ドクターQがお届けするIT統制ブログ　ITサプリ

日本版SOX法が中小企業のビジネス環境に与える影響を14回にわたって紹介してきました「中小企業のための内部統制対策講座」も今回がシリーズ最終回です。

本シリーズを統括して「最小限の投下コストで、上場企業との取引を増加させるための5つのポイント」の後編を解説します。

◎最小限の投下コストで、上場企業との取引を増加させるための5つのポイント

中小企業にとって、やはり投下コストは大きな課題。そこで、投下コストを最小限にセーブしつつ、上場企業からの信頼を獲得し、取引を増加させるためのポイントを解説したいと思います。
※ポイントの(1)と(2)は、中小企業のための内部統制対策講座（13）をご覧ください。

(3)最小コストでIT統制を導入し、情報管理とリスク対策を強化しよう。

IT統制の導入も、極めて重要です。上場企業が委託先選定において最重視するIT統制のポイントは2つ。「情報管理」と「リスク対策」です。中でも、上場企業各社は内部統制の観点から、リスク対策強化を一層重要視する傾向が見られます。そこで必須となるのが、PCに対する監査体制の強化です。下記の3点に対する監査は不可欠と言っても過言ではありません。

◎Winnyなど情報漏洩の危険性があるファイル交換ソフトウェアの利用状況
◎マイクロソフト社からリリースされるセキュリティパッチの適用状況
◎ウイルス対策ソフトのパターンファイル更新状況

上記の対策は投下コスト、運用コストの双方をセーブするためにも、SaaS型、ASP型のIT統制の導入をおすすめします。

(4)再委託先企業にもIT統制を導入し、同等の情報管理体制を整備しよう。

IT統制の有効性を高める上で重要になるのは、再委託先の業務も統制範囲として設定することです。再委託先企業の業務、つまりPCも統制対象に設定して、IT統制を導入することが重要。例えば、個人情報に関する実務を担当するのが再委託先企業の場合、あらかじめ確実にIT統制を導入して、情報管理とリスク管理を強化しましょう。再委託先に対して、自社と同等、もしくはそれ以上のIT統制を導入することが上場企業からの信頼を獲得する上で大切なポイントです。

(5)セキュリティレポートを定期的に提出しよう。

本シリーズで最重視してきたポイントの一つがセキュリティレポート。上場企業に対して、自社の内部統制の有効性を立証できる、つまり情報管理体制とリスク対策を立証できる手法がセキュリティレポートの定期的な提出です。

◎当該PCの総合セキュリティレベル
◎当該PCのセキュリティパッチ適用状況
◎当該PCの禁止ソフトウェアインストール状況
◎当該PCのソフトウェアライセンス管理

こうした4つのセキュリティレポートを自社、そして業務提携先の双方で定期的に作成でき、また顧客に対して定期的に提出することができれば、上場企業との信頼関係を長期にわたって維持することができると考えられます。

いかがでしょうか。投下コストを最小限にセーブしつつ、いかにして上場企業との取引を拡大させるか、そのポイントをご理解いただけたでしょうか。次回から、新シリーズがスタートします。どうぞご期待ください。

さて、 クオリティでは、中小企業の内部統制対策に即活用できる各ツールも幅広くご用意しています。詳細はテクノロジーサイトでご確認ください。

日本版SOX法と並んで企業に内部統制を要求する新会社法。「真会社法の内部統制」では、新会社法が求める内部統制システムを、８つのポイントに分けてわかりやすくご紹介しています。御社の内部統制システム強化の参考に、ぜひご覧ください。

2008年4月16日、金融庁、日本公認会計士協会、経団連が共同で「内部統制報告制度相談・照会窓口」を開設しました。相談窓口の開設から、内部統制報告制度に関する上場企業の混乱ぶりが伝わってきます。

こうした上場企業の内部統制対策が、中小企業のビジネス環境にも大きく影響を及ぼすことは必至。そこで本シリーズでは、そんな現状と動向を一つ一つ分かりやすく解説してきました。

さて、本シリーズもいよいよ最終回です。13回目の今回は、本シリーズを統括して「最小限の投下コストで、上場企業との取引を増加させるための5つのポイント」を解説したいと思います。

◎最小限の投下コストで、上場企業との取引を増加させるための5つのポイント

中小企業にとって、やはり投下コストは大きな課題。そこで、投下コストを最小限にセーブしつつ、上場企業からの信頼を獲得し、取引を増加させるためのポイントを解説したいと思います。

