« 総務省 パブコメ 「地方公共団体における情報セキュリティポリシーに関するガイドライン」(案) | Main | 総務省 目印でネット上の情報流通を制御?の研究 »

2006.08.22

J-SOX実施基準、「具体例なし」の公算大」 日経コンピュータ 2006.8.21号

 こんにちは、丸山満彦です。日経コンピュータ 2006.08.21号に「J-SOX実施基準、「具体例なし」の公算大 200ページの原案を廃棄、草案公開は早くて10月」という記事が載っていますね。その中から気になる記述をいくつか・・・

=====
(前略)「実施基準」が紆余曲折を経て10月にも公開される。200ページ超の原案を廃棄し、新たに作り直された動機順は、期待された具定例や数値目標は盛り込まれず、原則の提示にとどまる見込みだ。
(後略)
=====

=====
(前略)当初はかなり詳細な基準を示す予定だった。事実、同部会が作成した実施基準の原案はA4版で200ページを超え、約100項目をQ&A形式で記述していたという。
 ところが同部会はこの原案を廃棄し、新たに作り直すことを決めた。(後略)
=====

=====
(前略)8月4日には「枠組み」の実施基準案を検討する作業部会を開いた。ここで検討された枠組みは約25ページの文書で、うちITに関連する記述は5ページ前後。「具体的な数値や事例の記述はない」と関係者は話す。「以前は、実務に役立つ指針という役割も持たせようとしていたが、現状ではその色合いは薄まっている」(同)。
=====

 具体的な数値や事例の基準はなく、実務に役立つ指針の色合いも薄まっているということは、何のために役立つのだろう・・・という気になりますね。

=====
(前略)
 新たな実施基準では、「情報セキュリティ」や「アクセス管理」などに関して、何らかの方針を示す模様だ。(後略)
=====

 「情報セキュリティ」や「アクセス管理」などに関して、何らかの方針が示される模様ですが、ITに関連する記述は5ページということを考えれば、本当に方針だけかも知れませんね。
 
 八田先生のコメントについては、以下の通りです。

●200ページの原案を破棄し、新たに作り直すことになった経緯に関して
=====
(前略)八田進二教授は、その経緯を「当初の原案は「評価方法」を重視していた。だが、企業が求めているのは「枠組み」だと分かり、作り直すことに決めた」と説明する。原案を複数の担当者が記述したため、記述レベルの統一が困難だったのもその理由の一つだった。
=====

 この制度は、内部統制の「評価」についての制度ですから、「評価方法」に関する詳細なガイドが必要だと思いますが・・・。例えば、基本的要素の6つがすべて有効に機能して始めて内部統制は有効と評価されるわけですが、統制環境が有効であると企業が評価するためには、「どのような要件が最低満たされる必要があるのか」とか、「どのような要件が満たされていないと統制環境が有効でないと評価しなければならないのか」といったガイドが示されていると企業も内部統制の評価をしやすいのだろうと思います。


●具体的な数値や事例の記述はないことに関して
=====
八田部会長は「そもそも内部統制のあり方は企業自身が考えるべき。米国では指針が細かすぎたため、企業に余分な負担を強いたことも踏まえている」と話す。
=====

 グレーゾーンを狭くしないという判断ですかね。。。誤りがあると厳しく非難される立場にある人は、一般的にグレーゾーンを黒と判断しがちになると思います。つまり、グレーゾーンが広いほど、企業に過剰な対応を要求してしまうのではないだろうか・・・と思います。グレーゾーンが少なくするように実施基準は作るべきでしょうね。。。


 とにかく、10月に公表される?、公開草案を今は待つしかないのでしょうね。
●基準案の作成の際に、実施基準で検討することになっていた項目が本当に検討されているかについても国民としては確認、評価しないとだめですね。

【参考】
・2006.07.18 グレーゾーンが広いと経営者も監査人も困る

|

« 総務省 パブコメ 「地方公共団体における情報セキュリティポリシーに関するガイドライン」(案) | Main | 総務省 目印でネット上の情報流通を制御?の研究 »

Comments

この記事を見て絶句しました。ここまで引っ張ってきて、そりゃぁないだろう、というのがホンネです。

> つまり、グレーゾーンが広いほど、企業に過剰な対応を要求してしまうのではないだろうか・・・と思います。
> グレーゾーンが少なくするように実施基準は作るべきでしょうね。。。

この点、大いに同意します。個人情報保護法だって、「ガイドライン」が出て、ようやく具体性を持ったのですから・・・。

せっかく200ページもの実施基準をつくったのであれば、参考基準としてでも公開して欲しいところです。

Posted by: uzen | 2006.08.22 11:55

UZENさん、コメントありがとうございます。
理論だけでなく、実務への落とし込みも同等に重要なのでしょうが、それができていないプロジェクトとなっていしまっているのかも知れませんね。

Posted by: 丸山満彦 | 2006.08.25 04:45

200ページもある原案を改良するのではなく、廃棄するというのはどういうことなのかな。。。

丸山さんのブログを読み、まわりにとやかく言われたことに腹を立てて、ちゃぶ台をひっくり返したオヤジの姿がなんとなく浮かびました。なんとなくですよ。

Posted by: koneko04 | 2006.08.25 14:10

koneko04さん、コメントありがとうございます。
結局、今ある不備の是正などを進めながら、評価体制の構築をすればよいのでしょうね・・・

Posted by: 丸山満彦 | 2006.08.26 09:47

今月には実施基準(草案)が公開されるかなぁと思って待っていましたが、

http://www.atmarkit.co.jp/news/200610/20/jsox.html

八田先生が「『年内、遅ければ来年初で作業を進めている』と講演で話した」そうですので、日経コンピュータ 2006.08.21号 に書かれている「早くて10月」というタイミングでの公開は、あり得そうもないですね・・・。

Posted by: uzen | 2006.10.20 14:56

UZENさん、コメントありがとうございます。今までわからなかったことがピシッとわかるようになると思っている人は、公開された実施基準をみてちょっとがっかりするかもしれませんね。

Posted by: 丸山満彦 | 2006.10.21 11:43

Post a comment



(Not displayed with comment.)




TrackBack


Listed below are links to weblogs that reference J-SOX実施基準、「具体例なし」の公算大」 日経コンピュータ 2006.8.21号:

« 総務省 パブコメ 「地方公共団体における情報セキュリティポリシーに関するガイドライン」(案) | Main | 総務省 目印でネット上の情報流通を制御?の研究 »