 次回も引き続き追補版を解説します。

■特設サイト「内部統制Ｑ救室」はこちら>>　内部統制Ｑ救室

クオリティから、新技術の話からITの活用が明記された新法制度の解説や動向など、情報システムご担当者様の仕事に役立つ情報をお届けするメールマガジン「情報システムQ救隊」を創刊しました。購読は無料ですのでぜひご購読ください。※配信は「まぐまぐ」を利用しています。

1月19日、経済産業省から「システム管理基準 追補版(財務報告に係るIT統制ガイダンス)」(以下、追補版)が公開されました。

その内容は、金融庁の「財務報告に係わる内部統制の評価および監査に関する実施基準 草案」(以下、実施基準案)を補完し、システム部門が実施すべき項目が、分かりやすく解説されています。とはいえ、追補版は約150ページのボリューム。そこで、今回から新たなシリーズ「徹底解説!! 財務報告に係わるIT統制ガイダンス」をスタートさせます。

まず、第1回目の今回は、追補版を読み解く上で必要になる、用語を解説したいと思います。追補版で新たに追加された用語もあります。実際に追補版では、第一章で各用語の概念が解説されています。その概念をベースに進めたいと思います。

■IT統制
今回の追補版では、「IT統制」の概念が明確化されました。IT統制に含まれるのは、ふたつです。金融庁の実施基準案では、「ITへの対応」が、1)IT環境への対応、2)ITの利用、3)ITの統制と、3つのカテゴリーで解説されましたが、IT統制の概念には、2)と3)の双方が含まれます。

※補足解説
1)IT環境への対応　(社内外のITの活用状況)
2)ITの利用　(財務情報の信頼性に係る内部統制の実現におけるITの利用)
3)ITの統制　(ITを利用した情報システムに対する内部統制)

また追補版では、IT統制が、次の3つに分類され、それぞれの概念が明確化されています。

■IT全社的統制
企業の統制が全体として有効に機能する環境を保証するためのITに関連する方針と手続等、情報システムを含む内部統制。

■IT全般統制
業務処理統制が有効に機能する環境を保証するための統制活動を意味しており、通常、複数の業務処理に関係する方針と手続のうち、IT基盤を単位として構築する内部統制。

■IT業務処理統制
業務を管理するシステムにおいて、承認された業務がすべて正確に処理、記録されることを担保するために業務プロセスに組み込まれたITに係わる内部統制。

さらに、金融庁の実施基準案で解説がなかったIT基盤に関しても、今回の追補版で概念が明確化されています。

■IT基盤
ITに関与する組織の構成、ITに関する規程及び手順書等、ハードウェアの構成、ソフトウェアの構成、ネットワークの構成、外部委託の状況。

追補版を理解する上でポイントになるのは、上記の5つです。それでは次回から、追補版の中身を解説していきますのでお楽しみに。

さて、クオリティでは、ユーザID・パスワード管理やアクセスログデータの取得、アプリケーション起動記録などに有効な、内部統制システム構築に最適なツールを多数ご用意しています。また12月1日より内部統制に関する特設サイト「内部統制Ｑ救室」もオープンしました。ぜひ一度、お立ち寄りください。

■特設サイト「内部統制Ｑ救室」はこちら>>　内部統制Ｑ救室

クオリティから、新技術の話からITの活用が明記された新法制度の解説や動向など、情報システムご担当者様の仕事に役立つ情報をお届けするメールマガジン「情報システムQ救隊」を創刊しました。購読は無料ですのでぜひご購読ください。※配信は「まぐまぐ」を利用しています。

金融庁のWebサイトで現在公表中の「財務報告に係る内部統制の評価及び
監査に関する実施基準(公開草案)」。実施基準案に登場する「財務報告
に係る全社的な内部統制に関する評価項目の例」に着目し、そこでの評価
項目を通して、情報システムの整備・強化ポイントを把握することを目的に、
本シリーズを進めてきました。

シリーズラストとなる今回は、「ITへの対応」に関する評価項目をチェックした
いと思います。財務報告に係る全社的な内部統制に関する評価項目の例／
ITへの対応には、5項目があげられていますが、5項目の内、情報システムに
対して全社的統制に関するニーズが明確なのは、2）と4)です。

2）経営者は、内部統制を整備する際に、IT環境を適切に理解し、これを踏ま
　えた方針を明確に示しているか。

↓↓↓↓↓↓↓

この項目では情報システムに対して、IT資産管理機能を要求していると考え
られます。具体例としては、下記のような情報を正確に把握した上で、内部
統制に関する方針を打ち出すことが要求されます。

◎ハードウエア情報収集
◎ソフトウエアのライセンス情報収集
◎使用者情報
◎購入（資産区分）情報

これらの情報が正確に把握できる、PC資産管理台帳をベースに方針作成を
スタートすることが重要です。やはり内部統制成功の第一歩はIT資産の棚卸
しである、ということがこの項目から把握できます。

4）ITを用いて統制活動を整備する際には、ITを利用することにより生じる新
　 たなリスクが考慮されているか。

↓↓↓↓↓↓↓

この項目では、情報システムに対して、社内に存在するITリスクを予測できる
監査レポートの作成機能が要求されていると考えられます。監査レポートに
は、具体的に下記のような内容が記述されることが必要となるでしょう。

◎ユーザID・パスワード管理状況解析レポート
◎重要アプリケーションへのアクセスログ解析レポート
◎機密文書の操作ログ解析レポート
◎不正アプリケーション起動記録解析レポート
◎セキュリティソフトのパッチ適用状況解析レポート
◎個人情報ファイルの運用状況解析レポート
◎セキュリティポリシ違反PCの接続拒否状況解析レポート

これらの情報を把握することで、今後のITリスクの予測が容易になります。

さて、クオリティでは、ユーザID・パスワード管理やアクセスログデータの取得、アプリケーション起動記録などに有効な、内部統制システム構築に最適なツールを多数ご用意しています。また12月1日より内部統制に関する特設サイト「内部統制Ｑ救室」もオープンしました。ぜひ一度、お立ち寄りください。

■特設サイト「内部統制Ｑ救室」はこちら>>　内部統制Ｑ救室

クオリティから、新技術の話からITの活用が明記された新法制度の解説や動向など、情報システムご担当者様の仕事に役立つ情報をお届けするメールマガジン「情報システムQ救隊」を創刊しました。購読は無料ですのでぜひご購読ください。※配信は「まぐまぐ」を利用しています。

いよいよ公開間近となった「財務報告に係る内部統制の評価及び監査に関する実施基準」。しかし、公開を待ってからの準備開始では遅すぎます。この期間でまずすべきことは、内部統制が情報システムに要求する機能を正確に把握し、現状のシステムとの差分をクリアにすることです。

そこで本シリーズでは、現在金融庁のWebサイトで公開中の「財務報告に係る内部統制の評価及び監査に関する実施基準(公開草案)」に記載されている、「財務報告に係る全社的な内部統制に関する評価項目の例」に注目。それらの評価項目を通して、情報システムの整備・強化ポイントを把握することを目的に進めています。

さてシリーズ5回目の今回は、「情報と伝達」に関する評価項目をチェックしたいと思います。財務報告に係る全社的な内部統制に関する評価項目の例／“情報と伝達”には、以下の6項目があげられています。 このうち、全社的な情報システムに対してニーズが明確なのは、1）、それから3）、4）の3項目です。

1）信頼性のある財務報告の作成に関する経営者の方針や指示が、企業内のすべての者、特に財務報告の作成に関連する者に適切に伝達される体制が整備されているか。

↓↓↓↓↓↓↓

情報システムには、経営者の内部統制に関するメッセージなどを全社員に対して、確実に配信し、また把握させる機能が重要になります。

◎強制POP-UP画面表示機能
◎ファイルの操作ログ取得

などが不可欠になります。特に、ファイルの操作ログを取得することで、「社員に対して配信された社長メッセージが確実に閲覧されているか」をチェックできます。逆に閲覧していない社員のチェックも可能になります。

3）内部統制に関する重要な情報が円滑に経営者及び組織内の適切な管理者に伝達される体制が整備されているか。
4）経営者、取締役会、監査役又は監査委員会及びその他の関係者の間で、情報が適切に伝達・共有されているか。

↓↓↓↓↓↓↓

これらの2項目は共通して、客観的な監査レポートの定期作成を要求していると思われます。レポートを通じて、社内の統制活動の有効性を立証することが可能になります。監査委員会が要求するのは、下記のレポートが統合された監査レポートになるでしょう。

◎ユーザID・パスワード管理状況解析レポート
◎重要アプリケーションへのアクセスログ解析レポート
◎機密文書の操作ログ解析レポート
◎不正アプリケーション起動記録解析レポート
◎セキュリティソフトのパッチ適用状況解析レポート
◎個人情報ファイルの運用状況解析レポート
◎セキュリティポリシ違反PCの接続拒否状況解析レポート

有効性を立証するだけでなく、監査レポートの分析によって、社内に潜むリスクを解析できます。また将来的に必要になる対応策の検討も可能になります。

いかがですか。今後の準備期間でのシステム強化ポイントなどが、少しクリアになったでしょうか。

さて、クオリティでは、ユーザID・パスワード管理やアクセスログデータの取得、アプリケーション起動記録などに有効な、内部統制システム構築に最適なツールを多数ご用意しています。また12月1日より内部統制に関する特設サイト「内部統制Ｑ救室」もオープンしました。ぜひ一度、お立ち寄りください。

■特設サイト「内部統制Ｑ救室」はこちら>>　内部統制Ｑ救室

次回は、「財務報告に係る全社的な内部統制に関する評価項目の例／情報と伝達」についてご紹介します。Dr.QがITサプリをお届けしました。

クオリティから、新技術の話からITの活用が明記された新法制度の解説や動向など、情報システムご担当者様の仕事に役立つ情報をお届けするメールマガジン「情報システムQ救隊」を創刊しました。購読は無料ですのでぜひご購読ください。※配信は「まぐまぐ」を利用しています。

上場企業にとって、2007年は内部統制元年。この準備期間を制する者が、内部統制を制すると言っても過言ではありません。事実、もうすぐ「財務報告に係る内部統制の評価及び監査に関する実施基準」も公開されます。

本シリーズは、金融庁のWebサイトで公開中の「財務報告に係る内部統制の評価及び監査に関する実施基準（公開草案）」記載の、「財務報告に係る全社的な内部統制に関する評価項目の例」にフォーカスを当て、いま一度、情報システムの整備・強化ポイントの把握を目的に進めています。

シリーズ4回目の今回は、「統制活動」に着目します。「財務報告に係る全社的な内部統制に関する評価項目の例／統制活動」には7項目があげられていますが、詳細は金融庁のWebサイトを参照していただくことにして、ここでは、全社的な情報システムに対してニーズが明確な、5）、6）、7）の3項目について解説します。

5）統制活動は業務全体にわたって誠実に実施されているか。
6）統制活動を実施することにより検出された誤謬等は適切に調査され、必要な対応が取られているか。
7）統制活動は、その実行状況を踏まえて、その妥当性が定期的に検証され、必要な改善が行われているか。

↓↓↓↓↓↓↓

3つの項目が総じて要求するのは、社内の統制活動の有効性を立証できる、客観的な監査レポートだと考えられます。下記に記した６つの項目に関する監査レポートを定期的に作成、またチェックできる体制の整備が必要になるでしょう。