(1)行動規範（コンプライアンスマニュアル）を策定し、従業員に徹底しよう。

上場企業各社は、法令遵守の企業風土を構築するための一つの基盤として、行動規範(コンプライアンスマニュアル)を重視しています。中小企業各社も、行動規範を策定することをおすすめします。行動規範をベースに、従業員に対する法令遵守に関する基本教育をいま一度徹底して行い、健全な企業風土の維持に取り組んでいることをアピールしましょう。また、策定したコンプライアンスマニュアルは自社のホームページで公開し、コンプライアンスに対する取り組みを社外に対しても積極的に公開することをおすすめします。

(2)内部統制システム構築の基本方針を策定し、ホームページで公開しよう。

上場企業各社には、「内部統制システム構築の基本方針」の策定が義務付けられ、ホームページでの公開が当たり前になっています。一方、中小企業には義務付けられていません。事実、中小企業で同方針を明確に打ち出している企業は稀。しかし、いまこそ他社との差別化を図る絶好のチャンスと考えることができます。各社が対応を苦慮している今こそ、いち早く内部統制システム構築の基本方針を策定し、取り組みに関して積極的な情報公開を進めるべきでしょう。ただし、くれぐれも表面だけの基本方針にせず、しっかりと社内の情報管理や従業員に対する法令遵守教育の強化を確実に実行しながら、策定することが重要です。

いかがでしょうか。次週は３、４、５番目のポイントについて解説します。

さて、 クオリティでは、中小企業の内部統制対策に即活用できる各ツールも幅広くご用意しています。詳細はテクノロジーサイトでご確認ください。

日本版SOX法と並んで企業に内部統制を要求する新会社法。「真会社法の内部統制」では、新会社法が求める内部統制システムを、８つのポイントに分けてわかりやすくご紹介しています。御社の内部統制システム強化の参考に、ぜひご覧ください。

全ての上場企業に実効性の高い内部統制システムの導入を要求しているJ-SOX。4月1日から実質施行となり、上場企業のビジネス環境が激変しつつあります。前回に引き続き「Pマーク神話、崩壊寸前」をテーマにお届けします。

■いまこそIT統制による情報管理体制を

前回お話したとおり、Pマーク取得企業による相次ぐ情報流出事故から、上場企業との取引において、「Pマークさえ取得しておけば安心」という考え方はもはや過去のもの。だからこそ重要になるのが、IT統制による機密情報の管理体制構築です。

ポイントは、次の4点です。

1. 機密情報流出を含む事故発生確率低下
2. 機密情報流出を含む事故が発生した場合における被害の最小化対策
3. 機密事情報流出を含む事故が発生した場合における原因の追跡調査体制整備
4. 機密事情報流出を含む事故が発生した場合における各対策実行強化とフィードバックシステム整備

■セキュリティレポートによる情報管理体制の立証

前述の4つのポイントをクリアするために、まず第一段階としてセキュリティレポートの導入を提唱します。業務で利用するPCに対して、定期的にIT監査を行い、客観的なセキュリティレポートとして作成するのです。下記の4つがセキュリティレポートとして有効的だと考えられます。

• 当該PCの総合セキュリティレベル
• 当該PCのセキュリティパッチ適用状況
• 当該PCの禁止ソフトウェアインストール状況
• 当該PCのソフトウェアライセンス管理

こうした4つのキュリティレポートを自社、そして業務提携先の双方で定期的に作成でき、また顧客に対して定期的に提出することができれば、上場企業との信頼関係を長期にわたって維持することができると考えられます。

■今日の小さな投資が、明日の大きな利益を生む

中小企業、業務提携している各社を含めてのIT投資に対して、コスト負担で不安視する方もいらっしゃるでしょう。しかし、競合する中小企業各社が対応策に右往左往している今こそ、一気に差別化を強化してビジネスチャンスを拡大する好機です。ローコストで高機能サービスを利用できるASPやSaaSなどを利用しながら、長期的視点を持って、中小企業としても内部統制対策へ積極的に取り組んでください。

いかがでしょうか。上場企業を取り巻くビジネス環境の現状を、ご理解いただけたでしょうか。

さて、 クオリティでは、中小企業の内部統制対策に即活用できる各ツールも幅広くご用意しています。詳細はテクノロジーサイトでご確認ください。

日本版SOX法と並んで企業に内部統制を要求する新会社法。「真会社法の内部統制」では、新会社法が求める内部統制システムを、８つのポイントに分けてわかりやすくご紹介しています。御社の内部統制システム強化の参考に、ぜひご覧ください。

全ての上場企業に実効性の高い内部統制システムの導入を要求しているJ-SOX。4月1日から実質施行となり、上場企業のビジネス環境が激変しつつあります。さて、11回目の今回は「Pマーク神話、崩壊寸前」です。

