Contents
記事の概要
企業の情報資産を守るためには、全社的にセキュリティ対策を「マネジメント(管理・運用)」することが重要です。
その際、もし国や団体が提供する情報セキュリティに関する制度や対策があれば、それを積極的に活用することが有効です。
企業が情報セキュリティを保護し、効果的にセキュリティ対策を管理・運用するために用意されている制度や施策は大きく分けて以下6つがありますが、この記事では「5.内部統制報告制度」「6.プライバシーマーク制度」について解説します。
この記事はこんな人にオススメ
● 情報セキュリティ担当者などの組織内で情報セキュリティ対策を担当する人
● 組織全体のセキュリティを統括する経営者や管理職など、内部統制や監査制度について理解し、組織のセキュリティ方針を策定する人
● 法務やコンプライアンスの担当者などの組織が法的要求事項や規制に適合するようにするために、内部統制報告制度やプライバシーマーク制度について学ぶべき人
その他4つの項目については以下の記事で説明しているので見てみてください!
内部統制報告制度
情報セキュリティマネジメントは、内部統制報告制度の一部として、
企業のリスク管理や財務報告の信頼性を支える重要な要素です。
情報が安全に管理されなければ、企業の財務データや重要情報の信頼性が損なわれ、
内部統制全体が弱体化する可能性があります。
情報セキュリティマネジメントと内部統制報告制度には、密接な関係があるため本記事で取り上げました。
内部統制報告制度
簡単に言うと
内部統制報告制度とは、企業が適切に経営されt下いるか確認するための仕組みです。
特に財務報告が正確で信頼できるものであるかをチェックし、その結果を報告します。
経営者が自社の管理体制を評価し、その内容を外部の監査人が確認することで、
投資家や市場に対して安心感を与えることが目的です。
厳密にいうと
内部統制報告制度とは、企業が適切に業務を行い、財務報告書の信頼性を確保するために内部統制を整備し、
その運用状況を報告する制度です。
日本では、金融商品取引法に基づき、上場企業が内部統制報告書を提出することが義務付けられています。
この制度は企業が財務報告に関する不正やミスを防止するために、内部の管理体制を整えることを目的としています。
身近なものに例えると
内部統制報告制度を身近なものに例えると、家庭でのお小遣い帳の管理に似ています。
例えば、家庭で子供がお小遣いをもらって、それをどう使ったかを親に報告する仕組みがあるとします。子供は、お小遣いを何に使ったか、ちゃんと記録して「これだけ使って、これだけ残っているよ」と親に報告します。それを見た親は「ちゃんと使っているか、使い道に問題がないか」をチェックして、間違いがないか確認します。
企業も同じように、自分たちのお金(資産や財務)がどう使われているかを、内部で管理し、外部に報告します。そして、第三者(外部監査人)がその報告を確認することで、問題がないことを保証するわけです。
実際の内部統制報告書は↓のようなフォーマットで提出するようです。
第一号様式
【表紙】
【提出書類】 内部統制報告書
【根拠条文】 金融商品取引法第24条の4の4第 項
【提出先】 __財務(支)局長
【提出日】 平成 年 月 日
【会社名】(2) _______________
【英訳名】 _______________
【代表者の役職氏名】(3) _______________
【最高財務責任者の役職氏名】(4) _______________
【本店の所在の場所】 _______________
【縦覧に供する場所】(5) 名称
(所在地)
1【財務報告に係る内部統制の基本的枠組みに関する事項】(6)
2【評価の範囲、基準日及び評価手続に関する事項】(7)
3【評価結果に関する事項】(8)4【付記事項】(9)
5【特記事項】(10)
y01.pdf (fsa.go.jp)
(記載上の注意)
(1) 一般的事項
a 記載事項及び記載上の注意で、これによりがたいやむを得ない事情がある場合には、投
資者に誤解を生じさせない範囲内において、これに準じて記載することができる。
b 以下の規定により記載が必要とされている事項に加えて、内部統制報告書の各記載項目
に関連した事項を追加して記載することができる。
(2) 会社名
提出者が指定法人である場合には、「会社」を「指定法人」に読み替えて記載すること。
(3) 代表者の役職氏名
法第27条の30の5第1項の規定により内部統制報告書を書面で提出する場合には、
