「3月期決算の企業にとって日本版SOX法(J-SOX)対応のゴールまであと1カ月」。ついにこう書く時期が来た。約3900社の上場企業を中心に「J-SOXという大変なルールがやってくる」と話題になったのが、おそらく2006年くらいのことだ。それから3年、日本でもっとも数の多い3月期決算企業がJ-SOX対応初年度を終えようとしている。結局のところ、J-SOXとはどんな制度なのか。改めて考えてみたい。

4年で“J-SOX旋風”が巻き起こる

 記者が初めて日経コンピュータにJ-SOXの記事を書いたのは、ほぼ4年前である。2005年3月21日号で特集「押し寄せる法規制の波」としてまとめた。この時点では、J-SOXは影はあったが形はなかった。

 J-SOXの骨子を作成した金融庁企業会計審議会内部統制部会は、前年の04年末に設立されていた。だが、J-SOXの基本姿勢を示した「財務報告にかかる内部統制の評価および監査の基準」、いわゆる「基準」は05年3月の時点では存在していなかったのだ。

 特集では、のちのJ-SOXのことを「米SOX法(サーベインズ・オクスリー法)に似ている、金銭的にも人員的にも企業に負担を強いる法律ができるようだ」と表現した。基準が実際に姿を現したのは05年7月である。

 それからの4年で、どれほどの“J-SOX旋風”が巻き起こったことか。記者は日経コンピュータのJ-SOX担当として、本誌ならびにITproに100本以上の記事を書いた。06年にはITpro内にテーマサイト「内部統制.jp」ができた。日本の企業向けITにかかわる人で、J-SOXという単語を聞いたことがない人は今はほとんどいないだろう。

 この1、2年は海外のITベンダーの担当者にもJ-SOXは浸透している。独SAPの共同CEO(最高経営責任者)であるヘニング・カガーマン氏は2年前に米国で開催した記者会見で、「日本企業にとってJ-SOXは重要な課題だ」と、日本人記者が話題を持ち出す前に語っていたほどだ。

法律が規定するのは「内部統制報告書」の監査を受け提出すること

 これだけJ-SOXという単語が浸透して久しいにもかかわらず、その“正体”はやはり知られていないのではないか。記者はいまだにこんな印象を抱いている。

 言うまでもなく、J-SOXのJは「Japan」のことで、J-SOXは米SOX法の日本版という意味である。J-SOXという法律は当然、日本には存在しない。金融庁などの正式文書では「(金融商品取引法が規定する)内部統制報告制度」と呼ばれている。

 J-SOXはすなわち金融商品取引法のことだ、と記すケースもあるが、これは正確ではない。金融商品取引法は以前の証券取引法を改定した法律で、投資家保護を目的に複数の制度を規定している。四半期開示などもその一つだ。

 金融商品取引法で内部統制報告制度を規定している条文は、大きく二つしかない。24条の4と193条の2だ(関連記事)。24条を簡単に要約すると、J-SOX適用企業は「事業年度ごとに内部統制報告書を有価証券報告書と同時に提出しなければならない」となる。193条は「内部統制報告書は監査を受けなければならない」としている。

 つまりJ-SOXについて法律が規定しているのは「適用企業は内部統制報告書を作成し、監査を受けて提出する」ことだけだ。罰則規定は197条の2にあり、「内部統制報告書の重要な事項に虚偽の記載をした場合、個人には5年以下の懲役または500万円未満の罰金もしくは両方、法人には5億円以下の罰金」となっている。

 これらの条文だけを考えると、J-SOXとは「内部統制報告書を正確に作成し、監査を受けて提出する」制度であるとなる。極論すれば、財務報告に誤りがある可能性を示唆する「重要な欠陥」があっても法律上は構わない。法律を素直に解釈すれば、J-SOX違反になるのは内部統制報告書に虚偽記載があった場合となる。

 虚偽記載としては例えば、自社の内部統制がまったく有効でないにもかかわらず「有効だ」と記述するケースが考えられる。また内部統制報告書の提出自体も法律で義務付けられているので、提出しなければJ-SOX違反になる。