◎Pマーク神話、崩壊寸前

■止まらない、Pマーク取得企業からの情報漏えい

財団法人日本情報処理開発協会：プライバシーマーク推進センターのWebサイトで公開されている「個人情報の取扱いにおける事故報告にみる傾向と注意点」に、興味深いデータが掲載されています。

この報告書では、平成18年度におけるPマーク取得企業の個人情報に関する事故などの概要が紹介されています。同報告書で注目すべきポイントは3つあります。

1. 平成18年度、事故の報告を行った事業者数は前年度と比較して、約2.6倍に増加しています。
   (Pマーク取得事業者の他に、Pマーク取得申請中事業者とPマーク取得申請検討中事業者を含む）
2. ウイルス感染が原因の情報漏えいの件数は、約5倍に増加しています。
3. 紛失が原因の情報漏えいの件数は、約1.8倍に増加しています。

この傾向から分かることは、「Pマーク取得企業」＝(イコール)「個人情報管理が万全な企業」ではないということです。

■Pマーク取得後2年間は、第三者のチェック無し

現在のPマーク制度の最大の弱点は、その運用方法にあります。取得後は2年後の更新まで、第三者によるチェックがありません。つまり、取得後の情報管理を含め全体の運用管理に関しては、各社に一任されます。こうした状況が運用管理を軽視してしまう意識と企業を生み、結果、情報流出などの事故を誘発させる一つの大きな要因になっていると考えられます。

Pマークは、機密情報の管理体制を保証しません。取得時点で、個人情報の方針などが確立され、実行されていることをチェックする制度と考えることができます。

■本当に重要なのは、実効性の高い情報管理体制の構築

すでに、Pマーク神話の崩壊は寸前と言っても過言ではないでしょう。上場企業との取引において、「Pマークさえ取得しておけば安心」という考え方は、もはや過去のものにすべきです。J-SOX施行によってリスク対策強化をさらに重視する傾向にある上場企業の審査基準に適合するには、Pマークだけでは不十分。

より実効性の高い、個人情報を含む機密情報全域を対象にした管理体制の構築が不可欠となっています。また、そうした管理体制の構築が、競合他社との差別化を強化できるポイントなのです。

いかがでしょうか。上場企業を取り巻くビジネス環境の現状を、ご理解いただけたでしょうか。今後上場企業との取引を進める中で、一助になれば幸いです。

次回は、個人情報流出事故を起こさないための管理体制構築についてご紹介します。

さて、 クオリティでは、中小企業の内部統制対策に即活用できる各ツールも幅広くご用意しています。詳細はテクノロジーサイトでご確認ください。

日本版SOX法と並んで企業に内部統制を要求する新会社法。「真会社法の内部統制」では、新会社法が求める内部統制システムを、８つのポイントに分けてわかりやすくご紹介しています。御社の内部統制システム強化の参考に、ぜひご覧ください。

2008年4月1日、日本版SOX法(以下、J-SOX法)の実質施行が始まりました。その影響は、上場企業と現在取引をしている中小企業、そして今後、上場企業との取引をスタートしたい中小企業にも確実に及びます。

J-SOXによって上場企業のビジネス環境がどのように変わり、また取引企業としてどのような対策を取るべきかをシッカリ判断することです。

さて、そんなまさに激動期にお届けしている本シリーズ。10回目は前回に引き続き「委託先選定基準の厳格化」をテーマに解説をしていきます。

■各社が対応策を模索している今こそチャンス

厳格化への対応策を中小企業各社が模索している今が、実は他社との差別化を図る絶好の契機と言えます。

・委託業務における個人情報の安全管理対策整備状況
・再委託の取扱状況
・委託先における個人情報取扱ルール遵守姿勢

上記のポイントに対して、より効果的な対策を実行できた中小企業こそ、今後上場企業とのビジネスチャンスを拡大できる企業と言っても過言ではありません。自社を中心に再委託先を含めた、IT統制環境の構築に取り組んでください。

■ セキュリティレポートによる情報管理体制の立証

委託企業、再委託企業の共通ツールとして活用できるのが、セキュリティレポートです。業務で利用するPCに対して、定期的にIT監査を行い、客観的なセキュリティレポートとして作成するのです。下記の4つがセキュリティレポートとして有効的だと考えられます。

◎当該PCの総合セキュリティレベル
◎当該PCのセキュリティパッチ適用状況
◎当該PCの禁止ソフトウェアインストール状況
◎当該PCのソフトウェアライセンス管理

こうした4つのキュリティレポートを委託企業、再委託企業の双方で定期的に作成でき、また定期的に提出することができれば、上場企業の監査ニーズを確実に満たすことができ、信頼関係を長期にわたって維持することができると考えられます。


