ドクターQがお届けするIT統制ブログ　ITサプリ

御社が取り組むべき、会社法と実務ガイドラインにあたる会社法施行規則の内部統制のポイントをピックアップし、各規則の統制ポイントと、必要と考えられるIT統制に関して解説している「IT統制de会社法対策」シリーズ。

今週は「会社法施行規則　第100条第3項第4号」の「その他監査役の監査が実効的に行なわれることを確保するための体制」について具体的な統制活動をご紹介します。

■クライアントPC操作ログ収集体制整備

監査役の職務(内部監査部門)が、より効果的に機能するために必須となるのが、クライアントPC操作ログ収集機能。最低でも、以下にピックアップするログの収集が必須となります。

◎ プロセス起動(アプリケーション起動)に関する記録
◎ ファイルへのアクセス記録
◎ Webアクセス行ったURLの記録
◎ ファイル作成や削除に関する記録
◎ 印刷を行ったドキュメントとプリンタの記録
◎ アクティブウィンドウの記録
◎ 送受信を行ったメールの記録と内容
◎ クリップボードにコピーを行ったファイル・文字列の記録
◎ FTP操作コマンドとパラメータに関する記録
◎ 定期取得を行った画面コピーと、Print Screen押下時の内容の記録
◎ ユーザがログオンを行った際の記録

上記11の操作ログを、継続的に収集するシステム体制を整備する必要があります。


■セキュリティレポート作成体制整備

収集した操作ログをセキュリティレポート化して、定期的に分析できる体制を整備する必要があります。クライアントPC操作ログと連動して、特に以下の4つのセキュリティレポート作成が必須となるでしょう。

◎ Webアクセス状況
◎ 不審Webアクセス状況
◎ サーバファイルアクセス状況
◎ メール送信状況

こうしたレポートを客観的に分析することで、リスクの予見も可能となります。


■収集ログ・セキュリティレポート分析結果に応じたモニタリング強化機能

収集された操作ログとセキュリティレポートの定期的な分析結果に応じて、個々のクライアントPC利用者を、特定グループなどに指定。収集ログを強化できる体制などを整備することが重要です。こうした体制を整備することで、精密なリスク予見が可能となり、同時に危険な利用者を確実に低減できます。
 
いかがでしょうか、IT統制のポイントをご理解いただけたでしょうか。
クオリティでは、今回ご紹介したIT統制に即活用できる各ツールを幅広くご用意しています。
詳細はテクノロジーサイトでご確認ください。

Dr.QがITサプリをお届けしました。 次回もお楽しみに。

なお、現在クオリティでは、経済産業省「システム管理基準 追補版(財務報告に係るIT 統制ガイダンス)」をベース作成した「内部統制チェックテスト2」を公開しています。質問に答えることで、御社のIT 統制の到達度をチェックできます。ぜひトライしてください。

2008年は、いわば「IT統制元年」。特に上場企業には、J-SOX法の内部統制、そして会社法の内部統制の2法への対応が要求されます。

そこで大切になるのが、2法が最重視する「内部統制」の本来の目的を再認識することです。そのためにも、ぜひ本シリーズの解説をお役立てください。

「IT統制de会社法対策」では、会社法と実務ガイドラインにあたる会社法施行規則の内部統制のポイントを毎週ピックアップし、各規則の統制ポイントと、必要と考えられるIT統制に関して解説しています。御社が取り組むべき、今後の強化ポイントがクリアになるはずです。

今週は「会社法施行規則　第100条第3項第4号」の「その他監査役の監査が実効的に行なわれることを確保するための体制」についてご紹介します。

◎会社法施行規則　第100条第3項第4号
その他監査役の監査が実効的に行なわれることを確保するための体制

内部統制システムにおける監査役の最大の責務は、社内のコンプライアンス状況を維持し、不正行為を根絶させ、監査の実効を高めることです。そのため、システムには専用のモニタリング体制と収集データの分析体制の双方の整備が極めて重要になります。

こうしたIT統制基盤の整備によって、監査役と取締役との定例会議、監査役と会計監査人との定例会議も、データとレポートをベースにした理論的な会議にすることができるでしょう。

次回は、「監査が実効的に行なわれることを確保するための体制」の具体的な統制活動についてご紹介します。

Dr.QがITサプリをお届けしました。 次回もお楽しみに。

なお、現在クオリティでは、経済産業省「システム管理基準 追補版(財務報告に係るIT 統制ガイダンス)」をベース作成した「内部統制チェックテスト2」を公開しています。質問に答えることで、御社のIT 統制の到達度をチェックできます。ぜひトライしてください。

新年明けましておめでとうございます。
今年もITサプリは、情報システム担当者の方々のお役に立つ情報を更新していきます。ぜひご愛読のほどよろしくお願いします。

では早速、昨年末から引き続きご紹介している「◎会社法施行規則第100条第3項第3号」の「取締役及び使用人が監査役に報告をするための体制その他の監査役への報告に関する体制」に関する条項の解説を行います。

今回は4つある統制ポイントのうち、残りの３つをご紹介します。

■クライアントPCの脆弱性監査体制強化
セキュリティホールへと発展する可能性もあるクライアントPCの脆弱性。リスク管理の面からも極めて重要なIT統制のポイントと言えます。

◎ 規定違反ソフトウェアのインストールチェック
◎ IEのセキュリティ設定チェック
◎ ウイルス対策ソフトの定義ファイル更新状況チェック
◎ パスワードの運用状況チェック
◎ 共有フォルダ設定状況チェック

