« 監査法人の業務停止とは? | トップページ | 不正監査を叫ぶことへの危惧 »

2005年9月18日 (日)

情報管理と内部統制

旬刊経理情報の9月10日号、同20日号の連載で、「NTTドコモにおけるSOX法404条への対応~プロジェクト運営から見える日本企業への示唆~」として、実際に米国の基準をクリアした内部統制システム構築担当者の論稿(体験記)が掲載されましております。文書化プロセスの流れや構築上の悩みなど、たいへん興味深いものです。これを執筆されたNTTドコモの担当者の方、最近までNTTコムに在籍されていらっしゃったようで、財務上のシステム監査への対応などにも造詣が深いのでしょうね。NTTコミュニケーションズあたりは、まさにこれからのシステム監査への対応を中心とする内部統制システムの「伝道師」的立場にある会社といえましょう。

ただ、内部統制の限界ともいうべき事件が、このNTTコムの周辺で発生してしまったようです。業務の外部委託先であるシステム開発会社の代表者から、「3億よこせ。そうでないとお宅の保有している顧客情報を漏らすぞ」と脅され、結局この代表者は恐喝未遂で逮捕されてしまった、というものです。  朝日ネットの記事です。(9月17日)

自社の内部統制システム構築には万全を期していても、自社情報を共有する外部委託先企業とのトラブルが発生してしまうと、結局自社の対策が水泡と帰してしまう可能性があるというのは恐ろしいことですね。ちなみに、このMPIという企業のHPをみつけました。

 エム・ピー・アイ(渋谷区)

今年の5月にプライバシーマークも取得しており、誠意をもって個人情報を守りますと謳ったHPの内容からは、企業名のとおり「誠実性」がうかがわれます。天下のNTTコムさんが顧客情報を共有していた企業ですから、それなりの実績もあり、信用もあったのでしょう。しかしながら、今回のような代表者の事件。いきなり「3億よこせ」というのはちょっと考えられませんので、おそらく取引上の経緯があったのだとは思いますが、こういった統制リスクというものは、人から教えられて防止できるものではないでしょうね。外部委託先との顧客情報の共有に関するリスク回避、というのは教科書的には理解できるものですが、実際のところは回避困難なリスクであって、おそらく内部統制の限界のひとつに含まれるのではないでしょうか。

すでにいろいろなところで、NTTコムさんが講師となって「システム監査」の研修会など、されておられるようですが、どうか今回の事故について、どうしてこのような事態になったのか、どうしたら外部委託先とのトラブルを防止できるか、情報漏えいの有無については、どのように調査確認をして、いつ顧客に明確な報告をするのか等も含めて、どうか講習をしていただきたいと思います。リスクというのはどんなに防止策をとったとしても発生しうるもの、むしろ発生後にそのリスクの影響を最小限度に抑える方策というものも、たいへん重要な作業であり、他社にも非常に勉強になるものではないでしょうか。

|

« 監査法人の業務停止とは? | トップページ | 不正監査を叫ぶことへの危惧 »

コメント

業務委託先の法律関係については、コンプラ関係では複雑な問題が関係する可能性があります。
個人情報保護法上の枠組みで委託企業が委託先の企業への監督義務?がある法的枠組みになってます(22条)。
同時に業務委託先と委託企業の間に独占禁止法上問題となりうる関係が存在する場合には上記個人情報保護法対応も含め、過度に制限的な内容の契約関係が強制される余地もあります。
今回の件はそれとは無関係だとは思いますが、本件のような問題も含め、この委託先の法律問題は企業実務ベースでは独禁法まで視野に入れるコンプラ対応というのはろじゃあ的には相当難しい部類の応用問題になってるような気がします。

投稿: ろじゃあ | 2005年9月18日 (日) 04時38分

ろじゃあさん、こんばんは。
いまでこそ、個人情報漏洩というのが、大きな裁判になっていませんが、もし第三者から預かっている秘密を漏洩されたようなケースだと、たいへんな問題になりそうですね。結局のところ、どんなにお金をかけてみても、「人と人との関係」というところはどんな企業であっても脆弱であると思います。今回の件で一番知りたいのは、どうして脅迫されるに至ったのか、という点なんですが、まあ公表されることはないと思いますが、他社でも起こりうるのか、それともコムさん独自の事情に起因したのか、知りたいところです。

投稿: toshi | 2005年9月19日 (月) 22時51分

■住基ネット合憲の最高裁判断は、個人情報流出賠償判決の変更か
DMORIです。
最高裁は3/6、住民基本台帳ネットワークシステム(住基ネット)が合憲であるとする判断を示し、全国で60件の住民訴訟に対する結論を出しました。

判決では、氏名、生年月日、性別、住所といった個人情報は、個人の内面にかかわるような秘匿性の高い情報とはいえず、憲法が保障するプライバシーの侵害には当たらないとしました。
それよりも、住基ネットの運用による公共サービスのメリットを重視すべき、という考え方を示したとも言えます。

かつて、宇治市が住民基本台帳情報の漏えいで、住民からの慰謝料請求訴訟に対して、宇治市側では「住民基本台帳に記載の氏名、生年月日、性別、住所といった個人情報は、もともと閲覧希望者に公開している情報であり、賠償金を払うに値するほどの重要な情報ではない」と主張したのですが、最高裁は原告住民に1人15,000円を支払うよう、命じました。

それ以来、この金額が個人情報漏えいの賠償相場と言われてきたわけですが、今回の住基ネット合憲判決は、この賠償相場にも影響を与える変更と考えてよいのでしょうか。

投稿: DMORI | 2008年3月 7日 (金) 14時53分

本件については、私もよく事案を存じ上げておらず、的確な意見を述べるだけの知識もありませんが、そもそも個人情報を保有することと、これを第三者に提供することとは問題の次元が異なるのではないでしょうか?
国が行政目的によって個人情報を保有することが合憲だとしても、それをむやみに行政目的以外によって第三者へ提供されないことは個人の権利だと思いますし、これを違法に漏洩されてしまった場合の個人の損害論はまた別個に議論されるべきだと思います。つまりこれまでの個人情報漏洩に関する損害賠償金の相場への影響はほとんどないのではないか、と考えますが、いかがでしょうか。

投稿: toshi | 2008年3月10日 (月) 03時02分

コメントを書く



(ウェブ上には掲載しません)


コメントは記事投稿者が公開するまで表示されません。



トラックバック


この記事へのトラックバック一覧です: 情報管理と内部統制:

« 監査法人の業務停止とは? | トップページ | 不正監査を叫ぶことへの危惧 »