■情報安全へのコストアップを提言できる絶好の機会

IT業界をはじめとして、あらゆる産業界がここ数年、コストセーブを最優先してきました。しかし、上場企業がリスク管理を重視する今こそ、「情報安全」に向けてコストアップを明確に提言できる絶好の機会です。自社の情報管理体制を強化することで、ビジネスチャンスを拡大させることも可能になるでしょう。上場企業がJ-SOX対応でリスクマネジメントに注目している、いまこそチャンスです。

いかがでしょうか。上場企業を取り巻くビジネス環境の現状を、ご理解いただけたでしょうか。さて、 クオリティでは、中小企業の内部統制対策に即活用できる各ツールも幅広くご用意しています。詳細はテクノロジーサイトでご確認ください。

日本版SOX法と並んで企業に内部統制を要求する新会社法。新会社法では、大会社(資本金額が5億円以上または負債総額が200億円以上の企業)について、内部統制システムの構築が義務化されています。財務報告に関する内部統制の構築を要求する日本版SOX法に対して、新会社法では企業業務の適正性確保を求めています。

このため企業は日本版SOX法だけでなく、新会社法も意識して内部統制を構築する必要があります。新コンテンツ「真会社法の内部統制」では、新会社法が求める内部統制システムを、８つのポイントに分けてわかりやすくご紹介しています。御社の内部統制システム強化の参考に、ぜひご覧ください。

4月から監査対象期間となる日本版SOX法（以下、J-SOX）。その影響は、上場企業と現在取引をしている中小企業や、今後、上場企業との取引をスタートしたい中小企業にも確実に及びます。いま大切なのは、J-SOXによって取引企業としてどのような対策を取るべきか、シッカリ判断することです。

第9回目の今回は、「委託先選定基準の厳格化」です。

◎委託先選定基準の厳格化

■現状の委託先選定基準における課題

注目したいのは、個人情報が関係する業務委託に関する部分です。これまで、この分野における一般的な委託先選定基準は下記の5項目が標準でした。

(1)ISMS・プライバシーマーク等、第三者認証取得状況
(2)委託業務における個人情報の安全管理対策整備状況
(3)再委託の取扱状況
(4)過去における個人情報漏洩経歴の有無と、漏洩経歴に対する再発防止措置の実施状況
(5)委託先における個人情報取扱ルール遵守姿勢

ただし、実情を振り返ってみると(1)と(2)と(4)の3項目が最重視される傾向があり、実質的に(3)と(5)に関しては軽視とは言わないまでも、重視レベルに差がありました。しかし、この重視レベルの差が、昨今の情報漏洩が多発する一つの要因となってしまった訳です。

■J-SOXで委託先管理が厳格化、外部監査も定期化

そんな中、J-SOXの実質施行にともない、(3)と(5)に関して厳格化が進み、さらに(2)に対しても一層の厳格化が進むことが確実視されています。上場企業にとっては情報漏洩リスクに対する強化が命題になります。結果、委託先選定に関しても厳格にならざるを得ない、というのが実情です。

具体的に、上場企業が厳格化したいポイントは 3つ考えられます。

(1)個人情報の完全管理状況に関する数値ベースの定期的な立証
(2)再委託先に対する数値ベースの IT統制環境の整備
(3)再委託先における個人情報の完全管理状況の数値的立証

このほか、従来は委託業務開始時に実施されていた上場企業による監査も「定期化」されます。リスク管理体制の維持徹底と、リスク予見を目的に監査も委託先だけでなく再委託先の双方に実施されることが予測されます。

いかがでしょうか。上場企業を取り巻くビジネス環境の現状を、ご理解いただけたでしょうか。さて、 クオリティでは、中小企業の内部統制対策に即活用できる各ツールも幅広くご用意しています。詳細はテクノロジーサイトでご確認ください。

また「最短1ヶ月 IT統制最終強化プロジェクト」には、経済産業省が提唱する「システム管理基準追補版(財務報告に係るIT統制ガイダンス)」のシステム監査項目と、各項目に対応したクオリティ製品マップもご用意しております。ぜひご覧ください。

J-SOXの実質施行まで1ヶ月を切りました。この影響は上場企業と取引する中小企業各社にも確実に及びます。そんな激変するビジネス環境を分かりやすく解説し、また具体的な対策案をご提示している本シリーズ。前回に引き続き「再々委託禁止の理由」をテーマに、中小企業のための内部統制対策をご紹介していきます。

