日本版SOX法の施行による内部統制と個人情報保護(3)個人情報の取り扱いを例に内部統制を確立させる（前編）

前回ではSOX法の要となる内部統制、発生するリスクについて説明した。しかしSOX法の成立した経緯から、財務諸表に関する内部統制の域をでないと考える人も多い。しかしSOX対応に携わっていけば、会計システムだけ対処すれば済む問題ではないことに気づく。例えば、上場企

特集特集

2006.3.20 Mon 17:45

前回ではSOX法の要となる内部統制、発生するリスクについて説明した。しかしSOX法の成立した経緯から、財務諸表に関する内部統制の域をでないと考える人も多い。しかしSOX対応に携わっていけば、会計システムだけ対処すれば済む問題ではないことに気づく。例えば、上場企業であれば、決算発表前の決算情報は機密性の高い情報であり、組織としての情報管理が要求される。また株主持分変動計算書を作成する過程では、個人株主に関する情報が欠かせない。そこには、氏名、住所などが含まれており、個人情報としての取り扱いが要求される。他にも財務報告に関係する情報としては、貸借対照表、損益計算書がある。昨今個人情報の取り扱いが注目されている点を踏まえ、今回は個人情報の取り扱いを例にSOX法に対する6つのステップに基づく内部統制の確立手順を解説する。

●SOX法の対象範囲を確定する

チェックポイント
CP1:SOX法の内部統制の評価範囲は？

第1回では、米国SOX法が日本企業に影響が及ぶケースがあることを説明した。これは組織が構築した内部統制の及ぶ範囲を明確にすることが企業に要求されていることを意味する。A社がSOX法を順守する場合、SOX法では次のような会社もSOX法に基づき、内部統制の評価範囲となる。

・SOX法が要求する内部統制の評価範囲となる代表的なケース
　A社が100%出資している子会社A1
　子会社A1が100%出資している子会社A1a
　A社が財務報告の信頼性に影響を及ぼす外部の委託会社B

出資比率が100%以外、子会社が海外に置かれているケースなど、個別に判断するが、従来の連結決算の対象範囲よりも広域に及ぶ。株主総会を開催する通知を株主に出す場合には、多くの企業が財務諸表に関する情報を印刷・加工・封印そして発送する一連の業務を外部企業に委託している。一方で、経理部門をアウトソーシングさせている企業も増えてきている。どこまでをSOX法の範囲であるか確定してからSOX法対応を進めていかなければならない。

CP1情報：
内部統制の評価範囲については、日本公認会計士協会から情報が提供されている。例えば、外部委託に関する内部統制の有効性については、監査基準委員会報告書　第18号が参考になる。

【執筆：古川泰弘（神奈川大学非常勤講師）】

──
この記事には続きがあります。
全文はScan Security Management本誌をご覧ください。

◎有料版Scan申込＞ http://www.ns-research.jp/cgi-bin/ct/p.cgi?m02_ssm