ある内部統制の現場

内部統制は情報漏えいの防止から

2007/05/10

内部統制と内部情報漏えい対策

 現在企業に求められる内部統制は「個人情報保護法」(2005年4月施行)と「会社法」(2006年5月施行)、「金融商品取引法」(通称J-SOX法、2008年4月以降の決算で適用)の3つの法令で規定されている。このうち、J-SOX法はすべての上場企業(約3800社)に対し、財務報告書の信頼性の報告を義務付けるもの。「SOX」という用語の知名度の高さから、「内部統制=財務報告書の信頼性」と考える人も多いが、実際にはもっと広範で複雑だとアルプス システム インテグレーションのセキュリティソリューション部 部長 杉本浩信氏は言う。

ALSI写真 アルプス システム インテグレーションのセキュリティソリューション部 部長 杉本浩信氏

 内部統制対策を検討する時、多くの企業が内部情報漏えいの防止のための仕組み作りに関心を寄せる。1つの理由として、会社法が「業務の有効性・効率性」「財務報告書の信頼性」「法令遵守」「資産の保全」という4つの目的をもつ内部統制の体制整備を対象企業(資本金5億円以上または負債200億円以上の企業)に義務付けていることが関係している。会社法が定めている「資産の保全」には、個人情報の保護も含まれている。つまり、対象企業は個人情報保護法対策の具体的な実行が求められるということになる。

 企業における内部情報漏えい対策の機運の高まりは、実は意外と最近始まっている。関係する法令とその施行時期をみるとわかりやすい。2000年2月に「不正アクセス禁止法」、2002年7月に「迷惑メール防止法」、2004年1月に「不正競争防止法改正(営業秘密の不正使用に罰則)」、2005年4月に「個人情報保護法」の施行である。これらの法令は外部からの攻撃に対する防御に主眼が置かれていることがわかる。しかし、日本ネットワークセキュリティ協会の調査報告書(2005年度情報セキュリティインシデントに関する調査報告書)によると、外部攻撃の比率は2002年の83.9%から6.4%(2005年)に大幅に減少しているという。

 このような状況において、セキュリティ製品の特徴も、ファイアウォールやウイルス対策、不正侵入検知機能に特化したものから、暗号化、認証管理といった企業内部からの情報漏えいを防止する機能を持ったものが出てきた。そこに、会社法と金融商品取引法が登場したことで、企業は情報漏えい防止対策に本格的に取り組み始めることとなった。

アルプス電気の内部情報漏えい対策

 アルプス電気が内部情報漏えい対策の検討を開始したのは2006年4月頃。それ以前から同社はRC(リスクマネジメント&コンプライアンス)委員会を通じて、全社のリスク管理やコンプライアンスに関する基本方針など重要事項の決定を行ってきた。2006年4月にCSR委員会と改組、情報管理分科会を設置し、情報漏えい対策の具体化策を検討してきた。

 同社 情報システム部の部長 谷村敏一氏は、同社のリスク管理に対するアプローチについて、当初は性善説にのっとって対策を講じていたが、「最近では性悪説とまではいなかくとも、性弱説のアプローチを採用している」と話す。内部情報漏えいは、従業員の故意というよりも、組織内で統制がとれていないために引き起こされる事故が多いという認識だ。暗号化対策を皮切りに、PC操作管理の仕組みを構築しながら、現在はログ管理システムの構築、今後はメール監視システムの構築まで行っていく予定。

 同社が内部情報漏えいを防止するための自動化ツールを導入するに際してポイントとなったのは4つ。(1)利用者の利便性、(2)国内、海外の同一基準(多言語対応は必須)、(3)操作監視の機能、(4)システム運用サイドの負荷の軽減だ。これらのポイントをクリアしたツールの導入を決め、導入を開始したのが2006年11月。全社で統一したポリシーを作成し、既存システムとの連携を図りながら導入を進めた。

(@IT 谷古宇浩司)

情報をお寄せください:



@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)
- PR -