「企業の内部不正防止に関する緊急セミナー」開催のご案内:IPA 独立行政法人 情報処理推進機構
おかげさまを持ちまして、本セミナーは盛況のうちに開催することができました。ありがとうございました。 講演資料を掲載いたしました。 本セミナーの動画を「IPA Channel」にて公開いたしました。 IPA Channel(Youtube) IPAは、2013年に策定した「組織における内部不正防止ガイドライン」を活用して内部不正対策の普及啓発を行ってきました。 これまで「組織における内部不正対策セミナー」を3回(6月26日、7月24日、7月30日)開催してきましたが、教育関係の企業における個人情報漏えい事件の報道を受け、改めて同ガイドラインの周知徹底を図るとともに、多くの企業・組織の意識を高め対策を推進するため、「企業の内部不正防止に関する緊急セミナー」を経済産業省と共に開催します。
「電子メールの保存は必要なし」、金融庁がJ-SOXについて67個のQ&Aを公開
金融庁は2008年6月24日、「内部統制報告制度に関するQ&A(以下、Q&A)」の追加版を公開した。内部統制報告制度はいわゆる「日本版SOX法(J-SOX)」を指す。システム変更やIT統制の評価範囲、電子メールの保存などに関するQ&Aが新たに追加された。 今回のQ&Aは、金融庁が07年10月2日に公開した第1弾の20問(関連記事)に、新たに47問を加えた文書だ。金融庁は「前回の文書の発表後に寄せられた照会などに対して行った回答例などを整理した」と説明する。 追加したQ&Aのうち、主にITにかかわるのは「問36 期末日直後の大規模なシステム変更」、「問38 IT統制の評価範囲」、「問39 中小規模企業におけるIT環境」、「問46 電子メール等のデータの保存」の4問。 問36 期末日直後の大規模なシステム変更については「内部統制評価は期末日を評価時点としている」とし、「期末日直後にシステムの変
社内ブログ/SNSは「無法地帯」でいこう - 記者の眼:ITpro
「ブログ」や「SNS」といったWeb 2.0的な情報共有ツールの社内利用が進んでいる。「利用の敷居が低く,従業員が持つ情報を呼び込みやすい」というメリットから,活用事例や社内利用向け製品が充実しつつある。日経コミュニケーション2007年1月15日号でも,「企業内ブログ/SNSの威力」と題した特集を組んだのだが,その取材の過程で記者はあることを恐れていた。それはユーザーやベンダーの口から,「内部統制」の4文字が語られること。「社内に埋もれていた情報を引き出す」というブログ/SNSの効果を削ぎかねない要素だからだ。 その懸念は,取材に着手した2006年11月に野村総合研究所が開催した「ITロードマップセミナーAutumn 2006」で耳にした亀津敦・副主任研究員の指摘(参考記事)に端を発する。亀津氏はこのセミナーで「社内SNSを導入しなければ情報漏えいのリスクが高まる」という見解を披露した。m
「LifeHack」が内部統制につぶされる - @IT
仕事の効率や生産性を上げるちょっとしたコツの「LifeHack」が人気だ。PCを使う機会が増え、ITツールやネットサービスを使いこなすか否かで、仕事の成功が左右されるケースが多くなった。しかし、財務報告に係る内部統制の整備を義務付ける金融商品取引法(いわゆる日本版SOX法)が2008年4月に始まると、どうなるのか。 内部統制とはある目的(日本版SOX法の場合は財務報告の適正性)を達成するために企業内に整備され、従業員全員が守ることが義務付けられる一連のプロセスだ。具体的には重要な業務を洗い出したうえで、業務ごとに不正やミスが入り込むリスクと、リスクをなくすためのコントロール(統制)を設定し、すべてを文書で残す。 日本版SOX法の特徴はITに対応する内部統制を取り上げたこと。一連のプロセスが必要なのは、ITを使った業務でも同じだ。上場企業が対象だが、連結子会社や関連会社、業務委託先も対応が必
IT部門にとって朗報? 日本版SOX法の実施基準案
