コメント第一号 ありがとうございます

　再び、茨城県国民健康保険団体連合会の巨額横領事件についてです。
この事件は、世間的な関心も高いようで、ワイドショーなどでも多くの時間が割かれ、その横領の手口が報道されていますが、呆れ返るばかりですね。

　前回の記事で「全く内部統制が無かったと断定していいです」と記載しましたが、誤りではなかったようです。連合会の役員諸氏の考えはともかく、報道されている範囲で考察すれば、内部統制が少しでもあったと判断することは出来ないでしょう。少なくとも有効な統制があったとは言えません。
(1) 引下ろしに必要な印鑑と通帳が同じ金庫に保管されていた
当然、別々に保管して然るべきです。通帳と印鑑があれば、預貯金の如何なる操作も可能です。不正な預貯金操作(今回の事件では横領)というリスクを想定するならば、印鑑と通帳は別々に保管、管理者も同一人にしないことは当然の管理策でしょう
(2) 犯人が通帳と印鑑を金庫から自由に出し入れしていた
通帳も印鑑も然るべき手続、つまり使用の申請を行い、管理者が照査し、その上で認証され、記録に残す、が必要です。そして、その記録を定期的にレビューしていれば、当該職員の使用記録が突出しており、詳しい調査が必要なことに気がついたのではないでしょうか。
　
(3) 監査は年に2回実施しているが、発見出来ず
大掛かりになる監査はだけでなく、出納に関する検査はもっと頻繁に行う必要あるでしょう。例えば、通帳に検査日までの最新の出し入れを記帳、検査すれば犯人による異常な出勤を早期に発見できた筈です。また、頻繁に実施される出納検査が、横領事犯の抑止効果になったと思います。
(4) 犯人を信じきっていた　
善人だから、大丈夫だと考えていたようです。連合会幹部が報道機関のインタビューに答えていましたが、日頃真面目に勤務していたので、横領するとは思わなかったと話していました。性善説はやめましょう。資金が不正に操作される、横領されるというリスクに備えましょう。善人なら管理を緩くし、悪人なら厳しくするのでしょうか。そもそも、悪人と分かっていながら採用することはない筈です。
　
(5) チェックはしていたつもり　
連合会役員は、報道機関からの質問にチェックはしていたつもりと回答していました。しかし、必要な検査照査が行われていないから、横領を許し、しかもこれだく巨額になるまで発覚しなかったのは明白です。
青森県住宅供給公社の巨額横領事件では犯人は懲役14年に処せられ服役中です。横領の法定刑の最高が懲役10年でしょうから、検察は他の罪状と合わせ併合罪で起訴し、裁判官もそれを認めたのでしょう。今回も国民の保険金を横領したので、検察は同じように他の罪状を合わせて可能な限り長期の量刑を求めてくるものと思われます。しかし、10億円という国民の貴重は保険金が弁済される訳ではありません。このような不正を起こさせない仕組みが必要なのでは言うまでもありません。
この手の事件で聞かれる弁解の常套句が、犯人が真面目であったとか勤務態度に問題は無かったとかです。そして、今後は性悪説にたち対策をとると言うわけです。内部統制は、性善説性悪説は全く関係ないと考えています。
当社は性善説にたち、社員を信用しているので、内部統制を必要としていませんとか、性悪説にたち社員に権限を委譲しませんとか・・・　　双方とも間違っていませんか。
社員に業務に必要な権限の委譲がなければ、業務は遂行できませんし、業務に潜むリスクに備えなければ、今回のような不正を防げません。
企業(事業体)は、信頼できると判断した場合に社員(職員)を採用し、職務の遂行に必要な権限を任せます。内部統制は、個々人を対象とする属人的なものではなく、業務プロセス中のリスクを対象とするものではないでしょうか。真面目で勤務態度の良いから、性善説にたち、職務上のリスクに対して、何の備えもしないというのは言い訳にもなりません。性悪説と称し、業務の遂行ができないのも愚の骨頂です。
私は、内部統制は想定されるリスクに対する備えだと考えています。想定されるリスクが小さければ、コスト面から考えて特に対策を採らないということも有りだと思いますし、また想定されるリスクの発生可能が低い、つまり脅威脆弱性が小さいので、管理策の程度を下げることも有り得ると思います(当然、経営陣によるリスクの許容が前提ですが)。リスクが有るから管理策が有るので、人の性格の良し悪しで左右される問題ではないでしょう。
　
私は、内部統制を性善説性悪説で判断していくいことには断行反対です。私も意見に賛同していただける同志を募りたいです。

全日本柔道選手権

今日、日本武道館で全日本柔道選手権が開催されました。柔道の最強選手を決める大会ですが、今年は北京オリンピックの100キロ超級の代表選考の兼ねており、大会前から話題沸騰でした。