■コンプライアンス管理強化
クライアントPCの脆弱性監査と連動して重視すべきポイントが、システムを利用したコンプライアンスの徹底です。その中でも、以下の4法への対策は必須と言えるでしょう。

◎ 著作権法
◎ 個人情報保護法
◎ 不正アクセス禁止法
◎ 不正競争防止法

■定期的なセキュリティレポートチェック体制確立
監査役に対して、IT統制の運用状況をチェックできるセキュリティレポートを定期的に提出できる体制を整備する必要があります。

◎ Webアクセス状況
◎ 不審Webアクセス状況
◎ サーバファイルアクセス状況
◎ メール送信状況
◎ 禁止ソフトウェア導入状況
◎ 個人情報ファイル保有状況
◎ ファイル別個人情報ポイント状況
◎ クライアント脆弱性診断状況

こうしたレポートを客観的に監査役が分析することでリスク予見も可能となります。

いかがでしょうか、IT統制のポイントをご理解いただけたでしょうか。
クオリティでは、今回ご紹介したIT統制に即活用できる各ツールを幅広くご用意しています。詳細はテクノロジーサイトでご確認ください。

Dr.QがITサプリをお届けしました。 次回もお楽しみに。

なお、現在クオリティでは、経済産業省「システム管理基準 追補版(財務報告に係るIT 統制ガイダンス)」をベース作成した「内部統制チェックテスト2」を公開しています。質問に答えることで、御社のIT 統制の到達度をチェックできます。ぜひトライしてください。

多くのシステム管理者にとって、いま最も頭を悩ませている問題は「いかにすれば、効率的に日本版SOX法と会社法の2法に対応できるか」という点ではないでしょうか。
その解決の糸口になるのが、2法が最重視する「内部統制」の本来の目的を再認識することです。

そのためにも、ぜひ本シリーズの解説をお役立てください。会社法と実務ガイドラインにあたる会社法施行規則の内部統制のポイントをピックアップし、各規則の統制ポイントと、必要と考えられるIT統制に関して解説しています。御社が取り組むべき、今後の強化ポイントがクリアになるはずです。

◎会社法施行規則第100条第3項第3号
取締役及び使用人が監査役に報告をするための体制その他の監査役への報告に関する体制

監査役が果たすべき責務の大きさを、改めて感じさせる条項です。監査役が随時、的確な判断を行えるように、システム環境を整備・強化することが重要になります。では、具体的に、どのようなIT統制が要求されるのでしょうか。4つある統制ポイントのうち、今回はひとつめのポイントをご紹介します。

■全社的なクライアントPC操作ログ収集

使用人、取締役、分け隔てなく社内で利用されている全てのクライアントPCの操作ログを、確実に収集する必要があります。ログを収集することで、全ての業務を可視化できます。収集すべきログは下記のとおりです。

◎ プロセス起動(アプリケーション起動)に関する記録
◎ ファイルへのアクセス記録
◎ Webアクセス行ったURLの記録
◎ ファイル作成や削除に関する記録
◎ 印刷を行ったドキュメントとプリンタの記録
◎ アクティブウィンドウの記録
◎ 送受信を行ったメールの記録と内容
◎ クリップボードにコピーを行ったファイル・文字列の記録
◎ FTP操作コマンドとパラメータに関する記録
◎ 定期取得を行った画面コピーと、Print Screen押下時の内容の記録
◎ ユーザがログオンを行った際の記録
◎ クライアントモジュールにて発生したエラー等の記録

上記12のログを、継続的に収集するシステム体制を整備する必要があります。また、状況(ログ分析結果)に応じて、ログ収集方法をフレキシブルに修正・強化できる体制も重要になります。

いかがでしょうか、IT統制のポイントをご理解いただけたでしょうか。クオリティでは、今回ご紹介したIT統制に即活用できる各ツールを幅広くご用意しています。詳細はクオリティ テクノロジーサイトでご確認ください。

内部統制システムの構築を、上場企業、そして大会社に義務づけている会社法。本シリーズでは、会社法と実務ガイドラインにあたる会社法施行規則の中で、内部統制に関連する表記部分をピックアップしています。

先週に引き続き、「会社法施行規則　第100条第3項第1号」、「同第2号」の解説をお届けします。

この第1、2号が提唱しているのは、監査役監査の実行を確保するための体制作りです。今後は、取締役などが自由に監査できる、独立した内部監査部門の設置が必須になるでしょう。このとき、同部門からシステム管理部門へリクエストされると思われる、IT統制のポイントは下記の3つです。

■コンプライアンス管理強化
■全取締役・全使用人(従業員)のクライアントPCに対するモニタリング強化
■定期的なセキュリティレポート作成

それではこの3項目について、具体的な内容をチェックしていきましょう。

■コンプライアンス管理強化
取締役も従業員も一切例外なく、全てのクライアントPCに対する監査体制を強化してコンプライアンス管理を徹底する必要があります。

◎ 著作権法
◎ 個人情報保護法
◎ 不正アクセス禁止法
◎ 不正競争防止法

の4法が特に重視されると考えられます。クライアントPC監査強化は、確実にコンプライアンス管理体制強化へと確実につながり、またリスクの予見にもつながります。

■全取締役・全使用人(従業員)のクライアントPCに対するモニタリング強化
全社の全てのクライアントPC対して、漏れのないモニタリングを実施することが極めて重要になります。クライアントPCの全操作をモニタリングすることで不正行為自体を確実に抑止できるうえ、万一の場合の証拠として有効活用も可能となります。最重視されるのは、クライアントPCの操作ログ収集です。

