米国企業改革法（SOX法）に対応する米国企業の動き〜米国視察を終えて　第3弾〜

5月末に実施したSOX法に係わる訪米調査の結果を、8月のコラムに引き続き報告します。8月のコラムでは、米国におけるSOX対応状況について、全般的な周囲状況を報告しました。今回は、コンサルタント、某大手監査法人と大手金融機関を訪問して聞いたSOX法への取り組みと実

特集特集

2006年10月3日（火） 16時15分

5月末に実施したSOX法に係わる訪米調査の結果を、8月のコラムに引き続き報告します。8月のコラムでは、米国におけるSOX対応状況について、全般的な周囲状況を報告しました。今回は、コンサルタント、某大手監査法人と大手金融機関を訪問して聞いたSOX法への取り組みと実態について報告します。

【1】米国SOX法の不備指摘事例―監査法人―

（1）SOX法の監査ポイント
SOX法の監査ポイントは、プロセスが文書化されているか、Integrity（一貫性）が保証されているかが重要なポイントになってきます。報告企業の10%以上が、material weakness（重大な弱点）あると診断され、その要因としては、会計方針と実践（33%）、リース会計（10%）、などでありました。ITセキュリティが原因であるケースについては、件数は少ないものの、その影響度が大きい欠陥として、「変更管理」、「プログラムの変更管理」、「システム構成への理解不足」、「変更ログ」等が指摘されております。

◆経営陣の意識不足がネックに
監査法人が見た重要で深刻な不合格要因として、人材の問題を挙げており、特に経営陣の意識レベルと、経理の人材不足の問題が大きいと指摘しています。
まず、経営陣の意識が低いと、マネージメントオーバーライド（経営陣が社内からの報告について無視する、あるいは自分の都合のよいように代えてしまうこと）などの問題が発生して、内部統制を無意味なものにしてしまいます。

◆経理の人材不足も指摘
2番目は経理の人材不足についてですが、米国会計基準は、SECの判断次第で翌日には慣行が変わります。ルールは決まっているが解釈は都度変わるので、常に最新の情報を入手し末端まで周知することが重要ですが、現実にはそれだけの経理の人材を充足できていないと指摘しています。

【2】米国法規制への対応―ガバナンス・コンサルタントー

米国では、ITに係わる種々の法規制が存在し、特に金融、通信インフラ等の規制が多く、対応に疲弊している面もあるようですが、一方法規制を契機として企業内活性化を促進しうという企業も少なくないようです。

（1）米国の個人情報保護法規制について
米国の個人情報保護に関わる法規制について、日本のようなユニバーサルな個人情報保護法は存在せず、業界別、州別等（例　HIPPA：医療関係、GLBA法：金融関係）の限定された法律が存在しています。
但し、ユニバーサルな個人情報法の必要性から法制化を検討中だそうです。
従って現状では、個人情報に関わる米国のコンプライアンスの要件は、対象業界毎に限定された枠組みで考えられています。
訪問したコンサルタント会社では、各法制度が規定している情報資産を特徴別に4つに分類（[1]システム（IT）、[2]トランザクション、[3]プロセス、[4]情報）し、当該の法制度と要求内容等をマッピングしております。

このマッピングにより個別の規制にパッチワーク的に対応するのではなく、規制の要求事項の特徴を押さえ、効率的で全社的なコンプライアンス管理を実施すべきであると提言しています。
興味ある部類になっていますので、簡単な要約と図表（英語版）を紹介しておきます。
/home/www.netsecurity.ne.jp/htdocs/img4/sox.jpg

（2）マッピング
分類[1]システム：米国では、ITシステムを保護することを事業体に義務付けるような法律は存在していません。ITのシステムを保護することを義務付けているのは国防総省関連の法律でFISMA、DCID、NISPOMだけです。

分類[2]トランザクション：トランザクション上の情報が対象となります。テロから一般市民を守るために、資金の流れをきちんとモニタリングし、疑惑がある場合には事後ではなく、あらかじめチェックしておくことが考えられます。

分類[3]プロセス：はプロセスの管理がキーとなっているSOX法が該当しますが、SOX法では財務報告のプロセスの透明性を確保することが求められます。

分類[4]インフォアメーション：情報そのものを直接的に保護対象とするもので、日本における個人情報保護法に相当するものです。

【3】大手金融機関における取り組み

米国では金融機関に対する規制が厳しいことは前述しましたが、訪問した金融機関ではSOX対応の2年間で最もチャレンジングだったことは「テクノロジーをどのようにSOX法のレポートに使うか」ということで、SOX法施行以前にもあった「自己評価のプロセス」というものを改善していったということです。
また対策実行を通じて必要な分析を可能とするため、一番キーとなったことは「テストを導入」であったようです。このような長年の積み重ねにより、整備されてきたコンプライアンス確立のための仕組みや体制の一端を紹介します。

（1）コンプライアンス確立の仕組み
[1]テストをする人間と、実際に業務をする人間とを分離し、一業務には必ず2人の人間が従事するようにする。（2人でチームを組んでパフォーミングとテスティングをわけている）

[2]1つの事業部門には必ずリスクマネージャーがいて、自分の担当しているビジネスのリスクをコントロールし、CIOや担当役員にレポートを上げる。
担当役員はそのレポートを会社全体のグローバルな観点からチェックする。
また、リスクマネージャーは「管理がきちんと出来ているか」を確かめるために、実際の業務を行っている者と別の観点からテストをする。

[3]それぞれの事業部門の中でテストを行い、どんな不備・不具合があったかをトラックしていく。不備・不具合が見つかった場合、その内容が他の部署・部門でもチェックされるべきなのかを確認する。
その上で事業部は不備・不具合が見つかった場合にレポートをあげる。
ガバナンスの部門ではそのレポートを基にテクノロジーの不備、ビジネスの不備の検討し対策のステップを進める。

＜次回予定＞
次回は、一企業の問題としてではなく、社会基盤にも広く求められる「ガバナンス」について、注目されているクジットカード決済におけるセキュリティ監査制度（PCI）とその周辺の動きを報告する予定です。

【執筆：東京大学国際・産学共同研究センター客員教授　林誠一郎】

提供：NTTデータ・セキュリティ株式会社「セキュリティ対策コラム」
http://www.nttdata-sec.co.jp/column/ (バックナンバー参照可)

《ScanNetSecurity》