最近の内部統制に関する相談や問い合わせの中で、J-SOX法対応しなくとも対外的に内部統制対策をしていることをアピールしたいけれど、どうすればよいかという内容のものが多くなってきた。もちろん、非上場企業であることが条件。
　
　個人情報保護の観点では、情報セキュリティ対策の自己チェックシートを求められることがあるが、おそらくこの先内部統制の自己チェックシートが現れるに違いない。この中でウソを付くことは問題があるので、何とか○を付けたいというのが心情だろう。しかし、無体策の中で○はなかなか付けられない。それなりの計画と実行、運用がなければ内部統制を表現することは難しい。
　
　例えば、企業の受付一つ見ても内部統制が働いているかどうかが分かる。個人情報保護の面からもそうだが、簡単に執務スペースに入れたり、覗けたりするのは第一印象は悪い。きちんと受付の機能として外部者の遮断壁になっているかは見ることで把握されてしまう。
　
　情報漏えいと内部統制は、切り離せない要件でもあり、会社内の雰囲気やパソコンの扱い方を見ても内部統制の度合いは計れるだろう。
　
　外部者から見られる部分を優先的に内部統制の効いた対策を進めたい。これが、相談者の意図である。
　
　非上場企業の対策方法としては、これは許されるものだろう。もちろん、非上場企業だからといって、J-SOX法を無視するわけにもいかないし、のっとることは意味のあることである。しかし、あまりにも法準拠は、莫大な工数や予算が必要なのも事実であり、MUST条件ではない非上場企業では、部分的な適合は許される。
　
　問題なのは、どこにどの程度どのように内部統制を確立させるかである。
　
　基本は、情報セキュリティ対策ではないかと思っています。目に付きやすい対策であり、その導入効果も分かりやすい。社内の稟議や承認フローに手を付けても、外部者には分かりにくいし、業務の非効率化を生みやすい。
　
　個人情報に関しては、皆さんが敏感になっていることもあって、その対策が内外に分かりやすいのも事実なのです。
　
　さらに、その具体化は、企業それぞれによって進め方は異なるでしょうが、まず最初に行うことは情報セキュリティ対策ではないでしょうか。もちろん、それだけで終わってしまっては片手落ちでしょうが、効果が出やすい部分だと思っています。