【第5回】経営者に求められる内部統制の責任と、それに伴う情報システム部門の変化

2005年の個人情報保護法と不正競争防止法の施行以来、情報システム部門の立場を変化させる大きな流れが生まれている。これは各法律が施行された後に、情報漏えいに関する事件がマスコミを賑わすようになり、組織のトップの責任意識が高まったからだ。ITを利用した内部統制の重要性を理解しない経営者、認識の甘い経営者は、2008年にはたいへん事態を迎えることになるだろう。最終回となる今回は、2006年5月に施行された新会社法や、2009年3月期の適用を予定している日本版SOX法が、経営者や情報システム部門に与えるインパクトについて考察してみよう。

会社法と日本版SOX法が流れを変える

　企業の経営層の多くが情報セキュリティに対して意識するようになったきっかけは個人情報保護法といえよう。情報漏えい事件が頻繁に報道されるようになって、ようやく自社の対策を心配するようになった。中には、理解不足によって個人情報の扱いに敏感になり過ぎてしまい、児童の連絡名簿を作成しない学校、事故被害者の収容情報を家族にも公表しない病院など、過剰な反応を示した組織もあった。こうした反応が出ること自体、いかに情報管理に対する関心が低かったかを示すものだと言えるだろう。

　しかし、こうした流れが、経営トップをはじめとする組織全体の意識改革と、地道な取り組みが必要となることを世に知らしめ、情報システム部門の立場を変化させる流れを生み出した。この流れを決定づけようとしているのが2006年5月に施行された新会社法と、2009年3月に適用が予定されている日本版SOX法だ。

　ご周知の通り、新会社法については会社設立手続きの簡素化や有限会社の廃止等が話題となったが、情報セキュリティに関連する重要な規定も含まれている。新会社法では、大会社（資本金5億円以上、あるいは負債合計200億円以上の会社）の取締役または取締役会に対して、内部統制システムの構築を決定することが義務付けられている。監査役の権限も強化され、従来の形式的な会計監査だけではなく、業務監査権限も与えられて、その責任も大きくなった。さらに取締役、監査役ともに内部統制に関する責任があり、両者とも普通決議で解任できるようになった。この結果、重大な問題が発生した場合、株主代表訴訟の対象になり得るという。

　日本版SOX法については、これまでにも説明してきたことだが、財務上のすべての活動について監査人が監査を行えるよう、活動の証拠を文書化して残すこと、ならびに対象となる業務プロセスにおけるリスクと、その統制活動を文書化することを求めている。新会社法と同様に内部統制を求めているが、日本版SOX法は内部統制を実現する手段としてIT統制を重視する。米国SOX法にはITの利用は記述されていないのだが、日本版SOX法がIT統制を重視する理由は、ITを活用しない内部統制は現実的でないこと、また内部統制の実を挙げるには経営トップのITに対する意識を変える必要があるとの判断からだ。

　もちろん内部統制責任は経営者にある。内部統制報告書の虚偽に対しては、有価証券報告書の罰則規定に準じて、経営者は5年以下の懲役または5億円以下の罰金、法人に対しては500億円以下の罰金と厳しい。また、虚偽によって株主が被った損害については、企業が損害賠償を負うことも明記される。こうした法制度の改革は、経営者や情報システム部門に確実に影響を及ぼすだろう。