記事:個人情報問題と内部統制:「不要な対策を迫るITベンダーの便乗商売――検証 864万件の個人情報流出(3)」
この記事の指摘は、「内部統制」という言葉の持つ曖昧さに起因する。
いろんなソフトウェアベンダーがいるが、昨今の個人情報漏洩問題とあいまって便乗商売的に活動しているという指摘である。
「情報セキュリティ」と「内部統制」。ともに目に見えず、ともすれば無限にコストのかかる課題である。
以下、日経IT-PLUSより引用。
企業の情報漏えい対策に関する連載の最終回。昨今話題となっている日本版SOX法(金融商品取引法)を大きなビジネスチャンスと考え、多くのITベンダーが様々な提案活動を行っている。これは日本版SOX法では、ITの活用が強調されていることに大きな原因があると思われる。しかし、日本版SOX法の対応に本当に必要なのかどうかわからないような情報セキュリティー対策なども多くある。
各ITベンダーのうたい文句などを見るとおおむね次のようなものである。
「SOX法で求められる情報セキュリティー」
「SOX法に対応する運用管理ツール」
「SOX法で求められる高度な電子メール管理」
「SOX法対応アカウント情報管理ツール」どうも、内部統制の構築のためには情報セキュリティーあるいは個人情報管理が必要だと主張しているベンダーが多いようだ。これらの対応は、確かに行った方がいいかもしれないが、必須ではない。ここを注意しないと、SOX法対応のために不必要なコストをかけてしまうことになる。
何故このような主張がされるかというと、日本版SOX法で求められている内部統制と、本来企業が行う必要がある内部統制を同じと考えているか、あるいは意図的に同じものと混同させようとしているためである。
[参考(By Amazon)]
個人情報保護マネジメントシステム要求事項の解説―JIS Q 15001:2006
個人情報保護士試験公式テキスト
トラックバック URL :
コメント (0)