◎重要アプリケーション(DB)へのアクセス記録
◎ID・パスワードの利用記録
◎利用禁止アプリケーション起動記録
◎機密文書の活用記録
◎個人情報ファイルの管理記録
◎セキュリティポリシ違反クライアントPCのアクセス記録

特に、項目6）には、「誤謬等は適切に調査され、必要な対応が取られているか。」との指摘があることから、監査サポートの自動作成機能を整備することが極めて重要です。監査レポートは、有事の場合、原因究明の証跡としても有効活用できる訳です。

内部統制では、監査データやレポートによって、その有効性を立証することが求められます。いかがですか。今後の準備期間でのシステム強化ポイントなどが、少しクリアになったでしょうか。

さて、クオリティでは、ユーザID・パスワード管理やアクセスログデータの取得、アプリケーション起動記録などに有効な、内部統制システム構築に最適なツールを多数ご用意しています。また12月1日より内部統制に関する特設サイト「内部統制Ｑ救室」もオープンしました。ぜひ一度、お立ち寄りください。

■特設サイト「内部統制Ｑ救室」はこちら>>　内部統制Ｑ救室

次回は、「財務報告に係る全社的な内部統制に関する評価項目の例／情報と伝達」についてご紹介します。Dr.QがITサプリをお届けしました。

クオリティから、新技術の話からITの活用が明記された新法制度の解説や動向など、情報システムご担当者様の仕事に役立つ情報をお届けするメールマガジン「情報システムQ救隊」を創刊しました。購読は無料ですのでぜひご購読ください。※配信は「まぐまぐ」を利用しています。

金融庁のWebサイトで公開中の「財務報告に係る内部統制の評価及び監査に関する実施基準（公開草案）」に参考資料として登場する「財務報告に係る全社的な内部統制に関する評価項目の例」にフォーカスを当て、企業にとって必要な内部統制活動をご紹介している本シリーズ。

今回も前回に引き続き、「リスクの評価と対応」に関する評価項目例に着目します。個々の評価項目例（28ページ目）は金融庁のWebサイトをごらんいただくとして、今回は4つある評価項目のなかでも、特に情報システムへのニーズが明確な4項目目の例をご紹介します。

4）経営者は、不正に関するリスクを検討する際に、単に不正に関する表面的な事実だけでなく、不正を犯させるに至る動機、原因、背景等を踏まえ、適切にリスクを評価し、対応しているか。

↓↓↓↓↓↓↓

ここで重要になるのは、不正発生の「原因」と「背景」を、つねに客観的に分析できる体制を整備しておくことをが要求されていると思われます。そこで重要になるのが、操作ログの取得です。つまり、クライアントPC上のあらゆる操作を記録し、「誰がいつ何をおこなったのか」を詳細なログデータとして保存します。また、ログを取得していることを周知することで、クライアントPCを介して起こり得るITリスクを監視、牽制もできます。もちろん有事の場合、原因究明の証跡としても活用できる訳です。具体的には、次のようなログ取得が不可欠になると考えられます。

• 機密ファイル操作ログ
• 個人情報関連ファイルアクセスログ
• 重要DBへのアクセスログ
• メール操作ログ
• アプリケーション起動ログ

内部統制では、このようなデータによって、その有効性を立証していくことが
求められる訳です。いかがですか。今後の準備期間でのシステム強化ポイント
などが、少しクリアになったでしょうか。

さて、クオリティでは、ユーザID・パスワード管理やアクセスログデータの取
得、アプリケーション起動記録などに有効な、
内部統制システム構築に最適なツールを多数ご用意しています。12月1日より
内部統制に関する特設サイト「内部統制Ｑ救室」もオープンしました。
ぜひ一度、お立ち寄りください。

■特設サイト「内部統制Ｑ救室」はこちら>>　内部統制Ｑ救室

次回は「財務報告に係る全社的な内部統制に関する評価項目の例／統制活動」
にフォーカスを当てたいと思います。Dr.QがITサプリをお届けしました。

クオリティから、新技術の話からITの活用が明記された新法制度の解説や動向
など、情報システムご担当者様の仕事に役立つ情報をお届けするメールマガジ
ン「情報システムQ救隊」を創刊しました。購読は無料ですのでぜひご購読ください。
※配信は「まぐまぐ」を利用しています。

先週、取材で某上場アミューズメント関連企業へお伺いしました。以前お伺いした時と明らかに違ったのは、営業セクションへのエントランス。1年前はITセクションだけだったのですが、営業セクションへのエントランスもICカード化され、入退室が管理されていました。お聞きしたところ、やはり内部統制の一環とのことでした。各社で内部統制の準備が着々と進められていますね。

さて、本シリーズでは、現在金融庁のWebサイトで公開中の「財務報告に係る内部統制の評価及び監査に関する実施基準（公開草案）」に参考資料として登場する「財務報告に係る全社的な内部統制に関する評価項目の例」にフォーカスを当てています。

個々の評価項目例は金融庁のWebサイトをごらんいただくとして、今回は4つある評価項目のなかでも、特に情報システムへのニーズが明確な3項目目の例をご紹介します。

3）経営者は、組織の変更やITの開発など、信頼性のある財務報告の作成に重要な影響を及ぼす可能性のある変化が発生する都度、リスクを再評価する仕組みを設定し、適切な対応を図っているか。

↓↓↓↓↓↓↓

ここで重要になってくるのは、社内に点在するクライアントPCに対する徹底的な管理と機密ファイルや重要アプリケーションに対する統制だと思われます。具体的には、次のような機能整備が不可欠になると考えられます。

• 重要アプリケーションへの不正アクセス防止の徹底
• 機密文書の不正活用防止の徹底
• 不正アプリケーション起動制御の徹底
• 個人情報ファイルの適正な管理状況の徹底
• クライアントPCのセキュリティポリシ遵守の徹底

内部統制では、このようなデータによって、その有効性を立証していくことが求められる訳です。いかがですか。今後の準備期間でのシステム強化ポイントなどが、少しクリアになったでしょうか。

さて、クオリティでは、ユーザID・パスワード管理やアクセスログデータの取得、アプリケーション起動記録などに有効な、内部統制システム構築に最適なツールを多数ご用意しています。12月1日より内部統制に関する特設サイト「内部統制Ｑ救室」もオープンしました。ぜひ一度、お立ち寄りください。

■特設サイト「内部統制Ｑ救室」はこちら>>　内部統制Ｑ救室

次回は、「財務報告に係る全社的な内部統制に関する評価項目の例／統制活動」にフォーカスを当てたいと思います。Dr.QがITサプリをお届けしました。

クオリティから、新技術の話からITの活用が明記された新法制度の解説や動向など、情報システムご担当者様の仕事に役立つ情報をお届けするメールマガジン「情報システムQ救隊」を創刊しました。購読は無料ですのでぜひご購読ください。※配信は「まぐまぐ」を利用しています。

金融庁のWebサイトで公開されている「財務報告に係る内部統制の評価及び監査に関する実施基準（公開草案）」。本シリーズでは、同公開草案の中盤に参考資料として登場する「財務報告に係る全社的な内部統制に関する評価項目の例」にフォーカスを当てています。

統制環境、リスクの評価と対応、統制活動、情報と伝達、モニタリング、ITへの対応、と内部統制の5つの基本的要素、それぞれに関する評価基準が記述されています。それらの評価項目から、情報システムの整備・強化ポイントを把握することを本シリーズの目標に設定しています。2回目となる今回は「統制環境」に関する評価項目例です。

「財務報告に係る全社的な内部統制に関する評価項目の例／統制環境」は、全部で13項目があげられています。個々の項目は金融庁のWebサイトをごらんいただくとして、今回は情報システムへのニーズが明確な、2項と6項に関して解説していきます。

2）適切な経営理念や倫理規程に基づき、社内の制度が設計・運用され、原則を逸脱した行動が発見された場合には、適切に是正が行われるようになっているか。

↓↓↓↓↓↓↓

上記の用件を満たすコンプライアンスを徹底できる統制環境を整備するため、情報システムには下記のような要求がされると思われます。

• 重要アプリケーションへの不正アクセス防止の徹底
• 機密文書の不正活用防止の徹底
• 不正アプリケーション起動制御の徹底
• 個人情報ファイルの適正な管理状況の徹底
• クライアントPCのセキュリティポリシ遵守の徹底

6）経営者は、問題があっても指摘しにくい等の組織構造や慣行があると認められる事実が存在する場合に、適切な改善を図っているか。

↓↓↓↓↓↓↓

こちらの場合、情報システムには、社内の不正行為を見逃さないIT監査体制の整備し、次のような監査サポートを定期的に作成することが、要求されると思われます。経営者は客観的な監査サポートをベースに、適切な改善策を講じる必要があるのです。

• ユーザID・パスワード管理状況解析レポート
• 重要アプリケーションへのアクセスログ解析レポート
• 機密文書の操作ログ解析レポート
• 不正アプリケーション起動記録解析レポート
• セキュリティソフトのパッチ適用状況解析レポート
• 個人情報ファイルの運用状況解析レポート
• セキュリティポリシ違反PCの接続拒否状況解析レポート

内部統制では、このようなレポートによって、その有効性を立証していくことが求められる訳です。いかがですか。今後の準備期間でのシステム強化ポイントなどが、少しクリアになったでしょうか。

さて、クオリティでは、ユーザID・パスワード管理やアクセスログデータの取得、アプリケーション起動記録などに有効な、内部統制システム構築に最適なツールを多数ご用意しています。12月1日より内部統制に関する特設サイト「内部統制Ｑ救室」もオープンしました。ぜひ一度、お立ち寄りください。

■特設サイト「内部統制Ｑ救室」はこちら>>　内部統制Ｑ救室

次回は、「財務報告に係る全社的な内部統制に関する評価項目の例／統制環境」にフォーカスを当てたいと思います。Dr.QがITサプリメントをお届けしました。

クオリティではメールマガジン「Q-NEWS」を毎週配信中。今回ご紹介した
ドキュメント管理に関するツールなど、即役立つ情報を無料で手に入れる
ことができます。ただいまプレゼントが当たる、キャンペーン実施中です。

11月21日、金融庁の企業会計審議会内部統制部会から「財務報告に係る内部統制の評価及び監査に関する実施基準(公開草案)」が公開されました。もう目を通されましたか？　トータル93ページにわたって、企業内でどのように内部統制を導入していくべきかが具体的に解説されています。しかし、日々多忙をきわめるシステム管理者のみなさんが、全ページを熟読するのは至難のワザ。そこで、今回から「公開草案を通して理解すべき、内部統制のポイント」と題して、新たなシリーズをスタートさせたいと思います。

本シリーズのポイントは、公開草案の中盤に参考資料として登場する「財務報告に係る全社的な内部統制に関する評価項目の例」です。内部統制の5つの基本的要素である、統制環境、リスクの評価と対応、統制活動、情報と伝達、モニタリング、ITへの対応それぞれに関する評価基準が記述されています。その評価項目を読み解くことで、情報システムの整備・強化ポイントを把握することができます。それではさっそく、シリーズ1回目として「モニタリング」に関する評価項目例を読み解いていきましょう。

