［152］外部監査人が注目する個人向け電子商取引の個人情報管理

2008.09.02

　前回は，不正アクセスに起因する個人情報漏えいに遭遇した企業消費者間電子商取引（B2C-EC）サイトの事例を紹介するとともに，そのサイトで採用されたPCI DSS準拠の再発防止対策を取り上げた。今回は，金融商品取引法の内部統制対策の観点から，B2C-ECサイトのPCI DSS準拠施策や個人情報管理について考えてみたい。

日本公認会計士協会が監査項目に取り上げたカード情報管理

　不特定多数の消費者の個人情報を取扱うB2C-ECサイトのシステムは，個人情報管理者のみならず，上場企業の財務諸表監査や内部統制監査を行う公認会計士にとっても，重要なモニタリング／評価の対象となっている。

　例えば，日本公認会計士協会は，個人情報保護法や金融商品取引法の施行前だった2001年9月に，「電子商取引の諸問題と監査上の対応＜B to Cにおける固有のリスクと内部統制＞」（IT委員会研究報告第22号）を発表している。この中の「!)．電子商取引における固有のリスク及び内部統制」を見ると，具体的な問題発生例としてクレジットカード番号の不正取得／悪用が挙げられている。さらに，「プライバシーの保護」で個人情報保護管理体制を取り上げるなど，内部統制の有効性評価の観点から，個人情報やクレジットカード情報の管理に関わる問題がとらえられていることが分かる。

　さらに，同協会が2008年3月に発表した「IT委員会報告第3号『財務諸表監査における情報技術（IT）を利用した情報システムに関する重要な虚偽表示リスクの評価及び評価したリスクに対応する監査人の手続について』Q&A」の一部改正について」（IT委員会研究報告第31号）を見ると，「Q4：ITの概括的理解における留意点はどのようなものでしょうか。」の「3．電子商取引の利用について」の中で，「情報提供段階」「相互作用段階」「取引段階」「統合段階」の各レベルにおける企業の業務プロセスに与える影響度を概説している。加えて，「Q13：インターネットを利用した受発注システムの場合における内部統制の検証手続はどのようなものでしょうか。」の中で，「財務情報には，例えば，クレジットカードによる売上情報のように利用者個人の情報を含む場合が多いため，企業の個人情報への対応が会計システムを含むITに関する内部統制に影響を及ぼす場合があります。したがって監査人は，このような内部統制への影響についても留意する必要があります」と記述している。

　金融庁の「内部統制報告制度に関する11の誤解」」や「内部統制報告制度に関するQ＆A」には，B2C-ECの個人情報／カード情報管理に直接関連する記述は見当たらない。だが，日本公認会計士協会の資料を見る限り，内部統制監査と一体的に実施される財務諸表監査では，すでに重点項目として扱われている。

情報漏えいを経験した上場企業で導入が進むPCI DSS

　ところで，前回取り上げたミネルヴァ・ホールディングスは，「シナジー効果を発揮する，Eコマースの総合企業グループを目指す」というグループビジョンを掲げた大証ヘラクレス上場企業である。同社のようにECサイトを運営する上場企業にとって，商品の注文，支払／決済，物流などで利用される個人情報／カード情報の管理は，公認会計士が実施する財務諸表監査や内部統制監査の観点からも極めて重要である。同社の場合，決算期を1月末としており，金融商品取引法の内部統制監査の適用対象年度が始まるのは2009年2月以降だ。不正アクセスが発覚したのが日本版SOX法対策本番開始前であった点は，不幸中の幸いかもしれない。

　日本の上場企業では，第22回，第23回で取り上げた楽天が，2008年1月，PCI DSS準拠の認定を受けたことを発表（「『楽天市場』の決済プロセスがECサイトで初めて完全準拠-クレジットカード業界の情報セキュリティー基準『PCIDSS』-」参照）。さらに，第80回，第84回，第97回で取り上げた大日本印刷も，2008年8月，PCI DSS準拠の認定を受けたことを発表している（「大日本印刷クレジットカードの情報保護に関する業界基準『PCI DSS（Payment Card Industry Data Security Standard）』認定を取得」参照）。

　楽天の場合は加盟店，大日本印刷の場合は外部委託先と，内部に起因する個人情報／カード情報漏えい事件で自ら危機に遭遇した経験を踏まえて，PCI DSSの認定取得に至っている。ミネルヴァ・ホールディングスの場合，不正アクセスという外部に起因する情報漏えい事件を経験しているが，個人情報漏えいにより二次被害が発生して財務情報に影響を及ぼす事態に発展したら，外部であろうと内部であろうと，消費者や株主／投資家には関係ない。ステークホルダーや外部監査人の視線は，個人情報管理体制そのものに向けられる。

　次回は，B2C-ECビジネスの海外進出，グローバル化の観点から，個人情報／カード情報管理について考えてみたい。

→「個人情報漏えい事件を斬る」の記事一覧へ

■笹原英司 (ささはらえいじ)

【略歴】
IDC Japan ITスペンディングリサーチマネージャー。中堅中小企業（SMB）から大企業，公共部門まで，国内のIT市場動向全般をテーマとして取り組んでいる。医薬学博士

【関連URL】
IDC JapanのWebサイトhttp://www.idcjapan.co.jp/