■再委託先におけるIT統制の必要性

前回ご紹介したとおり、IT業界全体で多重階層受注構造に対するリスクマネジメントとして再々委託禁止の流れが進んでいます。しかし、単に再々委託を止めるだけでは、リスク対策としては不十分というのが実情です。従来、委託されるパートナー企業などに再委託に関して要求されるのは、次のような表記でした。

「再委託する場合、再委託先に対して自社と同等以上の情報管理レベルを確保します」。

しかし、こうした曖昧な表記だけでは、十分ではありません。上場企業は、パートナー企業および再委託先との情報管理に、確実に同等の統制効果を期待できるIT統制の導入を要求します。ITによって、物理的に強固な情報管理体制を整備し、上場企業の客観的な外部監査に耐久することが要求されるのです。

■セキュリティレポートによる情報管理体制の立証

委託企業、再委託企業の共通ツールとして活用できるのが、セキュリティレポートです。業務で利用するPCに対して、定期的にIT監査を行い、客観的なセキュリティレポートとして作成するのです。
下記の4つがセキュリティレポートとして有効的と考えられます。

◎当該PCの総合セキュリティレベル
◎当該PCのセキュリティパッチ適用状況
◎当該PCの禁止ソフトウェアインストール状況
◎当該PCのソフトウェアライセンス管理

こうした4つのキュリティレポートを委託企業、再委託企業の双方で定期的に作成することができ、また定期的に提出することができれば、上場企業の監査ニーズを確実に満たし、信頼関係を長期にわたって維持できると考えられます。

■情報安全へのコストアップを提言できる絶好の機会

IT業界をはじめとして、あらゆる産業界がここ数年、コストセーブを最優先してきました。しかし、上場企業がリスク管理を重視する今こそ、「情報安全」に向けてコストアップを明確に提言できる絶好の機会です。自社の情報管理体制を強化することで、ビジネスチャンスを拡大させることも可能になるでしょう。上場企業がJ-SOX対応でリスクマネジメントに注目している、いまこそチャンスです。

いかがでしょうか。上場企業を取り巻くビジネス環境の現状を、ご理解いただけたでしょうか。今後上場企業との取引を進める中で、一助になれば幸いです。さて、 クオリティでは、中小企業の内部統制対策に即活用できる各ツールも幅広くご用意しています。詳細はテクノロジーサイトでご確認ください。

また「最短1ヶ月 IT統制最終強化プロジェクト」には、経済産業省が提唱する「システム管理基準追補版(財務報告に係るIT統制ガイダンス)」のシステム監査項目と、各項目に対応したクオリティ製品マップもご用意しております。ぜひご覧ください。

いよいよJ-SOXの実質施行まで1ヶ月を切りました。上場企業を中心に、日本のビジネス環境が大きく変わります。その影響は、上場企業と取引する中小企業各社にも確実に及びます。そんな激変するビジネス環境を分かりやすく解説し、また具体的な対策案をご提示している本シリーズ。7回目となる今回のテーマは「再々委託禁止の理由」です。

◎再々委託禁止の理由

■ IT業界全体に構造改革を促す再々委託禁止

世界企業I社は、2007年10月から日本国内でも、パートナー企業に対して全面的に「再々委託禁止」の徹底を要求しました。同社の動向は、IT業界の基本構造とされてきた「多重階層受注構造」を否定し、業界全体に抜本的な構造改革を要求しています。もちろんこうした再々委託禁止の流れはIT業界だけでなく、製造業をはじめとしてあらゆる産業界へ波及していくと考えられます。

■再々委託禁止の背景にある2法への対策

こうした再々委託禁止の背景にあるのが、金融商品取引法(J-SOX)が要求する内部統制にあることは言うまでもありません。金融商品取引法と同様に、新会社法もリスク対策の強化とコンプライアンスを要求しており、これら2法の対策が最大の背景と考えられます。再々委託、さらにケースによっては4次、5次委託も考えられる現状の多重委託構造(多重階層受注構造)に対して、リスクマネジメントがさらに重要視されつつあると言えます。開発データや個人情報などをはじめとした機密情報に対する統制効果を確実にするためには再委託までが限界と判断した結果でしょう。

また統制効果を明確にすることで透明性を確保できるため、一連の業務と運営における不正行為の発生自体を抑止できます。

いかがでしょうか？
次回も引き続き「再々委託禁止の理由」をテーマに、再委託先におけるIT統制の必要性についてお話していきます。

さて、 クオリティでは、中小企業の内部統制対策に即活用できる各ツールも幅広くご用意しています。詳細はテクノロジーサイトでご確認ください。

なお、現在クオリティでは、目前に迫った日本版SOX法が求めるIT統制の構築を目指す企業様をご支援するため、短期間にシステム稼動させるための導入ステップを、企業タイプを３つに別けてご紹介いたしておりますます。下記バナーをクリックして、こちらのサイトもご覧ください。

