経済産業省は3月30日、「システム管理基準 追補版(財務報告にかかるIT統制ガイダンス)」(以下、追補版)を公表した。追補版は、「日本版SOX法に対応するシステム部門や経営者向けにIT統制の整備や評価の手順を示した参考資料。金融庁が2月に公表した日本版SOX法のガイドライン『実施基準』を補完する役目を目指している文書」(追補版の作成者)である。

 4月以降には追補版で示したリスク・コントロール・マトリクス(RCM)のひな型やシステム管理項目の例などをExcel形式で用意。経産省の「情報セキュリティ政策」のWebページからダウンロードできるようにする予定だ。

 経産省は1月19日に追補版の「案」を公開。1カ月間、パブリックコメントを受け付け、26件のコメントが寄せられた。「案」と比べ、内容には大幅な変更はないが、「実施基準との整合性を高めたり用語を修正するなど、かなりの箇所を修正した」(追補版の筆者)という。

 追補版は、経産省のWebページからダウンロードできる。加えて、パブリックコメントに対する経産省の意見や、修正履歴を表示した文書も公表している。