「内部統制の確立を進めている企業は、これまで実施してきた情報セキュリティ対策の成果を生かすのが現実的だ」。NTTデータ ビジネスソリューション事業本部セキュリティサービスユニットの鈴木悦生セキュリティビジネス担当は、「スピードと内部統制、両面から企業経営を支えるIT基盤」と題した「NET&COM2007」の講演の中でこう語った。
例えば過去に、情報漏えい対策のために、ファイルをパスワードで保護したり、暗号化して記録するようにしたことは無駄にならないと強調。その上で、「現状の仕組みだけでは足りない部分を見極めることが大事」と話す。例えば、「これまでのセキュリティ対策はデータの機密性を高める目的だけで終わっていることがほとんど。内部統制の確立を視野に入れるなら、機密性に加え、データの正当性と正確性を高める仕組みも必要になる」(鈴木氏)。正当性を高めるために改ざんしていないことを示すタイムスタンプによる時刻認証サービスを利用したり、正確性を高めるために入力内容を第三者が二重チェックする体制を整えたりする必要があるという。
最後に鈴木氏は、セキュリティ対策も含めた、内部統制向けの仕組みは、「個別の業務システムごとに作りこんでいては効率が悪い」と指摘した。そのため、各業務システムで共通的に使える仕組みをくくりだして共同利用するための、「全体最適を目指したIT基盤」を構築することを勧めた。例えば、ログインIDを一元管理するシングル・サインオンの仕組み、アクセス・ログを取得する仕組み、それらの仕組みと個別の業務システムを連携させるためのシステム連携機能などを整えることが重要と語った。