4年前の全日本選手権は、井上、鈴木、棟田の三選手が100キロ級、100キロ超級の二つの代表枠をかけて激突しました。3選手とも前年の世界選手権を制しており、世界チャンピオン三人が優勝を争う、正に世界一決定戦でした。
今年の話題は、何と言っても井上康生の優勝なるか、だと私個人は思っておりました。午後4時からのNHKによる放映に釘付け状態でした。
準々決勝の井上対高井戦、残念ながら応援していた井上康生選手は負けてしまいました。しかし、最後まで攻め通し、リスクを掛けた最後の内股を好かされ、そのまま押さえ込まれて敗者となりましたが、積極的に出ての敗戦なので、堂々たる敗戦だと思いました。
準々決勝の棟田選手のリードされた後の支え釣り込み腰、相手選手を畳の上に背中から投げつけ、鮮やかで文句なく一本勝ちでした。
準決勝の鈴木対高井戦、鈴木選手の芸術的な足払い、見事でした。
決勝戦、コメントしたくありません(過去の選手権で優勝者が警告を受けたことはありません。前代未聞です)。
井上康生選手、現役引退かもしれませんが、シドニーからここまで、柔道界を背負って立ってきた功績は大きいと思います。ご苦労様でした。

「内部統制大賞」

産経新聞に面白い記事を発見いたしました。何でもな「内部統制大賞」なるものがあるそうなのです。
社○保険庁や○県国民健康保険団体連合会は、端から審査対象外ですね、多分・・・

以下は、産経新聞Webからの引用です。

　strong>【岩崎慶市のけいざい独言】内部統制は身の丈に合わせて
2008.4.28 08:21
　今年は「内部統制元年」といわれる。昨秋には金融商品取引法が施行され、今年度からは財務計算の適正性に対する評価制度なども適用される。６年目を迎えた「誠実な企業賞」も「内部統制大賞」（Ｋｆｉや産経新聞など協賛）に衣替えしたが、「誠実」が要であることに変わりはない。
　小欄が初回から選考にかかわってきて改めて思うのは、コンプライアンス（法令順守）の難しさだ。今回も優秀賞に決まった資生堂が、子会社の不祥事発生を理由に先月の授賞式直前に辞退した。
　資生堂といえば、長年の積極的な社会貢献活動で定評がある。いくら経営陣が高い意識を持ち、内部統制体制をつくり上げても、何万という従業員を抱える大企業ではなかなか不祥事を防ぎきれない。
　
最近は企業のグローバル化が急進展し、異文化で育った外国人社員も多い。野村証券の中国人社員によるインサイダー取引事件は、グローバル化に対応する内部統制という新たな課題も突きつけている。一方で食肉偽装や船場吉兆、赤福など中堅企業以下の不祥事も目立つ。わずかでもトップが規律を備え、初歩的企業統治を行っていたならと思うが、たとえその気があっても中堅・中小企業には人材やノウハウに乏しいという悩みがあるようだ。
　
そこでもう１つの優秀賞企業である協立電機（本社・静岡市）を紹介したい。北米やアジアにも事業所を持つＦＡシステム会社だが、従業員はグループ全体で１０００人に満たない典型的中堅企業である。
　評価されたのは環境とコンプライアンスを重視し、それを人事評価へ反映させている点だ。といっても、大がかりな組織をつくったわけではなく、基本はリスクを最小限に食い止めることだという。
　「これをバカ正直にやり続ける。それが決して企業収益に反しないことを朝礼でいつも話している」と西雅寛社長は語る。
　
大手商社勤務だった２６年前に家業を継いだ２代目社長は、最初に社是を決めたともいう。小難しく考えることはない。身の丈に合った内部統制を行えばいい。

　私は、記事の内容は概ね賛成なのです。何故、概ねかというと、「内部統制大賞」は選考が難しいのではないかと思うからです。何を以って、選考基準とするのでしょうか。有効性なら、有効性評価の基準はということになり、結局は審査員の主観かなとも思えます。可能性は限りなく零に近いのですが、私に審査員の依頼があったら辞退します、多分。でも、報酬に左右されるかもです。

民間企業以外の内部統制も怪しいものです

　茨城県の国民健康保険団体連合会で信じられない巨額の横領が発覚しました。その額なんと10億円、しかも3年間ということです。年当たり333,333,333円、月当たり27,777,777円になります。

以下は、朝日新聞webからの引用です。

職員が保険料１０億円を着服　茨城県国保団体連合会
2008年04月22日12時39分　
　茨城県国民健康保険団体連合会（水戸市）に勤務する男性主任（３４）が、約３年間にわたって同連合会が保管する保険料約１０億円を着服していたことが２２日分かった。同連合会は、主任を業務上横領などの疑いで県警に刑事告訴する方針だ。
　同連合会によると、主任は今年３月までの５年間、会計課に所属し、市町村が集めた保険料を医療機関に診療報酬として支払う業務などを担当していた。０５年ごろから上司の印鑑を無断で使用し、保険料が入金されている連合会の銀行口座から、１回あたり現金約３００万円を窓口で度々引き出したという。１日に１千万円近く引き出していることもあり、着服総額は約１０億円に上るという。
　
今月１８日、主任からの申し出で発覚。主任は同日、水戸署に出頭したといい、同連合会の調べにも応じた。　主任は決算期などに同連合会の帳簿を改ざんするなどして発覚を防いでいたという。
　
　同連合会に対して、主任は「ギャンブルにのめり込んでしまった。着服した金は競艇で使った」などと説明。着服した金の大半を競艇につぎ込み、競艇で勝って手にした数千万円は妻に渡した、と話しているという。
　
　同連合会は、主任について「普段派手な様子はなく、勤務態度はまじめで欠勤もなかった」と話している　　　