「財務報告に係る全社的な内部統制に関する評価項目の例／モニタリング」には、下記の7つの項目があげられています。

• 日常的モニタリングが、企業の業務活動に適切に組み込まれているか。
• 経営者は、独立的評価の範囲と頻度を、リスクの重要性、内部統制の重要性及び日常的モニタリングの有効性に応じて適切に調整しているか。
• モニタリングの実施責任者には、業務遂行を行うに足る十分な知識や能力を有する者が指名されているか。
• 経営者は、モニタリングの結果を適時に受領し、適切な検討を行っているか。
• 企業の内外から伝達された内部統制に関する重要な情報は適切に検討され、必要な是正措置が取られているか。
• モニタリングによって得られた内部統制の不備に関する情報は、当該実施過程に係る上位の管理者並びに当該実施過程及び関連する内部統制を管理し是正措置を実施すべき地位にある者に適切に報告されているか。
• 内部統制に係る重要な欠陥等に関する情報は、経営者、取締役会、監査役又は監査委員会に適切に伝達されているか。

社内における組織面での体制整備も必要ですが、やはり情報システムに要求される機能に注目したいと思います。ここで必要になるのは、社内の不正行為を見逃さないIT監査体制の整備です。もっと具体的に解説すると、下記のようなデータを定期取得できる体制を整備することが重要になると思われます。

• ユーザID・パスワード管理状況解析データ
• 重要アプリケーションへのアクセスログ解析データ
• 機密文書の操作ログ解析データ
• 不正アプリケーション起動記録解析データ
• セキュリティソフトのパッチ適用状況解析データ
• 個人情報ファイルの運用状況解析データ
• セキュリティポリシ違反PCの接続拒否状況解析データ

内部統制では、上記のような解析データによって、有効性の立証が求められる訳です。いかがですか。今後の準備期間でのシステム強化ポイントなどが、少しクリアになったでしょうか。

さて、クオリティでは、ユーザID・パスワード管理やアクセスログデータの取得、アプリケーション起動記録などに有効な、内部統制システム構築に最適なツールを多数ご用意しています。12月1日より内部統制に関する特設サイト「内部統制Ｑ救室」もオープンしました。ぜひ一度、お立ち寄りください。

■特設サイト「内部統制Ｑ救室」はこちら>>　内部統制Ｑ救室

次回は、「財務報告に係る全社的な内部統制に関する評価項目の例／統制環境」にフォーカスを当てたいと思います。Dr.QがITサプリメントをお届けしました。

クオリティではメールマガジン「Q-NEWS」を毎週配信中。今回ご紹介した
ドキュメント管理に関するツールなど、即役立つ情報を無料で手に入れる
ことができます。ただいまプレゼントが当たる、キャンペーン実施中です。

　2007年1月の正式公開が予想される、内部統制報告実務基準・実施基準。もは
や、一刻の猶予もありません。しかし、外部の監査法人に対する過度な期待は、
厳禁です。内部統制システム構築をアウトソーシングした結果、「財務報告書
の信頼性向上」という単に一つの目標達成をテーマにした内部統制システムに
なってしまうことが予測されます。

本シリーズで解説してきた通り、内部統制の最大のテーマは、「不正のない健
全な企業風土づくり」です。ITを有効活用し、新しい企業風土を根本からつく
りあげることが、最も大切なのです。そのためにも、いま一度「内部統制とは
何なのか」を正確に理解し、「現行システムの機能と運用方法に何が足りない
のか」をしっかり把握することで、準備期間の作業ボリュームを把握していた
だきたいと思います。そこで5回目の今回は、「不正対策の必要性」というテ
ーマで解説したいと思います。

不正は、企業にとってビジネスリスクです。現在、ご存知の通り社会の注目を
集めるような不祥事も連日報道されています。こうした不正の発生は、企業に
とって直接的な経済的損害を与えることはもちろん、市場での信用やブランド
イメージの低下といった間接的なダメージも与えます。こうした観点からも、
企業には内部統制システム構築を通して、しっかりとした「不正防止プログラ
ム」を構築する必要があるのです。

具体的に、不正防止プログラムは5つの要素によってサイクルを形成させる必
要があります。

1. 不正リスクの評価
2. 不正防止の統制環境の構築
3. 不正防止のための統制活動の整備・運用
4. 不正対応における情報の伝達と共有
5. 不正のモニタリング

では、もっと具体的に、不正防止プログラムにおいて重要になるデータをピッ
クアップしてみましょう。

• 機密文書の操作ログ取得
• 重要アプリケーションへのアクセスログ取得
• 個人情報関連ファイルの運用状況監視情報取得
• 不正アプリケーション起動情報取得
• セキュリティポリシ違反PCの接続情報取得
• セキュリティソフトのパッチ適用情報取得

上記のようなデータ取得が必要になることを考慮すると、現行システムに何が
足りないのか、その差分がクリアになるのではないでしょうか。

さて、クオリティでは、こうしたデータ取得に有効的、つまり内部統制システ
ム構築に最適なツールを多数ご用意しています。また12月1日より内部統制に
フォーカスを当てた特設サイト「内部統制Ｑ救室」もオープンしましたので、
ぜひ一度、お立ち寄りください。

■特設サイト「内部統制Ｑ救室」はこちら>>　内部統制Ｑ救室

いかがですか。今後の準備期間でのシステム強化ポイントなどが、少しクリア
になったでしょうか。
一つ一つ着実に対策を講じ、強固な内部統制システムを確立してください。
もちろん、Dr.Qもしっかりお手伝いします。
Dr.QがITサプリメントをお届けしました。

クオリティではメールマガジン「Q-NEWS」を毎週配信中。今回ご紹介した
ドキュメント管理に関するツールなど、即役立つ情報を無料で手に入れる
ことができます。ただいまプレゼントが当たる、キャンペーン実施中です。

さる11月21日、ついに金融庁から「財務報告に係る内部統制の評価および、監査
に関する実施基準（公開草案）」が公表されました。
12月20日までパブリックコメントの受付を行い、2007年1月には正式な実施基準
が公開されると予測されます。（公開草案:PDFをダウンロード）

実務基準・実施基準の正式公開を目前に、「現行システムの機能と運用方法で不
足している点」を確認することで、準備期間の作業ボリューム把握を目的に展開し
ている本シリーズ。4回目の今回は、「健全な企業風土づくりと定期監査」という
テーマで解説したいと思います。

まず、内部統制の本質を正確に把握する上で改めて確認しておきたいのは、「財
務報告書の信頼性向上は、内部統制が目指すひとつの具体的な達成目標に過ぎ
ない」ということです。内部統制の最大のテーマは、「不正のない健全な企業風土
づくり」です。

また、内部統制システムには、その有効性を随時発揮できる持続性も要求されま
す。そこで内部システムを考える上で重視すべき機能が、定期監査です。内部統
制の有効性を立証できる重要データを、定期的に算出できる監査機能が極めて
重要になります。

■内部統制の有効性を立証できるデータの一例

具体的に、内部統制の有効性を立証できるデータの一例としては、下記が必要と
なります。

◎ユーザID・パスワード管理状況解析データ
◎重要アプリケーションへのアクセスログ解析データ
◎機密文書の操作ログ解析データ
◎不正アプリケーション起動記録解析データ
◎セキュリティソフトのパッチ適用状況解析データ
◎個人情報ファイルの運用状況解析データ
◎セキュリティポリシ違反PCの接続拒否状況解析データ
◎セキュリティポリシ違反PCに対する適正化結果解析データ

こうしたデータを定期的に算出できる内部統制システムが、不正な行為を抑止し、
健全な企業風土をつくる重要な基盤となるのです。

さて、クオリティでは、内部統制システム構築に有効的なツールを多数ご用意して
います。テクノロジーサイトへぜひ一度アクセスしてみてください。

いかがですか。今後の準備期間でのシステム強化ポイントなどが、少しクリアに
なったでしょうか。一歩一歩着実に対策を講じ、強固な内部統制を確立してくだ
さい。もちろん、Dr.Qもしっかりお手伝いします。次回は、「不正対策の必要性」
に関して解説します。Dr.QがITサプリメントをお届けしました。

クオリティではメールマガジン「Q-NEWS」を毎週配信中。今回ご紹介した
ドキュメント管理に関するツールなど、即役立つ情報を無料で手に入れる
ことができます。ただいまプレゼントが当たる、キャンペーン実施中です。

内部統制のホント4/5をお送りする予定でしたが、
内容を変更してお届けします。

　さる11月20日、BIGニュースが飛び込んできました。
金融庁で企業会計審議会内部統制部会の第15回部会が開催され、実施基準
の公開草案の正式版を数日中に公表することが明らかになりました!!　
　今後のスケジュールとしては、近日中の正式版公開後、パブリック・コメント
を受け付け、今年末から年明けに正式な実施基準として公開される予定です。

　実施基準は、日本版SOX法が要求する、内部統制の整備、評価、監査に
関する実務上のガイドラインです。これをシッカリと把握できれば、現行システ
ムの強化・整備ポイントがクリアにできます。
　そのためにも、まずは11月8日から金融庁のサイトで公開された、「実施基準」
の草案を把握することが大切でしょう。

公開された草案は、下記の3つから構成されています。

1. 内部統制の基本的枠組み（案）…30ページ
2. 財務報告に係る内部統制の評価及び報告（案）…33ページ
3. 財務報告に係る内部統制の監査（案）…25ページ

※金融庁／企業会計審議会第14回内部統制部会　議事次第へ

　しかし、トータル88ページを熟読する手間が……という方のために、上記1～
3が上手くまとめられた3ページの統括資料が公開されています。それぞれ
の案がフロー型式で各1ページにまとめられています。
※統括資料へ（PDF）

1. 財務報告に係る内部統制構築のプロセス
2. 財務報告に係る内部統制の評価・報告の流れ
3. 業務プロセスに係る内部統制の不備の検討

今回は「財務報告に係る内部統制構築のプロセス」をご紹介しましょう。

◎プロセス１／基本的計画及び方針の決定
経営者は、内部統制の基本方針に係る取締役会の決定を踏まえ、それを組
織内の全社的なレベル及び業務プロセスのレベルにおいて実施するため
の基本的計画及び方針を決定。
※経営者が定めるべき基本的計画及び方針としては、以下が挙げられる。

1. 内部統制の構築に当たる責任者及び全社的な管理体制
2. 構築すべき内部統制の範囲及び水準
3. 内部統制構築の手順及び日程
4. 内部統制構築に係る人員及びその編成、教育・訓練の方法等

◎プロセス2／内部統制の整備状況の把握
内部統制の整備状況を把握し、その結果を記録・保存

1. 全社的な内部統制について、既存の内部統制に関する規程、慣行及びそ
   の遵　守状況等を踏まえ、全社的な内部統制の整備状況を把握し、記録・保存。
   ※暗黙裡に実施されている社内の決まり事等がある場合には、それを明文化。
2. 重要な業務プロセスについて内部統制の整備状況を把握し、記録・保存。
   • 組織の重要な業務プロセスについて、取引の流れ、会計処理の過程を整理し、理解する。
   • 整理、理解した業務プロセスについて、虚偽記載の発生するリスクを識別しそれらリスクの財務報告又は勘定科目等との関連性、業務の中に組み込まれた内部統制によって十分に低減できるものになっているかを検討。

