J-SOX対応は「主張の場」と心得よ――ログ保管ではどうする?:Tips of SOX(1/3 ページ)
J-SOX対応では、莫大な投資を余儀なくされるケースが散見される。適正な投資を行うには、求められている統制内容を吟味、理解することが大切だ。
ITがこれまで取り組んでこなかったこと
はじめまして。平安彦と申します。この数年、米国および日本企業のSOX、J-SOX対応に関するコンサルティングの仕事をしてきました。そうした経験の中で私なりに得たものを、この連載を通してみなさんにお伝えし、お役に立てればと考えています。
まず、主にメディアなどで見られるSOX、J-SOXと名の付く文章では圧倒的に「教科書」が多いことにお気づきでしょうか。J-SOXとは? どういう法律になっているのか? どう対応しろといわれているのか? などに対する回答がほとんどであり、これから取り掛かる人にとってはJ-SOXがどういうものか理解する助けになりますが、逆に言うとすでに取り組んでいる人からみると当たり前な話が多いのが現実です。これには現実の背景も影響していると思います。法整備の要求が強く、「まず制御ありき」で始まり、徐々に現実解へとすりあわされている状況が厳然とあるからです。したがってJ-SOXに関わる人たちは流動的な法整備の状況に関して、海外の動向も含めて詳細にウォッチしており、その流れで「法解説的」な文章が多く目に付く状況になっています。
そこでこの連載では、上記のような法の解釈や背景の説明、動向などではなく、J-SOXを進めて行く上で「知っておくと何かと便利」(知らないと何かと混乱を引き起こす)ITに関わるTipsについて書かせていただこうと思います。多方面にわたるるSOXの対象分野の中でも、IT分野はその分かりにくさ、目標の不明確さ、理想と現実のギャップなど様々な議論を引き起こしているように思っています。このような状況も当然かと思います。
ITはそもそも安全に問題なく動くことを第一の目標として今まで構築され運用されてきたのです。「外部から不正のないことを客観的事実に基づいて説明する」ことを、形式的にだけではなく本質的に求められるとは思ってなかったのではないでしょうか。ベンダー各社との協力関係についてもユーザー企業とともに信頼を基に支えあってきた関係であり、J-SOXで求められていることはなかなかにハードルの高いことだと受取られているのではないでしょうか。
しかしそのような状況にあっても、「J-SOXを上手く活用すべき」というのが基本的に 関与する人間の考えるべき基本姿勢だと感じています。J-SOXを契機として改善できることは取組むし、あまりにも形式に過ぎる業務については必要性について議論すべきでしょう。この連載ではその時々に優先的に対応したいトピックについて述べさせていただこうと思います。
「形式的実施と押印」が横行している?
少し前置きが長くなりましたが、1回目はどこの企業でも必ず求められる「ログの保管」について述べたいと思います。「システムで行なわれた行為を記録し、不正な行為や誤った行為がないことを事後的に精査するためにログを保管すべきである」という制度の主張について、疑念をはさむ人はいないでしょう。これは当然のことです。
しかし実態としてこの言葉が求めているように感じられるものと本来しなくてはならない間にはかなりのレベル差があると感じています。そもそもログとは何なのか?記録するとはどの程度なのか? 何を対象に記録するのか? 精査とはどのような行為なのか? これらに対して回答できないと、やる意味のない行為を行なったり、もし実施されるとしても「形式的実施と押印」に陥りやすい業務を設計してしまう可能性があります。
またログ保管の問題についてまず述べさせていただきたい理由ですが、J-SOXに対応される企業にはこのログ保管のための仕組みについて、採用している製品やOSの機能でしか対応できない場合が多いと思います。そこでいろんな企業からツールやサービスの説明を受け、新しい仕組みの導入を検討されることも多いと思います。しかしここで先ほどの質問に対して明確に回答できない場合には、無駄で過剰で無意味な仕組みを導入してしまう恐れがあります。また過去のITに関わる施策でもよく見受けられる傾向ですが、一度導入した製品についてはその無意味さが露見することを恐れて形式だけの運用が続けられる可能性があります。IT部門で働く人間にとって、このような形式のみの内容の伴わない行為に時間をとられることは著しくやる気を削ぐことになりかねません。J-SOXによる統制の検討と導入は、現場で問題意識を持っている方々にとってはある意味大きな武器です。今までのあいまいな状況や運用を見直すチャンスでもあります。よって費用の支出を伴う可能性の高い「ログの保管」については、本当の目的や意味を知った上で、必要な統制を効果的に導入していただきたいと考えています。
Copyright © ITmedia, Inc. All Rights Reserved.
ITmedia エグゼクティブのご案内
「ITmedia エグゼクティブは、上場企業および上場相当企業の課長職以上を対象とした無料の会員制サービスを中心に、経営者やリーダー層向けにさまざまな情報を発信しています。
入会いただくとメールマガジンの購読、経営に役立つ旬なテーマで開催しているセミナー、勉強会にも参加いただけます。
ぜひこの機会にお申し込みください。
入会希望の方は必要事項を記入の上申請ください。審査の上登録させていただきます。
【入会条件】上場企業および上場相当企業の課長職以上
アクセストップ10
- 世界で最も歩きやすい都市トップ10が発表
- なぜあの人は、いつも成果を出せるのか?── 「ほんとうに」仕事ができる人が持つ2つの資質
- 管理職としてZ世代を率いるリーダーが、チームビルディングのために意識すべき「3つのこと」とは?
- 自動物流道路導入に向け岸田首相がルート選定指示へ 22日のデジタル行財政会議
- 富士フイルム、ヘルスケアや半導体を中心に1.9兆円投資 今後3年間で
- 生成AIは人間の仕事を奪わない。3つの懸念点を踏まえつつ、生成AIの積極的な活用を――日本マイクロソフト 西脇資哲氏
- 第25回:メンバーが「自然に本音を話せる1on1」になるまでの3ステップ
- なぜコーポレートITはコスト削減率が低いのか――既存産業を再定義することでDXを推進
- AI時代に求められるデータドリブン経営 大事なのは「顧客理解」
- 「志村の笑いは本物」……俳優・寺田農さんが産経新聞読書面に残した28本のコラムを読む
事務局からのお知らせ
アドバイザリーボード
早稲田大学商学学術院教授
根来龍之
早稲田大学大学院国際情報通信研究科教授
小尾敏夫
株式会社CEAFOM 代表取締役社長
郡山史郎
株式会社プロシード 代表取締役
西野弘
明治学院大学 経済学部准教授
森田正隆
過去記事カレンダー
ITmediaはアイティメディア株式会社の登録商標です。