日本版SOX法・徹底解析

粒度や抽象度の違う法規制への対応、リスクマネジメント対応、さらに企業価値向上を見据えたＩＴガバナンスへの取り組み─。断片化する企業法、および情報システムに対応するため、今「統合」が求められている。現在、日本企業が抱えている課題にはどんなものがあるのか。またそれを解決する手段とは何か。情報ネットワーク法や知的財産法などを専門とする弁護士岡村久道氏と、ガバナンス、リスク、コンプライアンスの各対応を統合する「ＧＲＣ」という言葉の生みの親であるガートナーにおいて、バイスプレジデントを務める松原榮一氏が語り合った。
　なお、松原氏はガートナーのイベント、Symposium/ITxpo2007においてチェアを務めることが決定している。

http://www.itcomp.jp/a/article.aspx?aid=221

--------------------------------------------------------------------------------

ＧＲＣの背景にみる日米の差〜リスクとは何か？

岡村　ガバナンス、リスク、コンプライアンスを統合するという概念である「ＧＲＣ」という言葉を初めて提唱されたのは、ガートナーだというお話ですが、この概念はどういう背景から生まれてきたのでしょうか。

松原　１９７０年代から80年代にかけて、米国では粉飾決算や経営破たんなど、さまざまな事件が相次ぎました。その状況を改善しようと、１９９２年にＣＯＳＯ（トレッドウェイ委員会支援組織委員会）が発表したのが、内部統制のフレームワークです。さらにエンロン事件を受けて２００２年にはＳＯＸ法（企業改革法）、２００４年にはＣＯＳＯによるＥＲＭ（エンタープライズリスクマネジメント）のフレームワークが発表されました。実はこれらには、共通する部分がかなりあります。そこで、それらを個別に考えていくのではなく、同じ枠組みで考えていくべきだというのが、ＧＲＣの概念です。

岡村　日本の背景を見てみると、同じ時期に新会社法と金融商品取引法という２つの似通った法律ができたことが、特徴として挙げられます。そしてこの特徴が、ある意味不幸を招いているという側面があるのではないでしょうか。それぞれ制度趣旨に違いがあり、相互関連はありません。特に新会社法の中で要請されている管理の対象事項は、主としてリスク管理体制とコンプライアンス体制の２つです。このリスク管理とコンプライアンスとの関連すら、必ずしも明らかになっていない。混乱が見られても不思議ではない状態になっています。

松原　基本的に言うとＣＯＳＯで言っているリスクマネジメントの概念とは、非常に広い概念です。コンプライアンス違反のリスクは、リスクの中の一部であるという位置づけと理解しています。
岡村　私もまったく同意見ですね。リスクの中にやはりコンプライアンス違反というリスクがあると思います。法律は最低限守るべきものを定めたものでしかないので、おそらくリスクという大きな円の中に、コンプライアンスのリスクなど小さな円が入ってくるということになるでしょう。これに加え、リスクとコンプライアンスの理解を複雑にさせているのが、ＣＯＳＯキューブです。これには内部統制の目的の１つにコンプライアンス（法律の遵守）があり、内部統制の構成要素の中に、リスクの評価という項目が入っています。これをわかりやすく捉える方法はないでしょうか。

松原　確かにコンプライアンスはリスクの識別の中にも出てくるし、コンプライアンスの達成として目的にも出てくるので、多少、入り組んでいる感じは否めませんね。

グローバルか国内か、準拠すべき規制のジレンマ

岡村　たとえば、自然災害などで工場がストップしたとしましょう。この場合、松原さんはＣＯＳＯキューブの３つの目的のどこに入ると思われますか。

松原　「業務の有効性と効率性」が、しっくりくるのではないでしょうか。日本では、あまり悪いことを考えない文化があると思うのですが、海外では、さまざまなリスクのケースと発生確率をきちんと想定しています。そういう土壌があって初めて、ＣＯＳＯキューブが役に立つんですね。日本企業もそういう企業文化を整えていかなければならない段階にきているのではないでしょうか。

岡村　新会社法で規定されたリスク管理体制やコンプライアンス体制などは、もろもろの株主代表訴訟で築かれた判例理論を、整理したものです。その根本になっているのが大和銀行株主代表訴訟の第一審判決です。内部統制システムの基本方針の決定については、各企業の経営判断に任されていますが、コンプライアンスだけはそういう融通が効かないものなのです。どうも判決自体がリスク管理体制を大きな円として描き、コンプライアンス体制をそれに包含されるものとして描いており、それがそのまま新会社法のベースに流れ込んでしまっているようなのです。

