セキュリティ対策コラム企業改革法(SOX法)と情報セキュリティガバナンス

情報セキュリティの確立は、企業にとって重要な課題となっていますが、昨今はさらに企業経営そのものに位置付けられようとしています。

米国企業改革法（サーバンスオックスレー法)

前回（7月7日付け）e-文書法と米国企業改革法のコラムでも触れましたが、大企業の不正会計問題に端を発して、米国では上場企業に対する投資家の信頼回復をねらった企業改革法（SOX法）が2002年に成立しました。この事件は米国社会に大きな衝撃を与え、コーポレートガバナンス・ディスクロージャー制度や社外監査人の独立性、会計基準等々、資本市場を支える多くの法制度について改革が必要であることを明らかにしました。

SOX法は、会計原則に関わる法律ですが、今日の企業財務会計プロセスはITに支えられており、当然ITおよび情報セキュリティの問題としても認識されているところです。 米国では10年ほど前から、FBIやセキュリティ団体（CSI）が米国内の企業・行政機関を対象として、セキュリティに関わる統計をとっておりますが、昨年SOX法が情報セキュリティに与えるインパクトについて初めて調査しております。 (Computer Security Institute) それによると、金融業界、公益的企業（ガス、電力）、通信業界、製造業界をはじめとして、多くの企業が情報セキュリティに与えるSOX法のインパクトは極めて大きいものとして受け止めていることがわかります。

企業改革法（SOX法）では企業が健全に事業を維持拡大していくために、コーポレートガバンス（企業統制）が不可欠であり、このコーポレート･ガバナンスを実現するためには、効率的な社内管理・内部統制（インターナルコントロール）と連携することを求めています。

さてコーポレートガバナンスの意味を考えてみましょう。OECD（経済開発協力機構）ではコーポレートガバナンスを「企業を効率的に経営して、経済的繁栄を最大にするための企業の規律と支配に関するもの」と定義しています。

さらにこのコーポレートガバンンスを現実のものとするために、経営戦略の下に企業内の体制・規定類を整備し管理・運用していかなくてはなりません。これが社内統制（インターナル・ガバナンス）ということになります。

SOX法では企業の正確で正当な財務会計を実現するためには、この社内統制を企業に求め、正しく妥当なプロセスで財務会計処理が実施されていることを監査し報告することを求めています。不正が明らかになると罰金だけでは済まず、禁固刑も課する未だ嘗てない厳しい法律なのです。

もうお気づきのように、今日ではIT抜きにビジネスプロセスを語れませんので、社内統制にはITの整備が重要であり、さらには情報セキュリティに関わる統制についても又、極めて重要なキーになってくるというわけです。従って、情報セキュリティについての監査・報告も求められていると思われます。 SOX法は対岸の火事ではなく、日本にもその影響を及ぼそうとしているところです。