マイナンバー制度の導入を契機に、中小企業でも情報セキュリティへの意識が向上しています。ここでは、業務支援ソフトに求められるセキュリティ機能について再考察することで、企業のコンプライアンス経営を推進するIT統制のあり方について考えていきます。
マイナンバー時代に改めて問い直される会計ソフトの役割
マイナンバー制度の導入により、2016(平成28)年1月から社会保障や税に関する届出書に従業員のマイナンバー(個人番号)を記載して提出することが義務づけられました。これに伴い、企業側にもマイナンバー情報を保護するためにIT内部統制の強化が求められ、情報漏えいを回避するセキュリティシステムの拡充が加速しています。
中小企業の大多数が活用する会計パッケージでも、これに合わせて必要な届出書への印字・出力機能とともに、マイナンバーの暗号化、取扱担当者の登録機能などを追加しています。企業が会計ソフトを導入する目的として「財務報告・税務申告の信頼性確保」とともに「法令を遵守した適正な記帳」がありますので、まずは会計パッケージの面目躍如といったところです。
しかし、マイナンバー制度への対応でセキュリティ機能の強化を進めるあまり、各業務プロセスにおいて確認・承認作業が煩雑化し、もう1つの大きな導入目的である「財務会計業務の効率化・生産性向上」の効果が薄れてしまっては、会計ソフトを導入する意味がなくなってしまいます。
マイナンバー制度への対応を契機に、今一度、業務支援ソフトに求められるセキュリティ機能について考えていきましょう。
IT統制の課題は「ITシステム統制」と「IT業務処理統制」
個人情報の漏えいやデータの改ざんなど、社内で管理している情報やシステムなどに起こりうるリスクを回避するために、企業には早期にリスクを予防・発見・回復する仕組みを構築することが求められています。
すなわち、コンプライアンスに基づいた業務規範の確立といった組織内部の統制とともに、IT環境の健全性とその運用管理を適正化する「IT統制」の確立を図る必要に迫られているわけです。これを推進するには、「ITシステムの統制」と「IT業務処理の統制」の2つの視点からの適正化を図る必要があります。
「ITシステムの統制」とは、適用するシステム自体に信頼性と安全性を確保する取り組みで、ソフトウェアやハードウェアにアクセス権限を設定するなどの具体的なセキュリティ機能を持たせることで、社内のIT環境の健全性を高めていく処置となります。
これに対して「IT業務処理の統制」は、ITシステムを使って行われる各業務の情報・データの取扱いにおいて、迅速性と正確性を保ちながら収集・処理し、全体との整合性を図りながら適正な業務プロセスを維持していく取り組みであり、ITシステムにはその統制を支援していく機能が求められることになります。
この2つの視点は相互関係にあり、「ITシステムの統制」と「IT業務処理の統制」が一体となって運用されることで、初めて健全かつ適正な「IT統制」が実現されるのです。
既にお気づきの方も多いと思われますが、現在ご利用の会計パッケージにおいてどのようなセキュリティ機能を追加しても、それは1アプリケーションの「ITシステムの統制」を施したに過ぎず、全体視点からの「IT業務処理の統制」が欠落しています。その結果、秘匿性の高い情報を扱う部署では業務が煩雑化され、他の部署や外部の人間が物理的にアクセスする機会を残すなど、適正な業務プロセスの維持に影響を与えるリスクが解消されないまま残ってしまいます。
[RELATED_POSTS]会計ソフトが見落す「IT業務処理統制」を最適化するERP
「ITシステムの統制」と「IT業務処理の統制」を一体化させた「IT統制」において圧倒的に優れる業務システムが、財務会計機能を中心に販売管理、在庫管理、人事管理などの企業経営に必要な基幹業務機能をビジネス全体との整合性を図りながら最適なかたちで提供するクラウドERPです。
一元化されたシステムから提供される各業務アプリケーションには一律に暗号化やアクセス管理、IPアドレス制限、アカウントロックアウトといったセキュリティ機能が付加され、企業で活用する業務システム全般にわたって適正な「ITシステムの統制」を実現します。
同時に、財務管理、販売管理、人事管理などの各モジュールから秘匿性あるデータを自動的に収集してIPアドレスやパスワードによるロックを施し、アクセス権を制御して他の部署やや外部からのマニュアル操作による介入を防ぎますので、情報漏えいやデータ改ざんなどのリスクを遠ざけることができます。また、クラウドサービスにより組織改変や人事異動による権限・職務の変更などにも柔軟に対応できますので、ビジネスの生産性を保ちながら安全かつ適正な「IT業務処理の統制」を図ることが可能となります。
物理的なリスク対応にも踏み込んだセキュリティ対策
運用するシステムやデータなどのセキュリティを考慮する場合、災害や盗難などの物理的なリスクへの対処能力も検討する必要があります。クラウドERPは、一般にサービス提供事業者が保有する地震や津波などの災害リスクの少ないロケーションにあるデータセンターから提供されますのでBCP(事業継続計画)の観点からも「ITシステムの統制」が保たれ、システムの冗長化やデータのバックアップなどの安定したシステム運用を支えるソリューションと、関係者以外がデータにアクセスすることのできない監視体制を充実させています。
「SAS 70 TypeII」の監査を通過し、「PCIデータセキュリティスタンダード」に準拠するNetSuiteでは、データセンターセキュリティの情報を公開しています。ここでは、外部からの不正なアクセスに対して、侵入検知システム(IDS)によるトラフィックの識別や継続的なネットワーク侵入テストなどのシステム面でのセキュリティとともに、写真付きIDによる非接触アクセスカードやT-DARによる入退出管理システムにより権限を与えられたNetSuiteの従業員のみが入室を許される物理的なアクセス監視体制も確保していることが開示されています。
このように成長をコミットした企業にとって、インフラ面での内部統制とITガバナンスの強化によって不正の発生しうるポイントや業務プロセスでの抜け穴をなくすこと共に、各企業のお客様への確かな付加価値の高いサービスを永続的に提供できる経営全体の強化にも繋がるでしょう。上場やM&A、海外拠点の拡大を目指す企業は、事業の拡大成長をシステム面から支援することが内部監査という観点かも極めて有益なポイントになります。
企業成長とコンプライアンス経営を両立するクラウドERP
そもそもマイナンバー制度の導入の目的は、「行政の効率化」「国民の利便性の向上」「公平・公正な社会の実現」にありました。マイナンバー制度への対応で、公正な情報管理を進めるあまり業務の効率化が低下しては何の意味もなくなります。
確かに情報漏えい事故や不正な会計処理問題が相次ぐ中で、企業側には収益・規模の拡大とともに社会的な信頼性を確保する努力も求められています。しかし、実りある情報化社会は効率性と公共性の上に成立し、適正なITシステムの運用はスピード経営とコンプライアンス経営の両立をバランス良く保つものと考えます。
無論、すべての不正やセキュリティーの問題を社内教育では、払拭することはできません。だからこそ、システム面でしっかりとしたプロセスを持ち、監査証跡がしっかり残ることにより、すべての履歴が残ることが抑止力になるだけでなく、従業員への誠実さと倫理慣行の高い水準を推進し、共通のゴールを共有化していくこと、それこそが企業全体を強くしカスタマーエクイティに転化していけるのだと思います。
健全かつ適正な「IT統制」により業務全体のプロセスを統合し最適化するクラウドERPで、利益成長とコンプライアンス経営を両立させる事業活動を推進してください。