◎ アプリケーションの起動記録
◎ ドキュメントの参照記録
◎ Webサイトへのアクセス記録
◎ ファイルの操作記録
◎ Ｅeメールの送受信記録
◎ プリント出力記録
◎ アクティブウィンドウタイトル記録
◎ FTPサイトへのアクセス記録
◎ クリップボードへの利用記録
◎ デスクトップ画面のハードコピー記録

上記10種のログ収集が必須になると考えられます。

■定期的なセキュリティレポート作成
クライアントPCの運用状況に関するセキュリティレポートを、内部監査部門の客観的な視点から定期分析する必要があります。

◎ Webアクセス状況
◎ 不審Webアクセス状況
◎ サーバファイルアクセス状況
◎ メール送信状況
◎ 禁止ソフトウェア導入状況
◎ 個人情報ファイル保有状況
◎ ファイル別個人情報ポイント状況
◎ クライアント脆弱性診断状況

監査結果や収集ログなどをベースに、表とグラフで構成されるセキュリティレポートを作成することが要求されるでしょう。

いかがでしょうか、IT統制のポイントをご理解いただけたでしょうか。クオリティでは、今回ご紹介したIT統制に即活用できる各ツールを幅広くご用意しています。詳細はクオリティ テクノロジーサイトでご確認ください。

内部統制システムの構築を、上場企業、そして大会社に義務づけている会社法。その内容は、実のところ日本版SOX法よりもポイントが明確です。

ポイントが明確なだけに、対象となる企業にとっては「怖さ」もひとしお。そこで 本シリーズでは、会社法と実務ガイドラインにあたる会社法施行規則の中で、内部統制に関連する表記部分をピックアップ。

今回も引き続き 、各規則の統制ポイントと、必要と考えられるIT統制に関して解説を進めたいと思います。

◎会社法施行規則　第100条第3項第1号
監査役がその職務を補助すべき使用人を置くことを求めた場合における当該使用人に関する事項

この第1号に付随して、IT統制に大きく影響を与えることになりそうなのが、第2号です。

◎会社法施行規則　第100条第3項第2号
前号の使用人の取締役からの独立性に関する事項

この第1号と第2号が提唱しているのは、監査役監査がより実効的に行なわれることを確保するための体制の確立です。取締役なども自由に監査できる、取締役の指示系統には属さない、独立した内部監査部門の設置が必須になるでしょう。

また今後は、監査役直属の内部監査部門が独立性を高め、社内に対する独自の調査能力が強化される傾向が一層強まると考えられます。必然的に、同部門からシステム管理部門へのリクエストも増加するでしょう。しかし、この同部門の調査能力の強化こそIT統制の強化につながると言えます。

次回は、同部門からリクエストされると思われる、IT統制のポイントを解説します。

クオリティでは、今回ご紹介したIT統制に即活用できる各ツールを幅広くご用意しています。詳細はテクノロジーサイトでご確認ください。

新会社法では、全ての上場企業に内部統制システム構築を義務づけています。
本シリーズでは、会社法と会社法施行規則の中で、主に内部統制に関連する表記部分の解説を行っています。

◎会社法施行規則　第100条第1項第5号
当該株式会社並びにその親会社及び子会社から成る企業集団における業務の適正を確保するための体制

【第100条第1項第5号に関するIT統制例】

• グループ全社、クライアント(PC)脆弱性監査体制の整備
• IT統制によって、小規模企業にも内部統制を徹底
• 定期的なセキュリティレポートの監査と取締役会への報告体制整備
• グループ全社で共有する機密文書(ファイル) に関する厳密なアクセスコントロール
• 機密文書(ファイル)操作に関するモニタリング

前回に引き続き、第100条第1項第5号に関する残り３つのIT統制例をご紹介します。

■定期的なセキュリティレポートの監査と取締役会への報告体制整備

グループ全社、全クライアントPCの脆弱性に関するセキュリティレポートを定期的に監査する必要があります。また、同レポートを取締役でも定期的に監査する必要があります。セキュリティレポートによって、数値ベースで統制効果の分析が可能になります。また、監査法人の監査自体も円滑に行われると推測できます。

■グループ全社で共有する機密文書(ファイル)に関する厳密なアクセスコントロール

グループ各社で共有する機密文書は、電子ファイルでの配信と共有の徹底が必須です。
また、全てのファイルに対して厳密なアクセス管理が必要になります。
ポイントは、次の5点です。

• ファイル自体を暗号化
• 企業レベルに応じたファイル操作権限の設定
• 部署・社員に応じたファイル操作権限の設定
• 操作時における認証システムの導入
• ファイル自体の有効期限の設定