J-SOXの適用年度となる4月1日まで、いよいよ残りわずか。J-SOX元年となる今年は、上場企業を取り巻くビジネス環境がまさに激変しています。前回に引き続き「上場企業が重視する法令」をテーマに、上場企業と取引を行う中小企業は何をすべきなのか、というポイントを解説していきます。

■委託先に要求される、同等以上のコンプライアンス意識

上場企業は今後、自社と同等、もしくはそれ以上のコンプライアンス意識を委託先に対して要求します。言い換えれば、高いコンプライアンス意識をアピールできれば、上場企業との信頼関係を一層強固なものにすることができると言えます。

■コンプライアンス意識を立証するセキュリティレポート

「弊社は、コンプライアンス教育を徹底している」という表現だけでは、もはや不十分です。そこで有効的なのが、定期的なセキュリティレポートの提出。ITによって物理的にコンプライアンスを徹底している実態を定期レポート化することができれば、委託先としての信頼性を維持できます。

◎当該PCの総合セキュリティレベル
◎当該PCのセキュリティパッチ適用状況
◎当該PCの禁止ソフトウェアインストール状況
◎当該PCのソフトウェアライセンス管理

上記レポートによって社内のコンプライアンス意識の高さを立証することは、自社内における内部統制の有効性を立証することになります。競合他社との明確な差別化にもつながります。

いかがでしょうか。上場企業を取り巻くビジネス環境の現状と中小企業が今後何をすべきなのかを、ご理解いただけたでしょうか。上場企業との取引を進める中で、一助になれば幸いです。

Dr.QがITサプリをお届けしました。 次回もお楽しみに。

なお、現在クオリティでは、目前に迫った日本版SOX法が求めるIT統制の構築を目指す企業様をご支援するため、短期間にシステム稼動させるための導入ステップを、企業タイプを３つに別けてご紹介いたしておりますます。下記バナーをクリックして、こちらのサイトもご覧ください。

J-SOXの適用年度となる4月1日まで、いよいよ残りわずか。J-SOX元年となる今年は、上場企業を取り巻くビジネス環境がまさに激変しています。そこで、本シリーズでは上場企業のビジネス環境の現状を通して、上場企業と取引を行う中小企業は何をすべきなのか、というポイントを分かりやすく解説しています。今回のテーマは「上場企業が重視する法令」です。

◎上場企業が重視する法令

■J-SOXや会社法だけではない、上場企業が重視する法令

上場企業にとって、J-SOXや会社法を遵守するということは、コンプライアンスを徹底することになり、従来以上にビジネス関連の法令を遵守する、ということにもつながります。中でも個人情報保護法をはじめとして、下記の4つが上場企業が重視する法令と考えることができます。

◎個人情報保護法
◎著作権法
◎不正競争防止法
◎不正アクセス禁止法

■重視する4法令での想定リスクと対処ポイント

上場企業との取引を考える上で大切なのは、上場企業がそれら4法令で、どのような点をリスクとして想定しているのか、ということです。

◎個人情報保護法
想定リスク：個人情報の流出
対処ポイント：ファイル共有ソフト（PtoP）対策強化を含む個人情報管理体制の確立

◎著作権法
想定リスク：市販ソフトなど各種著作物の不法共有・取得
対処ポイント：Winny、WinMXなどファイル共有ソフト（PtoP）に対する物理的な制御と、各ソフトのセキュリティパッチの物理的な更新管理体制

◎不正競争防止法
想定リスク：営業関連機密情報の不正流出・取得
対処ポイント：各ソフトのセキュリティパッチの物理的な更新管理体制

◎不正アクセス禁止法
想定リスク：ID・パスワードの不正流出・取得
対処ポイント：Winny、WinMXなどファイル共有ソフト（PtoP）に対する物理的な制御と、各ソフトのセキュリティパッチの物理的な更新管理体制

上記4法の対処ポイントがクリアできれば、コンプライアンスへの取り組みが高く評価され、自動的に上場企業とのビジネスチャンスを拡大させることができると思われます。

いかがでしょうか。
次回も「◎上場企業が重視する法令」に関するリスクと対処ポイントをご紹介します。

Dr.QがITサプリをお届けしました。 次回もお楽しみに。

なお、現在クオリティでは、目前に迫った日本版SOX法が求めるIT統制の構築を目指す企業様をご支援するため、短期間にシステム稼動させるための導入ステップを、企業タイプを３つに別けてご紹介いたしておりますます。下記バナーをクリックして、こちらのサイトもご覧ください。