◎プロセス3／把握された不備への対応及び是正
把握された不備は適切に是正

　このフローだけを見ても分かる通り、多くの企業がシステムの強化や整
備を含め、今後の準備期間で想像以上に数多くジョブをクリアしなければ
いません。
一刻の猶予もありません。しかし最も大切なことは、内部統制を「面倒な
新法」として捉えるのではなく、「健全な企業風土づくり」の絶好のチャ
ンスとしてポジティブに捉えることです。そのためにも今回のシリーズ
「内部統制のホント」を通して、システムの今後の強化ポイントなどを把
握していただきたいと思います。

次回は、予定通り「内部統制のホント4/5：健全な企業風土づくりと定期監査」をお届けします。Dr.QがITサプリメントをお届けしました。

クオリティではメールマガジン「Q-NEWS」を毎週配信中。今回ご紹介した
ドキュメント管理に関するツールなど、即役立つ情報を無料で手に入れる
ことができます。ただいまプレゼントが当たる、キャンペーン実施中です。

日本版SOX法が要求する「内部統制とは何なのか」を今一度正確に理解する
ことで、「現行システムの機能と運用方法に何が足りないのか」をしっかり
把握して、準備期間の作業内容をクリアしていただくことを目的にスタートした、
今シリーズ。

2回目の今回は「モニタリングの重要性」についてです。

モニタリングは、内部統制システムの目的を達成するために不可欠な要素。
内部統制基準の中で、モニタリングは次のように定義されています。

「内部統制が有効に機能していることを継続的に評価するプロセスをいう。
モニタリングにより、内部統制は常に監視、評価及び是正されることになる。」

つまり、内部統制用のシステムが随時その機能と効果を発揮し続けるように
監視することが重要になる訳です。これを情報システムに当てはめてみると、
「監視機能」と「データ化」の2つの強化が要求されていると考えられます。

1／監視機能

監視機能の具体例として、次のような機能が考えられます。

• セキュリティポリシー違反のPCを基幹システムにアクセスさせない監視
• 個人情報を含む重要ファイルの管理方法に対する定期的な確認
• 機密文書の配信時における、パスワードロック等の漏洩防止策採用状況の定期的な確認
• 機密ファイルに対して不正アクセスをさせない監視
• 従業員のコンプライアンスマニュアルの理解と遵守状況に関する定期的な確認

上記以外にも様々な具体例が予想されますが、こうした監視機能を情報システム
に追加採用することで、新法に対応した内部統制システムを構築できると
思われます。

2／データ化

モニタリングは、その全ての結果がデータ化される必要があります。
例えば機密ファイルに対する操作ログが、不正行為の原因究明に多いに
役立ちます。またWinnyなど、P2Pソフト（ファイル交換ソフト）の起動記録が、
社員のコンプライアンス意識分析に活用できます。
モニタリングデータは、社内の問題を明確にできるのです。
内部統制担当者の間で積極的にデータを共有して、
有効活用していくことが重要でしょう。

さて、クオリティでは、こうしたモニタリングに最適なツールを多数
ご用意しています。テクノロジーサイトへぜひ一度アクセスしてみてください。

いかがでしょうか。現行システムの課題が少しクリアになったでしょうか。
一つ一つ着実に対策を講じ、強固な内部統制システムを確立してください。
もちろん、Dr.Qもしっかりお手伝いします。

次回は、「内部統制のホント3/5：リスクマネジメントとしてのセキュリティ」に関して
解説します。 Dr.QがITサプリメントをお届けしました。

クオリティではメールマガジン「Q-NEWS」を毎週配信中。今回ご紹介した
ドキュメント管理に関するツールなど、即役立つ情報を無料で手に入れる
ことができます。ただいまプレゼントが当たる、キャンペーン実施中です。

日本版SOX法に適用する、より安全性の高いシステム構築に向けての具体的な対策、第19回目です。

さて、今回は個人情報の廃棄における統制活動に関して解説しましょう。

多くの企業のWebサイトで公開されている、個人情報保護方針。個人情報の安全保護についての部分には、「個人情報の保存・管理および廃棄ルールを徹底することで、個人情報の盗難、紛失、破壊、改ざん、漏洩についての予防措置を講じます。」という画一的な表記が目立ちます。しかし、本当に廃棄ルールが徹底されているでしょうか。
実際に、個人情報の廃棄の段階にも、様々なリスクが存在しています。それでは、どのようなリスクが存在して、どのような統制活動が必要なのか、具体的に解説しましょう。

■個人情報の廃棄におけるリスク

具体的に、2つのリスクが想定できます。
●不適切な廃棄方法によって個人情報が漏洩するリスク
●定期的な廃棄をしなかったため大量の情報が保有され、結果的に大量の個人情報が漏洩するリスク

いずれも個人情報保護法違反となる可能性があります。最近では個人情報漏洩をきっかけに、株価を大きく下げてしまう上場企業も少なくありません。企業のブランドイメージ保護の観点からも、しっかりとした統制活動が不可欠でしょう。

■個人情報の廃棄における統制活動

前述のようなリスクを軽減させる統制活動として、具体的に下記の3つをあげることができます。

1：廃棄に関するルールの明確化

下記のような社内ルールを明文化し、全社員への通達と教育を徹底することが重要です。
●個人情報の廃棄タイミングを設定する
　※取得後、一律3年で廃棄する
　※1年以上利用されていない個人情報は廃棄する
●記録媒体別に廃棄方法を設定する
　（特にデータに対しては、物理的な破壊を行うことが必須）
　※紙の資料（シュレッダー処理を行う）
　※CD・フロッピーディスク・ハードディスク（データ消去プログラムで固定データによる塗潰し消去を2回行う、など）

2：廃棄記録の作成・保管

取得から一定期間が経過した個人情報が廃棄されたのか、あるいはまだ社内に保管されているのか、状況を常時正確に把握できるように、廃棄記録を作成することが重要です。廃棄記録には、項目として最低でも下記の5つの情報を記録することが要求されます。

◎廃棄者名
◎廃棄期日
◎廃棄情報名(ファイル名)
◎廃棄方法
◎責任者認証

3：管理者による定期的な確認作業

実際に個人情報を保有している各部署の責任者が、個人情報の廃棄における社内ルール遵守状況を定期的に確認することも非常に重要です。

◎設定された時期に廃棄が行われているか
◎書類、メディアなどが社内ルールに則った方法で廃棄されているか
◎廃棄記録は適切に作成されているか　など

いかがでしょう。
4回にわたって、個人情報管理における統制活動に関して具体的に解説してきました。
このような統制活動を実施することで、リスクを確実に軽減できます。
あなたの企業は大丈夫でしょうか。
一つ一つ確実に整備しながら、ぜひ強固な内部統制を確立してください。
Dr.QがITサプリをお届けしました。

クオリティではメールマガジン「Q-NEWS」を毎週配信中。今回ご紹介したドキュメント管理に関するツールなど、即役立つ情報を無料で手に入れることができます。ただいまプレゼントが当たる、キャンペーン実施中です。

日本版SOX法に適用する、より安全性の高いシステム構築に向けての具体的な対策、第18回目です。

今回は個人情報の保管に関する統制活動について解説しましょう。

個人情報の取得から利用・加工までのプロセスに関しては明確な社内規定が存在するものの、保管に関しては社内規定上も「適切な方法」といった曖昧な表現になる企業が目立つようです。

しかし、今後は個人情報が漏洩したり、滅失したりすることがないようにルールに則って厳密に保管することが求められます。また実際に、個人情報の保管段階にも、様々なリスクが存在しています。
それでは、個人情報の保管には具体的にどのようなリスクが存在して、どのような統制活動が必要なのか解説しましょう。

■個人情報の保管におけるリスク
具体的に、2つのリスクが想定できます。
●社員が不正に個人情報を持ち出すリスク
●外部からの不正アクセスによって個人情報が持ち出されるリスク

これら2つのリスク対策が不十分な企業で、個人情報漏洩が多発しています。個人情報漏洩は企業イメージを確実に悪化させます。いずれも重視すべきリスクです。

■個人情報の保管における統制活動

リスクを低減できる具体的な統制活動として、下記の3つが考えられます。

1：保管に関するルールの明確化

下記のような保管ルールを明文化し、全社員への通達と教育を徹底することが重要です。
◎個人情報ファイルは必ずパスワードを設定して保管する
◎個人情報ファイルを扱える担当者を限定する
◎個人のPCやデスクには個人情報を保管しない
◎バックアップCDなど、個人情報の入った外部記憶メディアは特定の担当者しか入室できない資料庫に保管する

2：IT統制

ルールに頼るだけでなく、次のようなIT統制もリスク軽減に有効です。また不正行為の抑止効果も期待できます。

◎ファイルアクセス制御(ファイル自体に有効期限を持たせる、メールに添付できない機能を持たせる)
◎ファイル暗号化(ファイル自体を暗号化し、第三者に渡った場合も閲覧できないようにする)
◎アクセスログ取得(個人情報のファイルに対して、いつ、誰がアクセスしたのかを自動的に記録する)
◎個人情報ファイル探査(社員のPC内に、個人情報のファイルが不適切に存在していないかチェックする)

3：職務の分離化

担当者(管理者)を2人置き、職務を分離させることで、お互いの業務への客観的なチェックが可能になり、個人情報が不正に持ち出されるリスクを軽減できます。

◎個人情報利用部門担当者(例：営業部)
◎個人情報保管部門担当者(例：情報システム部)

4：管理者による定期的な確認作業

上記2人の担当者が、個人情報の保管に関する社内ルール遵守状況を定期的に確認することが重要です。

◎認定者以外が個人情報に不正アクセスしていないか
◎社員のPCなどに個人情報が不適切に保管されていないか

いかがでしょう
このような統制活動を実施することで、個人情報の保管に関わるリスクを確実に軽減できます。
御社は大丈夫でしょうか。
ひとつひとつ確実に整備しながら、強固な内部統制を確立してください。
もちろん、Dr.Qもしっかりお手伝いします。

次回は、「個人情報の廃棄における統制活動」に関して解説します。
Dr.QがITサプリをお届けしました。

なお、クオリティではメールマガジン「Q-NEWS」を毎週配信中。今回ご紹介したドキュメント管理に関するツールなど、即役立つ情報を無料で手に入れることができます。ただいまプレゼントが当たる、キャンペーン実施中です。

日本版SOX法に適用する、より安全性の高いシステム構築に向けての具体的な対策、第17回目です。

さて、今回は個人情報の利用と加工における統制活動に関して解説しましょう。

ホームページやフィードバックハガキによって集められた個人情報は、性別や年齢別に分類したり、居住地で絞り込んだりしながら、マーケティング活動や販促活動の有効なソースに変移します。こうしたプロセスを、個人情報の利用と加工と位置づけます。ここで重要なポイントはふたつ。企業は、取得した個人情報を取得時に通知した利用目的以外に利用できません。また、本人の同意なく第三者へ情報を提供することもできません。
個人情報を利用して加工する段階でも、様々なリスクが存在しています。それでは、どのようなリスクが存在して、どのような統制活動が必要なのか、具体的に解説しましょう。

■個人情報の利用と加工におけるリスク

大きく分けて、下記の3つのリスクが想定できます。
◎取得時に通知してない目的で利用してしまうリスク
◎本人の同意を得ずに、個人情報を第三者へと提供してしまうリスク
◎利用・加工段階の不適切な取扱いによって個人情報が漏洩してしまうリスク