　今現在、民間企業は財務報告に係る内部統制の整備に費用と人員を投入、その対応に四苦八苦しています。もし、この記事のような巨額の横領が民間企業で発生した場合、それを防ぎ得なかった経営者は、適切な内部統制を構築しなかった責任を問われる可能性大ですね。
　しかし、3年間で10億ですから、発覚しなかった事の方が不可解ですね。別な報道によると本人が告白して発覚したそうですから、連合会自ら不正を見つけ出す仕組みが無かったのですね。
　
　恐妻家もしくは愛妻家だったのか奥さんに数千万円を渡し(奥さんも不思議に思わなかったのでしょうか)、残りはギャンブルで使い果たしたとのこと(これも凄いことですね)、回収の見込みはないようです。結局、当該の健保組合の加入者が損害を負うことになりそうです。
　しかし、地方自治体や第3セクターの経理上の不正が酷すぎます。金額も半端じゃない。2002年に
青森県住宅供給公社の経理担当者が十四億六千万円を横領、大半を外国人妻に渡し、殆ど回収できなかった事件がありました。
　
　今回の犯人も青森住宅供給公社の職員も真面目で勤務態度の良かったとのことです。だから会計経理の監査をしなかったのでしょうか。発覚しなかったのですから、なんの調査もしてなかったのは明白です。真面目でなかったら監査したのでしょうか。きっと責任者の言い訳は、性善説の考えにたっていたとうことなのでしょう。
　内部統制は、性善説性悪説で考えてはいけないのです。テレビの報道では、上司は当該職員を信じきっていた、上司の印鑑を勝手に使っていたとしています。一日に一千万を引き下ろしたこともあったそうです。全く内部統制が無かったと断定していいですね。
　民間企業に財務報告に係る内部統制を強いるのも結構ですが、地方自治体や第3セクター、公益事業体、独立行政法人などへの内部統制の導入、真剣に考えてもらいたいものです。
以上、怒りを込めて

アクセス権限が承認された担当者による悪意ある行動は防げるか

朝日新聞のWebを読んでいて気になる記事がありました。ある刑事事件に関する記事なのですが、その容疑者の行動に表題に掲げた命題(と私は思っています)にか係る事柄があったのです。

以下は、朝日新聞のWebからの引用です。
　

東京都あきる野市の資産家の姉弟の行方不明事件で、口座から現金を引き出したとして窃盗容疑で逮捕された無職沖倉和雄容疑者（６０）が、同市役所に勤務していた当時、市民の資産に関する情報を把握できる立場にいたことがわかった。警視庁は、沖倉容疑者が市職員の仕事を通して得た情報を事件に利用した可能性もあるとみて調べている。
　行方がわからないのは、調布市立図書館職員大福康代さん（５４）と弟の広和さん（５１）。
　あきる野市役所によると、沖倉容疑者は民間企業などを経て７７年に旧秋川市（現・あきる野市）の職員に採用され、税務課や福祉関係の部署などで働いた。０４年４月からは市民部保険年金課長補佐を務め、同年１２月、「一身上の都合」を理由に退職した。同課長補佐のポストは、市民の名前や住所のほか、市民が所有する土地の所在地や評価額など資産に関する情報や給与情報にアクセスする権限を与えられているという。　
　大福さん方は、親の代から周辺に土地やアパートなどを所有する資産家として地元では知られている。姉弟は９８年１１月に母親から土地を相続する際、「相続税支払いのため」として、近くに所有する土地を約３億３千万円で同市に売却。０５年度には、別の土地を約１億円で同市に売却した。０７年には逆に、約１億円で市から土地を購入している。
　
五日市署捜査本部は、沖倉容疑者が大福さん姉弟のこうした資産状況を把握し、預金を狙った可能性があるとみて捜査。姉弟のキャッシュカードや暗証番号の入手の経緯などを調べている。
　
調べでは、沖倉容疑者は今月１１日に康代さんのカードで１２０万円、福生市の土木業伊丸岡頼明容疑者（６４）は１２日に広和さんのカードで５０万円を引き出したとして逮捕された。姉弟のカードでの全体の引き出しは９～１４日の計五百数十万円にのぼる。

