CSKシステムズ : サービス : お客様向け情報誌 CSK XPRESS : 2005年 : vol.122 2005.08-09

	CSK XPRESS は CSK システムズが発行しているお客様向け情報誌です。 PDF文書をダウンロードしてごゆっくりお読みください。	全36P版(859KB)

トレンド

SOX法施行二年目を迎えた米国企業
―加速するデジタル組織化への動き―
（株）CSK 馬場　正博
（株）CSK 大野　勝広

(108KB)

ソリューション－1

ITILを活用した日本版SOX法への対応
―法対応に留まらず、ITガバナンスの確立へ―
（株）CSK 湯浅　欧

(204KB)

ソリューション－2　

偽造・盗難キャッシュカードによる不正取引の早期発見と被害の拡大防止
―キャッシュカード不正使用検知ソリューション『BankSavior』―
（株）CSK 高橋　賢次

(200KB)

ソリューション－3

「人」を基軸に据えた漏えい対策
（株）CSK 森　史彦

(130KB)

米国通信

映画のネット販売開始は秒読み段階
（株）CSKニューヨーク駐在員事務所長鈴木　奏

(35KB)

インフォメーション

機密情報管理・個人情報保護への取り組み

(35KB)

インフォメーション

「2004年度CSK顧客満足度調査」より

(119KB)

インフォメーション

CSK IT-SOLUTION SEMINAR開催のご案内

(28KB)

（株） CSK
コンサルティング部
第一コンサルティング課
馬場　正博

大野　勝広

米国企業改革法（サーベンス・オクスリー法：SOX法）は、米国で施行後最初の決算が終了し、業務プロセス変更による影響や、対応策に要した費用などの結果が明らかになってきた。日本ではいまだ対岸の火事的な印象のSOX法だが、ニューヨーク証券取引所などに上場する一部のが既にSOX法の影響下にある。日本でも東京証券取引所が2004年度から財務諸表について代表者の保証を求めている。また、金融監督庁を中心に日本版SOX法の制定の準備も進んでおり、2、3年の準備期間を経て2008年3月期には義務化されるという。

このSOX法の対応はビジネスプロセスとITマネージメント両面での見直しを複眼的に行う必要性があると当社は考えている。そこで、SOX 法施行後一年目の決算が終了し、二年目の決算報告に向け改善策の実行が進む本年半ばのタイミングをとらえて、米国でのSOX法の施行状況や対応策について現地調査を行った。

その結果、SOX法が改めて明らかにしたのは、手作業（紙や口頭での報告・チェック）に内在する危険であり、ビジネスプロセスの多くが、SOX法の検証に十分に耐えることは難しく、ITによる自動化、いわゆるデジタル組織化の必要性が求められるということだ。生産性と、SOX法対応の両面からデジタル化の進み方で企業競争力に大きな差が生じる可能性も出てきた。調査結果を踏まえ、SOX法への対応について紹介する。

（株）CSK
eソリューション技術部
ITIL推進課
湯浅　欧

日本版SOX法（仮称）の制定・施行をにらみ、同法対応を検討する企業が急増している。日本版SOX法とは、米国で既に施行されているSOX法（Sarbanes-Oxley Act：米国企業改革法）を日本の実情に合わせアレンジしたものである。

法規制は概して制約事項という負荷ばかりと受け取られがちだが、企業改革法というだけあってSOX法にはメリットがあることも見落とすことができない。具体的には、（1）内部統制の確立、（2）透明性の確保、（3）IT ガバナンスの確立、という効果をもたらすポテンシャルがある。このポテンシャルを引き出すためにも企業やグループ企業は全体最適なシステムの構築・運用を実施する必要がある。

日本版SOX法への対応は地道で、一足飛びに解決につながる処方箋は存在しない。一方で、日本版SOX法の施行は早ければ2008年3月期といわれ、3月決算の企業であれば2007年4月までには日本版SOX法への対応を済ませる必要がある。企業規模や業務の成熟度によって程度の差はあれ、日本版SOX法対応にある程度の投資は避けられない。であれば、同法の狙いを汲み取り、企業競争力を強化する対策を行いたい。

そこで注目されるのがITILだ。SOX法の要求事項とITILが目指す方向性には共通点が多く、ITILを活用することでSOX法への対応負荷を軽減できる。日本版SOX 法ではITILをベースに当社が培ってきた日本での運用ノウハウを盛り込んだ「HEARTIL」が有効と考えられる。米国企業の対応の実態を踏まえ、日本版SOX法への対応、今後の展開について紹介する。

（株）CSK
金融事業開発部
高橋　賢次

本2005年始め、既に社会問題化していた偽造・盗難キャッシュカードによる預金の不正引出問題について、そのガイドライン的なものが公表された。全国銀行協会（全銀協）の「偽造キャッシュカード対策に関する申し合わせ」（2005年1月）、金融庁からの「偽造キャッシュカード問題への対応について」（2005年2月）の2つがそれである。また、6月には自民・公明両党から「偽造・盗難カード預金者保護法案」の要綱が発表された。これにより、各金融機関側で過失を証明できない限り被害額の全額または75％を補償することになり、預金者本人による不正を視野に入れた対策を余儀なくされた。

そこで、金融機関が取るべき対応と課題について整理すると、[1]被害の発生防止、[2]被害の拡大防止、[3]被害発生後の対応、となる。なかでも被害の拡大防止で必要とされる「異常・不正取引のモニタリング」は「何を」「どこまで」「どうやって」という基準が不明確なため、手探り、あるいはTRY & ERRORを繰り返しながら取り組んでいかなければならず、費用対効果の面からも難しい課題となっている。

この、明確な基準がない中で取り組んでいかなければならない問題を、当社が開発したキャッシュカード不正使用検知ソリューション「BankSavior」がいかにして解決するのかを解説する。

（株）CSK
教育サービス事業部
森　史彦

個人情報保護法が本2005年4月に施行され、プライバシーマークや情報セキュリティマネジメントシステム（以下、ISMS）の認証を取得する企業が昨年から急増している。プライバシーマークは1998年9月に第1号を認定してから1000号まで6年もかかっていたが、その後わずか半年で1600号（2005年7月）に達した。またISMS認証取得数はこの1年で921事業者（2005年7月現在）に倍増。

多くの事業者はすでに同法対策を取っていると思われるが、その一方、個人情報の漏えい事故が続発していることも見逃すことはできない。しかもその大多数は人的要因による事故。従業員や業務管理・担当者の情報漏えいリスクに対する認識不足が事故を引き起こしているのだ。

漏えい事故防止策は、組織のセキュリティポリシーと管理体制の整備、そして従業員への意識付けの徹底が重要課題である。そのため規程類や教育体制を整えようと考える企業は多い。しかし、組織として目指すべき形態や、自社の現在のセキュリティレベルと変更点など、改善の指標とするものが見あたらず戸惑う企業も少なくない。

そこで認証取得までのステップが指標として着目されている。なかでも、人的セキュリティ対策として「教育」の重要性は高く、企業価値・評価を高める投資と捉え実践して欲しいと筆者は考える。

指標とするプライバシーマークやISMS認証取得のステップについて説明するとともに、セキュリティ教育について当社の教育カリキュラムを例にポイントを解説する。