JSOX 法とコミュニケーションツール

企業の不祥事が多発したことなどを背景に、米国の SOX 法をひな形とする日本版 SOX 法が来年から施行される見通しである。日本版 SOX 法は会計処理の正当性を証明するために、企業活動の記録を保存することを定めている。電子メールやインスタントメッセンジャー（IM）など、コミュニケーションツールでのやりとりも対象になる。

そこで今回は、まだまだ理解が広く進んでいない日本版 SOX 法のポイントをまとめてみよう。

■ 米国で成立した SOX 法

2001年秋、世界の証券市場を揺るがす大スキャンダルが明るみになった。米国の大手エネルギー商社 Enron の、数兆円にも及ぶ粉飾決算である。しかも、大手会計法人であった Arthur Andersen が加担していたことで余計にショックが広がった（Arthur Andersen は信用を失墜してのちに解散）。翌2002年には通信会社大手の Worldcom でも不正会計が発覚するなど、アメリカの経済界と株式市場は大混乱に陥った。

このような不祥事を受けて成立した法律が米国の「企業改革法」である。この法律の目的は企業会計と財務諸表の正当性を担保するための仕掛け作りにある。提出議員の名前から「Sarbanes-Oxley 法」、あるいは略して「SOX（ソックス）法」と呼ばれている。

残念ながら日本においても不正な会計処理事件または容疑が後を絶たない。カネボウやライブドアなどの粉飾決算はまだ記憶に新しい。

対策として金融庁は、上場会社の健全な経営と正当な会計処理を目的とした日本版 SOX 法（正式には「金融商品取引法」）を国会に提出した。同法は2006年に可決され、2008年4月から監査制度の開始が見込まれている。

■ 日本版 SOX 法と IT 統制

法律の成立を受けて、上場各企業および上場を予定している各企業は、金融庁が2006年11月に公表した「財務報告に係る内部統制の実施基準」（PDF 版）と、経済産業省が2007年3月に公表した「システム管理基準（財務報告にかかわる IT 統制ガイダンス）」（PDF 版）をベースに、社内の仕組み作りを急いでいるところだ。

ところで、現在の企業は会計処理や企業活動の多くを IT に依存している。逆にみれば、IT の正当性が確保されなければ、会計処理結果である財務報告が正しいかどうかは分からない。

そこで金融庁は、「現状では多くの組織が IT 抜きでは業務を遂行することができなくなっている」実状から、「業務を実施する過程において組織内外の IT に対し適切に対応することが、内部統制の目的を達成するために不可欠」（金融庁実施基準）として、IT への対応と IT 統制を定めている。

たとえば、会計システムのリスクを評価し、入力した数値をチェックする手段や、不正な改ざんを防御する手段を実装していくことなどが、こういった対応の一例として挙げられるだろう。

■ 変わるコミュニケーションツールの運用方法

日本版 SOX 法では「監査」も重要なプロセスとして規定されている。企業は財務報告の正当性を証明するために、監査に必要な記録を残さなければならなくなった。電子メールなどのコミュニケーションツールも記録保存の対象になる。

これまでの連載で、IM についてはフリーの IM ではなくログを残せる企業向け IM（BizIM）の利用を勧めてきたのも、このような理由からだ。

電子メールやメーリングリスト、IM、掲示板（BBS）、Blog、SNS などの電子コミュニケーションツールは企業で広く利用され、ビジネスに革新とスピードをもたらしてきた。企業内部のコミュニケーションや顧客や取引先とのやりとりに用いられている。会計や企業活動に関する情報（たとえば売り上げの連絡や価格情報の提供）もこれらツールを介してやりとりされる。

一方では、「経営者や組織の重要な構成員等が電子メール等を用いることにより、容易に不正を共謀すること等も可能」（金融庁実施基準）という事態も想定される。

そこで、受発信日時や内容を外部から改ざんすることのできない通信記録の保存手段が必要になってくる。単なるバックアップでは監査の証拠（フォレンジック）とするのは難しいからだ。

すでに米国では、SOX 法を契機として、米国証券取引委員会（SEC）によって電子メールや IM などの通信記録を3年間は保存しなければならないことが定められた。おそらく日本でも同等期間の保存が求められるだろう。

日本版 SOX 法による規制強化により、企業のコミュニケーションはどこに向かうのだろうか？　企業は利益を追求する営利活動を維持しながら、社会や組織と健全なコミュニケーションを今後も継続することができるのだろうか？　次回、見ていくことにする。