中小企業にとって、魅力ある上場企業との取引。しかし、単に自社のサービスやコストのアドバンテージだけでは、もはや上場企業からの信頼を確保することはできません。そこで、本シリーズでは「内部統制」を中心に、上場企業を取り巻く環境を解説し、中小企業はどのように対応していければいいのか、そのポイントを解説しています。

今週も前回のテーマ「上場企業が重視する新会社法の内部統制」についてご紹介します。

■上場企業が期待するリスク管理体制

上場企業との間に強固な信頼関係を築くために重視すべきが、リスク管理体制。その中心となるのは、自社のPCに対する監査体制の強化です。前述の4法の共通リスクからも分かるとおり、リスク発生の原因は業務で利用されるPCです。中でも、次の3点は監査の基本として極めて重要であり、自社のIT統制の有効性を高めることにつながります。

◎Winnyなど情報漏洩の危険性があるファイル交換ソフトウェアの利用状況
◎マイクロソフト社からリリースされるセキュリティパッチの適用状況
◎ウイルス対策ソフトのパターンファイル更新状況


■定期なセキュリティレポートの提出

自社内のPC、また取引先との業務に利用する当該PCのセキュリティ管理状況を「セキュリティレポート」化。同レポートを、定期的に上場企業に提出できる体制を整備することで、競合他社との差別化も強化できます。自社の情報管理がいかに高次元で維持されているかということを定期的に立証し、リスク管理への取り組みをアピールしましょう。

◎ 当該PCの総合セキュリティレベル
◎ 当該PCのセキュリティパッチ適用状況
◎ 当該PCの禁止ソフトウェアインストール状況
◎ 当該PCのソフトウェアライセンス管理

上記4つのレポートを定期的に提出することで、上場企業からの信頼性は確実にアップするでしょう。

■委託先選定基準の厳格化が進むいまこそチャンス

上場企業にとってリスク管理は命題です。今後、委託先選定基準もますます厳格化されるでしょう。しかし、そんなタイミングだからこそ、大きなチャンスなのです。短期的な投下コストだけで、このチャンスを見逃す手はありません。ローコストで高機能サービスを利用できる、ASPやSaaSなども積極的に利用しながら、長期的視点を持って、中小企業としても内部統制対策へ積極的に取り組んでください。 

いかがでしょうか。上場企業を取り巻くビジネス環境の現状をご理解いただけたでしょうか。今後上場企業との取引を進める中で、一助になれば幸いです。さて、 クオリティでは、中小企業の内部統制対策に即活用できる各ツールも幅広くご用意しています。詳細はテクノロジーサイトでご確認ください。

Dr.QがITサプリをお届けしました。 次回もお楽しみに。

なお、現在クオリティでは、目前に迫った日本版SOX法が求めるIT統制の構築を目指す企業様をご支援するため、短期間にシステム稼動させるための導入ステップを、企業タイプを３つに別けてご紹介いたしておりますます。下記バナーをクリックして、こちらのサイトもご覧ください。

中小企業にとって、魅力ある上場企業との取引。この時期、新年度からの取引開始に向けて積極的に営業活動を展開されている
中小企業も大変多いことでしょう。しかし、単に自社のサービスやコストのアドバンテージだけでは、もはや上場企業からの信頼を確保することはできません。
そこで、本シリーズでは「内部統制」を中心に、上場企業を取り巻く環境を解説し、中小企業はどのように対応していければいいのか、そのポイントも分かりやすく解説しています。

第2回のテーマは、「上場企業が重視する新会社法の内部統制」です。

◎上場企業が重視する新会社法の内部統制

■コンプライアンスを最重視する新会社法

新会社法では大企業(≒上場企業)を対象に、「内部統制システム構築の基本方針」を取締役会で決議し、公開することを義務付けています。同基本方針をベースに各社が重視しているのが、内部統制によるコンプライアンスの徹底です。上場企業にとって新会社法に適応することは、つまり関連する法律を遵守することなのです。

◎個人情報保護法
◎著作権法
◎不正競争防止法
◎不正アクセス禁止法

上場企業が特に重視する法律は上記の4法が考えられます。

■上場企業が想定する4法の共通リスク

上場企業が4法で想定する共通リスクは次の3点が考えられます。言い換えれば、共通リスクに的確に対応できれば、自動的にビジネスチャンスを拡大できると言えます。

◎不適切な情報管理が起因の機密情報の流出
◎ウィイルス感染が起因の機密情報の流出
◎WinnyやWin-MX、Shareなどのファイル交換ソフトによる機密情報の流出