11月7日に金融庁がWebサイトで公表した日本版SOX法の実施基準案について、アビームコンサルティングは11月13日、プレス向けに解説を行った。 「(IT部門にとっても)この基準案は朗報なんてものじゃない。むしろ悲報じゃないか」――同社EBS事業部プリンシパルの永井孝一郎氏は実施基準案に対し、こう指摘した。 永井氏が指摘したのは、3部構成で作成された実施基準案の第3部「財務報告に係る内部統制の監査(案)」。ここでは監査人が監査すべきとされる内容が示されている。監査内容が具体的になったことで、IT部門も対応がしやすくなった一面もありそうだが、「余りに具体的すぎて、1つ1つ確実に対処していかなければならないとなると、これは大変なことになる」と、実現性に疑問符を付けた。 これは監査を行う監査人にとっても同様という。「これを見て頭がくらくらした。監査法人でシステム監査を行える人間は少なにもかかわら
「より簡単にID情報統合を」、日本オラクルが仮想ディレクトリを投入
日本オラクルは、あちこちに分散した既存のディレクトリやデータベースのユーザー情報を仮想的に束ねる「Oracle Virtual Directory」を発表した。 日本オラクルは10月17日、さまざまな場所に分散した既存のディレクトリやデータベースに格納されているユーザー情報を仮想的に束ねる「Oracle Virtual Directory」を発表した。米Oracleが2005年11月に買収したOctetStringの製品をベースにした製品だ。 日本版SOX法をはじめとするさまざまな法規制への対応上、企業には内部統制の強化が求められているが、それには一元的なアカウント/ID情報の管理が重要な役割を担う。しかしこうした情報は多くの場合、組織ごと、アプリケーションごとにばらばらに作成され、それぞれ別々に管理されているのが実情だ。 こうした事態への対応策として、複数のディレクトリの情報を同期させ、
「控えめに見ても……」、内部統制整備で覚悟すべきコストは? - @IT
2006/8/2 ビジネスブレイン太田昭和の取締役で、公認会計士の野崎正幸氏は7月31日、日立ソフトウェアエンジニアリングが主催した「日本版SOX法セミナー」で講演し、内部統制整備のプロジェクトを立ち上げる際の検討事項を説明した。内部統制整備のコストは「控えめに見て大企業では1億円、中堅企業では5000万円を覚悟すべき」と説明した。 野崎氏は「業務プロセス統制での文書化が最もコストがかかる」と指摘した。フローチャート、業務記述書、リスクコントロールマトリクス(RCM)の文書化3点セットを作成し、読み合わせであるウォークスルー、運用テストを行うのに1プロセス当たり、1人の担当者が2週間掛かると説明。 事業を多角化していない企業では通常、100の業務プロセスがあるといい、これらの数値を考えると業務プロセスの文書化には約50人月の工数が掛かることになる。1人月のコストを200万円と考えれば1億円
IT統制のキモとなる認証とアクセス制御とは - @IT情報マネジメント
(1)認証強度 認証強度とは分かりやすくいうと、「なりすましのしにくさ」といえます。一般的に属性による認証は認証強度が強く、その次が所有物による認証が続き、知識による認証は認証強度としては弱いといわれています。 そのため、知識による認証、例えばパスワードの場合、文字数・文字種の制限や有効期間の設定などの運用を行うことで、認証強度を上げる工夫が通常必要になります。また、2要素認証などのように、複数の認証要素を(知識+知識、知識+所有物など)組み合わせることにより、認証強度をさらに上げることが可能になります。 (2)IDが持つ権限 IDによって認証方式を変える場合があります。分かりやすい例としては、管理者IDを利用するときはより強力な認証方式を利用する、というものです。IDの持つ権限が大きい場合には、そのIDがアクセスできる資産やシステム機能は大きなものであり、なりすましを防ぐ必要性が高いと考
内部統制は「部屋の掃除」と同じ!?