これにより機密文書の不正流出や不正利用などの可能性を確実に低減できます。

■機密文書(ファイル)操作に関するモニタリング

機密性の高いファイルに関しては、アクセスコントロールだけでなくモニタリング機能を付加することも重要となります。

• 誰が
• いつ
• どのファイルを
• どう操作したのか

などの操作ログを取得し、機密ファイルの利用状況を分析することが要求されます。

いかがでしょうか。
IT統制のポイントをご理解いただけたでしょうか。Dr.QがITサプリをお届けしました。 次回もお楽しみに。

クオリティでは、今回ご紹介したIT統制に即活用できる各ツールを幅広くご用意しています。詳細はテクノロジーサイトでご確認ください。

なお、現在クオリティでは、今回ご紹介した「システム管理基準の管理項目と統制目標の対応」をベースに「内部統制チェックテスト2」を公開しています。質問に答えることで、御社のIT 統制の到達度をチェックできます。ぜひトライしてください。

日本版SOX法(金融商品取引法)と同様に、全ての上場企業に内部統制システム構築を義務づけている会社法。本シリーズでは、同法と実務ガイドラインにあたる会社法施行規則の中で、内部統制に関連する表記部分をピックアップしています。ではさっそく、今回の施行規則の解説を始めます。

◎会社法施行規則　第100条第1項第5号
当該株式会社並びにその親会社及び子会社から成る企業集団における業務の適正を確保するための体制

子会社などを有している場合、内部統制は当該会社だけでなく、子会社等も含む企業グループ全体を対象として構築することが必須となります。グループ会社や子会社に対する統制活動として、関係会社管理規程やコンプライアンス行動憲章を整備するケースが大半ですが、このような単なるルールの整備だけでは、統制効果は不十分です。

やはりIT統制によって、物理的にグループ全社(子会社)に対してリスク管理とコンプライアンスを徹底させることが、不可欠となっています。第100条第1項第5号に関するIT統制は以下の5つを挙げることができます。

• グループ全社、クライアント(PC)脆弱性監査体制の整備
• IT統制によって、小規模企業にも内部統制を徹底
• 定期的なセキュリティレポートの監査と取締役会への報告体制整備
• グループ全社で共有する機密文書(ファイル) に関する厳密なアクセスコントロー
• 機密文書(ファイル)操作に関するモニタリング

それでは、第100条第1項第5号に関するIT統制を解説しましょう。

■グループ全社、クライアント(PC)脆弱性監査体制の整備

当該会社だけではなく、グループ全社に対して、リスク管理とコンプライアンス徹底の中心として、クライアント(PC)の脆弱性監査を導入することが極めて重要です。監査のポイントは、次の3つです。

◎ (OSやソフトなど)マイクロソフト関連のセキュリティパッチ適用状況
◎ WinnyやShare等の使用禁止ソフトのインストール状況
◎ ウイルス対策ソフトのパターンファイル更新状況

3つのポイントをクリアできれば、統制効果は確実にアップします。

■IT統制によって、小規模企業にも内部統制を徹底

グループ全社に内部統制を検討する場合、やはり小規模企業の負担コストへの配慮も必要となります。そこで低コストのASPサービスなどを積極的に活用し、全社に漏れの無い内部統制を導入することが重要です。

いかがでしょうか。
次回も引き続き、第100条第1項第5号に関する残り3つのIT統制の解説を行います。Dr.QがITサプリをお届けしました。 次回もお楽しみに。

クオリティでは、今回ご紹介したIT統制に即活用できる各ツールを幅広くご用意しています。詳細はテクノロジーサイトでご確認ください。

なお、現在クオリティでは、今回ご紹介した「システム管理基準の管理項目と統制目標の対応」をベースに「内部統制チェックテスト2」を公開しています。質問に答えることで、御社のIT 統制の到達度をチェックできます。ぜひトライしてください。

準備作業がいまだ不明瞭な日本版SOX法と比較して、導入すべきIT統制が非常に分かりやすい会社法。本シリーズでは、そんな同法と実務ガイドラインにあたる会社法施行規則の中で、内部統制に関連する表記部分をピックアップしています。今回も引き続き、各規則の統制ポイントと、必要と考えられるIT統制に関して解説を進めます。

◎会社法施行規則　第100条第1項第3号
取締役の職務の執行が効率的に行われることを確保するための体制

取締役の職務が効率的に行われるためには、ITの導入が不可欠です。具体的には、内部統制の有効性と社内のコンプライアンスの状況を取締役が定期的にレビューして、確認できる体制を整備することが必須となります。IT統制が未導入企業の場合、コンプライアンスに関する目標は「コンプライアンスの徹底」など曖昧な表現にとどまっていました。しかし、今後は数値ベースで目標を設定し、その目標を取締役と従業員が共有することが理想と言えるでしょう。

■セキュリティレポートの定期作成

社内における法律、倫理規定、セキュリティポリシなどの遵守状況を定期的にチェックするために、PDFなどの電子ファイルでセキュリティレポートの作成が必要になります。

次回は具体的に、内部統制システムの有効性を確認するためのレポート例をご紹介します。Dr.QがITサプリをお届けしました。

なお、現在クオリティでは、今回ご紹介した「システム管理基準の管理項目と統制目標の対応」をベースに「内部統制チェックテスト2」を公開しています。質問に答えることで、御社のIT 統制の到達度をチェックできます。ぜひトライしてください。

本シリーズでは、会社法とその実務ガイドラインにあたる会社法施行規則の中で、特に内部統制に関連する表記部分をピックアップしています。今回も引き続き、「◎会社法施行規則　第100条第1項第2号」に関する統制ポイントと、必要と考えられるIT統制に関して解説を進めたいと思います。

