IT業界の日本版SOX法フィーバーは盛り上がる一方だ。でも、この法律はまだ国会で審議中なんだよね。当然、実務指針といったSOX法対策の取っ掛かりになるものも存在しない。だから、ユーザー企業もITベンダーも、米SOX法を勉強して対策やソリューションを組み立てる。当然の取り組みと思っていたけど、よく考えると前提が少しおかしい気がする。
実は最近、日本版SOX法ってこのまま法律になっていいものだろうか、と思い始めた。確かに日本でも、カネボウ事件やライブドア事件など財務報告の信頼性を揺るがす事件が頻発しているから、「日本版SOX法」的な法律が必要だとは思う。しかし、その法律が米SOX法のカーボンコピーのようなものであってもよいのだろうか。そもそも元祖SOX法は現在、米国ではどのような評価を受けているのだろうか。
その辺りのことがよく分からず、モヤモヤしていたのだが、ちょうど今日、SOX法に詳しい米国の弁護士に話を聞く機会があった。そこで、SOX法の問題点を聞いてみた。彼が答えるに「議会はSOX法をあまりに拙速に作りすぎた。企業にルールを強制したとき、企業にどのような影響があるか、規制当局も全く予測していなかった」とのことだ。その結果、上場企業には膨大なコストと手間がかかり、それを嫌って、上場廃止を選ぶ企業が続出しているという。
この弁護士は米国のSOX法の問題的を踏まえ、「法律はできるだけ時間をかけて議論し、具体的なものを作った方がよい」とアドバイスしてくれた。で、日本版SOX法はどうか。専門家はじっくりと議論したのだろうけど、国会での議論は十分なものになるかどうかは心もとない。
というのも、日本版SOX法なるものは、金融商品取引法案の一部分にすぎないからだ。この金融商取法は、リスクを伴う金融商品に広く網を掛け、販売・勧誘ルールを一本化して、個人投資家などの保護を図りましょう、というのが主旨。議員さんにとっては、日本版SOX法の部分は株式という金融商品がまがい物でないことが担保されればよく、法律の“費用対効果”なんぞは関心の埒外だろう。
しかも、この法律はちっとも具体的ではない。法律の成立後に内閣府令が出て、その後で実務指針が出てくるのだろうけど、企業がSOX法対策をどこまでやらなければいけないかは、最終的には監査法人の胸三寸で決まる可能性が高い。
日本版SOX法にはIT統制が盛り込まれたというが、これだって米SOX法に比べて進歩したわけではない。明記されようがされまいがIT統制は不可欠。そもそもITがよく分からない監査法人が、どうやってIT統制の有効性を監査するのだろうか。
いろいろとイチャモンをつけたが、要は「財務報告に係る内部統制」を実現するのに米国のSOX法と同様のものが必要なのか、再検討が必要だと思う。話が脱線気味になるが、日本よりプライバシーにうるさい米国には、連邦レベルで個人情報保護法に相当する法律はない。では、なぜ日本にSOX法が必要なのか。法律は国民的議論によって作るものなのに、専門家の集まり以外はほとんど議論されてこなかった。
企業やビジネスに従事する個人は法律の話になると、その法律が出来る前にどう対応するかを考えてしまう。まして、レギュレーションの変更が商機になるITベンダーなどは、対応・対策ソリューションを次々と発表し、その流れに棹を差す。しかし、本来はその前に、その法律が必要なのか、どんな形がいいのかを関心を持ち、議論していかなければならないはずだ。
今回は、我ながら随分青臭いことを書いたなと思う。ただ、この手の話は「儲かればいいじゃん」とは言い難い。少なくとも「ルールはお上ではなく、自分たちが作る」という意識を持って日本版SOX法の行方を見ていかないと、経済的合理性のない大変な負担を産業界全体に押し付けられかねない。それは、善意の企業人には厳しく、悪意の犯罪集団にはやさしい個人情報保護法で、証明済みだと思うが。