いかがでしょうか。上場企業を取り巻くビジネス環境の現状を、ご理解いただけたでしょうか。さて、 クオリティでは、中小企業の内部統制対策に即活用できる各ツールも幅広くご用意しています。詳細はテクノロジーサイトでご確認ください。

Dr.QがITサプリをお届けしました。 次回もお楽しみに。

なお、現在クオリティでは、目前に迫った日本版SOX法が求めるIT統制の構築を目指す企業様をご支援するため、短期間にシステム稼動させるための導入ステップを、企業タイプを３つに別けてご紹介いたしておりますます。下記バナーをクリックして、こちらのサイトもご覧ください。

前回に引き続き「中小企業のための内部統制対策講座」として、上場企業を取り巻く「内部統制」環境に対して中小企業はどのように対応すればよいのか？　今回のテーマ「上場企業との取引におけるJ-SOXの影響」について、ポイントを解説していきます。

◎上場企業との取引におけるJ-SOXの影響

■最大のポイントは、リスク管理

J-SOXの対象となる上場企業が委託先選定において今後さらに重視してくるのは、リスク管理です。そのリスク管理の中心になるのは、「機密情報」と「個人情報」。この2つに対して、適切な管理体制を整備できる企業は、一方でビジネスチャンスをさらに拡大できる可能性があるとも言えるでしょう。

■定期的なセキュリティレポートの提出

自社内のPC、また取引先との業務に利用する当該PCのセキュリティ管理状況を「セキュリティレポート」化。同レポートを、定期的に上場企業に提出できる体制を整備することが極めて重要になります。社内の情報管理が高次元で維持されていることを定期的に立証し、リスク管理への取り組みをアピールしましょう。

◎ 当該PCの総合セキュリティレベル
◎ 当該PCのセキュリティパッチ適用状況
◎ 当該PCの禁止ソフトウェアインストール状況
◎ 当該PCのソフトウェアライセンス管理

上記4つのレポートを定期的に提出することで、上場企業からの信頼性は確実にアップするでしょう。

■現在の積極的な取り組みが、いずれ大きな差に発展

中小企業にとって、内部統制対策への新たな投資は、確かに難題。特にシステム管理部門や専任担当者を配置できない企業にとって、IT関連のコストアップは深刻な問題でしょう。しかし、他社との差別化を促進させ、企業価値を高める絶好のチャンスととらえてください。

ローコストで高機能サービスを利用できる、ASPやSaaSなども積極的に利用しながら、長期的視点で中小企業としても内部統制対策へ取り組むことが重要です。

いかがでしょうか。上場企業を取り巻くビジネス環境の現状を、ご理解いただけたでしょうか。今後上場企業との取引を進める中で、一助になれば幸いです。さて、 クオリティでは、中小企業の内部統制対策に即活用できる各ツールも幅広くご用意しています。詳細はテクノロジーサイトでご確認ください。

4月から、いよいよ新年度。上場企業との新たなビジネスチャンス獲得を目指して、現在積極的に営業活動されている中小企業の方も大変多くいらっしゃるでしょう。そこで今回から新シリーズをスタート。「内部統制」を中心に、上場企業を取り巻く環境を解説し、中小企業はどのように対応していければいいのか、そのポイントも分かりやすく解説していきます。

第1回のテーマは「上場企業との取引におけるJ-SOXの影響」です。

◎上場企業との取引におけるJ-SOXの影響

■2008年は、J-SOX元年

J-SOX(ジェイソックス)の正式名称は、金融商品取引法。日本版SOX法とも呼ばれます。この法律が、いよいよ2008年4月からの新年度に対して適用されます。同法は、全ての上場とその連結子会社に対して、「内部統制の強化」を要求しています。内部統制の強化に対する上場企業の取り組みが、ビジネス環境をいま大きく変えようとしているのです。

■さらなる厳格化が進む、委託先選定基準

今後、上場企業が内部統制の強化を進める中で一層重要視されるのが、委託先管理です。委託先管理とは、外部業者が適切に業務を遂行していることを監督すること。J-SOXが適用される2008年度から、選定基準が厳格化されるケースが激増するでしょう。現在、上場企業と取引実績のある企業であっても、新年度からの選定基準では除外される可能性もあります。いち早く対策を講じることが重要です。

次週は、委託先選定のポイントと、その対策についてご紹介します。

クオリティでは、日本版SOX法が要求する内部統制に活用できる
ツールを幅広くご用意しています。詳細はクオリティ テクノロジーサイトでご確認ください。