　記事からすると、容疑者は、市役所の在職中に今回の犯行に繋がる情報を得たようです。しかも、その情報にアクセスする権限を職務上必要ということで、付与されていたと思われます。ということは、容疑者が在職中に正式に付与された権限で情報にアクセスし、その情報を基に今回の犯行に及んだとすれば、それは由々しき事態です。
　在職中は、職務上当該の情報にアクセスすることが認められていました。問題は、退職後に当該情報を持ち出したことです(一件だけでなく可なりの量の情報を持ち出した可能性もあります)。
　今回の容疑者のように正式にアクセス権限を付与された担当者が悪意をもって不正な行動をとろうとする時(ここでは、退職後のデータの不正な持ち出し)、これを防ぐことはできるでしょうか？
　
　私は、完全に無理だとは思いませんが、困難なことだと思います。アクセスすること自体は正式なアクセス権限を付与されているので、形式上問題はありません。今回は明らかに持ち出しをしています。これは、問題ありですね。
　大量データの持出ならば、可搬記憶媒体の制限などの方法で防止することできますが、特定の情報を狙い撃ちした場合は、メモにとるとか暗記してしまうことで、簡単に持出ができ、また防止策は無いような気がします。
　特定の人物の資産状況、または逆引きで大きな資産を保有している人など、対象を絞り込んで情報検索し、悪用できる情報をピンポイントで権限ある担当者がアクセスすれば、その行為を押さえ込むことは難しいのではないか、この記事を読んでそんな危惧を覚えました。
　

情報セキュリティ格付専門会社「アイ・エス・レーティング」設立

4月8日、ある企業の設立が発表されました。世界初といわれる、情報セキュリティの格付専門会社「アイ・エス・レーティング」です。テレビ東京のワールドビジネスサテライトでも紹介されていました。
私の現在のそして最後の所属企業であります三井物産セキュアディレクション株式会社の親会社であります、三井物産も発起人/出資企業であります。

以下は、NIKKEI NETのIT＋PLUSの記事からの引用です。

富士ゼロックスなど１８社、情報セキュリティ格付専門会社「アイ・エス・レーティング」を設立
世界初の情報セキュリティ格付専門会社を設立
「株式会社アイ・エス・レーティング」・１８社が出資　
　企業の情報セキュリティのレベル（信頼度の水準）を評価し、格付する世界初の「格付専門会社」注１が５月に誕生します。新会社の発起人である株式会社格付投資情報センター、松下電器産業株式会社、富士ゼロックス株式会社など１８社注２は、５月２日付けで「株式会社アイ・エス・レーティング」（本社東京、中村哲史［てつふみ］社長、資本金２億８千万円）を設立することに合意しました。　　
　情報セキュリティ格付とは、企業など組織が取り扱う技術情報や営業機密、個人情報などのセキュリティレベルをランク付けするもので、具体的には、マネジメントの成熟度、セキュリティ対策の強度、コンプライアンスへの取り組みなどの観点から定量化し、記号や数値で指標化します。新会社はこの情報セキュリティ格付の審査業務のほか、格付に関連する調査・教育・出版等を事業目的としています。　　
　新事業の背景には、企業の情報セキュリティに対する取り組み強化があります。デジタル化された個人情報や企業情報は企業内、企業間を問わずやりとりされ、共有化が進んでいます。自社が保有するこれらの膨大な情報を適切に管理できるか否かは、企業にとって重要な経営課題となっています。この度の新会社設立は、ますます高度化する外部からの脅威や、内部からの情報漏洩等を確実に防止するために、従来のマネジメントレベルを評価するＩＳＯの国際認証制度（ＩＳＯ２７００１）に加え、組織等の情報セキュリティレベルをランク付けする新たな仕組みを提供するものです。　　
　新会社は、業種や企業グループを超えて中立な立場の第三者機関として、国内はもとより、広く海外でも信頼される格付制度を確立し、グローバルスタンダード化を進めていきます。また、格付の中立性を確保するため、大株主は作らず、広く産業界に出資を求めており、７月の業務開始までに第１次増資を予定しています。既に、ソニー株式会社様、ダイヤモンドレンタルシステム株式会社様ほか数社が増資引き受けの意向を明らかにしています。　　
　なお、「株式会社アイ・エス・レーティング」の会社概要および出資会社の構成は、以下の通りです。　　
注１：世界初の「格付専門会社」
　「株式会社アイ・エス・レーティング」は、複数の会社および各業界に適用可能な評価基準を用いて、組織等の情報セキュリティのレベルを格付評価する「格付専門会社」であり、このような取り組みは世界にはまだ例がありません。　
注２：情報セキュリティ格付会社発起人１８社
　「株式会社アイ・エス・レーティング」の発起人は下記の通りです。
　株式会社格付投資情報センター、松下電器産業株式会社、富士ゼロックス株式会社、富士通株式会社、株式会社野村総合研究所、キヤノンマーケティングジャパン株式会社、綜合警備保障株式会社、テュフ・ラインランド・ジャパン株式会社、凸版印刷株式会社、株式会社日本経済新聞社、株式会社北洋銀行、株式会社みずほコーポレート銀行、三井住友海上火災保険株式会社、株式会社三井住友銀行、三井物産株式会社、三菱商事株式会社、株式会社三菱総合研究所、株式会社ワコールホールディングス　