併せて代表者が自署し、かつ、自己の印を押印すること。
(4) 最高財務責任者の役職氏名
会社が、財務報告に関し、代表者に準ずる責任を有する者として、最高財務責任者を定め
ている場合には、当該者の役職氏名を記載する。
法第27条の30の5第1項の規定により内部統制報告書を書面で提出する場合には、併
せて最高財務責任者が自署し、かつ、自己の印を押印すること。
(5) 縦覧に供する場所
公衆の縦覧に供する主要な支店、金融商品取引所又は認可金融商品取引業協会について記
載すること。
(6) 財務報告に係る内部統制の基本的枠組みに関する事項
a 代表者及び最高財務責任者(会社が(4)の最高財務責任者を定めている場合に限る。
)が、財務報告に係る内部統制の整備及び運用の責任を有している旨
b 財務報告に係る内部統制を整備及び運用する際に準拠した基準の名称
c 財務報告に係る内部統制により財務報告の虚偽の記載を完全には防止又は発見すること
ができない可能性がある旨
(7) 評価の範囲、基準日及び評価手続に関する事項
a 財務報告に係る内部統制の評価が行われた基準日
b 財務報告に係る内部統制の評価に当たり、一般に公正妥当と認められる財務報告に係る内
部統制の評価の基準に準拠した旨
c 財務報告に係る内部統制の評価手続の概要
d 財務報告に係る内部統制の評価の範囲
財務報告に係る内部統制の評価範囲及び当該評価範囲を決定した手順、方法等を簡潔
に記載すること。なお、やむを得ない事情により、財務報告に係る内部統制の一部の範
囲について十分な評価手続が実施できなかった場合には、その範囲及びその理由を記載
すること。
(8) 評価結果に関する事項
財務報告に係る内部統制の評価結果は、次に掲げる区分に応じ記載するものとする。
a 財務報告に係る内部統制は有効である旨
b 評価手続の一部が実施できなかったが、財務報告に係る内部統制は有効である旨並び
に実施できなかった評価手続及びその理由
c 開示すべき重要な不備があり、財務報告に係る内部統制は有効でない旨並びにその開
示すべき重要な不備の内容及びそれが事業年度の末日までに是正されなかった理由
d 重要な評価手続が実施できなかったため、財務報告に係る内部統制の評価結果を表明
できない旨並びに実施できなかった評価手続及びその理由
(9) 付記事項
a 財務報告に係る内部統制の有効性の評価に重要な影響を及ぼす後発事象
事業年度の末日後、内部統制報告書の提出日までに、財務報告に係る内部統制の有効
性の評価に重要な影響を及ぼす事象が発生した場合には、当該事象を記載すること。
b 事業年度の末日後に開示すべき重要な不備を是正するために実施された措置がある場合
には、その内容
事業年度の末日において、開示すべき重要な不備があり、財務報告に係る内部統制が有
効でないと判断した場合において、事業年度の末日後内部統制報告書の提出日までに、記
載した開示すべき重要な不備を是正するために実施された措置がある場合には、その内容
を記載すること。
(10) 特記事項
財務報告に係る内部統制の評価について特記すべき事項がある場合には、その旨及び内容
を記載すること。
財務報告に関わる内部統制の評価及び監査に関する実施基準
簡単に言うと
企業が財務報告をしっかり管理していることを確認し、その信頼性を担保するための基準です。
厳密にいうと
「財務報告に関わる内部統制の評価及び監査に関する実施基準」とは、金融庁が定めた指針です。
企業が財務報告の信頼性を確保するために内部統制を評価し、それを外部監査人が監査するための指針です。
この基準は、上場企業における財務報告に関する内部統制の整備や評価、監査に関する具体的なルールを示しています。
具体的には、企業は財務報告に影響を与える業務プロセスやリスクに対して、しっかりとした管理体制を整え、
その体制がきちんと機能しているかを評価します。
その評価結果を外部の監査人が確認し、問題がないかをチェックするという流れです。
主な内容
財務報告に関わる内部統制の評価及び監査に関する実施基準の主な内容は以下の通りです。
| 項目 | 内容 |
|---|---|
| 内部統制の目的 | 内部統制の主な目的は、財務報告が正確かつ適切であり、信頼性のある情報を提供することです。 これにより、投資家やステークホルダーに対して企業の経営状況を正しく伝えることが求められます。 |
