日本版SOX法(J-SOX)対応にISMSやISO20000(ITIL)を生かす――。リスクモンスターは、すでに認証を取得している2つの規格を軸にIT全般統制の整備を進めている。米SOX法対応で実績のある「COBIT」を加えることで、対策の漏れを防ぐ考えだ。
「日本版SOX法の実施基準に書かれていることは、システム部門にとって当たり前と感じた。これまでの取り組みの延長線で対応できる」。リスクモンスターの奥山昌幸 開発ソリューション部長は、同社における日本版SOX法への対応方針をこう話す。
これまでの取り組みとは、情報セキュリティの国内規格「ISMS(情報セキュリティマネジメントシステム)」と、ITサービス・マネジメントの国際規格「ISO20000」の認証取得である。前者は2004年1月に、後者は06年3月にそれぞれ取得した。
日本版SOX法対応に向けては、これら2つの認証規格に加え、ITガバナンスのフレームワーク(評価基準の体系)である「COBIT 4」をIT全般統制の参考書に位置付ける。同社は、COBITとISO20000の対応表作成を急ぎ、この5月の完成を目指す。
リスクモンスターは、予測した企業の倒産確率から取引限度額を算出するなど、与信関連情報を提供するASP(アプリケーション・サービス・プロバイダ)だ。05年3月に大阪証券取引所ヘラクレスに上場しており、08年4月以降に始まる事業年度から日本版SOX法の適用を受ける。
 |
| 統制の対象とポイント |
事前のシステム監査で項目を確認
同社が、日本版SOX法対応に取り組み始めたのは06年4月のこと。当初は日本版SOX法の実務上の指針(ガイドライン)である「実施基準」もなく、明確な方針は打ち出せなかった。だが、06年8月に受けたシステム監査をきっかけに、ISMSやISO20000を生かそうと考えた。このときのシステム監査では「大きな指摘を受けなかった」(奥山部長)からだ。
監査法人がシステム監査を実施したのは、「ASPサービスを提供するためのシステムが停止すると、業務はもとより財務情報にも重大な影響を与える」と考えたため。100弱の質問項目を用意し、システムやネットワーク構成図の提出、セキュリティやバックアップ体制の説明などをリスクモンスターに求めた。この際の監査項目は、「ISO20000やISMSの認証で求められる項目と共通点が多かった」(奥山部長)。
同社は以前から、顧客満足度の向上を目的に、システムの運用・保守に力を入れていた。その取り組みの1つが、情報セキュリティの強化を目指したIS MSやISO20000の取得である。情報セキュリティについては06年12月に、国内規格であるISMSから国際規格の「ISO27001」に取得規格を変更。対象範囲も、システム部門とデータセンターのみから、連結グループ全体に拡大していた。
監査を受けた後の06年11月になると、金融庁から実施基準の草案が公開された。リスクモンスターはISMSやISO20000と、実施基準を照らし合わせた。結果は、「予想通り」(奥山部長)で、ISMSやISO20000と共通する項目が多かった。これで、従来の取り組みに、日本版SOX法対応で新たに求められる対策を加えていく方針で進めることを決断した。
例えば、変更管理にはISO20000の認証を取得する際に構築したワークフロー・システムを利用する。実施基準は、IT全般統制の整備例として、「システムの開発・調達・変更には経営者や管理者の承認が必要」「開発・調達・変更時における記録を保存する」といった項目を挙げている。
リスクモンスターのワークフロー・システムの特徴を奥山部長は、「開発を委託している社外のITベンダーを含めて、実施基準が求める承認記録が残せること」と説明する。具体的には、(1)システム変更の起案、(2)起案の受理、(3)作業準備、(4)作業中、(5)テスト中、(6)リリース待ち、(7)検収待ち、(8)完了、という8つのステータスを管理できる。(2)と(8)は、部長以上しか承認できない。決裁が必要な場合は、りん議書を添付する機能もある。
