（２４） タイコヘルスケア ジャパン
文書管理の専任者置き、推進者の負担を軽減

米SOX法（サーベインズ・オクスリー法）対応を漏れなく進めるには、全社員への意識付けが不可欠─。医療器具の製造を手掛ける米コビディエンの日本法人は、4年目を迎える米SOX法対応から、こんな結論にたどり着いた。さまざまな推進体制を試した結果である。

　「情報サービス本部に所属する部員の1人でも意識が欠けると、米SOX法対応の監査で指摘されるような事項が発生する」――。米コビディエン（旧タイコ ヘルスケア）日本法人の中谷透情報サービス本部長は、米SOX法404条対応に4年にわたり取り組んできた経験から、こう指摘する。

　同社の社員数は約800人。うち情報サービス本部に約30人が所属する。米SOX法対応の意識を部員に徹底させるために2年前からは、情報サービス本部内に、開発や運用など5つあるチームのマネジャーを、米SOX法対応の推進役に位置付けている。

　各マネジャーに、「監査で重大な指摘事項を出させない」という目標を持たせることで、「それぞれの担当分野で漏れのない対策が打てる」と中谷本部長は説明する。全体にかかわる部分は、中谷本部長が取りまとめ、調整を図る。

統制の対象とポイント

　ただ、こうした体制も一朝一夕にできたわけではない。2003年に初めて米SOX法対応を米本社から求められたときは、「日本では当たり前のこと。適当に報告しておけば大丈夫だろう」と、中谷本部長1人で着手したほどだ。だが、「片手間では、とても米SOX法対応を継続できない」（中谷本部長）ことに気付く。

　打開策として、米SOX法担当の専任者を1人置いた。しかし、「これも失敗だった」（中谷本部長）。その理由は、「現場の実態や前後のつながりなどを考慮せずに『やってください』と頼んでも、現場が動かない」（中谷本部長）からだ。結果、マネジャーに責任を持たせ、現場の参画意識を高めるという体制にたどり着いたのだ。

　ただし、米SOX法対応では、監査用に証拠書類を残しておくことが欠かせない。障害の報告書や、新規のシステム導入の承認書類などである。これは日本版SOX法でも同様だ。ところが現場のマネジャーは日常業務を抱えており、大量文書の管理にまで手が回らない。

　そこで中谷本部長は、文書管理の専任者である「ライブラリアン」を1人、置くことにした。情報サービス本部が規定している開発・運用プロセスに沿って、発生する文書を証拠書類として参照しやすいように、分類・保管するのが役割だ。中谷本部長は、「負荷軽減のため文書の電子化も考えたが、監査時の一覧性を考えれば紙で保存しておくほうが都合がよい。ライブラリアンを置いた現在の体制は、うまく機能している」とみる。

　こうした体制の下、情報サービス本部は利用部門への米SOX対応の周知徹底を図っている。例えば、「パスワードを3カ月ごとに変更する」といった規定一つにしても、「私だけは大丈夫」と変更しない利用者がいては、監査人に不備を指摘されてしまうからだ。

　現場への徹底策について中谷本部長は、「米SOX法に違反することになるから協力してくれと、粘り強く説得することが最も効果的」と話す。現在では、利用部門がシステム仕様書を記述したり、受け入れテスト用データを用意するなど、「利用部門のIT統制への参画意識も高まってきている」（同）という。