松原　なるほど。グローバルの規制と日本の規制の双方が混ざっているため、取り組みが難しいのでしょうか。

岡村　グローバル展開している大手家電会社のリスク管理室長のお話によると、米国版ＳＯＸ法の洗礼を受けてから、Ｊ-ＳＯＸ法の対策をしたのでやりやすかったようです。ただ、それ以外の企業の場合は、そううまくはいかないので、難しいとは思います。しかも日本では米国スタンダードであるＳＯＸ法だけではなく、欧州発のＩＳＯ２７００１も取り入れています。これがまた、取り組みを難しくしていると言えます。

日本型リスクマネジメントは護送船団方式の様式美？

松原　本来、企業経営者が自分は何をすべきかを明確にできていれば、周りがどんな環境でも大丈夫なはずです。しかし残念なことに、日本企業はずっと護送船団方式で行ってきた。これまではリスクを考えなくても良かったというわけです。この企業体質は今も続いている気がします。だから、Ｊ-ＳＯＸ法への対応も専門家がやってくれるのだと考えている企業が多い。一方、海外の場合、リスク管理はＣＥＯの仕事だという認識が定着している。また、日本の中でも先進的な企業は、海外と同様の体制ができています。そのギャップが大きくなってきている気がしますね。

岡村　日本は、遵法精神が豊富であるとよく言われますが、私にはそれがお茶やいけばなのように、とにかく形を整えることを優先するという意味で、様式美を競うものになっているように見えます（笑）。これに加え、各部門間での連携が取れていないという問題がある。ある部署ではＩＳＯ２７００１／ＩＳＭＳを担当しており、他の部署ではＣＯＢＩＴ（Control Objectives for Information and related Technology）を適用しようとするというように、まったく違ったことをそれぞれ部署が勝手に進めていってしまうんですね。

松原　そうですね。リスク管理やコンプライアンス、セキュリティ対策など、こういったものを会社としてどう受け止めて、組織としてマッピングしていくかを考える文化がなかったので、気がついた人がやるという状況がまだまだ残っているのではないでしょうか。それぞれ自分が自分たちの基準を作るわけですから、当然、いろんな基準が乱立してしまう。このような状況で、会社としてどう対処していくかを決められるのは、実はＣＥＯだけなんです。トップダウンでやるしかない。日本の企業文化であるミドルアップやミドルダウンでななく、欧米流の組織・体制のあり方にいかに合わせていくか、それに気付くことが大切だと思います。

岡村　まさに私も同意見です。そして多くの日本企業の内部統制への取り組みは、様式美の域を出ていないことを認識してほしい。たとえば「ＣＳＲが必要だ」と言われたから取り込む、というのでは困ります。これらは全て、経営目標を達成するための道具で、そのためにどうしたらいいのかということをまず考えてほしいんです。そうしないから、管理部門ばかりが企業内で膨らんで、重複や矛盾で穴が開いてしまっている。ときにはレフトとセンターとショートの間にポテンヒットが生まれるような状態も生じています。

社内ルールとＩＴは車の両輪

松原　ＧＲＣの特徴は２つあります。１つは内部統制をＩＴに一度組み込むと、網羅的に適応できるようになること。たとえば管理職が１０００人いると、中に１人か２人はいい加減な人もいます。そのいい加減な管理職の部下は、いい加減なことをしてもセーフになるでしょう。でも、ＩＴだと全てがアウトになる。ＩＴを使うとそのルールが例外なしに当てはめられてしまうんです。むろん、そうなると現場からは、「今度のシステムは何だ。使いにくいじゃないか。」というクレームが出てくるでしょう。そこで、２つめには、そういったルールとＩＴのせめぎ合いやバランスといったものにうまく対処できるような、企業文化やモラルを根付かせること。

岡村　私も社内のルールとＩＴは、車の両輪のような関係だと考えています。たとえば「パスワードは必ず10桁にしなさい」と言うと、おそらく社内から「使いにくい」というようなブーイングが起こるでしょう。実はそれを抑えるためには、「社内ルールでこう決まっているからです」というと納得するんですね。逆もまたしかり、「この書類は権限のある人しか見てはいけません」というルールを定めたところで、ＩＤやパスワードでアクセス制限がかかっていないと、絵に描いた餅になってしまう。つまり両方が揃わないと、うまくいきません。
　もう１つ、さまざまな管理規程をどうするのかという問題。多くの日本企業の場合、社内規程としてまずコンピュータ管理規程を作りました。そのあとで、紙も重要だということに気付き、上からまったく違う情報セキュリティの規程をかぶせた。営業秘密管理規程を作っている企業もあります。そして個人情報保護法ができると、また新たに個人情報保護規程を作り…。このように同じような内容のものが幾重にも張り巡らされており、しかも内容が少しずつ違ったりしている。相互参照すらしていないので、わけのわからない状態になっている。そこにさらに、ポリシーという概念が入ってきて、さらにわけのわからなさを加速しています。社訓と同じレベルで並ぶポリシーから、内部統制の基本方針や個人情報保護法のためのプライバシーポリシーまで、いろいろなポリシーがある。そしてそれぞれのポリシー間も形式上は取締役会が定めているところは多いのですが、実際は所轄の部長が定めているので、内容が重複しているだけではなく、ときには矛盾しているんです。これが重複・矛盾です。これでは内部統制どころか、制御不能状況に陥りかねません。
　管理部門の統合という観点からすると、日本企業はまだ、前奏曲の位置づけと言えるでしょう。たとえば、コンプライアンス部を別に作ったけれど、業務が似ているので、従来からある法務部と一緒にすべきかどうか、悩んでいるといったような状態です。

