【月例会】
「企業の内部統制とデジタル・フォレンジック」をテーマに月例勉強会を開催

会場の様子
会場の様子
 日経デジタルコアは5月19日、「企業の内部統制とデジタル・フォレンジック」をテーマに月例勉強会を開催した。IT法律事務所所長である高橋郁夫弁護士が講演し、デジタル情報の証拠保全手法であるコンピューター・フォレンジックスが企業の内部統制にどのような効果を持つのか解説した。続いて、情報セキュリティ大学院大学の内田勝也助教授が、企業においてフォレンジックスをどう実践していくのかについて講義した。

高橋氏の講演から

高橋郁夫弁護士
高橋郁夫弁護士
 現在、いわゆる「日本版SOX法」が話題となっているが、議論されている範囲は会計監査部分が中心で、不正がおきた場合の説明責任や刑罰などの全体的な仕組みを定めた米国のSOX法(企業改革法)とは比較できない部分がある。
 昨年、金融庁が上場企業に対し内部統制報告書の作成を義務づける方針を発表し、それが日本のSOX法にあたると考えられるようになった。2006年3月にはそれを盛り込んだ金融商品取引法案が閣議決定され、国会での審議が続いている。
 また、今年の5月から施行になった改正会社法でも、大企業では内部統制のルールとチェック体制を作り、文書化することが義務づけられている。
 これらの一連の動きの新しい点は、監査の「品質管理」ともいえる、監査制度の拡充とあいまって、企業内容等の開示の制度を整備することにある。しかし組織・刑事的不正行為を行った場合の処罰や、訴訟による統制について言及がなされていないなど、課題は多い。
 内部統制の実効性を高めるためのツールとして、コンピューター・フォレンジックスの概念が有効だ。
 フォレンジックスとは、例えば刑事事件における鑑識活動のように、法廷で証拠となるものを発見し、整理することであり、これをコンピューターの世界で実践することがすなわちコンピューター・フォレンジックスである。具体的には、コンピューター証拠の保全、識別、抽出、ドキュメント化などだ。ライブドア事件でメールが証拠として押収されたことなどでも注目されるようになった。フォレンジックスの視点を内部統制に組み込むことで、不正行為の抑止や発見、調査、そして内部告発への対応などを適切に行うことが可能になる。それには専門家を雇用することも必要だろう。企業の透明性を高め、情報隠蔽を文化としないために、こうした対策をとることが今、経営者に求められている。

内田氏の講演から

内田勝也助教授
内田勝也助教授
 米国ではSOX法が施行されてからより情報セキュリティーへの関心が高まってきたが、重要なのは情報セキュリティーが技術ではなく、コーポレートガバナンスであるという意識がますます強くなってきたことだ。日本の企業では、セキュリティーが技術だと考える 経営者がまだ少なくない。まずは認識を改めることが必要だ。
 不正行為への対応にフォレンジックスは有効だが、フォレンジックスは基本的に起こった事柄に対する証拠を探し出すものであり、正しいかどうかのルールは法律やセキュリティポリシー、企業規則・規定が決定するものだ、ということを忘れてはいけない。また、規則を作っても周知徹底していなければ何の意味もない。
 情報を証拠として残していくためには、まずそれを客観化しなければならない。電子メールを印刷したものを提示して、これが証拠だというのはフォレンジックスを考えればおかしいことが理解できるはず。情報を証拠とするには、タイムスタンプやハッシュ値(注)などを記録し、証拠としての客観性を保つようにする。
 企業におけるフォレンジックスの実践のサイクルは、まずポリシーの作成や教育などの計画段階があり、次に証拠の収集、そして証拠の分析、報告書の作成、と続く。現在はユーザーが複数のパソコンを活用することも多く、膨大なデータや暗号などが日常的に使われている。ハードディスクの物理的なコピーだけでも相当な時間がかかる。そうした中でフォレンジックスを進めていくためには、上記サイクルのうち、証拠収集から報告書の作成まではソフトウエアの守備範囲、と割り切ることも大事だろう。
 今後は、裁判対応のための資料をどのように作成するかが、日本企業にとって大きな課題となるだろう。訴訟記録が原則として公開されている米国と異なり、日本ではそれらを見ることもできないからだ。
(注)文字列等から一定長のデータに要約した値を、「ハッシュ値」と呼ぶ。文字列が少しでも異なるとハッシュ値は異なるため、2つの文字列をハッシュ値により同一かどうか判断できる。

ディスカッションから

 ウィニーによる情報漏洩や不正行為に対し、企業がどのような仕組みを持つべきかという情報セキュリティーの視点から議論が交わされた。内田氏は「肝心なのはログをきちんと取っておきレビューすることだが、人間が関係する部分は、必ず複数で行うようにしたり、二人が結託したとしても有効な仕組みを構築するなど、内部管理体制を整えることが重要だ」と述べた。高橋氏からは、「個人情報保護法の施行でもそうだったが、セキュリティーをどう位置づけ、取り組むかが今後の企業の命運を左右する。業務プロセスを効率化して筋肉質の組織にし、悪いところに敏感な体質作りを目指すという視点が必要」との指摘がなされた。

トラックバック

このエントリーのトラックバックURL
http://www.nikkeidigitalcore.jp/cgi-bin/mt/mt-tb.cgi/99

コメント一覧

メニュー