| 評価範囲の明確化 | 内部統制の評価は、財務報告に重要な影響を与える業務プロセスに焦点を当てる必要があります。例えば、重要な取引プロセス、経理システム、決算プロセスなど、財務報告に直接影響を与える領域を中心に評価が行われます。 |
| 内部統制の構成要素 | 内部統制は以下の5つの要素で構成されており、それぞれの要素が適切に機能しているかどうかを評価します。 ・統制環境: 経営者の意識や倫理観、企業文化が適切に整備されているか。 ・リスク評価: 財務報告に関わるリスクが識別され、そのリスクに対する対策が取られているか。 ・統制活動: 業務プロセスの中で、必要なチェックや承認手続きが行われているか。 ・情報と伝達: 重要な情報が適切に伝達され、正確に報告されているか。 ・モニタリング: 内部統制の運用状況が継続的に監視され、改善されているか。 |
| 重要性の判断 | 内部統制の不備が財務報告に与える影響の大きさに基づいて、重要性を評価します。特に、重要な虚偽記載のリスクを防止するための体制が整っているかを確認します。 |
| 内部統制の評価手続き | 経営者は、財務報告に影響を与える業務プロセス全体について、内部統制の設計と運用の有効性を評価します。評価方法としては、文書化された内部統制を確認し、実際に業務が適切に運用されているかをテストします。 |
| 外部監査人による監査 | 経営者による内部統制の評価結果は、外部監査人によって独立した立場から監査されます。監査人は、内部統制が適切に機能しているかを監査し、その結果を監査報告書として提出します。 |
内部統制構築の3点セット
内部統制構築の3点セットとは、企業が内部統制を効果的に構築し、運用するために必要な基本的な文書や手続きのことです。
具体的には以下の3つが内部統制構築の3点セットです。
これらの「3点セット」は、企業が内部統制を体系的かつ効果的に構築し、リスクに対応するための基礎的なツールです。
業務の流れを可視化し、リスクに対する適切な統制を明確にすることで、企業の財務報告の信頼性や業務の効率化に貢献します。
身近なものに例えると
内部統制構築の「3点セット」を身近なものに例えると、家の安全管理と日常生活のルール設定に似ています。
1. 業務フローチャート(業務記述書) = 家の間取り図
家の間取り図は、どこにどんな部屋があって、どういう動線で移動するかを示す図です。これにより、どの部屋にどんな機能があるのか、どこが安全管理上重要かを確認できます。同じように、業務フローチャートは企業内の業務の流れを示し、どのプロセスが重要で、リスクがある部分を明確にします。
2. リスクコントロールマトリックス(RCM) = 家の安全対策リスト
家の中で危険が潜む場所(たとえば、階段やコンロ、ドア)をリスト化し、それに対する安全対策を決めるのがリスクコントロールマトリックスに相当します。たとえば、「階段には手すりをつける」「コンロは使わないときに安全ロックをかける」などが安全対策です。同じように、企業ではリスクがある部分に対して具体的な対策を決め、その対策が機能しているか確認します。
3. 統制手続書(コントロールアクティビティ) = 家のルール
家庭の中で「寝る前には必ずドアの鍵を確認する」「お金の管理は一人だけが担当する」「子供は一人で包丁を使わない」など、家の安全や管理に関するルールを定めるのが統制手続書に似ています。企業でも、業務上のリスクを減らすために、誰がどのような承認をするか、アクセスをどう制限するかといった具体的な手続きやルールを定めています。
これらの3つが揃っていることで、家の中(企業)で何が重要で、どこに注意を払うべきか、そしてどんな対策やルールを守るべきかが明確になります。結果として、安全で効率的な生活(業務運営)ができるようになるという点で、内部統制構築の3点セットと家の安全管理はよく似ています。
内部統制における情報技術への対応
財務報告に関わる内部統制の実施基準では、ITシステムが財務報告に与える影響を重要視しており、
IT全般統制とITアプリケーション統制の2つを適切に整備、運用することが求められています。
これによりITシステムに起因する不正やミスを防ぎ、正確な財務報告を実施することができます。
IT全般統制(General IT Controls: GITC)
IT全般統制は「システム全体を安全に管理するルール」です。
IT全般統制は、企業のIT環境全体に対する統制であり、財務報告に影響を与えるシステムの信頼性を確保するために設けられています。具体的には、次のような内容が含まれます。
| 項目 | 内容 |