いずれも個人情報保護法に抵触する恐れがあります。ケースによっては、カード偽造などの犯罪へと発展する可能性もあり、企業の信頼性維持の面からも非常に重視すべきリスクと言えます。

■個人情報の利用と加工における統制活動

前述のようなリスクを軽減させる具体的な統制活動は下記の4つがあります。

1：利用および加工に関するルールの明確化

下記のような社内ルールを明文化し、全社員への通達と教育を徹底することが重要です。
◎取得時に通知してない目的での利用禁止(二次利用禁止)
◎個人情報を社外に持ち出す際の許可手続

2：IT統制

ルールに頼るだけでなく、つぎのようなIT統制もリスク軽減で有効的です。

◎不正アクセス対策（個人情報のファイル自体にアクセス制御を施し、仮にデータが第三者に渡った場合もファイルを閲覧できないシステムの構築）
◎受け渡し対策（個人情報受け渡し専用の暗号化などを施した安全性の高いシステムの構築）
◎P2Pソフト(ファイル交換ソフト)対策（WinnyなどのP2PソフトがインストールされたクライアントPCでは、個人情報が受け取れない仕組みを持ったシステムの構築）
◎データ持ち出し対策（CD-Rやフラッシュメモリなどの外部記憶デバイスを使って社外にデータを持ち出させないシステムの構築）

3：確認用フローチャートの確立

個人情報が、いつ、だれによって、どのように利用され、また加工されているかを確認することも重要です。対策例として、確認用のフローチャートを作成し、作業記録を保管するなどの手法が考えられます。
フローチャートには、項目には最低でも下記の5つを含めることが要求されるでしょう。

◎利用者名
◎利用期日
◎利用目的(加工目的)
◎利用後(加工後)の保管体制
◎責任者認証

4：管理者による定期的な確認作業

個人情報の利用と加工に関わる各部署の責任者が、個人情報の利用と加工における社内ルール遵守状況を定期的に確認します。

いかがでしょう
このような統制活動を実施することで、リスクを確実に軽減できます。
御社は大丈夫でしょうか。
ひとつひとつ確実に整備することで、強固な内部統制を確立してください。
もちろん、Dr.Qもしっかりお手伝いします。

次回は、「個人情報の保管における統制活動」に関して解説します。
Dr.QがITサプリをお届けしました。

なお、クオリティではメールマガジン「Q-NEWS」を毎週配信中。今回ご紹介したドキュメント管理に関するツールなど、即役立つ情報を無料で手に入れることができます。ただいまプレゼントが当たる、キャンペーン実施中です。

内部統制に対応した、より安全性の高いシステム構築に向けての具体的な対策、第16回目です。

さて、今回は個人情報取得における統制活動に関してです。

企業のマーケティング活動や販促活動にとって、個人情報の取得は非常に重要です。しかし一方で、個人情報保護法を遵守することも不可欠です。コンプライアンスの観点から、個人情報の取得にあたっては、その利用目的をクリアにすることが要求されます。例えばIT系企業にとって、メールマガジンの会員登録と、セミナーやイベント情報を告知するダイレクトメールの発送は全く別の目的です。登録時に通知することなく、ダイレクトメールを勝手に送付できません。
個人情報取得の段階でも、様々なリスクが存在しています。それでは、具体的にどのようなリスクが存在して、どのような統制活動が必要なのか、具体的に解説しましょう。

■個人情報取得におけるリスク
大きく分けて、下記の3つのリスクが想定できます。
◎利用目的を未通知で取得してしまうリスク
◎間違った利用目的を通知して取得してしまうリスク
◎不適切な方法で取得してしまうリスク

■個人情報の取得における統制活動
前述のようなリスクを軽減させる統制活動として、具体的に下記の4つをあげることができます。

1：取得ルールの明確化
取得にあたって、下記のように方針や手続きを明確にし、全社員へ教育を徹底する必要があります。
●全社統一のプライバシーポリシー(個人情報の取り扱いに関する基準・方針)を明文化する
●個人情報を新規に獲得する場合は利用目的や通知内容に関して、法務セクションなどの管理部門に対して必ず事前確認を行う
●個人情報の取得状況を安全性の高いデータベースで管理する
●社内での個人情報の利用状況と利用目的の通知内容を定期的に見直す

2：登録者への通知を徹底でき、かつ安全性の高いホームページ構築
現在では、ホームページ経由で個人情報を登録するケースが大半です。個人情報を取得するためには、登録前に必ず自社のプライバシーポリシーを通知することはもちろん、つねにプライバシーポリシーを閲覧できるようにホームページを構成する必要があります。合わせて、SSLの導入といった安全性を確保することも重要です。プライバシーポリシーには、具体的に下記の内容が網羅されていることが望ましいと思われます。

※個人情報保護方針
※個人情報の利用目的について
※個人情報の外部委託先への開示について
※個人情報の第三者提供について
※開示等の求めに応じる手続き等
※個人情報に関するお問い合わせ窓口
※クッキー(Cookie)について
※SSLについて
※お客様のアクセスログ・履歴情報について

3：職務の分離化
職務を分離させることでチェック機能の二重化が可能になり、リスクを軽減できます。
※個人情報の取得(例：営業部)
※利用目的の通知内容と通知方法に関する確認(例：法務部)

4：管理者による定期的な確認作業
営業部などの管理者が、個人情報の利用目的の通知状況を定期的に確認

このような統制活動を実施することで、リスクを確実に軽減できます。
あなたの企業は大丈夫でしょうか。
ひとつひとつ確実に整備することで、強固な内部統制を確立してください。
もちろん、Dr.Qもしっかりお手伝いします。

次回は、「個人情報の利用と加工における統制活動」に関して解説します。
Dr.QがITサプリをお届けしました。

なお、クオリティではメールマガジン「Q-NEWS」を毎週配信中。今回ご紹介したドキュメント管理に関するツールなど、即役立つ情報を無料で手に入れることができます。ただいまプレゼントが当たる、キャンペーン実施中です。

日本版SOX法に適用する、より安全性の高いシステム構築に向けての具体的な対策、第15回目です。

さて、今回から個人情報管理において必要とされる、具体的な統制活動に関して解説したいと思います。最近、「弊社はコンプライアンス実践を経営の最重要課題と位置づけています」という社長の言葉を、WebサイトのIRページに掲載する上場企業が数多く見受けられるようになりました。大変素晴らしいことです。企業としてコンプライアンス(法令遵守)を徹底することは、すべてのステークホルダーからの共感につながり、企業としての存在価値を総合的に高めることにもなります。

コンプライアンス実践において重要なパートを占めるのは個人情報管理です。個人情報が漏洩した場合、個人情報保護法違反によって事業者は「6ヵ月以下の懲役または30万円以下の罰金」が課せられます。刑事罰による罰金は30万円と小額ですが、500万件、1000万件と漏洩したデータ件数に比例して、情報漏洩被害者の損害賠償リスクは膨れ上がります。また実被害はなくても、企業のブランドイメージは当然傷つくでしょう。

個人情報管理の各プロセスにおける、リスクと統制活動をしっかり把握するために、関連ITツールの有効性と活用方法を一層詳しく把握していただきたいと思います。もちろん、現状の管理体制のウィークポイントもクリアにできます。

個人情報管理は、具体的に次の4 つのプロセスで構成されます。

1)個人情報の取得　→　2）個人情報の利用と加工　→　3）個人情報の保管　→4）個人情報の廃棄
それぞれのプロセスで様々なリスクが発生する可能性があります。
統制活動は、それらのリスクを低減させるために必要な対応策です。
次回から、各プロセスの統制活動を分かりやすく解説していきます。
ぜひ定期アクセスをよろしくお願いします。

さる6月7日、参議院本会議で金融商品取引法（日本版SOX法）が可決され、成立しました。一刻も早く、内部統制構築に着手してください。もちろん、Dr.Qもしっかりお手伝いします。

Dr.QがITサプリをお届けしました。次回もお楽しみに。

クオリティではメールマガジン「Q-NEWS」を毎週配信中。今回ご紹介したドキュメント管理に関するツールなど、即役立つ情報を無料で手に入れることができます。ただいまプレゼントが当たる、キャンペーン実施中です。

　当ブログで連載中のITコラム「SOX法時代のセキュリティ体制へ…内部統制チェックテスト」でおこなっている質問事項をまとめたチェックプログラムを作成しました。
簡単な質問にYesかNoで答えるだけで、日本版SOX法に適応するためのITシステムのウィークポイントと課題が明確になります。
現在のITシステムとセキュリティポリシが日本版SOX法に適応しているかどうかを再確認するため、この機会にぜひお試しください。

「内部統制チェックテスト」へのリンクはこちら【無料】

※このチェックテストページをご覧になるには最新のFlash Playerが必要です。
お持ちでない方は下記リンクからダウンロードを行なってください。
Macromedia Japan: Macromedia Web Player ダウンロードセンター

日本版SOX法に適用する、より安全性の高いシステム構築に向けての具体的な対策、第14回目です。

さて、今回は日本版SOX法に対応した情報資源バックアップ体制の、ウィークポイントと課題が明確になる質問リストです。より円滑に事業を運営していくには、万一の場合に備えてデータ、システム・ソフトウェア、アプリケーション・プログラムなどに関してバックアップ体制を整備しておくことが不可欠。内部統制を考える上でも重要なポイントです。御社の現状をチェックしてください。実際に監査法人に内部統制のコンサルティングを依頼した際、ほとんどの監査法人が質問してくると想定される質問リストです。

Q1.データの重要性に応じて、回数、タイミング、組数、媒体など最適なバックアップ方法を講じていますか?
（ YES ・ NO ） 

Q2.データ、プログラム、システム、構成管理情報などに関して、バックアップの対象範囲が明確化され、また文書化されていますか?
（ YES ・ NO ） 

Q3.システム関係文書（システム設計書、各種マニュアル、操作手順書、業務マニュアルなど）、業務継続計画書、災害時対応計画書などもバックアップの対象にしていますか?
（ YES ・ NO ） 

Q4.バックアップ媒体のオンサイト保管（自社内での保管）、オフサイト保管の（契約先や委託先などによる外部保管）の区分は適切ですか?
（ YES ・ NO ）

Q5.バックアップ媒体がオンサイト保管されている場合、耐火金庫などで保管されていますか?
（ YES ・ NO ）

Q6.バックアップ媒体がオフサイト保管されている場合、外部の専門保管業者の倉庫での保管、また事業所間の相互保管などが実施されていますか?
（ YES ・ NO ）

Q7.保管されているバックアップ媒体の記録内容、移動・廃棄状況について、台帳が作成されていますか?
（ YES ・ NO ）

Q8.バックアップ媒体からの復旧テストは、定期的に実施されていますか?
（ YES ・ NO ）

Q9.大規模なシステム変更があった場合は、バックアップ媒体からの復旧のテストが通常以上に入念に行われていますか?
（ YES ・ NO ）

Q10.バックアップ媒体からの復旧テスト方法の有効性を定期的に検討し、必要であれば改善できる体制を整備していますか?
（ YES ・ NO ）

いかがでしょうか。NOが一つでもあれば、内部統制評価でNGとなります。逆にすべてをクリアできていれば、新法に適用した内部統制システムが確立されていることを意味します。

