IT統制とメール管理(その3)
「あっ!、この本おもしろそう~♪」と思って衝動買いしましたのが「株式会社はどこへいくのか」(日本経済新聞出版社)。上村教授と金児昭氏との「掛け合い」を一冊の本にまとめたものであります。金児氏の「財務会計」モノはほとんど拝読させていただいておりますので、今回も新会社法に関する金児氏のご意見に興味を抱いておりましたところ、お読みいただいた方はおわかりのとおり、そのほとんどが上村教授のご意見で占められておりまして、それはそれでたいへん読みゴタエのある本であります。(ただし、まだ半分ほどしか読み終えておりませんので、前半部分までの感想であります。しかしここまで上村教授がご自身の意見を述べられるのも、ある意味でスゴイなぁ・・・と。(^^;; )またどこかのブログで、この本に関するご意見などが開陳されることを期待しております。。。
さて、以前「IT統制とメール管理」というシリーズをエントリーしまして、かなり多方面の方々よりご意見を頂戴いたしました。当時は「財務報告に係る内部統制報告制度におけるIT統制にはメールの管理は重要な要点となるのか」といった問題の立て方だったと思うのでありますが、少し趣旨は異なりますが、本日(8月27日)日経朝刊の「法務インサイド」にて「メール消去は命取り?」といった企業におけるメール管理に関係する話題が採り上げられておりました。基本的には米国民事訴訟法上のディスカバリー制度(2006年12月から施行されているE-ディスカバリー規則)の紹介と、日本企業としての対応方法に焦点をあてたものですので、海外子会社のある企業や、海外親会社の日本法人を対象としたものであります。したがいまして、日本の全ての事業会社向けのメール管理ということではありませんが、E-ディスカバリー規則には「善意による電子保存情報紛失に関する制裁条項の適用制限」がありますので、会社の正当な理由によってメールを消去した場合には、民事上、刑事上の制裁を受けない、といったことが規則化されました。こういった規則内容から、企業としては電子保存情報管理規則を速やかに作成して、これを施行することが勧められております。そして、そのひとつの具体例として、企業としてはメールは3ヶ月ごとにサーバーから消去すること・・・といった規則を作り、すみやかにデータ消去をはかるべきことが述べられております。(なお、Eディスカバリー規則に関する内容は、雑誌「ビジネス法務」の10月号より連載されておりますので、詳しくお知りになりたい方はそちらをご参考にされてはいかがでしょうか)
以前「IT統制とメール管理」をエントリーしたときに、知り合いのSEさんにお聞きしたところ、社内メールを長期間にわたって保存するということは「非現実的」とのことで、「もし、本気で数年分の社内メールを(メール内容まで特定できる形で)保存したいのであれば、おそらく何億もの費用を要するでしょう」とのことでありました。記録用テープが大量に必要ですし、どこに何が書いてあるのか(あるいはどんな添付ファイルが存在するのか)、特定するのであればそのための人員も確保しなければならない、ということであります。私自身としては、企業内で発生した不祥事の事実認定の有力な証拠になることや、外部からの捜査等への協力体制としては最低限度、メールの管理は不可欠であって、内部統制報告制度の一貫としても重要なIT統制の一部ではないか・・・とも思ったのでありますが、どうも「費用対効果」といった面からしますと、かなり「非現実的」な考え方だったのかもしれません。
しかし、法律上保存義務が課せられている文書や電子保存情報は別として、一般の事業会社としては「電子保存情報は3ヶ月程度でサーバーから消去する」といった情報管理規定は、米国民事訴訟法対応といった特別の理由でもないかぎりは、ちょっと保存期間としては短すぎるのではないでしょうか。メール自体、内部統制の評価の場面においては「情報と伝達」といった構成要素をなしているものでしょうし、また統制システムの運用状況を内部監査人がチェックしていること自体を「文書化」したものとして、事業年度の期末日までは確保されるべきものでしょうから、最低限度1年間は保存すべきものだと思われます。もちろん、メールの種別を区別して、内部統制システムの評価に関わるものとか、経営者不正の証拠となりうるような情報伝達に関わるものなどを別途保存する、といった運用も考えられるかもしれませんが、その区別自体に多額の費用を要するようにも思いますので、一括してメールを保存しておくほうが現実的ではないでしょうか。会社法上の内部統制システムの構築ということになりますと、経営判断の原則が妥当するところではありますが、取締役や従業員の職務の適正を確保するための体制ということには、その職務の適正を担保するものとして、意思伝達の記録化も重要な要素であろうと思われます。そうであるならば、メール管理に関する一般原則を議論したうえで、個別に除外すべき合理的な理由を検討していくほうが妥当ではないかと思います。(システム監査などに携わっていらっしゃる方へお聞きしたいのでありますが、実際1年分のメールを管理する・・・ということも、やはり多額のシステム費用を要することなのでしょうかね?またお時間のあるときにでも、メールかコメントにてチョロっとお教えいただけますと助かります)
| 固定リンク | コメント (5) | トラックバック (1)