待った無しの日本版SOX法
2005年に全面施行された個人情報保護法や、2008年度から適用される日本版SOX(金融商品取引法)など、企業はさまざまな法規制に取り組まなければならない状況になっています。また、現在の企業はITの上に成り立っていると言っても過言ではなく、これらの法規制に対しても、ITを伴った対応を考える必要があります。
次々と法令や業界団体の規制が制定され、そのコンプライアンスに違反すると社会的に不利な状況になりかねない状況のなか、どのようにすれば効果的な法令遵守(コンプライアンス対応)が実現可能になるのでしょうか?
各種法規制は過去の企業の社会問題
まず、世界的にこのような法規制が制定されている理由は、企業が起こす社会問題をいかにして防ぐかということを突き詰めた結果です。では、そこにどんな原因があり、法令によって、何を規制する必要があったのでしょうか?
まず最初に出てくるのは、エンロンやワールドコムの不正取引や粉飾決算による投資家への不利益に端を発した米国のSOX法があります。この法令は、企業を統治・統制する事によって、企業のずさんさが原因で不正が起こらない環境にすること、すなわち「ガバナンス」を目的に制定されています。
次に、個人情報保護法に規定されている「プライバシーの保護」を目的としたものがあります。企業が個人情報を扱う方法を厳格にすることで、個人が不要なトラブルやプライバシーの侵害を受けることのないようにするため、事前の対応を求めるものです。
また、上記のすべてに含まれる「セキュリティ」を規定するものもあります。企業の重要なインフラストラクチャの保護、機密情報へのユーザのアクセス管理の方法やアクセス状況の追跡、監査する方法を規定しています。