2008年4月に向けて、カウントダウンははじまっています。

なお次回の「SOX法時代のセキュリティ体制へ…内部統制チェックテスト」では、
このブログに掲載した5回分の質問をまとめてチェックできる、IT管理者や経営者向けの
内部統制チェックプログラムを公開します。ぜひお試しください。

クオリティではメールマガジン「Q-NEWS」を毎週配信中。今回ご紹介したドキュメント管理に関するツールなど、即役立つ情報を無料で手に入れることができます。ただいまプレゼントが当たる、キャンペーン実施中です。

日本版SOX法に適用する、より安全性の高いシステム構築に向けての具体的な対策、第13回目です。

さて、今回はアプリケーション・システムのメンテナンス作業の、ウィークポイントと課題が明確になる質問リストです。業務の根幹を支える、アプリケーション・システム。内部統制の観点から、そのメンテナンス業務は、実作業の手順と管理方法をあらかじめ明確に設定し、それに従って行われていくことが要求されます。メンテナンス作業の管理方法に関してチェックしてください。 実際に監査法人に内部統制のコンサルティングを依頼した際、ほとんどの監査法人が質問してくると想定される質問リストです。


Q1.ユーザ部門から発生したメンテナンス依頼に関して、情報システム部門での処理手順、承認プロセスが定められていますか?
（ YES ・ NO ） 

Q2.情報システム部門でのメンテナンス依頼の処理状況が、随時記録される体制を整備していますか?
（ YES ・ NO ） 

Q3.システムメンテナンス依頼の処理状況に関して、情報システム部門からユーザ部門へ定期的な通知が行われていますか?
（ YES ・ NO ） 

Q4.メンテナンスが完了したプログラムは、その規模と内容に合わせて、情報システム部門とユーザ部門の双方で適正なテストが行われ、テスト結果が常時記録されていますか?
（ YES ・ NO ）

Q5.大規模なメンテナンスが実施される場合、事前にユーザ部門による入念な受け入れテストが必ず行われていますか?
（ YES ・ NO ）

Q6.メンテナンスが完了したプログラムを本番環境へ移行する際、新プログラムなどの本番環境へ導入されるケースと、同様の手続きが適用されていますか?
（ YES ・ NO ）

Q7.プログラムのメンテナンス内容に合わせて、開発関係文書の改訂も行われていますか?
（ YES ・ NO ）
 
Q8.稼働プログラムにバグが発生した場合、情報システム部門の担当者が行う緊急のプログラムメンテナンス作業を管理するための手順、確認手続などが明文化されていますか?
（ YES ・ NO ）

Q9.緊急でプログラムを修正する場合、事前に情報システム部門のみでなく、必ずユーザ部門の責任者の承認も得ていますか?
（ YES ・ NO ）

Q10.緊急でメンテナンス作業が行われた場合、その実施内容と処理結果について、記録が残されていますか?
（ YES ・ NO ）

いかがでしょうか。NOが一つでもあれば、内部統制評価でNGとなります。逆にすべてをクリアできていれば、新法に適用した内部統制システムが確立されていることを意味します。

2008年4月に向けて、カウントダウンははじまっています。

Dr.QがITサプリをお届けしました。次回もお楽しみに。

クオリティではメールマガジン「Q-NEWS」を毎週配信中。今回ご紹介したドキュメント管理に関するツールなど、即役立つ情報を無料で手に入れることができます。ただいまプレゼントが当たる、キャンペーン実施中です。

日本版SOX法に適用する、より安全性の高いシステム構築に向けての具体的な対策、第12回目です。

さて、今回は情報セキュリティとコンプライアンスに関する方針と組織体制の、ウィークポイントと課題が明確になる質問リストです。日本版SOX法で規定されている内部統制では、情報セキュリティとコンプライアンスに関して、専門の組織を編成することが必須になります。経営者の承認を得た同組織が、全社的な方針を策定して、またそれを実行・管理してくことが要求されます。御社の現状をチェックしてみてください。実際に監査法人に内部統制のコンサルティングを依頼した際、ほとんどの監査法人が質問してくると想定される質問リストです。

Q1.遵守すべき対象ごとに、委員会組織などの組織体制を設けていますか?

　Q1-A.機密情報漏洩対策、ウィルス対策を含む情報セキュリティの確保
　（ YES ・ NO ）

　Q1-B.個人情報保護を含む、プライバシーの保護
　（ YES ・ NO ）

　Q1-C.ソフトウェアおよびコンテンツの著作権の保護
　（ YES ・ NO ）

　Q1-D.業種特有の法律や業法の遵守
　（ YES ・ NO ）

　Q1-E.法人税・所得税・消費税などの税法の遵守
　（ YES ・ NO ）

Q2.設置した組織には、担当者・専門部署を選任していますか?

　Q2-A.全社責任者（ YES ・ NO ）

　Q2-B.部門責任者（ YES ・ NO ）

　Q2-C.事務局（ YES ・ NO ）

　Q2-D.部門担当者（ YES ・ NO ）

Q3.組織体制は、経営者の承認を得ていますか?
（ YES ・ NO ） 

Q4.対象ごとの遵守方針は文書化されていますか?
（ YES ・ NO ）

Q5.遵守方針を具体化したガイドラインを作成していますか?
（ YES ・ NO ）

Q6.同ガイドラインは、役員・従業員に対して教育が行われていますか?
（ YES ・ NO ）

Q7.遵守状況を確認できる証拠の保存体制は整備されていますか?
（ YES ・ NO ）
 
Q8.遵守状況の監視方法は整備されていますか?
（ YES ・ NO ）

Q9.Q7とQ8の定期的な監査が行われていますか?
（ YES ・ NO ）

Q10.遵守方針とガイドラインを定期的に見直す担当者を選任していますか?
（ YES ・ NO ）

Q11.組織の活動状況と遵守状況について、取締役会や経営者への定期的な報告が行われていますか?
（ YES ・ NO ）

いかがでしょうか。NOが一つでもあれば、内部統制評価でNGとなります。逆にすべてをクリアできていれば、新法に適用した内部統制システムが確立されていることを意味します。

2008年4月に向けて、カウントダウンははじまっています。

Dr.QがITサプリをお届けしました。次回もお楽しみに。

クオリティではメールマガジン「Q-NEWS」を毎週配信中。今回ご紹介したドキュメント管理に関するツールなど、即役立つ情報を無料で手に入れることができます。ただいまプレゼントが当たる、キャンペーン実施中です。

日本版SOX法に適用する、より安全性の高いシステム構築に向けての具体的な対策、第11回目です。

前回に引き続き、現行の情報システムのウィークポイントと課題が明確になる質問リストをご紹介しましょう。実際に監査法人に内部統制のコンサルティングを依頼した際、ほとんどの監査法人が質問してくると想定される質問リストです。

さて、今回はシステム開発プロセスに関する内部統制チェックです。開発されたプログラムを本番環境へと移行する際の管理体制に関してチェックしてみてください。

Q1.システム開発環境と本番環境が、別サーバーなどで明確に分離されていますか?
（ YES ・ NO ）

Q2.開発およびテスト終了後、プログラムを本番環境へ移行するにあたって、手順と様式が定められていますか?
（ YES ・ NO ）

Q3.本番環境への移行にあたっては、IT部門の責任者の最終承認を経て実行されていますか?
（ YES ・ NO ）

Q4.アプリケーション・システムの開発・テストの完了と本番環境への移行の関係が、ドキュメントによって明確にされていますか?
（ YES ・ NO ）

Q5.本番環境へ移行を行う担当者が、開発とテストを兼務できない体制を採用していますか?
（ YES ・ NO ）

Q6.本番環境へ移行する際の権限は、ユーザIDによって区分されていますか?
（ YES ・ NO ）

Q7.開発・テスト担当者が、本番環境への移行を兼務できない体制を採用していますか?
（ YES ・ NO ）

Q8.本番環境への移行の権限を有するユーザIDとパスワードは、適切に管理されていますか?
（ YES ・ NO ）

Q9.また、そのユーザIDは個人別に設定されていますか?
（ YES ・ NO ）

Q10.本番環境への移行に関して、更新日付やログの記録取得などよって、監査証跡が確保される体制が整備されていますか?
（ YES ・ NO ）

Q11.本番環境へ移行後、緊急にプログラムの修正などが必要になった場合、手順が適切に定められていますか?
（ YES ・ NO ）

いかがでしょうか。NOが一つでもあれば、内部統制評価でNGとなります。逆にすべてをクリアできていれば、新法に適用した内部統制システムが確立されていることを意味します。

2008年4月に向けて、カウントダウンははじまっています。

Dr.QがITサプリをお届けしました。次回もお楽しみに。

クオリティではメールマガジン「Q-NEWS」を毎週配信中。今回ご紹介したドキュメント管理に関するツールなど、即役立つ情報を無料で手に入れることができます。ただいまプレゼントが当たる、キャンペーン実施中です。

日本版SOX法に適用する、より安全性の高いシステム構築に向けての具体的な対策、第10回目です。

今回から、2008年4月の金融商品取引法(通称：投資サービス法)対応情報システム運用開始に向けて、現行の情報システムのウィークポイントと課題が明確になる質問リストを、数回に分けてご紹介することにしましょう。実際に監査法人に内部統制のコンサルティングを依頼した際、殆どの監査法人が質問してくると想定される質問リストです。

さて、初回となる今回は、「ユーザIDとパスワードの管理体制」に関してです。

Q1.ユーザIDとパスワードの登録手続は、人事担当部署の情報とリアルタイムでリンクして適切に実行されていますか?
（ YES ・ NO ）

Q2.退職のタイミングに合わせて、適切にIDの削除が実行されていますか?
（ YES ・ NO ）

Q3.退職後も業務引き継ぎなどの目的でIDを一定期間残す場合、明確なルールをお持ちですか?
（ YES ・ NO ）

Q4.複数のクライアントでユーザIDやパスワードの共有が行われていませんか?
（ YES ・ NO ）

Q5.パスワードは定期的に変更されていますか?また、変更頻度は適切ですか?
（ YES ・ NO ）

Q6.パスワードファイルは暗号化されていますか?
（ YES ・ NO ）

Q7.そのパスワードファイルは、システム管理者も含めて見れないように設定されていますか?
（ YES ・ NO ）

Q8.ユーザがパスワードを忘れた場合は、該当パスワードを初期化して新しいパスワードを発行できる体制をお持ちですか?
（ YES ・ NO ）

Q9.ユーザがパスワードを一定回数以上間違って入力した場合、ユーザIDを自動的に無効にするなど不正なアクセスへの対策はお持ちですか?
（ YES ・ NO ）

Q10.内部、外部からの不正と思われるアクセスが発生した場合、システム管理者に即報告される体制が整備されていますか?
（ YES ・ NO ）

いかがでしょうか。NOが一つでもあれば、内部統制評価でNGとなります。逆にすべてをクリアできていれば、新法に適用した内部統制システムが確立されていることを意味します。

2008年4月に向けて、カウントダウンははじまっています。

Dr.QがITサプリをお届けしました。次回もお楽しみに。

クオリティではメールマガジン「Q-NEWS」を毎週配信中。今回ご紹介したドキュメント管理に関するツールなど、即役立つ情報を無料で手に入れることができます。ただいまプレゼントが当たる、キャンペーン実施中です。

