米国企業改革法が招くIT現場の混乱（前編）

会計担当者はITポリシーを作成できるか？

BrianMoran

2004.10.18

（Brian Moran）

　まもなく企業の会計担当者が，ITポリシーを設定することになるのだろうか？

　先般私はSQL Profilerというツールに関する記事を書いた。その際に，製造と品質管理（QA）の現場の中で，開発者にProfilerと必要な管理者saのパスワードへアクセスさせる方法を説明したところ（※1），これが読者の大きな関心と議論を引き起こした。記事を読んで数人の読者が，Sarbanes-Oxley法とも呼ばれる「米国企業改革法」（正確にはU.S. Public Company Accounting Reform and Investor Protection Act of 2002）が，自分たちの会社のIT環境に与える影響を心配していると言ってきた。この法律はITに関する規制ではない。ただし，財務プロセスを規制する際にはITを使うことが前提になっている。

製造工程や品質保証テストの環境を開発者から完璧に隔離
　ある読者はこうコメントした。「開発者をもっと実稼働しているシステムのサポートに加わらせようというあなたの記事は確かに利点があります。しかし，Sarbanes-Oxley法はそれを台無しにするでしょう。この法律は，企業の監査役が，製造工程や品質保証テストの環境を開発者から完璧に隔離することを強制しています。適切な承認なく変更が加えられないようにするためです」。

　調査会社Gartner Researchは，Sarbanes-Oxley法のことを「1934年のSecurities and Exchange Act以来最大の全面的な公開取引市場の改革」と呼んでいる（※2）。Sarbanes-Oxley法は，広い範囲にわたる法律の総称で，最近金融市場を騒然とさせたEnronやWorldComなどの会計スキャンダルへの対策として作られた。主に株式公開企業を対象に，その企業会計手続きを投資家に対してより透明化させることを狙っている。それは立派な目標だ。しかし，私はいつだれが管理者パスワードにアクセスする権限を持てるかを会計担当者が正式かつ最終的に判断するという事態を憂慮している。

ITに素人の監査役がITのセキュリティ・ポリシーを決める
　Sarbanes-Oxley法はIT部門にどんな影響を与えるだろうか？前掲のコメントは，適切なセキュリティ評価を実施できるようには正直言って全く素人の監査役が，ITのセキュリティ・ポリシーを決めている組織に属する読者から届いた。私の同僚が，複数の企業に対してSarbanes-Oxley法を順守する計画をかなり豊富に支援しており，彼とオフレコを条件に話をした。彼によると，監査役の何人かはSarbanes-Oxley法の特定の条項を独自に解釈して，過度に攻撃的に振舞っている，と言った。こうした違った解釈は混乱を招く可能性がある。例えば，ある監査役は企業に対して「ボブはsaパスワードを持てるよ」といい，ほかの監査役はこの企業に「ボブはsaパスワードを持てないよ」というような事態を引き起こしかねない。

　原因の1つは，この法律にあいまいな部分があるためだ。この法律の第409条から引用した次の抜粋にある「リアルタイム」という言葉を例に挙げてみよう（※3）。

「第409条　即時発行者開示。本法によって改正される米証券取引法Securities Exchange Act of 1934（15 U.S.C. 78m）第13条は，以下をその末尾に追加することで改正される。（1）即時発行開示 -　13条（a）項または15条（d）項による各発行者報告は，発行者の財務状況や取引における重大な変化に関する追加情報などを，迅速かつありのままに平易な英文で一般に公開しなければならない。投資家の保護に必須または役立つと，委員会が判断した場合には，その内容に傾向や定性的な情報と，グラフィックスを使ったプレゼンテーションを含んでもよい。」

　この記事を書く準備のため調査している間，私はこの条項で言う「即時（リアルタイム）」がどういう意味なのかを調べるため多くのWebサイトをざっと見たが，結局だれも知らない，と分かった。ほとんどのIT担当者は「リアルタイム」をこんな風に解釈するに違いない。遅くともミリ秒以下で，測定可能な応答時間で情報を絶え間なく流すこと，と。いくつかのリアルタイム制御システムは，ナノ秒つまり10億分の1秒のレンジの応答時間を要求される。私はきっと議会はそんなことを期待していないと思う。しかし，明らかにだれも新法の下で「リアルタイム」が何を指すかを確実には知らないのだ。

　Sarbanes-Oxley法の全文を読みたい人は，Webサイトを参照してほしい（該当サイト）。

　また，IT担当者にとって一番大事な条項は，Webサイトの「How CIOs Should Prepare for Sarbanes-Oxley"」（IT担当役員はどうSarbanes-Oxleyに対処すべきか）という記事にうまくまとめられている（該当サイト）。

　Sarbanes-Oxleyの意図するところは称賛に値する。しかし，私はIT部門がSarbanes-Oxley法に巻き込まれるにつれて，株式公開企業にいるIT担当者が，会計担当者の無知で官僚的な対応を経験する羽目になる，と思う。

※1　訳注：「sa」とは，SQL Serverにおける既定の管理者用アカウント。あらゆる権限を持つ。

※2　訳注：Securities and Exchange Actは1929年の大恐慌を受けて制定された法律で，企業に対して財務諸表の提出と，公認会計士による監査を受けることを義務付けたほか，SEC：Securities and Exchange Commissionの設立を定めた。

※3　訳注：原文を挙げておく。
"SEC. 409. REAL TIME ISSUER DISCLOSURES. Section 13 of the Securities Exchange Act of 1934 (15 U.S.C. 78m), as amended by this Act, is amended by adding at the end the following: `(l) REAL TIME ISSUER DISCLOSURES- Each issuer reporting under section 13(a) or 15(d) shall disclose to the public on a rapid and current basis such additional information concerning material changes in the financial condition or operations of the issuer, in plain English, which may include trend and qualitative information and graphic presentations, as the Commission determines, by rule, is necessary or useful for the protection of investors and in the public interest."