|---|---|
| システムのアクセス管理 | 財務データにアクセスできる権限を持つ人物を制限し、必要以上に多くの人がアクセスできないようにする。これにより、不正アクセスやデータの改ざんを防ぎます。 |
| プログラムの変更管理 | 企業のシステムに加えられる変更(ソフトウェアの更新や機能追加など)に関して、適切な手続きを経て、正しく変更されているかを確認することが求められます。これにより、システムが意図せぬ形で変わり、財務報告に悪影響を及ぼさないようにします。 |
| データバックアップとリカバリー | 万が一のシステム障害やデータの消失に備えて、データのバックアップやリカバリーの計画が整備されていること。これにより、予期せぬシステムトラブルが発生しても、財務情報の損失を最小限に抑えることができます。 |
| セキュリティ管理 | ウイルス対策やファイアウォールの導入、脆弱性の定期的な監査と対応を行い、システムが外部からの攻撃や不正アクセスに対して保護されているかを確認します。 |
ITアプリケーション統制(Application Controls)
ITアプリケーション統制は「アプリやソフトが正しく動いてデータが正確であることを確認する仕組み」です。
ITアプリケーション統制は、財務報告に関わる業務処理システムの個々のアプリケーションが正しく機能しているかを確保するための統制です。これには、システム上で行われる取引やデータ処理が正確かつ完全であることを保証するための統制が含まれます。
具体的には次のような内容が重要です。
| 項目 | 内容 |
|---|---|
| 入力統制 | システムに入力されるデータが正確であり、誤ったデータが処理されないようにするための仕組みです。例えば、入力時に自動チェックを行い、異常なデータが入力された場合にアラートを出すなどの機能が含まれます。 |
| 処理統制 | システム内でデータが処理される際に、プログラムが正しく動作し、計算や集計に誤りがないことを確認するための統制です。 |
| 出力統制 | 処理されたデータが正確に報告され、出力されるレポートや帳票に間違いがないことを保証する仕組みです。財務報告に使われるデータの最終的な結果が正確であることが求められます。 |
IT全般統制とITアプリケーション統制について具体的にいうと次のようになります。
1. IT全般統制(General IT Controls: GITC)
例: 「誰がパソコンにログインできるか制限したり、ソフトウェアの更新が適切に行われているか確認すること。」
2. ITアプリケーション統制(Application Controls)
例: 「経理システムに入力する数字が間違っていないかを自動でチェックする仕組み。」
プライバシーマーク制度
プライバシーマーク制度の概要
簡単に言うと
プライバシーマーク制度とは簡単に言うと、企業が個人情報を正しく管理できていることを証明するマークを取得する制度です。
企業が個人情報の保護に関する基準を満たしているかを第三者機関が審査し、合格するとプライバシーマークが与えられます。
このマークがあると、消費者や取引先に対して「個人情報をしっかり守っている企業ですよ」とアピールできます。
厳密にいうと
プライバシーマーク制度とは、個人情報を適切に取り扱っている企業や団体に対して、
一般財団法人日本情報経済社会推進協会(JIPDEC)が認証を与える制度です。
企業が個人情報の保護管理体制を整備し、個人情報の取り扱いにおいて一定の基準を満たしていることを証明するものとして、
プライバシーマークが付与されます。
身近なものに例えると
プライバシーマーク制度をスポーツに例えると、「フェアプレー賞」のようなものです。
スポーツでフェアプレー賞は、選手やチームがルールを守り、スポーツマンシップに則った行動をしていることを評価されて与えられる賞です。この賞を受けた選手やチームは、「ルールをきちんと守って、クリーンにプレーしている」という信頼を得られます。
プライバシーマークも同様に、企業が個人情報を適切に管理し、ルールを守っていることを認められた証です。このマークを持つ企業は、「個人情報をしっかり保護していて、信頼できる会社だ」という評価を得られます。
プライバシーマーク取得までの期間と費用
プライバシーマークの取得には、一般的に6か月から1年程度の期間と、数十万円から数百万円の費用がかかります。期間や費用は、企業の規模や個人情報の取り扱い状況、内部体制の整備状況によって異なります。