（１９) 日立製作所
独自指針で米SOX法対応を効率化

法規制や認定規格の変化に強いIT部門を目指す

日経コンピュータ

2007.04.22

日立製作所は2007年3月期決算で、米SOX法の初監査を迎える。本社のIT戦略室が中心となり、04年からIT統制を整備してきた。同時に個人情報保護法など複数の法規制に対応したため、IT戦略室の負担が増加。その軽減に向け、法規制対応の一元化に取り組んでいる。

　「システム部門は単に目前の法律に対応するのではなく、中・長期的に法規制に耐える仕組みが必要だと気が付いた」―。日立グループのシステム管理を担当してきた前IT戦略室長の菅政之氏＊注は、米SOX法（2002年サーベインズ・オクスリー法）に対応した経験から、IT部門に求められる役割をこう話す。

　ニューヨーク証券取引所に上場する同社は、07年3月期決算から米SOX法の適用を受ける。04年には米SOX法404条への対応に着手し、同年度中に文書化を終わらせた。ただ05年3月に適用期限が1年延びたこともあり、05年度からは内部統制の有効性の評価と、問題点の修正作業に追われている。本監査を受ける今年は、06年度の決算発表時期を従来の4月下旬から5月中旬に延期もした。

統制の対象とポイント

100ページの独自指針を作成

　米SOX法対応におけるIT統制の整備は、04年度から始まった。IT戦略室がグループ全体のIT全般統制の整備を主導している。

　900社のグループ企業の中で、日立が米SOX法対応の対象としたのは250社。うち80社が海外の企業だ。加えて、日立グループが手掛ける事業は、情報システムから家電、化学、原子力など幅広い。そのため、IT全般統制で実施すべき項目の「チェックリストの役割」（菅氏）として、100ページの『IT内部統制ガイドライン』を作成し、米SOX法の対象企業に配布した。

　IT内部統制ガイドラインを作成するに当たりIT戦略室は、「COBIT for SOX」を参考にした。COBIT for SOXは、ITガバナンスのフレームワーク（評価基準の体系）「COBIT」を、米SOX法404条が求める財務報告にかかるリスクの観点から整理した文書。SOX法対応において考慮すべきIT統制の項目を128種類定義し、個々のIT統制の項目について、詳細な実施項目を例示している。

　だが、IT戦略室は、「COBIT for SOXの記載事項すべてを実施するのは“やり過ぎ”になる」（菅氏）と考えた。結果、日立のIT内部統制ガイドラインでは、SOX法対応において整備が必要なIT統制の項目を46項目に絞り込んでいる。

　特に重点を置いているのが、IT戦略やシステム部門の組織にかかわるIT統制の項目と、統制が実際に整備され運用されているかをチェックするモニタリングである。「業種や地域が異なっても共通して実施するプロセスを重視した」（菅氏）ためだ。COBIT for SOXではIT戦略や組織、モニタリングのほかに、システム開発や、運用・保守にかかわる業務プロセスについても定めている。だが、「開発や運用・保守は、企業ごとにやり方が異なり、グループ間で対応策を共通にするのは難しい」（同）と判断した。

IT全般統制でIT業務処理統制を軽減

　このIT内部統制ガイドラインには、IT業務処理統制を整備するための作業を軽減する役割もある。IT全般統制はIT戦略室が、IT業務処理統制は個々の企業や事業部門が主体となって整備する方針を日立は採った。IT業務処理統制は、「個々の企業や事業部門の業務プロセスと密接に結びついているため、グループ全体で共通化は困難」（菅氏）と考えたからだ。

　しかし、「IT業務処理統制を網羅的に整備しようとすると、無限に項目数が増えてしまう可能性がある」（菅氏）。そのため、可能な限りグループ全体の統一ルールを作りIT全般統制として整備することで、業務部門の負担を減らすことにした。例えば、システムの変更管理をアプリケーションごとにルールを決めずに、IT統制ガイドラインの中でルールを決めている。

　結果、IT統制全体の項目数の比率は、IT全般統制とIT業務処理統制が「9：1程度になっている」（菅氏）という。そのうえでIT戦略室は、ID管理やアクセス管理など新たなツールの導入などが必要で、業務部門だけでは対策が難しい統制の整備を支援する。

　米SOX法への対応を進めるなかで、IT戦略室の業務は、「法規制の順守や認定規格の取得に追われるようになった」（菅氏）。05年4月に完全施行された個人情報保護法などが原因だ。

複数の法規制に同時対応

　そこでIT戦略室は、米SOX法への対応と並行して、ITに関係する複数の法規制や認定規格への対応を一元的に管理するための取り組みである「IT統合管理アプローチ」を始めた。対処すべき法規制や認定規格の要件を整理し、重複を排除することで、法規制や認定規格への対応の効率化を目指す（図）。「米SOX法を含め、複数の法規制や認定規格へ対応する際に、外部のガイドラインや基準に振り回されないため」（菅氏）である。

図●複数の法規制に対応できるように自社独自の指針を作成した
法規制対応や認定規格の取得・維持業務の簡素化を目指す
[画像のクリックで拡大表示]

　実際、米SOX法に対応中の06年10月には、参考にしていたCOBIT for SOXが、最新版の「2nd Edition」になり、内容が大きく変更になった。そのためIT戦略室はIT内部統制ガイドラインを見直す必要に迫られた。菅氏は、「外部のガイドラインに依存しすぎると、その変更に常に左右されてしまう。自社にとって本当に必要な項目を見極められれば、法規制や認定規格への対応に振り回されなくて済むはずだ」と指摘する。

　IT戦略室が対象に選んだのは、米SOX法対応で利用したCOBIT for SOXに加え、運用業務のベスト・プラクティス集である「ITIL（ITインフラストラクチャ・ライブラリ）」、情報セキュリティ・マネジメントの国際規格の「ISO27001」、個人情報保護法に関する要求事項である「JIS Q 15000」などだ。

　菅氏は、「法規制にかかわるガイドラインや認定規格を並べて比較すると、枠組みや目的はそれぞれ異なるが、実施項目は重複するものが多い」という。重複を整理するため、IT戦略室のほか、情報セキュリティや内部統制の担当部署の関係者が10人程度、2週間に1回会議を開催。グループのコンサルティング会社のコンサルタントにも参加を依頼した。

　IT戦略室が法規制対応や認定規格の維持・取得のために実施すべき項目は06年当初、1000強あった。それが現在は700項目にまで削減できている。数を減らすだけでなく、ガイドラインや基準ごとに考慮していた実施項目を、IT戦略室の活動に沿って組み替えてもいる。日立は、IT統合管理アプローチを2010年まで継続する予定だ。