図3●過剰な対策はいらない
図3●過剰な対策はいらない
他の目的と重複する対策もあるが、J-SOXで必要なのは「決算の正しさ」だけ
[画像のクリックで拡大表示]

 セキュリティやストレージなど、J-SOXではITインフラ回りのシステム需要に対する期待が大きい。しかし先行企業や監査人の指摘から、J-SOXで必要な商材とあまり関係がない商材が分かってきた。例えば「情報漏洩対策は、J-SOXに関係がない」。これが三つ目の真常識だ。

 システムの情報セキュリティ体制は、J-SOXで必ず監査が入る重要ポイント。しかし清水惠子公認会計士は「従来のセキュリティ対策に引きずられ、J-SOXの求める内容が誤解される風潮がある」と指摘する。

 その典型例が、「決算にかかわる企業の重要データは暗号化すべきか」という企業の疑問。トーマツ企業リスク研究所の久保所長は「情報漏洩防止が目的なら、J-SOXとは関係がない」と言い切る。


 J-SOXでは、決算の正しさを担保する統制までしか求めていない(図3)。セキュリティのレベルでは「アクセス管理」、具体的には「権限がない社員によるデータ操作や不正な改ざんの防止」(久保所長)が確保されていればよいという。

 もちろん暗号化も、場面に応じて使えば有効なソリューションになる。例えば「業務システム間で受け渡す中間ファイルなど、アクセス管理ができていないデータの改ざん防止なら有効」(新日本監査法人の榊代表社員)である。

 久保所長は「監査人から見て、関係が薄いと思える『J-SOX対応製品』は少なくない。しかし対策に必要なIT製品、作業を効率化できるIT製品はある」と指摘する。

 J-SOXではセキュリティに加えて、「開発」「運用」などの管理体制も監査される。セキュリティと同様に、監査人が見るポイントはある程度決まっている。ユーザー企業の目的や優先順位を意識して、ふさわしい商材を活用してソリューションを提供する力が求められる。

電子メールは監査しない

 例えば、メールアーカイブはJ-SOX向けに限れば急いで提案する必要はない。「重要な勘定科目の取引をメールで扱っていない限り、監査の対象にはならない」(榊代表社員)からだ。もちろん日興コーディアル証券やライブドアなど、粉飾決算事件で電子メールが調査対象になった例もある。しかし全社的な内部統制に問題がなければ、監査人が電子メールの保存を求めることはないという。

 データの改ざん防止策も、過剰に考える必要はなさそうだ。「通常は、業務システムのデータベースが備えるアクセス管理が正しく運用されていれば十分」(榊代表社員)と考える。

 ストレージも、新たな対策が必要な場面は限られそうだ。トーマツ企業リスク研究所の久保所長は、「J-SOXのためにデータの保存範囲を広げる必要はない。決算の監査に必要な年間の取引データでよい」と指摘する。既に基幹業務システムの2重化やデータのバックアップは、大半の企業が日常業務の維持のために取り組んでいるため、「現在実行されている対策でも十分と考えられる」(榊代表社員)。