Notesが穴？ 「見える化」で対処する日本版SOX法：“見える化”によるグループウェア再生術（2）（1/3 ページ）

個人情報保護法、日本版SOX法など各種法規制により、企業内データの整備・保護が義務化されつつある。Notes DB内に重要文書を保存・共有している企業では、「Notesが穴」になっていないだろうか？

リスクの見える化でブレーキを強化

　今回から、テーマを絞ってNotes見える化のアプローチを紹介していきたい。まずは、見える化によるセキュリティ・内部統制強化への寄与がテーマである。

　Notesの見える化でもたらされる効果は、大きく「アクセル」と「ブレーキ」の2つに分類できる。情報共有を促進するためにできる限りリソースをオープンにして、利用度を高めるための施策がアクセル、反対に情報共有にまつわるリスクを最小化するための管理がブレーキである。

図1　情報共有のアクセルとブレーキ

　実際の車でもブレーキがしっかりしていなければ、どんなに良いエンジンを積んでいても安心してトップスピードを出すことはできない。それと同様、企業文化や人事制度にまで深く入り込んで、優れた情報共有施策（アクセル）を計画しても、セキュリティ上の不安や不正アクセス増加といった面に対する規制（ブレーキ）が整備不良ならば、企業は暴走してしまうことになるかもしれない。

セキュリティ・内部統制は情報共有基盤のMUST要件へ

　多くのメディアで取り上げられているように、内部統制・セキュリティに対する関心が高まりつつある。直接的に企業競争力が強化されるわけではないが「何かしなくてはいけない」という危機意識が高まっているようで、筆者が属する会社で行う内部統制セミナーもおかげさまで大好評である。しかし、本質を理解して行動している方の割合は残念ながら少なく、「踊らされ感」は否めない。ここであらためて簡単に整理しておこう。

■まだ見ぬ日本版SOX法の脅威

　昨今の内部統制・セキュリティブームの一番の火付け役は金融商品取引法（日本版SOX法）であろう。同法第24条で上場企業およびその連結子会社に対して、「内部統制報告書」の提出が義務付けられた。この条項は2008年4月1日以後に開始する事業年度から適用となるため、先進的な企業では、昨年度までを調査・準備期間とし、今年度から本格的な対応を始めている。特に金融業界で反応が速いように感じられる。

図2　内部統制強化に向けた動き

　すでにあちこちで語られているように、日本版SOX法への対応はCOSOフレームワークにのっとり、業務のプロセスを明文化しておくことが重要である。加えて定義したビジネスフローどおりにビジネスが実践できているかどうかを担保する仕組みが必要となってくるが、具体的な対応策を検討している企業はまだ少ない。

　また、本国でSOX法対応を済ませた外資系ITベンダが「私たちも対応に苦労したので、あなたたちも早く着手しなさい」と、不安をあおるメッセージを強めていることも、ブームを加速している一因である。もちろん、対策にはそれ相応の時間がかかることは事実だが、コンサルティング会社やITベンダの思惑は制度施行直前に予想される予想される負荷集中を回避するための前倒しや、ブーム便乗的な売上増加であることを肝に銘じておきたい。

■新会社法や個人情報保護法の影響

　2006年5月1日に施行となった新会社法も、情報共有基盤のセキュリティ強化の風潮を強めている。

　同法は内部統制システムの整備を義務付け、事業報告書に開示する必要性をうたっている。対象企業も資本金5億円以上と低めに設定されていることから、中堅企業を含む多くの企業が該当することになる。

　また、2003年5月に制定された個人情報保護法に基づき、すでにPマークを取得している企業も多い。個人情報の厳密な管理を義務付けられ、違反した場合のペナルティも厳しい。すでに大手企業では一巡し、中堅企業での対応が進んでいる。

■内部統制不備・情報漏えいの追跡責任

　Winnyによる情報漏えいやPCとともに機密情報を紛失するニュースが相変わらず世間を騒がせており、企業の信用失墜、損害賠償の被害は、ますます大きくなってきている。しかし、発覚しているのは氷山の一角にすぎず、実際には、はるかに多くのデータが漏えい・流通していると考えられる。