SOX法に適用する、より安全性の高いシステム構築に向けての具体的な対策、第9回目。今回はシステム構築のロードマップ作成に大きく関わる適用時期に関してです。

すでにご存知の方も多いかと思いますが、先日、金融商品取引法案（通称：投資サービス法案）が閣議決定され、ついに国会へ提出されました。同法案の中に、日本版SOX法が企業の情報開示に規律を与える制度として盛り込まれました。

※金融庁のWebサイト／金融商品取引法案の内容を確認できます。
　http://www.fsa.go.jp/common/diet/index.html

さらに、システム管理者のみなさんに朗報が。当初、日本版SOX法の適用時期については2007年4月（2008年3月期）と言われてきました。しかし、実質的に1年先延ばしになるようです。適用開始期日は2008年4月(2009年3月期)の模様。1年間の猶予でトータル2年間の準備期間ができましたが、これによって「間に合わない」という企業側の逃げ道も無くなりました。

さらに今回の金融商品取引法案で、原則すべての上場企業に内部統制システムの構築を義務づける内容が明記されています。また、有価証券報告書とあわせて「内部統制報告書」の提出も義務づけられました。しかも、内部統制報告書の記載内容虚偽に対する罰則も盛り込まれました。内部統制システムを構築させ、継続的に安定運用させていくことが極めて重要になります。

「期日まで2年もある」ではなく、「期日まで2年しかない」とここで再度認識することが大切です。しっかりとしたロードマップを作成して、一日も早く内部統制システム構築に着手してください。

Dr.QがITサプリをお届けしました。次回もお楽しみに。

クオリティではメールマガジン「Q-NEWS」を毎週配信中。今回ご紹介したドキュメント管理に関するツールなど、即役立つ情報を無料で手に入れることができます。ただいまプレゼントが当たる、キャンペーン実施中です。

SOX法に適用する、より安全性の高いシステム構築に向けての具体的な対策、第8回目です。

ご存知の通り、各省庁でも情報漏洩対策を急務と位置づけ具体的な対策をはじめました。例えば外務省の場合、3月9日付で個人が所有する私物パソコンの庁内や在外公館での業務使用の原則禁止を決め、全職員に通知しました。また、総務省は3月３日、官房長名で「私物パソコンの業務利用の制限について」とする文書を作成。プライバシーに触れるなど「秘密文書に相当する機密性を要する情報」は、私物パソコンでの処理を禁止しました。
しかし「通達」や「厳令」だけではヒューマンエラーを完全防止することはできません。

特に、実質的に2007年4月からの運用開始が濃厚な日本版SOX法では、こうした情報漏洩対策をITによって永続的に禁止できる仕組みの導入が要求されます。

そこで、極めて重要になるのがクライアントPCの脆弱性を定期的に、かつ自動的に監査できる仕組みの導入です。
例えば、クライアントPCに、Winnyなどのファイル交換ソフトがインストールされていないか、またOSやIEなどで最新のセキュリティパッチが当てられているか、さらにはユーザーIDとパスワードで同一のものが利用されていないかなど、全てのクライアントPCに対して脆弱性を定期監査できる体制を整備することが大切です。
策定されたセキュリティポリシの徹底は、各自の良識に任せるのではなく、やはりITで。

日本版SOX法対策は、財務・会計システム強化と同等にセキュリティ強化も重要であることを忘れないでください

Dr.QがITサプリをお届けしました。次回もお楽しみに。

クオリティWEBサイトでは、クライアントの脆弱性を定期監査できる「QND Plus」をご紹介しています。
興味をお持ちの方は、こちらから。

クオリティではメールマガジン「Q-NEWS」を毎週配信中。今回ご紹介したドキュメント管理に関するツールなど、即役立つ情報を無料で手に入れることができます。ただいまプレゼントが当たる、キャンペーン実施中です。

SOX法に適用する、より安全性の高いシステム構築に向けての具体的な対策、第7回目です。

昨日3月7日、沓掛国家公安委員長の閣議後会見で、衝撃的な状況が公表されました。会見によると、全国の警察官や警察職員の約４割が私物PCを使用しているとのこと。沓掛委員長は「本当は全部公的なものにできればいいが、財政上の理由もあり私物のパソコンを公務に使用せざるを得ない。」ともコメントしています。今後、警察庁は職場で使うPCの管理徹底や、岡山県で捜査資料流出の原因となった「ウィニー」などのファイル交換ソフトを削除させるなどの緊急措置を取る方向です。

しかし確実に驚異になりつつある私物PCに対して、単に「通達」だけでは不十分です。特に2007年4月期からの実質的な運用開始が予想される日本版SOX法では、こうした機密情報漏洩のリスクを想定した強固なセキュリティ対策を導入しておくことが要求されます。

そこで、ウィニーなどがインストールされてしまっている私物PCへの具体的な対応策の一つとして「検疫ネットワーク」をあげることができます。検疫ネットワークによって、一定のポリシーが遵守されていないクライアントPCは、物理的に社内ネットワークに接続されても、論理的にネットワークに接続させないということが可能になります。

例えば、ウイルス対策ソフトのパターンファイルが最新版に更新されていないクライアントPCや、必要なセキュリティパッチが適用されていないクライアントPCは、社内ネットワークへのアクセスが拒否されます。つまり、ポリシーを遵守していなければセキュリティ的な問題があるクライアントPCとして社内ネットワークから排除し、ネットワーク内の他のクライアントPCを守ることができる訳です。

単一のセキュリティ対策では、日本版SOX法に対応できません。何重もの対策を講じることが必須と言えます。

Dr.QがITサプリをお届けしました。次回もお楽しみに。

クオリティWEBサイトでは、「検疫ネットワークソリューション Secure Controller連携キット」をご紹介しています。興味をお持ちの方はこちらから。

クオリティではメールマガジン「Q-NEWS」を毎週配信中。今回ご紹介したドキュメント管理に関するツールなど、即役立つ情報を無料で手に入れることができます。ただいまプレゼントが当たる、キャンペーン実施中です。

日本版SOX法、内部統制に対応した、より安全性の高いシステム構築に向けての具体的な対策、第6回目です。

商業的機密データや知的所有権の漏洩防止対策を絶対条件として要求する、日本版SOX法。持ち歩くモバイルPC自体を盗難や紛失した場合も想定して、あらかじめ明確な対応策を導入しておくことも、極めて重要なポイントになります。

対応策として推奨できるのは、やはりHDの暗号化。HD自体を暗号化しておけば、万一、盗難や紛失が発生しても第三者への情報漏洩を防止できます。ただし、運用面の配慮も重要です。ユーザーにストレスを感じさせない、スタンドアロンで活用できるクライアントプログラムを選択すべきでしょう。

ご存知の通り、ここ数年個人情報などの重要データが保存されたモバイルPCの盗難事件があとを断ちません。事実、アメリカでは回答者の約50％が2005年にモバイルPCなどの盗難を経験しているとのことです(※FBI実施調査)。日本版SOX法の制定もひかえ、企業にとって、PCの盗難や紛失は確実に一つの脅威になりつつあります。

「その場しのぎ」的対策では不十分です。長期展望にたって、いま一度セキュリティ体制を再検討してください。

クオリティWEBサイトでは、HD暗号化ツール「秘文AE IC」の円滑な導入と運用をサポートする「QND秘文連携ソリューション」をご用意しています。
興味をお持ちの方は、こちらから。

Dr.QがITサプリをお届けしました。次回もお楽しみに。

クオリティではメールマガジン「Q-NEWS」を毎週配信中。今回ご紹介したドキュメント管理に関するツールなど、即役立つ情報を無料で手に入れることができます。ただいまプレゼントが当たる、キャンペーン実施中です。

SOX法に適用する、より安全性の高いシステム構築に向けての具体的な対策、第5回目です。

昨日13日に公表されたばかりの事件です。滋賀刑務所や福岡拘置所の受刑者らの個人情報がインターネット上に流出してしまいました。担当の刑務官が記録して自宅に持ち帰ったデータが、ウイルス感染した私物PCを通じて外部に流れたことが原因です。

さて、「機密情報漏洩対策」は日本版SOX法対策の中でも非常に重要なポイント。しかし、それはネットワークに接続されるクライアントPCのセキュリティポリシのチェックだけでは不十分です。例えば、機密情報を安易に外部に持ち出しできない新たな仕組みなどを導入することも極めて重要になります。

具体的に解説すると、個人情報などの機密情報は、CD-RやUSBメモリ、さらにはMOディスクといった記憶媒体へデータコピーをさせないシステムへと移行する必要があります。
コピー方法への対応も重要です。HDから外部記憶媒体へのドラッグ&ドロップ形式コピーの禁止はもちろん、アプリケーションからの保存先が外部記憶媒体の場合もコピー禁止にしなければなりません。

今回の事件は、社会への警笛に思えてなりません。SOX法対策だけでなく、機密情報漏洩対策が待ったなしの状況に来ていることに、一人でも多くの方が気づいてくれることを願って止みません。

クオリティWEBサイトでは、外部記憶媒体利用制限ツール「eX WP」をご紹介しています。
興味をお持ちの方は、こちらから。

Dr.QがITサプリをお届けしました。次回もお楽しみに。

クオリティではメールマガジン「Q-NEWS」を毎週配信中。今回ご紹介したドキュメント管理に関するツールなど、即役立つ情報を無料で手に入れることができます。ただいまプレゼントが当たる、キャンペーン実施中です。

SOX法に適用する、より安全性の高いシステム構築に向けての具体的な対策、第4回目です。

さて、気がつけば2月。多くの企業で転属、転勤、あるいは出向などに関する内示が出る季節です。
また、転職希望者の中には2月～3月退社を望む方も大勢いらっしゃいますね。

でも、ちょっと待ってください。
もしかすると、いま使っているPCを、転勤先にそのまま持っていくことをフツーに許可していませんか? また、近々退職する若手社員はプライベートPCでアクセスしていませんでしたか? 　それらのPCに、機密情報は入っていませんか?