三井物産セキュアディレクション(MBSD)も親会社と一緒に本事業に関与していく予定です。また、個人的にも非常に興味がある会社です。というか、私はこの格付け会社に関する事業を担当することが予定され、本年1月にMBSDに入社したという経緯があります。社内の事情により、担当からは外れましたが、当初の予定通りであれば、この格付け会社への出向なども想定していました。

マネジメントの成熟度、セキュリティ対策の強度、コンプライアンスへの取り組みなどの観点から定量化し、記号や数値で指標化します。　　

成熟度、定量化、数値化、記号化・・・　実現すれば、どれも有用なものばかりですね。是非とも実現させ、そして公開して欲しいですね。統一された手法、基準などがあれば、現在コンサルタンティング企業や個々のコンサルタントの技量に依存している、情報セキュリティアドバイザリーの品質向上にもなると思います。かなり難しい解題ですが、期待しています。また、将来はJASAで推進している保証型情報セキュリティ監査との連携していくことも期待できます。
しかし、発起人/出資企業、まさに呉越同舟という感じです。三菱商事に三井物産、三井住友銀行、三大企業グループの中核企業も参加してます。これだけのバックボーンがあるのですから、何としても成功し、そして日本の情報セキュリティ業界の活性化に繋がって欲しいものです。
入社の経緯もあり、個人的にもこれから注視していこうと考えています。

情報セキュリティマネジメントに関わるスウェーデンとの合同会議

4月11日金曜日、東京タワーの近くにある機械振興会館(かつては、ISACA東京支部の月例会が頻繁に開催されていました。JIPDECの本部が入居している建物であります)で、開催されました。
縁あって、私も会場の端に座っておりました。

どのような経緯で開催されたのかは判りませんが、私如き者にも参加可否の問い合わせがあり、参出席して参りました。

以下が当日の開催要項とアジェンダです。

=========　開催概要　===============
��開催日時：2008年4月11日（金）　13時30分～17時30分
��開催場所：機械振興会館　６階６－６６号室
��参加者（予定）
・ スウェーデンからの参加者（総勢　１０名～１５名）
　 SEMA - the Swedish Emergency Management Agency のメンバー
　ISO/IEC SC27のメンバ
��アジェンダ（予定）＞
　１．SC27側のご挨拶（日本とスウェーデンから）
　２．情報セキュリティマネジメントの日本の現状、及び展望
��経済産業省　三角室長）　
　３．情報セキュリティマネジメントのスウェーデンの現状、及び展望（政府機
関）
　４．ISO/IEC SC27　国内活動紹介（日本）（原田WG1主査）
　５．ISO/IEC SC27及びISMSに関する活動紹介（スウェーデン）（Mr.
Jan-OlofAndersson）
　Coffee/Tea Break：２０分
　６．日本ISMS適合性評価制度の現状　（JIPDEC高取室長）
　７．日本監査協会の活動紹介（JASA　大木理事)
　８．日本ISMSユーザGの活動紹介　（ISMS-UG　山崎様）

スピーチは全て英語でした。大木先生は、JASAの活動と保証型情報セキュリティ監査の紹介をされました。日頃、社会的合意方式、利用者合意方式、被監査主体合意方式の3類型など、英語で熱心にスピーチされていました。
日本の現在のISMS制度の状況や、内閣官房情報セキュリティセンター(NISC)の活動や政府機関の情報セキュリティに関する取り組みなどが、日本側から紹介されました。しかし、ISMSの認証取得数、突出してますね。その数、2700以上、BS7799の故郷のUKでさえ、300台ですから・・・
瑞典から、適用範囲について質問がでておりました。
スウェーデンでも、ISO/IEC27002が推奨され、その導入や評価手法などが開発されるのだそうです。これは、ISO/IEC27003や27004に関連するのでしょうか。質問する英語力がないので、残念ながた疑問のままですが。
しかし、貧弱なる英語力なので、正しく理解できたか不安なのですが、情報セキュリティに対する他の国の取り組みの一端をしることができて、有意義でありました。その上、スウェーデンからのお土産まで頂戴いたしまして、有難い限りでした。
そして、この会議もCPEとして申請させて頂きます。4CPE獲得です。

安全を確保するということ - 漁船の事故から考える

青森県の陸奥湾でホタテ漁船が行方不明になり、誠に痛ましいことに死者服不明者数名、現在も必死の捜索が繰り広げられています。近々では、護衛艦と千葉県の漁船との衝突事故があり、未だに二人の方の行方が分からないままです。青森県の事故は、自然現象による自己の可能性が指摘されて、護衛艦と漁船の事故も主たる回避義務は護衛艦であることは明白であるようです。つまり、漁船側には主たる過失はないということです。