　法制度の整備に伴い、これらセキュリティ面での管理不徹底に対する社会的な圧力も強まっている。すでにSOX法が施行されている米国では、証券取引委員会への提出書類に、虚偽や記載漏れがないことはもちろん、内部統制の有効性評価などを保証して署名する必要があり、違反した場合には500万ドル以下の罰金または5〜20年の禁固刑あるいはその両方という刑事罰まで科せられる。これは脱獄が1〜2年、身代金目当ての誘拐が3〜5年、ハイジャックが20〜25年という基準から見ても非常に重い罪といえる。

　日本版SOX法でも内部統制報告書への虚偽記載は、「5年以下の懲役もしくは500万円以下の罰金」という実刑が定められており、企業経営者にとっては強いプレッシャーになるだろう。

Notesが穴になっていないか？

　セキュリティ・内部統制強化の時流の中、企業内の情報基盤である基幹システム、ファイルサーバ、メールサーバ、クライアントPCなど、さまざまなレベルで対策を行っているとは思うが、Notes/Dominoはどうだろうか？

■塩漬け企業、先進企業それぞれの悩み

　特に、Notes/Dominoを導入している企業で、今後の扱いに悩みながら昔のバージョンを使い続けている「塩漬け」企業では、ほかの情報基盤に比べてNotes/Dominoの管理がずさんになりがちである。ともすれば、退社した社員のアカウントやIDファイルを放置しているケースさえある。そのような普段ID管理を行っていない企業がID整理に踏み切る動機があるとすれば、ライセンスの有効活用によるコストメリットであろう。

　一方、Notes/Dominoのさまざまな機能を使うことに積極的だったり、最新バージョンを利用することに前向きな企業では、できる限りの対策は施していることが多い。しかし半面、Notes/Dominoに重要度の高いデータが含まれている場合が多い。「リスク＝問題発生時の被害額×問題の発生確率」という方程式を当てはめれば、塩漬け企業と先進企業、どちらのリスクも変わらないといえるかもしれない。

■Notes/Dominoに含まれる重要な文書

　Notes/Dominoを全社または部門の情報基盤として活用している企業では、セキュリティ上、非常にクリティカルな文書が含まれていることがある。

　金融機関や医療機関など機密性の高い顧客情報を持っている企業では、これらのデータを業務システムで厳重に管理されているとは思うが、社内打ち合わせ資料として作成したレポートが、Notes上で共有されていることはないだろうか。

　製造業やそのほかの業種であっても、顧客情報や採用に関する個人情報、競合に絶対知られたくない情報の1つである顧客からのクレームや不具合情報なども同様である。

■業務ルールの徹底度合い

　Notes/Dominoの掲示板機能などを使用して、通知・通達の仕組みを実現している企業も多いであろう。内部統制強化に伴い、社内の業務フローを徹底して整理・文書化したとしても、現場にその内容が周知徹底されていなければ意味をなさない。もはや「見ていませんでした」「徹底できていませんでした」ですまされる世の中ではないのである。

　内部統制を強化するに当たっては、最低でも業務文書に関する未読・既読を状況くらいは見える化しておく必要がある。何かあったとき、そのユーザーがオペレーション変更に関する通達を見ていた（知っていた）かどうかが論点となる場合もある。

図3　内部統制と見える化の関係

■多様なクライアントへの対応

　DominoサーバにアクセスしているのはNotesクライアントだけではないため、Webやそのほかの携帯デバイスからのアクセスについても監視対象とすべきである。多様なデバイスからのアクセスに対しては、Notesクライアントに特化した監視スクリプトだけでは防ぎようがないため、サーバ側で首根っこを押さえるアプローチの方が、安全性を担保しやすい。

■Notesの標準機能でできること・できないこと

　柔軟なアクセス権限管理、暗号化などの仕組みは古くからNotes/Dominoで実装されてきた機能である。最近のリリースでも、ポリシー管理やメール・ジャーナルなどの機能がさらに充実し、Notes/Dominoをしっかり運用していれば、穴になるようなことはなさそうにみえる。

　それでも文書レベルのセキュリティログやクライアント操作監視など不足している点を挙げることはできる。しかし、Notes標準機能で不足しているからといって、すぐさまほかのプラットフォームに乗り換えるのは得策とはいえない。Notes/Dominoの標準機能における欠点を補うソリューションも提供されており、これらが要件を満たすことができれば、他社製品乗り換えに伴うコストを削減することができる。