日本版SOX法が要求する内部統制では、こうした配信後のドキュメント管理に関する仕組みも不可欠になってきます。
つまり、一度ダウンロードされた機密情報などに関して、配信後もアクセス権の変更が可能なシステムへシフトする必要があります。
例えば退職後、プライベートPC内に消去し忘れた機密情報が存在していたとしても、それを一切閲覧できない、印刷できない、コピーできない、メール添付もできない、というふうに徹底して管理できる仕組みが重要になります。

一部の企業では、退職する社員に対して、退職後の機密保持義務継続を促す書類にサインさせることを義務づけるケースもあるようですが、それだけでは不十分です。一般的に言って、企業の機密情報は退職後の社員から漏れることが最も多いことを忘れないでください。

クオリティWEBサイトでは、配信後もアクセス権の変更が可能なファイルアクセス制御ツール「DKS Plus」をご紹介しています。
興味をお持ちの方は、こちらから。

Dr.QがITサプリをお届けしました。次回もお楽しみに。

クオリティではメールマガジン「Q-NEWS」を毎週配信中。今回ご紹介したドキュメント管理に関するツールなど、即役立つ情報を無料で手に入れることができます。ただいまプレゼントが当たる、キャンペーン実施中です。

SOX法に適用する、より安全性の高いシステム構築に向けての具体的な対策、第3回目です。

ちょっと今回は、最近のL事件でも着目されている、電子メールの保管に関して。

日本版SOX法対策の中では、社内データ保存は大変重要なプロセスと言えます。
実際に、米国でSOX法制定のキッカケになったエンロン事件では、大量の証拠となる電子メールや社内文章の破棄が行われ、事件の全容解明の妨げとなりました。そのため、米国では社内データの保存が義務付けられています。中でも電子メールに関しては、米国証券取引委員会によって、上場企業は電子メールを3年間保管する義務が課されています。実際に、そうした体制が取れなかった５つの企業に対して、総額825万ドル、日本円で約10億円もの多額の罰金が科された実例があります。かなりシビアです。同等の規定が日本版SOX法に含まれることも予想されます。

しかし、メール自体の保管だけではなく、電子メールログ収集と、その保管も絶対条件になります。いつメールが送られたのか、誰がメールを送ったのか、誰にメールを送ったのか、そのメールの送受信は成功したのか、メールの内容が何であったのかなどのメールログを収集する必要があります。しかし、メールログの収集は、一方でプライバー侵害の問題を引き起こす可能性も…。そのためにも、保管期間と保管内容をふくめて、まずは電子メール保管に関する包括的なポリシーを策定し、社員に示しておく必要があるでしょう。
SOX法施行に向けて、やるべきことは本当にたくさんあります。

一つ一つ、ぜひ計画的にSOX法対策を。

クオリティWEBサイトでは、メール送受信ログを含むクライアントPCの操作ログを収集する「eX CLT(Client Log Tracer)」をご紹介しています。
興味をお持ちの方は、こちらをチェックしてみてください。

クオリティではメールマガジン「Q-NEWS」を毎週配信中。今回ご紹介したドキュメント管理に関するツールなど、即役立つ情報を無料で手に入れることができます。ただいまプレゼントが当たる、キャンペーン実施中です。

SOX法に適用する、より安全性の高いシステム構築に向けての具体的な対策、第2回目です。

昨日、ニュースチェックされた方も多いかと思いますが、某警察署の交番に勤務する男性署員の私物パソコンから昨年末、空き巣被害者の名前など個人情報が含まれた複数の捜査資料がインターネットに流出しました。

この私物PCにも、P2Pソフト「Winny」がインストールされていました。こうしたP2Pソフト、そして仮想VPNツールが安易にインストールされているPCが、基幹ネットワークに簡単にアクセスできてしまうことが、いかにリスクが高いか、何より如実に語る事件だと思います。

SOX法時代のシステムには、ITによってこのようなリスクに対して確実な防御策を徹底することが要求されます。例えば、P2Pソフトや仮想VPNツールがインストールされたPCにはネットワークへのアクセスを許可しない仕組み、またそれらのソフトやツールの起動を制御できる仕組みが不可欠です。ファイアウォールやウィルス対策ソフトでは、それらの通信を検出できません。企業価値低下につながるセキュリティ･ホールを生み出す前に、ぜひ一刻も早い決断と実行を。

クオリティWEBサイトでは「ファイル交換ソフトによる個人情報漏えい防止は、規則だけでは不十分」のタイトルで、対策をご紹介しています。
興味をお持ちの方は、こちらをチェックしてみてください。

Dr.QがITサプリをお届けしました。次回もお楽しみに。

クオリティではメールマガジン「Q-NEWS」を毎週配信中。今回ご紹介したドキュメント管理に関するツールなど、即役立つ情報を無料で手に入れることができます。ただいまプレゼントが当たる、キャンペーン実施中です。

いよいよ今回から、より具体的にSOX法時代のセキュリティ体制の構築方法を解説していきましょう。

今回取り上げるのは、ドキュメント管理。いまや業務効率を考える上で不可欠な存在であるメールコミュニケーション。従来、多くの企業でこのメールに見積書や商品企画会議の議事録、また顧客名簿などの機密文書がそのまま添付されて、やりとりされているケースが当たり前でした。しかし日本版SOX法施行後のオフィスでは、このスタイルは通用しません。

特に企業にとって「リスク」につながる可能性のある機密文書に関しては、「誰が」「何を」「いつ」「どうしたのか」に関して全て記録を残す必要があります。またファイルごとに暗号化や、アクセス権限を設定することも、リスクコントロールの観点からも重要になります。たとえば管理職は印刷可能にしたり、一般社員は閲覧のみにするなど閲覧者別にアクセス制限を設定することが必要になります。さらには万が一、機密文書が宛先誤送信された場合も、見れないようにファイルごとのアクセス制御も設定すべきです。

もはや、企業にとってセキュリティの最大の脅威はウイルスではなく、情報漏洩。情報漏洩対策を社員のモラルに頼る時代は終わりました。システムで情報漏洩防止に取り組むことが、日本版SOX法が要求する内部統制の絶対条件なのです。

クオリティWEBサイトでは「SOX法時代のドキュメント管理体制を構築する」のタイトルで、対策をご紹介しています。
興味をお持ちの方は、こちらをチェックしてみてください。

Dr.QがITサプリをお届けしました。次回もお楽しみに。

クオリティではメールマガジン「Q-NEWS」を毎週配信中。今回ご紹介したドキュメント管理に関するツールなど、即役立つ情報を無料で手に入れることができます。ただいまプレゼントが当たる、キャンペーン実施中です。

2008年3月決算期からの適用が予定されている日本版SOX法。つまり、2007年3月には内部統制システムの導入を終えておく必要があります。実は時間がありません…。

一刻も早く準備を開始していただくためにも、今回は、内部統制が情報システム開発・運用体制に及ぼす影響に関して解説することにしましょう。

内部統制下では、例えば「開発担当者と運用担当者を分けることで不正を防止する」、「システム開発時のドキュメントとテスト結果を残す」、「アプリケーションの修整履歴とテスト結果を残す」などが必要になります。ありとあらゆる業務、作業、工程にログの記載が義務付けられることになるのです。

現状、日本企業の情報システム部門は、取引の長いSIベンダーと「あうんの呼吸」で作業を進めるケースも数多く見受けられます。「この機能、ちょっと使い勝手が悪いから修正をお願いできますか?」「了解です。上がり次第、お送りしますね」。時には、こんな電話のやり取りだけでアプリケーションの修整作業が進められることがあるそうです…。

ところが内部統制システム環境下では、こうした従来型は通用しません。まずアプリケーション修整に関する要求を文書化し、正式な社内決済プロセスを経て承認を受け、初めて修整作業を発注できるようになります。修整後は必ずテストを行い、テスト内容と結果を証拠として残す必要があります。

情報システム部門の仕事の進め方も、大きく変わることになります。
そのためにも、まずはみなさんの自発的な意識改革が必要なのかもしれません。
経営層や監査法人からアクションを待つのではなく、日本版SOX法施行に向けて、いまこそ情報システム部門発のアクションを!!

Dr.QがITサプリをお届けしました。次回もお楽しみに。

クオリティではメールマガジン「Q-NEWS」を毎週配信中。今回ご紹介したドキュメント管理に関するツールなど、即役立つ情報を無料で手に入れることができます。ただいまプレゼントが当たる、キャンペーン実施中です。

新年あけましておめでとうございます。
2006年も多忙な情報システム管理者のみなさんを癒すITサプリを、つぎつぎお届けします。ご期待ください。

さて、話はちょっと戻りまして。昨年末、忘年会で久しぶりに会った某大手メーカーのシステム管理者S氏もまた、誤解していました。「えっ。日本版SOX法って、会計中心でしょ。会計システムの見直しでいけるんじゃないんですか…?」

前回のブログでご紹介した通り、日本版SOX法は「内部統制制度の確立」を最大の目的にしています。単に現行会計システムのリニューアルやモディファイだけでは、内部統制は実現できません。適切な財務報告をするための適切な仕組みと手続き、それらの有効性の評価が義務付けられているのです。

そこで今回は、内部統制を実現するために、情報システムには具体的にどのような機能が要求されるのかをピックアップしてみました。 (下図)
確かに会計システムの整備は重要な要素ですが、その他にも様々な面で機能強化が必要になります。従来以上に、細部にわたってITマネジメントが不可欠になることを、強く実感していただけるのではないでしょうか。

例えば。これまでユーザ任せにしてきた部門システムを含むすべてのアプリケーションとクライアントPCに関して、利用者と利用状況、個人情報や機密情報の有無、アクセスセキュリティなどを、システム環境の中で正確に一元把握することが、極めて重要になります。

役割分担でみれば、経理や財務部門より、じつは情報システム部門のボリュームの方が圧倒的。
だからこそ、早めの準備を。2006年内に、どこまで準備を進めることができるかが、かなりのポイントです。

Dr.QがITサプリをお届けしました。次回もお楽しみに。

この写真を見る 今回のブログをアップする前に、Googleで検索してみました。
キーワードはもちろん、「日本版SOX法」。その結果は、約621,000件。とにかく、いま注目されているキーワードであるということでしょう。

さて、その気になる日本版SOX法ですが、同法の最大の目的は「内部統制制度の確立」にあります。つまり、社内のチェック・システムによって、不正や誤謬(ごびゅう)といった間違いを未然に発見できるシステムを構築させることを目指しているそうです。

ここまで読んだだけでも、「現行システムで大丈夫かな…」と少し不安になっている管理者もいらっしゃるのではないでしょうか。

日本版SOX法の草案では、内部統制を達成させるための基本的要素の6番目に「ITの活用」が盛り込まれ、 ITによる内部統制の重要性が強調されています。
また併せて「リスクの評価と対応」「情報と伝達」「モニタリング」といった 業務処理統制も要求され、従来以上に業務プロセスの可視化とモニタリング、そして記録保持への取り組みが求められます。 

もっと分かりやすく言うと、今後は「組織内の情報」の徹底した管理が不可欠になります。「情報」が「いつ」「誰に」伝達され、「誰が意思決定をしたか」を随時記録することが重要です。
これは、企業情報システムの重要性がますます高まることを意味しています。

2006年をワン!!ダフルな1年にするためにも、やはり早めの準備が必要と言えるかもしれません…。

Dr.QがITサプリをお届けしました。次回もお楽しみに。

巷はクリスマスモード。聞くところによると、3連休という追い風もあって例年になく街が盛り上がってきているとのこと。しかし、情報システム管理者のみなさんの中には、ここ久しくリラックスしてクリスマスや年末を過ごしたことがない…という方も大勢いらっしゃるのではないのでしょうか。

マネジメント層からのニーズ対応、ユーザ層からのクレーム対応、さらに困ったことに、年明けの通常国会で証券取引法の改正案が上程される予定です。日本版SOX法の正式施行まで、カウントダウンは、もうはじまっているのです。同法は、決して経理・財務部門だけの問題ではありません。確実に情報システムにも、大きな影響を及ぼします。

ちなみに、適用対象は上場企業約3,800社になると見込まれますが、実際には企業グループ全体が対象となります。平均20社強の子会社数として、対象企業は実に8万社近くにまで広がります…。

2006年から情報システム管理者のみなさんが早速直面する、日本版SOX法。このブログでは、同法を分かりやすく解説しながら、みなさんの不安を少しでも和らげることができればと考えています。

Dr.QがITサプリをお届けします。