◎会社法施行規則　第100条第1項第2号

損失の危険の管理に関する規程その他の体制

1.個人情報保護法
2.不正アクセス防止法
3.著作権法対策
4.不正競争防止法

今週は不正アクセス防止法、著作権法、不正競争防止法の３つについて解説します。

2.不正アクセス防止法

例えば、基幹サーバアクセス用のIDやパスワードが不正流出し、第三者によって不正に活用された場合、不正アクセス防止法に抵触します。具体的に、下記のようなケースを想定し、またIT統制を導入することが重要です。

■想定ケース①／複数の社員によってID・パスワードを共有
↓
■ IT統制①／クライアントPC脆弱性監査

■想定ケース②／ID・パスワードの外部への不正流出
↓
■IT統制②／不正PCのインターネット接続強制遮断

■想定ケース③／コンピュータウィルス感染によるWinnyを介した情報漏洩
↓
■IT統制③／ソフトウェア利用状況の記録と定期分析

■想定ケース④／未許可サイトへの不正アクセス
↓
■IT統制④／Webサイトへのアクセス制御

■想定ケース⑤／未認可プログラムによるハッキング行為
↓
■ IT統制⑤／社内のソフトウェア環境統一管理

■想定ケース⑥／個人情報関連ファイルをUSBメモリにコピーして持ち出し
↓
■IT統制⑥／外部記憶媒体へのデータコピー制御

3.著作権法対策

例えば、購入ライセンス以上の台数のクライアントPCで市販ソフトを利用した場合、著作権法に抵触します。
具体的に、下記のようなケースを想定し、またIT統制を導入することが重要です。

■想定ケース①／市販ソフトウェアを購入ライセンス数以上にクライアントPCにインストールして起動(利用)
↓
■ IT統制①／ソフトウェアのライセンス管理

■想定ケース②／市販ソフトウェアをCDやDVD、USBメモリに不正コピー
↓
■IT統制②／外部媒体へのデータコピー制御

■想定ケース③／不正入手した市販ソフトウェアをインストールして利用
↓
■IT統制③／利用禁止ソフトウェアの起動制御

■想定ケース⑤／Winnyなどでソフトウェアが不正流出
↓
■ IT統制⑤／ポリシ違反クライアントPCのインターネット接続強制遮断

■想定ケース⑥／Winnyなどで個人鑑賞用の音楽データを不正流出
↓
■IT統制⑥／ポリシ違反クライアントPCのインターネット接続強制遮断

■想定ケース⑦／Winnyなどで画像データを不正取得
↓
■IT統制⑦／ソフトウェア利用状況の記録と定期分析

4.不正競争防止法

例えば、クライアントから支給された機密データが外部へ流出した場合、不正競争防止法に抵触します。
具体的に、下記のようなケースを想定し、またIT統制を導入することが重要です。

■ 想定ケース①／Winnyなどで開発データが不正流出
↓
■ IT統制①／利用禁止ソフトウェアの起動制御

■想定ケース②／自宅作業用に開発データを持ち帰り、そのデータが自宅PCから漏洩
↓
■IT統制②／外部記憶媒体へのデータコピー制御

■想定ケース③／悪意を持った元社員が機密データを社外へ不正持ち出し
↓
■IT統制③／機密データ専用配信システム整備

■想定ケース④／開発委託先のクライアントPCから機密データが漏洩
↓
■IT統制④／自社、協力会社、委託先までを含めたファイルアクセス制御

■想定ケース⑤／リース返却PCから開発データが漏洩
↓
■ IT統制⑤／HD内データ完全消去管理体制整備

■想定ケース⑥／Winnyなどで他社の機密データを不正取得
↓
■IT統制⑥／利用禁止ソフトウェアの起動制御

いかがでしょうか、IT統制のポイントをご理解いただけたでしょうか。

なお、クオリティでは、今回ご紹介したIT統制に即活用できる各ツールを幅広くご用意しています。詳細はテクノロジーサイトでご確認ください。

Dr.QがITサプリをお届けしました。 次回もお楽しみに。

なお、現在クオリティでは、今回ご紹介した「システム管理基準の管理項目と統制目標の対応」をベースに「内部統制チェックテスト2」を公開しています。質問に答えることで、御社のIT 統制の到達度をチェックできます。ぜひトライしてください。

本シリーズでは、会社法とその実務ガイドラインにあたる会社法施行規則の中で、特に内部統制に関連する表記部分をピックアップしています。今回も引き続き、各規則の統制ポイントと、必要と考えられるIT統制に関して解説を進めたいと思います。

◎会社法施行規則　第100条第1項第2号

損失の危険の管理に関する規程その他の体制

ここで言う「損失」の定義を、いかに的確に解釈し、具体策を講じていくかで企業のリスク管理能力が決まると言っても過言ではありません。まず損失への対策として、最重視すべき統制ポイントはコンプライアンスです。今後は法令遵守を社内通達や告知で行うのではなく、ITによって物理的に徹底することが重要です。そんな中、今後特に重点的に取り組むべき法律は下記の4法が考えられます。今回は、その4法に関して、想定すべきケースと、必要となるIT統制を考えたいと思います。

1.個人情報保護法
2.不正アクセス防止法
3.著作権法対策
4.不正競争防止法

まず今週は個人情報保護法について解説します。

1.個人情報保護法

個人情報に関しては、1件でも不正流出があれば甚大な損害を発生すると捉えるべきです。具体的に、下記のようなケースを想定し、またIT統制を導入することが重要になると考えられます。