しかしながら、個人的に疑問がありまして・・・

　両者の事故で共通していることがあります。このことを報道している報道機関がないのですが、私は大いに疑問を持っている事柄があります。多くの批判を受ける可能性があることを承知で、その疑問を明らかにします。それは、何故漁船員の皆さんは、救命胴衣ライフジャケットを装着していなかったのでしょうか。もし、装着していれば、仮令船を失ったとしても生命は保持しえたのではないか、関係者の必死の捜索で早期に発見できたのではないかという疑問が拭えません。予期せぬ自然現象に遭遇してしまった不幸、護衛艦側の過失を否定するものではないのですが、危険に対する備えとして、救命胴衣を着用していれば、違う結果になりえたのではいか、リスク対する備えに抜かりはないと言えるか。私は、そこを考えています。備えに不備があったと。
　リスクはゼロに出来ない以上、自然現象は衝突などで、海に放り出される可能性に備えることは必要ではなかったかと一連の報道で思いました。情報セキュリティのリスク対策をとるとき、何かを行う以上リスクをゼロのできないことを前提に考えるべきと、思っています。対策をとったから大丈夫なのではなく、その上で情報セキュリティ事故が起きてしまった場合の対策も合わせて考えておくことが必要と考えています。
一連の痛ましい事故の報道を見聞きしつつ、考えてみました。
(漁猟中の救命胴衣の着用については法律の定めがあり、一定の条件では義務化されているとのことです。今回の事故のケースではどうなのか不明ですが、　自然に対する備えをし、海上交通規約慣習を守った上で、更にもしもの場合に備えライフジャケットの着用が望まれたと思います)

全日本柔道選抜体重別選手権

本日、全日本柔道選抜体重別選手権が開催されました。今年は、オリンピックイヤーなので、代表決定（男子100キロ超級をのぞく）を兼ねた重要な大会です。シドニーの金メダリストで、ここのところ不振が続いて、代表の座が遠のいていた井上康生選手が、見事復活優勝です。
あのシドニー大会、圧巻でした。僅かな隙をついて、内股で一本勝ちを重ねていく、実に見事な優勝でした。私も柔道経験者なので、よく判りますが、内股という大技はそう簡単に決まるものではありません。それが、触れれば斬らんとばかりに一本勝ちを重ねいく、痺れました。

柔道草創期の天才で継承するものなき伝説の投げ技山嵐の使い手西郷四郎、相手に触れずして投げる空気投げとも称された隅落の達人三船久蔵十段、グレシー柔術の創設者させ絞め落とした鬼の木村こと木村正彦、ロサンゼルス五輪涙の金メダル山下泰之選手、そして重量級にスピード柔道を確立した井上康生。私は、柔道史上で５人を選ぶとすれば、躊躇なくこの５人を選びます。

��００キロ台の選手を内股という大技げまくる、しかも相手は一回転して背中から畳に投げつけられるのですから、実に美しい柔道でした。

��００キロ超級の代表は、４月２９日の日本選手権の結果も加味して決定されます。まだまだ、棟田選手が有利なのでしょうが、井上康生選手頑張って下さい。

鈴木、棟田、井上の三選手が優勝を争うことになると予想されますが、今から楽しみです。４月２９日は、どこにも外出せず、テレビ観戦します。皆さんも、是非ご一緒に！

内部統制評価報告制度の開始

本日は、2008年4月1日、多くの企業や官庁で新年度の開始です。はるか西洋の習慣ではApril hoolとかで、悪意なき嘘なら許されるそうですが、我が大和では、嘘偽りなく、重要な制度の開始の日です。

��　京都議定書約束期間の開始
　　京都議定書目標達成計画により、日本は温室効果ガスを1990年(代替フロンについては
　　1995年)の排出量より6%の削減を2012年までに達成すること義務付けられた約束期間の
　　開始。

��　財務報告に係る内部統制評価報告制度
　　2007年施行の金融商品取引法に基づき、全ての上場企業並びに所定の条件に該当する
　　関連企業の経営者は、決算報告に関係する文書や情報の適切性を確保する仕組み、内部
　　統制を整備、その有効性を評価して報告書を作成し報告することが義務付けられます。

’情報セキュリティコンサルタントのお気楽Blog’と銘打っている以上、本日のお題は’財務報告にかかる内部統制評価制度’です。だからといって京都議定書に係る問題に関心がないのではありません。仕事や立場を離れれば、内部統制の問題以上に関心がります。機会がれば、当Blogでも取上げてみたいと考えています。

(今日は、あちこちのBlogで、本件が取り扱われるのでしょうね)

