(財)日本情報処理開発協会(JIPDEC)から、内部統制報告制度に伴うIT統制の状況について調査した結果が公表されました。
http://www.jipdec.jp/chosa/it_riyou/gaiyo.html
内部統制報告制度とは、会計処理に関する不祥事を防止を目的に、
日本版SOX法(金融商品取引法の一部)に基づき、内部統制の評価に関する報告書の提出が義務付けらるものです。
また、
内部統制とは、簡単に言えば、財務報告報告の信頼性や事業活動にかかわる法令の遵守などを保証するための仕組みですが、IT活用の浸透に伴い、IT利用に関する統制(
IT統制)への対応も重要な要素となっています。
「IT統制に関する実態調査」は、昨年10月〜12月の間に、上場企業の情報システム部長にアンケートを実施して、そのIT統制の取り組みの実態を調査したものです。
本制度は、
本年4月1日以後に開始する事業年度から適用されるものですが、内部統制の構築と評価への対応の進捗状況は、一部着手から殆ど未着手の企業が半数以上もあり、果たして、どれほど信頼性ある評価がなされるかが心配なところです。
また、IT統制においては、情報セキュリティへの取り組みも避けては通れません。
法対応によって、情報セキュリティ対策レベルが向上したとする企業が、70%(非常にあてはまる+やや当てはまる)にも達しています。あわせて、委託先への契約の厳格化、情報セキュリティ管理の徹底なども強化されています。
委託先の中には、業情報処理等に殆ど関係しない業務内容、例えば、製品部品の製造・加工委託先なども対象とする企業もあるようです。
当社のお客様の中には、部品加工・製造業でありながら、取引先である大企業から情報セキュリティ対策への取り組みについての幾つかの要求があったそうで、情報セキュリティへの真摯な取り組みを表明するためにISMSの認証取得に踏み切られた会社もあります。
今後、IT統制への取り組みについて、内容・質ともにハードルが高まってくる可能性があります。
また、今年中に策定される「政府機関の情報セキュリティ対策のための統一基準」においては、委託先選定の強化遵守事項として、「国際規格を踏まえた委託先の情報セキュリティ水準の評価方法に従って、委託先の候補者の情報セキュリティ水準を確認し、委託先の選定における評価の一要素として利用すること。」(案・第3版より)なる文言が含まれそうです。
この統一基準は、政府機関向けですが、他の地方自治体、さらには、民間企業に対する参考基準として推し進めるものとしています。
http://www.nisc.go.jp/active/general/kijun01.html
ISO27001/ISMSへの期待は、ますます高まるものと思います。