■想定ケース①／社員本人が全ての個人情報ファイルを把握できていない
↓
■ IT統制①／個人情報関連ファイル探査機能整備

■想定ケース②／オリジナルの顧客データを社員各自がソフトで加工
↓
■IT統制②／ソフトで加工されたファイルも対象にした個人情報探査

■想定ケース③／未認可ソフトによる顧客データ加工
↓
■IT統制③／利用禁止ソフトウェアの起動制御

■想定ケース④／WinnyなどのP2Pソフトで個人情報が流出
↓
■IT統制④／利用禁止ソフトウェアの起動制御

■想定ケース⑤／リース返却PCから個人情報が流出
↓
■ IT統制⑤／HDD内データ完全消去管理体制整備

■想定ケース⑥／個人情報関連ファイルをUSB メモリにコピーして持ち出し
↓
■IT統制⑥／外部記憶媒体へのデータコピー制御

いかがでしょうか、IT統制のポイントをご理解いただけたでしょうか。次回は残り３つの法制度対策について解説いたします。

なお、クオリティでは、今回ご紹介したIT統制に即活用できる各ツールを幅広くご用意しています。詳細はテクノロジーサイトでご確認ください。

Dr.QがITサプリをお届けしました。 次回もお楽しみに。

なお、現在クオリティでは、今回ご紹介した「システム管理基準の管理項目と統制目標の対応」をベースに「内部統制チェックテスト2」を公開しています。質問に答えることで、御社のIT 統制の到達度をチェックできます。ぜひトライしてください。

会社法とその実務ガイドラインにあたる会社法施行規則の中で、特に内部統制に関連する表記部分をピックアップしている「IT統制de会社法対策」。今回も引き続き 、「会社法施行規則　第100条第1項第1号」に関する統制ポイントと、必要と考えられるIT統制に関して解説を進めていきます。

◎会社法施行規則　第100条第1項第1号
取締役の職務の執行に係る情報の保存及び管理に関する体制

この規則を遵守するためには、下記の３つの統制ポイントがあり、それぞれにIT統制が必要です。

1. 取締役の職務に関する重要情報の管理体制整備
2. 取締役の法令違反、およびその可能性に関する事実および事項の監視・発見体制の確立
3. 取締役が職務上使用した情報に関して、監査部および監査役会などで定期的に分析できる体制の確立

その１については先週紹介しましたので、今回は残りの２と３の解説を行います。

2.取締役の法令違反、およびその可能性に関する事実および事項の監視・発見体制の確立

■IT統制①：取締役が利用するクライアントPCに対する脆弱性監査■
機密ファイルが集中する可能性が高い取締役のクライアントPCは、従業員以上の監査レベルで脆弱性監査を行う必要があります。特に重点的に取り組むべきポイントは下記の5つでしょう。

• 不正ソフトウェアの起動制御
• 不正ソフトウェアのアンインストール
• ウイルス対策ソフトウェアの定義ファイル更新管理
• 業務用ソフトウェアのセキュリティパッチ更新管理
• 業務用自社開発ソフトウェアのアップデート管理

■IT統制②：取締役が利用するクライアントPCに対するモニタリング■
内部統制システムを正常稼動させるためには、監査役のクライアントPCも例外ではありません。各情報(ファイル)に対してどのような操作を行ったのか、モニタリングして可視化する必要があります。全ての操作ログの収集が必須になると考えられます。

• アプリケーションの起動記録
• ドキュメントの参照記録
• Webサイトへのアクセス記録
• ファイルの操作記録
• eメールの送受信記録
• プリント出力記録
• アクティブウインドウタイトル記録
• FTPサイトへのアクセス記録
• クリップボードへの利用記録
• デスクトップ画面のスクリーンショット記録

上記10のログが収集されることで、各情報(ファイル)の利用状況と取締役の業務を全て可視化できます。万一の場合は、証拠として有効活用も可能となります。

3.取締役が職務上使用した情報に関して、監査部および監査役会などで定期的に分析できる体制の確立

■IT統制■
各取締役のクライアントPCから収集された各情報を、定期的にレポート化できる体制の整備が重要です。

• Webアクセス状況
• 不審Webアクセス状況
• サーバファイルアクセス状況
• メール送信状況
• 禁止ソフトウェア導入状況
• 個人情報ファイル保有状況
• ファイル別個人情報ポイント状況
• クライアント脆弱性診断状況

内部監査部、監査役からの要請に対して、速やかにレポートを提出できれば、リスクの最小化にも効果的です。

Dr.QがITサプリをお届けしました。 次回もお楽しみに。

なお、現在クオリティでは、今回ご紹介した「システム管理基準の管理項目と統制目標の対応」をベースに「内部統制チェックテスト2」を公開しています。質問に答えることで、御社のIT 統制の到達度をチェックできます。ぜひトライしてください。

会社法とその実務ガイドラインにあたる会社法施行規則の中で、特に内部統制に関連する表記部分をピックアップしている「IT統制de会社法対策」。今回も引き続き 、各規則の統制ポイントと、必要と考えられるIT統制に関して解説を進めたいと思います。

◎会社法施行規則　第100条第1項第1号

取締役の職務の執行に係る情報の保存及び管理に関する体制

この規則を遵守するためには、具体的に下記の統制ポイントとIT統制が必要になると思われます。

1.取締役の職務に関する重要情報の管理体制整備

■IT統制：重要文書の暗号化とアクセス制限および操作ログ収集■
特に経営判断に直結する重要なドキュメントは全て、認証キー付暗号化ファイルでの運用が必須になると考えられます。