以下は、2008年3月31日の産経新聞Webからの引用です。

「内部統制報告制度」あすから　入念準備に“過剰反応”も
3月31日8時26分配信 フジサンケイ　ビジネスアイ
　≪不正会計防止狙う≫
　新年度入りする４月１日から多くの新制度がスタートするが、企業経営に最も大きな影響を与えるのが、粉飾決算などの不正会計の防止を目的に導入される「内部統制報告制度」だ。すべての上場企業に対し経営者による社内管理体制の自己点検を義務づけるもの。各社とも入念な準備を進めてきたが、処分を恐れ“過剰反応”する事例もみられ、依然として手探り状態というのが実情だ。
　内部統制報告は、２００７年に施行された金融商品取引法に基づく制度。決算の信頼性に関わる経営上のリスクをリストアップした上で、業務の流れや管理の仕組みを文書化。内部統制がきちんと機能しているかを客観的にチェックできる仕組みづくりを求めている。
　４月以降に始まる新年度の決算から、有価証券報告書と併せて、監査法人などの外部監査を受けた「内部統制報告書」の公表が義務づけられる。実際の公表は、０９年３月期の決算が開示される来年６月ごろとなる。
　監査法人のトーマツが１月末に上場企業２９２社を対象に行った調査によると、「取り組みを実施している」と回答した企業は２９０社（９９％）にのぼり、ほとんどの企業で何らかの準備を開始していた。「文書化」や「内部評価」をすでに実施した企業が８４％の２４７社に達し昨年度調査の１９％から急伸。トーマツは「作業が大きく進捗（しんちょく）してきた」とみている。
　ただ、東証１・２部上場企業では４７％が文書化を終了しているのに対して、新興市場の上場企業では２４％にとどまり、遅れが目立っている。
　また、罰則を恐れ、「実務の現場では、一部に誤解に基づいた過度に保守的な対応が行われている」（渡辺喜美金融担当相）。具体的には、重要な欠陥があってもそれだけでは上場廃止や罰則対象にはならないが、すべての文書を保存しようとしたり、新たに特別な文書作成するなど過剰な対応をとる企業があるという。
　≪ＳＯＸ法に“誤解”≫
　“誤解”の背景には、同制度が米国でエンロンやワールドコムなどの巨額粉飾事件を受けて２００２年に導入された厳格な企業改革法（ＳＯＸ法）を参考に導入されたことある。
　このため、金融庁では３月中旬に新たなＱ＆Ａ集を公表。米ＳＯＸ法が「厳格すぎる」との批判を受けていることに配慮し、内部統制の対象を絞り込んだことや、企業が従来作成している記録をそのまま内部統制に利用できることなどを紹介し、冷静な対応を呼びかけている。

