日本版SOX法の施行による内部統制と個人情報保護(1)米国のSOX法がITと関係する理由、日本版SOX法の動き | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.11.21(火)

日本版SOX法の施行による内部統制と個人情報保護(1)米国のSOX法がITと関係する理由、日本版SOX法の動き

特集 特集

米国SOX法の日本版が施行されると、企業の情報システムに大きな影響を与えることが深刻な問題となっている。しかし、企業がとるべき具体策は隠れて見えてこないのが実態だ。情報システムへの影響とは、実際にどの程度の改善要求があり、確保すべき予算は幾らなのか。同法に違反したら場合の罰則及び企業への影響の程度、日本版SOX法を十分に満足していることを確認する方法など、疑問を抱えている情報システムの責任者は多い。既にネット上にはSOX法関連情報があるにも関わらず、対策がとれない企業が多い点を憂慮し、今回は3回に分けて日本版SOX法をわかりやすく解説することにした。

第1回…米国のSOX法がITと関係する理由、日本版SOX法の動き
第2回…SOX対応を企業が実現するために必要な内部統制
第3回…個人情報の取り扱いを例に内部統制を確立させる

なお、時間がない人の為に、本連載ではチェックポイントを設けることにした。随所にチェックポイント(CP)を挙げておくので、理解していれば飛ばして読んでも理解できるよう考慮した。

 第1回 米国のSOX法がITと関係する理由、日本版SOX法の動き

●SOX法って何

チェックポイント(CP)
CP1:日本版SOX法(公開草案)を入手しているか?
CP2:米国SOX法が非上場会社でも関係ないとは言い切れない事例を挙げられるか?

日本版SOX法を理解する前に、まず米国のSOX法について説明する。同法律の策定にあたったポール・サーベンス議員とマイケル・オクスリー議員の両名から名前をとってサーベンス・オクスリー法(SOX法)と呼ばれている。日本では「企業改革法」と呼ばれることもあるが、全ての企業に適用されるわけではない。SOX法は「公開企業の会計に関する法律」、「投資家を保護するための法律」という2つの側面を持っている。ここで誤解されやすい点が2つある。

a)米国の法律だから、日本企業は無関係か?

答えは、米国の法律であっても、関係する日本企業は存在する。ただ、本連載は、これから法律となる日本版SOX法(国内法)である。よって、上場企業であれば影響を免れることはできない。非上場企業であれば、同法に該当しないことを確認しておく必要がある。そのためには、手始めに日本版SOX法が制定される前に草案レベルでも良いから入手しておく必要がある。冒頭に挙げたCP1をクリアするには、以下を参考にして欲しい。

CP1情報:
金融庁の企業会計審議会は、「企業会計審議会内部統制部会の公開草案」として平成17年7月13日に一般公開された。金融庁のホームページから閲覧が可能である。

http://www.fsa.go.jp/news/newsj/17/signi/f-20050713-2.html

b)米国の株式市場で上場している企業を対象としているから、非上場の企業は無関係か

答えは、非上場企業でも関係する場合がある。米国で株式公開されている(例えばニューヨーク証券取引所)に上場している企業は当然、SOX法の対象となる。しかし、その上場企業の100%出資している未上場の子会社にも影響を与える。このため、SOX法による影響する範囲を特定することが企業にまず要求される。事実、日本企業の関連企業が米国で株式公開している場合、日本にある親会社にも影響を及ぼしている。日本版SOX法も同じことが想定される。サーベンス・オクスリー法は、インターネットで検索すれば簡単に見つかる。部分的に日本語に訳されているサイトもあるが、都合よく解釈されている場合
もあるので、まずはオリジナルを参考にされたい。

CP2情報:
サーベンス・オクスリー法(SOX法)

http://news.findlaw.com/hdocs/docs/gwbush/sarbanesoxley072302.pdf

さて、SOX法が上場企業の会計に関する法律であることから、監査人に対して影響を及ぼすことは言うまでもない。例えば、企業が作成する財務諸表には監査人が監査し、正しいか判断する。その歴史は長い。しかし、米国で大手企業エンロンが不正会計を行い、監査が十分に機能せず、2001年7月に破綻した。これがSOX法を作る発端となった。上場企業であるエンロンの破綻は、従業員、顧客はもちろん、投資家にも損失を与えた。投資家とは、裕福な個人だけ指しているのではない。年金を運用する組合も含まれる。老後に受け取る毎月積み立てた年金がエンロンの破綻で激減し、その悪影響は計り知れない。そこで作成されたのがSOX法(2002年7月)である。SOX法には、企業が財務諸表を作成する過程で不正処理がなく、適切に作成され、公表されていれば防ぐ仕組みが盛り込まれている。この仕組みを内部統制といい、詳しい話は次回に説明するが、投資家を保護するための法律であることがわかる。

【執筆:古川泰弘(神奈川大学 非常勤講師)】

──
この記事には続きがあります。
全文はScan Security Management本誌をご覧ください。

◎有料版Scan申込> http://www.ns-research.jp/cgi-bin/ct/p.cgi?m02_ssm
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

特集 カテゴリの人気記事 MONTHLY ランキング

  1. グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

    グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

  2. ここが変だよ日本のセキュリティ 第30回「ダメンズ・オーディット! 上場企業なら避けて通れない監査対応に監査感激!」

    ここが変だよ日本のセキュリティ 第30回「ダメンズ・オーディット! 上場企業なら避けて通れない監査対応に監査感激!」

  3. クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

    クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

  4. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第8回 「はした金」

  5. [対談] 人工知能は重要経営課題となったサイバーリスクに対抗できるか

  6. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第7回 「三人の容疑者」

  7. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第9回「勤怠簿」

  8. マンガで実感 !! サイバーセキュリティ 第1話「静かなる目撃者」

  9. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第1回 「プロローグ:身代金再び」

  10. 工藤伸治のセキュリティ事件簿 シーズン6 「誤算」 第1回「プロローグ:七月十日 夕方 犯人」

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×