• 認証キー付PDFなどによる機密文書配信システムの整備と運用の徹底
• 取締役個々に応じたファイルアクセス権限設定
• ファイル操作ログの収集

結果、ファイル単位での操作履歴をチェックできるため職務遂行状況も管理可能となります。

いかがでしょうか。次回は、「◎会社法施行規則　第100条第1項第1号」の２と３の規則についてご紹介します。

Dr.QがITサプリをお届けしました。 次回もお楽しみに。

なお、現在クオリティでは、今回ご紹介した「システム管理基準の管理項目と統制目標の対応」をベースに「内部統制チェックテスト2」を公開しています。質問に答えることで、御社のIT 統制の到達度をチェックできます。ぜひトライしてください。

※2007年10月3日16時に公開しました「■IT統制de会社法対策■<BR>「内部統制システム構築の基本方針」新年度版作成に向けて 02」の記事内容に誤りがありました。お詫びして訂正いたします。

前回からスタートした新シリーズ「IT統制de会社法対策」。会社法とその実務ガイドラインにあたる会社法施行規則で内部統制に関連する表記部分に関して、前回は解説しました。さて今回からいよいよ、各規則の統制ポイントと、必要と考えられるIT統制に関して解説を進めていきたいと思います。

● 会社法施行規則第100条第1項第4号 ●
使用人の職務の執行が法令及び定款に適合することを確保するための体制

この規則を遵守するためには、具体的に下記の３つの統制ポイントとIT統制が必要になると思われます。

1. 従業員に対する企業理念、企業行動規範、企業行動基準及びグループ企業倫理規程の遵守に対する徹底
2. 従業員の業務における法令遵守状況に関して、監査部および監査役会などで定期的に分析できる体制の確立
3. 従業員の法令違反、およびその可能性に関する事実および事項の発見・連絡体制の確立

今回はその中の１と２の解説を行います。

1.従業員に対する企業理念、企業行動規範、企業行動基準及びグループ企業倫理規程の遵守に対する徹底

■IT統制■
文書通達の限界と、性善説の限界を認識すべきです。IT統制によって、従業員のコンプライアンス(法令遵守)を物理的に徹底管理していく必要があります。具体的に今後のIT統制は、下記の法律に関しても遵守対象として検討・強化を図る必要があります。

• 著作権法
• 不正アクセス防止法
• 個人情報保護法
• 不正競争防止法

特に、今後の法整備動向として個人情報保護法は「個人」が刑罰対象になる可能性があります。従業員が知らず知らずのうちに個人情報保護法に抵触する行為を行ってしまうケースを、未然にIT統制で防止することも重要になります。

2.従業員の業務における法令遵守状況に関して、監査部および監査役会などで定期的に分析できる体制の確立

■IT統制：①社員の業務内容に対するモニタリング■
従業員が利用している全てクライアントPCの操作ログを収集し、モニタリング体制を確立する必要があります。

• クライアントPC上でアクティブになったウインドウタイトル履歴
• クライアントPC上で操作されたファイルの履歴
• アクセスしたファイル履歴
• プリンタ名、ログオンユーザ名、印刷ドキュメント名履歴
• Webサイトへのアクセス履歴
• ユーザの送受信アドレス、添付ファイルを含むMailの送受信履歴
• FTPサイトに対するファイルのアップロード・ダウンロード履歴
• クライアントPCで起動した全てのプロセス

上記の操作ログを収集できれば、不正行為も即座に発見できるだけでなく、万一の場合の証拠としても有効活用できます。また不正行為の抑止にもつながることは言うまでもありません。

■IT統制：②機密文書に対するフレキシブルな操作制御の設定■
機密文書に関しては、電子ファイルでの社内の運用が基本となります。具体的には、下記の機能システムに強化することで統制効果を期待できます。

• 暗号化を基本とした機密文書専用配信システムの確立
• 機密文書(電子ファイル)受信者のレベルに応じた操作権限の設定
• 受信者のファイル操作ログ収集
• 配信後のファイルの無効化機能

■IT統制：③業務で活用されるクライアントPCに対するモニタリング■
クライアントPCの利用状況に対してモニタリング体制を整備することも要求されます。特に重視されるのは、下記の4点です。

• 不正アプリケーションの利用状況
• 不正アプリケーションの起動制御
• セキュリティソフトの定義ファイル適用状況
• アプリケーションのパッチファイル適用状況

■IT統制：④ネットワークに対するモニタリング■
特に従業員が利用する基幹ネットワークに対するモニタリング体制も必須です。

• 私物PCの基幹ネットワークへのアクセス禁止
• セキュリティポリシ違反PCの基幹ネットワークへのアクセス認証
• ネットワーク構成機器の接続状況モニタリング

• Webアクセス状況
• 不審Webアクセス状況
• サーバファイルアクセス状況
• メール送信状況
• 禁止ソフトウェア導入状況
• 個人情報ファイル保有状況
• ファイル別個人情報ポイント状況
• クライアント脆弱性診断状況

上記のレポート作成が自動化され、監査部や監査役会で即分析できる体制の整備が重要です。

いかがでしょうか、IT統制のポイントをご理解いただけたでしょうか。クオリティでは、今回ご紹介したIT統制に即活用できる各ツールを幅広くご用意しています。詳細はテクノロジーサイトでご確認ください。