松原　そういうリソースが絶対的に足りていないですね。日本の場合、公認会計士の数は米国の11・６分の１。これは人口比を補正した数値です。この数値を見る限り、米国と同じような役割を公認会計士や弁護士にお願いすることはできません。もちろん、今現在、日本企業の内部統制の状況は、めちゃくちゃになっているというわけではありません。社員のモラルは米国よりも高いという日本企業の特徴もある。ですから、米国企業に合わせたシステムを一から全部入れるのではなく、日本の高いモラルに合わせたシステムのあり方を探る必要があると思うんです。

企業、行政、ＩＴベンダー〜それぞれの課題

岡村　システムのあり方といっても、現実にはどれが必要でどれが不要なのか、自主判断は困難だと思いますね。そこでＩＴベンダーの役割が重要になるのだと思います。企業がＩＴベンダーに望むことは、ルール化の要点のコンサルティングまで含めたパッケージという形での提供。先述した車の両輪をいずれか片方ではなく、両方を提供してほしいというのが本音ではないでしょうか。株式公開企業でも中堅クラスの企業は、なかなか内部統制に割く時間や要員が取れないというのが実情でしょう。たとえばＪ︲ＳＯＸ対応パッケージなんていうのが、もう少しあってもいいと思うんですね。セグメント化しすぎたパッケージが多いことが、ＩＴ投資に対して二の足を踏ませている原因になっているのではないでしょうか。

松原　Ｊ-ＳＯＸ法の影響を受ける中堅・中小の上場会社や連結会社などが、シュリンクパックのパッケージをそのまま導入する場合、Ｊ︲ＳＯＸ法に適用している、していないという判断基準を国としてきちんと出すことも大事だと思います。とはいえ、今、多くの企業が日本版ＳＯＸ法への対応について、アドバイスを誰に求めればいいのかわかっていないこともあります。今まで付き合いのあるＩＴベンダーに相談すると、「ＩＴを買わされるのではないか」という不安もあるでしょう（笑）。これを解消するためには、各ユーザー企業同士が相互に相談するのも有効な方法です。顕著な例では情報サービス産業協会では、業界としてＪ-ＳＯＸ法として守っていくためにはどうすればいいのかを書いた指針を出しています。こういったことを各業界団体で行うのは、実効的に非常に有効であると考えています。

岡村　私は経済産業省・産業構造審議会のセキュリティ部会の委員を務めているのですが、そこでも同じことを言っていますね。中小企業向けに最低限のルール化ができるように、雛形や解説書などを作り支援をすべきじゃないかと言っています。

松原　米国だと民は官にどんどん文句を言います。たとえばＣＯＳＯの内部統制フレームワークは大きな企業を念頭において作られました。しかし、それだけでは足りないと声を上げ、その声を受け、今度は中小企業版を作っていくといった具合です。日本でも声を上げ、基本的なものをどんどん作っていてほしいですね。ただ、専門家が集まって議論をすると、だんだん、厳しいほうに向かってしまいがちです。ある程度はしょうがないとは思いますが、ぜひ、手ごろなガイドラインを作ってもらいたいと思います。

岡村　先述したようにＩＳＯ系の基準とＣＯＳＯ系の基準、ＣＯＢＩＴ系の基準などいろいろなものが取り込まれている日本では、その差分を明らかするなど、もう少し分かりやすい基準も出してもらいたい。

松原　確かに、実際にはかなり重なっている感じがするので、相互関連付けを出していただけるとかなりわかりやすくなると思います。

岡村　さらに付け加えるとすれば、たとえば中小企業を対象としたＩＳＭＳのガイドラインであれば、ソロバン習字などお稽古ごとのように、３級、２級、１級というように進級していく形で取り組めるといいと思うのです。いきなりＩＳＭＳを取得しようといってもかなり負担ですから。そうすると、敷居が低くなるのではないでしょうか。

松原　そして日本の企業も、ガバナンス、リスク、コンプライアンスについてもっともっと勉強してほしい。これがいちばん、大事なことだと思います。

岡村　そうですね。まず何より企業自体が変わっていくこと。そのために、行政的なガイドラインや指導を整備し、各業界の基準を作っていくことが重要になってくるでしょうね。