『日経情報ストラテジー』9月号(7月24日発売)で,「日本版SOX法 8つの誤解」という特集記事を執筆した。金融商品取引法(いわゆる「日本版SOX法」)によって,2008年4月以降に始まる事業年度から,財務報告の内容の適正性を確保するための組織体制,すなわち「内部統制」の整備が,上場企業に義務付けられる。今回,法対応に取り組む企業を10社程度取材した。 内部統制といえば,「業務フロー図(フローチャート)やリスク・コントロール・マトリクス(RCM)をどう作るか」「情報システムをどう活用すべきか」といった技術面に目が行きがちだ。しかし,いくら完ぺきな業務フローや情報システムを作り上げたとしても,それに沿って仕事をする社員(派遣社員やアルバイトなども含む)が付いていけなければ意味がない。それでなくても,内部統制を重視した業務フローでは,チェック作業が増えたり,「物品購入理由」といった細かな記録を
「日本版SOX法」が成立、2009年3月期から内部統制の報告義務
「日本版SOX法」の中核となる金融商品取引法が6月7日午前、参議院本会議において賛成多数で可決、成立した。同法は証券取引法などの一部を改正するもの。金融商品に関するルールを整備し、投資家保護を目指す。「村上ファンド」のような投資ファンドに対する規制を強化するほか、株式公開買い付け(TOB)のルールを整備するなど、幅広い内容を含む。 上場企業に、財務諸表の内容の適正性を確保するための組織体制(内部統制)について評価した「内部統制報告書」を提出する義務を課すのも同法の大きな柱(第24条の4の4)。この規定は、「平成20年4月1日以後に開始する事業年度から適用する」(附則第15条)としており、3月期決算の企業では、2009年(平成21年)3月期から内部統制報告書を提出しなければならないことが法的に確定した。 この内部統制報告書の重要な事項について虚偽の記載があるものを提出した者は、「5年以下の懲
トリップワイヤ、「正しい変更か、それとも事故か」まで判断できる変更管理システム
トリップワイヤ・ジャパンは、ITシステムに加えられた変更を検出し、安定した運用を支援するためのシステム「Tripwire Enterprise 5.5 日本語版」を発表した。 トリップワイヤ・ジャパンは5月31日、ITシステムに加えられた変更を検出し、安定した運用を支援するためのシステム「Tripwire Enterprise 5.5 日本語版」を発表した。 同社はこれまで、変更/改ざん検知システム「Tripwire for Servers」を提供してきた。サーバ上のファイルや設定情報などの情報を、あらかじめ定めた正常な状態のデータ「ベースライン」と比較することにより、いつ、どこに、誰によって変更が加えられたのかを管理するツールだ。 Tripwire Enterpriseは、Tripwire for Serversの変更検出/管理機能を引き継ぎつつ、レポートや履歴管理といった機能を強化した
日本版SOX法なんか廃案にしてはどうか
IT業界の日本版SOX法フィーバーは盛り上がる一方だ。でも、この法律はまだ国会で審議中なんだよね。当然、実務指針といったSOX法対策の取っ掛かりになるものも存在しない。だから、ユーザー企業もITベンダーも、米SOX法を勉強して対策やソリューションを組み立てる。当然の取り組みと思っていたけど、よく考えると前提が少しおかしい気がする。 実は最近、日本版SOX法ってこのまま法律になっていいものだろうか、と思い始めた。確かに日本でも、カネボウ事件やライブドア事件など財務報告の信頼性を揺るがす事件が頻発しているから、「日本版SOX法」的な法律が必要だとは思う。しかし、その法律が米SOX法のカーボンコピーのようなものであってもよいのだろうか。そもそも元祖SOX法は現在、米国ではどのような評価を受けているのだろうか。 その辺りのことがよく分からず、モヤモヤしていたのだが、ちょうど今日、SOX法に詳しい米
アドビ、長期保存に最適な電子文書フォーマット「PDF/A」
アドビ株式会社は5月16日、同社の長期保存のための電子文書フォーマット標準であるPDF/Aに関する説明会を開催。説明会には、記録管理の専門家の協会であるARMA Internationalの東京支部 理事 兼 自治日報顧問の西川康男氏が出席し、記録管理が企業にとってどのような必要性を持つかについて紹介が行われた。 西川氏は、企業がおかれた現状について、「情報流出や粉飾決算など、多発する企業の不祥事に対応する形で新会社法や日本版SOX法など新たな法規制の動きがある。一方で、政府のe-Japan戦略やIT新改革戦略など、ITの進歩による規制緩和も起きている。どちらも、第三者による評価が可能な文書化を行うことが求められている」と、電子文書などによる情報の保存の大切さを指摘する。しかし、文書を作ることと記録することは必ずしも一致しないと西川氏は説明する。「日本の企業の多くが文書と記録をあいまいにし
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
なぜ、PC資産管理は失敗するのか?
雪印乳業行動基準
[観] ホワイトカラーエグゼンプション雑感