最近、よく「日本版SOX法対応」という枕詞をつけたサービスやツール、製品がネット上を飛び交っています。その言葉にはうそはないのでしょうが、正しく解釈しなければなりません。
　
　もともと日本版SOX法（金融商品取引法）では、上場企業に社内の仕組みとして内部統制を求めています。内部統制は、会社のあらゆる業務、組織、メンバーにわたるもので多種多様、多岐にわたる対策、仕組み、ルールで構成されます。また、その内部統制の導入のレベルも業種や会社規模、環境、状況、売り上げ規模などによって、経営者の判断に委ねられています。
　
　少し、検索エンジンで「日本版SOX法対応」をキーワードにしてどのようなサービス、製品が日本版SOX法として宣伝されているのか、その実体を調査してみましょう。
・日本版SOX法対応自己防衛型検疫ネットワーク
　企業内にあるＰＣのセキュリティをチェックする仕組み。
　日本版SOX法で求めているアプリケーションおよびクライアントＰＣのセキュリティ状況を含むITリスクの把握には有効だと思いますが、必須ではありません。経営者が、ＰＣのセキュリティレベルをリアルタイムで把握したいと考えた場合には、検討してみてはいかがですか。これ以外にも、リスク把握の方法は、考えられます。
　
・日本版SOX法対応データ保存用の磁気テープ装置
　日本版SOX法では、システムのバックアップなどの体制も整備することを求めています。
　既存の製品で、磁気テープに限らず外部記憶装置などは、データのバックアップに利用されています。日本版SOX法に限らず、情報セキュリティ上は当たり前の業務として行っているものです。もちろん、バックアップをとる運用は日本版SOX法に照らし合わせて対応が取れていますが、どの外部記憶媒体記憶装置でもいいわけです。
　
　・日本版SOX法対応アクセス管理ツール
　日本版SOX法では、情報の機密性が求められます。アクセスしてよい人にはアクセスを許可して、アクセスさせたくない権限の低い人にはアクセスさせない仕組みを求めています。
　これも、このツールが必須というわけではなく、Windows環境において、各業務システムにおいても正しく環境を設定することで実現が出来る機能です。このツールを導入するメリットもあると思いますが、他の方法でも十分対応はできますのでその比較検討が必要です。
　
・日本版SOX法対応アカウント情報管理ツール
　日本版SOX法では、情報漏えい対策、情報セキュリティ対策を求めています。
　これは、社内に存在するPCのアカウントを収集し不要なアカウントの削除やパスワードを統合的に管理するツールです。クライアントＰＣのアカウント更新・削除、パスワード変更等、管理者の手間と時間の削減出来るツールですが、管理者がこのツールを使わなくても十分に同等の作業は行えます。クライアントＰＣの台数が多くなったときに、その管理工数や作業の効率化を図れるツールですので、自社の環境、状況とをかんがみて検討しなければなりません。
　
　これらのツールや製品以外に「内部統制ソリューション」という名称でサービスが多く出ております。こちらは、コンサルティングを行いますという名目が多いのですが、概してクライアント企業にとっては、オーバースペックな内容になっているのではないかと感じます。これらのサービスは、内部統制を世間相場の一定のレベルまで上げるための方策であり、レベルに近づけることを第一の目標にしているものです。しかし、クライアントが本当に求めているのは、いかに安価で、効果的な内部統制の実現方法であり、このギャップを埋められない限りは効果的なものとは言えません。
　
　このことからも言えることは、内部統制の判断の基準を経営者自らが持つことが最大重要ポイントであるということです。業者やＳＩｅｒなどの宣伝文句に惑わされず、正しい判断ができるよう経営者が勉強すべきなのです。そのためのコンサルティングサービスであれば活用は有効だと思います。内部統制は、その企業にあったレベルというものが認められます。世間のレベルという尺度も重要ですが、しゃにむにそのレベルを求めるというのは間違った取り組みだと思います。
　
　世の中の日本版SOX対応という言葉に秘められた裏の意味を汲み取ってください。