　個人情報保護法対応、そして引き続いての内部統制評価報告制度への対応においては、当該企業や会計監査法人、コンサルタンティングファーム、システムインテグレータ、ITベンダーが、狂想曲を奏でてきました。ある企業にとっては、対応すべき課題であり、ある企業のとってはビジネスチャンスdeあり、ある企業のとっては両方でありました。
　その狂想曲が奏でられる中で、摩訶不思議な商が品登場してきました。’内部統制対応ソリューション’、’J-SOX対応ソリューション’などと呼ばれるものです。ソリューション(solution)、その字義は解決です。その、ソリューションという表現に疑問があります。
　
　内部統制評価報告制度では、当該企業の経営者が自社の財務報告に係る内部統制についての評価報告書を作成、外部監査を受けなければなりません。それも毎年であり、一過性のものではないのです。もし、外部監査で適正意見がつかなかった場合、解決なのでしょうか。当該のツールは、監査法人が適正意見を表明してくれることまで保証するのでしょうか？
　内部統制評価報告書作成支援ツールなら判ります。内部統制評価報告書作成までを支援するのであれば、監査法人の監査が対象外になり、まだ理に適っています。
　また、内部統制評価報告制度は、継続的改善も念頭にあり、制度の維持改善も課題なのであり、その観点からも解決を意味するソリューションという表現は適切ではないと思います。継続的改善は、一回の対策での解決を意味するのではないのですから。
個人情報保護法から内部統制評価報告制度に続くこの狂想曲、過去に経験したことがあり、其の時の光景がまざまざと思い出されます。あれから、10年の月日が流れようとしています。
　10年前のあの日、その狂想曲は、内部統制評価報告制度を巡る熱狂を上回り、報道機関も盛んに特集を組んでいました。そのタイトルも金融パニックになる、電気ガス水道の供給が止まる、核ミサイルが誤動作するなど、国の存立に関わるものでした。その狂想曲の曲名は’2000年対応’と言いました。
　2000年問題が、関係者以外の人々の口に上り、マスコミの煽りもあって、個人情報保護法や内部統制評価報告制度を上回る社会的現象(と私は思います)になり始めたのでは、1998年頃からでした。
　なにせ、私の母親がミネラルウオーターの買い溜めをしておいた良いか聞いてきた程です。また、友人の一人は、貯金は全額引き出しておいた方が良いか悩んでました。　私は、母にはそれで安心するな買っておいた方が良いと答え、友人には通帳記入をして、預金残高を証明できるようにしておけば良いと話しました。
　1999年から2000年に関しては、IT関係企業、ユーザ企業の社員が新年を勤務先で向かえ、社員の休憩のために、都内のホテルの多くが、当該企業に押さえられ、年越しの一夜を高級ホテルでと計画していた多くのカップルが割りを食いました。年越し社員の食事や夜食のため、仕出し弁当屋が特需となり、ミネラルウオーターが売れたのです。
　そして・・・・　　　金融パニックも起きず、電気ガス水道も滞りなく供給され、各ミサイルの誤作動による第3次世界大戦にもならず、従ってケンシロウやトキ、ラオウ、シン、レイ、サウザー、ファルコ、カイオウ、ヒョウ、ハン、シャチ、バット達が血で血を洗う闘争の世界にもなりませんでした。
　私も、1999年12月31日は、当時在職していたソフトウェアベンダーの年越し要員として出勤し、紅白歌合戦や年越し番組を同僚と鑑賞、会社の用意した夜食をつまみ、夜明けを向かえ、担当時間が終わったところで、ビールで新年の乾杯をし、眠い目を擦りながら家路についたのです。そして、その年の3月に最初の転職をしました。
　結局、社会的事件になるようなことはおきませんでした。勿論、影響が皆無でありませんでしたが、殆どが企業内で対応可能なもので、政府民間企業、一般市民を巻き込んだ大騒動は、人々の記憶の彼方に消えていきました。
　私が、2000年問題に初めて直面したのでは、1988年です。これは、ある理由で明快に記憶しています。この年のある日、某金融機関に呼ばれ、打合せに参加しました。当時は、都市銀行11行体制で、系列の信託銀行、長期信用銀行3行の時代でした。こういった金融機関は、大蔵省や日本銀行の規制や基準、業界基準に対応するために、一部のデータを長期保存していました。金融機関によっては、定められた期間以上の設定をしている場合もあり、10年以上保存とケースも珍しくありませんでした。当時は、大手企業のコンピュータと言えば、メインフレームであり、それ以外は考えられませんでした。従って、たのプラットホームと区別する必要すらなく、メインフレームと言う用語も、現在と違い一般的なものではありませんでした。
　
　当時のIBM及び富士通、日立のIBM互換メインフレームは、データ保存期限を下記のキーワードで設定していました。
　　EXPDT=ｙｙddd
　yyは西暦の下二桁(2000年問題の元凶です)、yyyは通算日付、通称ジュリアンデートです。通算日付とは、何月何日という表現ではなく、元旦か一日づつ足しこんでいく方法です。99001は1999年1月1日、99365は1999年12月31日となります。日本IBMが社員に配布し、またノベルティにしていた手帳やカレンダーには、mm/ddの日付とこの通算日付が併記されていました。現在も同様です。私たちもIBMの手帳かカレンダー入手し、カバンや引き出しに入れておいた、当時のメインフレームエンジニアの必需品でした。
　
　問題は、この99365のあったのです。99364は、1999年12月30日までの保存です。では、99365は、1999年12月31日でしょうか。実は、違うのです。99365は、IBMや互換機メーカーのOSは、特別の意味を持ち永久保存と定義されていました。しかし、それでは10年を経過しても永遠に保存されることになり、データ管理上由々問題でした。10年保存を実施している場合は、1989年から保存期限を設定するキーワードして、99001から99365の使用を開始し、また1990年以降の場合は、10年保存は2000年台に突入するわけです。
　当時のOSでは、99365の取り扱いと、西暦下二桁では2000年は00になり過去と認識されることが問題でした。所謂2000年問題の嚆矢です。
　この問題に1988年から対処しようということで、当時私はCA-1という磁気テープ管理システムを担当していた関係で、その金融機関から対策会議に呼ばれたのです。
　その時は、2000年問題と言わずに21世紀対応と表現していました。こういった経緯から西暦の下二桁の問題、2000年問題を認識し、その金融機関では、対応を開始していました。だから、社会的問題になり始めた1998年に時点では、ある程度の対応を粛々と進めていた企業も珍しくなく(特に大手金融機関)、あの一種の熱狂を醒めた目で見ていた関係者も少なくなかったです。私の知るある金融機関の担当者も、何もないと断言はできないが、金融パニックなど心配することはないと話していました。
　2000年問題と特集した報道番組で、2000年問題評論家なる人が登場し、得々と如何に危機的状況かを語っていました。そして、巷には2000年問題対応ソリューションが数多く登場したのです。それ以来、私は’何々ソリューション’に懐疑的になりました。私は自分で作成する資料には、ソリューションという単語は極力使いません。
　2000年問題評論家、現在は如何にお過ごしでしょうか。ノストラダムス評論家が、今だに新しい解釈見解を発表しているように新しい危機の評論をされているのでしょうか。はたまた、個人情報保護法や内部統制評価報告制度においても、2000年問題当時の社会現象化には至っていなくとも、この狂想曲の中で、何らかの楽器の演奏をされているのでしょうか。　
　あの2000年問題の熱狂も、人々の記憶からすっかり忘れ去られました。内部統制評価報告制度から何となく、過去を振りかってみました。