Dr.QがITサプリをお届けしました。 次回もお楽しみに。

なお、現在クオリティでは、今回ご紹介した「システム管理基準の管理項目と統制目標の対応」をベースに「内部統制チェックテスト2」を公開しています。質問に答えることで、御社のIT 統制の到達度をチェックできます。ぜひトライしてください。

ITサプリの新シリーズとしてスタートした「IT統制de会社法対策」。前回は「会社法施行規則第100条第1項第4号」に関して、３つのIT統制のうち２つを解説しました。

● 会社法施行規則第100条第1項第4号 ●
使用人の職務の執行が法令及び定款に適合することを確保するための体制

1. 従業員に対する企業理念、企業行動規範、企業行動基準及びグループ企業倫理規程の遵守に対する徹底
2. 従業員の業務における法令遵守状況に関して、監査部および監査役会などで定期的に分析できる体制の確立
3. 従業員の法令違反、およびその可能性に関する事実および事項の発見・連絡体制の確立

この規則を遵守するためには、具体的に３つの統制ポイントとIT統制が必要になると思われます。今回は３つめのポイントを解説したいと思います。

3.従業員の業務における法令遵守状況に関して、監査部および監査役会などで定期的に分析できる体制の確立

■IT統制■

モニタリングデータの数値化と、定期レポート化が必須となります。具体的には、社内の従業員に対して、またネットワークに対してなど、行ったモニタリングによって収集されたデータをレポート化し、一定期間毎に比較検討して統制活動の有効性分析と、社内に潜在するリスクの抽出することが極めて重要になります。

• Webアクセス状況
• 不審Webアクセス状況
• サーバファイルアクセス状況
• メール送信状況
• 禁止ソフトウェア導入状況
• 個人情報ファイル保有状況
• ファイル別個人情報ポイント状況
• クライアント脆弱性診断状況

上記のレポート作成が自動化され、監査部や監査役会で即分析できる体制の整備が重要です。

いかがでしょうか、IT統制のポイントをご理解いただけたでしょうか。クオリティでは、今回ご紹介したIT統制に即活用できる各ツールを幅広くご用意しています。詳細はテクノロジーサイトでご確認ください。

Dr.QがITサプリをお届けしました。 次回もお楽しみに。

なお、現在クオリティでは、今回ご紹介した「システム管理基準の管理項目と統制目標の対応」をベースに「内部統制チェックテスト2」を公開しています。質問に答えることで、御社のIT 統制の到達度をチェックできます。ぜひトライしてください。

長期間にわたって、システム管理基準 追補版(財務報告に係るIT 統制ガイダンス)のポイントを解説してきたITサプリですが、今回からいよいよ新シリーズがスタートします。

新シリーズのタイトルは「IT統制de会社法対策」。日本版SOX法で内部統制の必要性が高まっていますが、ご存知の通り、実は会社法でも内部統制システムの導入が義務付けられています。また、導入・実施された内部統制システムの「有効性」などに関しては、事業報告のひとつとして開示する必要があります。

新シリーズでは、いかにしてIT統制によって会社法対策を実践していくべきか、そのポイントを分かりやすく解説していきます。1回目の今回は、会社法の中で記述されている内部統制システムに関する部分をピックアップしてみましょう。

◎会社法　第362条4項6号

取締役の職務の執行が法令及び定款に適合することを確保するための体制その他株式会社の業務の適正を確保するために必要なものとして法務省令で定める体制の整備

◎会社法　第362条5項

大会社である取締役会設置会社においては、取締役会は、前項第六号に掲げる事項を決定しなければならない。

◎会社法施行規則　第100条第1項第4号

使用人の職務の執行が法令及び定款に適合することを確保するための体制

◎会社法施行規則　第100条第1項第1号

取締役の職務の執行に係る情報の保存及び管理に関する体制

◎会社法施行規則　第100条第1項第2号

損失の危険の管理に関する規程その他の体制

◎会社法施行規則　第100条第1項第3号

取締役の職務の執行が効率的に行われることを確保するための体制

◎会社法施行規則　第100条第1項第5号

当該株式会社並びにその親会社及び子会社から成る企業集団における業務の適正を確保するための体制

◎会社法施行規則　第100条第3項第1号

監査役がその職務を補助すべき使用人を置くことを求めた場合における当該使用人に関する事項

◎会社法施行規則　第100条第3項第3号

取締役及び使用人が監査役に報告をするための体制その他の監査役への報告に関する体制

◎会社法施行規則　第100条第3項第4号

その他監査役の監査が実効的に行われることを確保するための体制

会社法と会社法施行規則のふたつでは、上記10項目の記述が内部統制システムに関連しています。特に、第362条4項6号にある「取締役の職務の執行が法令及び定款に適合することを確保するための体制その他株式会社の業務の適正を確保するために必要なものとして法務省令で定める体制」が、内部統制システムに該当します。

さて、次回からIT統制によって、いかに有効的に会社法の内部統制対策を進めていくか、具体的に解説をスタートしましょう。

Dr.QがITサプリをお届けしました。 次回もお楽しみに。

なお、現在クオリティでは、今回ご紹介した「システム管理基準の管理項目と統制目標の対応」をベースに「内部統制チェックテスト2」を公開しています。
質問に答えることで、御社のIT 統制の到達度をチェックできます。ぜひトライしてください。