中小企業にも J-SOX の波が来た！（ビデオリサーチインタラクティブコラム）

「日本版 SOX 法」という言葉が大流行です。なんだか良くわからないけれど中小企業や非上場企業には関係のない話でしょ？　どうやらそうも言ってられないみたいよ!?　最近は中小企業向けの J-SOX 対応セミナーが盛況のようです。いったいそこにはどんな意味が潜んでいるのでしょうか。

そもそも CSR とは Corporate Social Responsibility の頭文字で、日本では「企業の社会的責任」と訳されています。少し乱暴に J-SOX に至る流れを表記すると以下のようになるようです。

CSR->コンプライアンス（法的準拠性）->コーポレートガバナンス（企業統治）->J-SOX（内部統制）という形です。

内部統制とは人間に起るミスを未然に防ぎ、また問題が起こっても最小化するための必要な手段となっています。この手段の要素として ISO や JIS が存在しているのです。

日本版 J-SOX の内部統制（インターナル コントロール）は情報システム部門の緊急課題となりました。

従来は「財務報告」を「最高経営責任者」と「財務責任者」が保証し監査人がこれを監査するという形でした。それが2009年3月期から上場企業とその連結対象子会社は財務報告の他に新たに設定された「内部統制報告」を加える形で保証しなければならなくなったからです。

さらに内部統制では「IT を度外視した企業経営はあり得ないと考え、IT への対応を義務づけました」となっており、必然的にシステム部門は IT 統制を要求され、IT 統制の内容の監査を受けることになるのです。

「この流れが非上場企業であっても、上場企業やその連結子会社と取引があれば同じレベルの内部統制要素を求められることになるだろう」と多くのアナリストがコメントしています。理由は単純で、自身が一生懸命ミスを減らす努力をしていても、ミスを減らすルールのない企業と取引していることが発覚したとき、なぜその企業と取引しているのかを毅然と説明することが求められるからです。

そして、これが中小企業にも J-SOX の波が来ている要因となっています。

では、どのように対処すればよいのか。その答えは「可視化だ！」 と私は思っています。「なぜそれを買うのか」「なぜそう設定するのか、なぜその問題が起ったのか」「それは今どのような状態になっているのか」「今後この問題を再発させないようにどのような対策を施すべきなのか」といった問題を特別な人間でなくとも、関係する内部の人間であれば誰でもが容易に知り、対策し答えられることが重要な要素となるのです。

みなさんも、今後 IT 製品の導入を検討されるとき「可視化」に目を向けてみるのも良いのではないでしょうか。

ヒトはミスをします。私などはミスばかりです。ミスをする前提に立って IT をデザインし運用すれば問題を小さくすることができるでしょう。そしてその繰り返しこそが信頼される安心・安全な IT 社会をつくることにつながるのだと考えます。

（執筆：吉田柳太郎/住商情報システム株式会社 IT セキュリティアドバイザー）