Vol.9　中小企業における内部統制の考え方と情報セキュリティガバナンス

はじめに

　3/31(月)日経朝刊、第一面の見出しである。2008年度幕開けの企業・金融の法制度改正の重要トピックとして、市場の信頼回復と投資家保護を目的に企業統治・情報マネジメントの改善強化を求めたものである。しかし、これは単に上場企業に止まらない。

　 2006年2月公布の新会社法では、株式会社に「業務の適正を確保するために必要な体制」の整備を求め(第348条3項―四)、特に、大企業には「内部統制システム」構築を同年5月1日以降最初の取締役会で決定することを義務付け、法務省令で具体的に体制整備を要求している。

　こうした新会社法や米ＳＯＸ法対応などにすでに準備万端の企業も、昨年あたりからの間に合わせ企業も、その取組状況を見ると自社及びグループの関係子会社から主要な取引先、外部委託先など直接・間接に基幹事業・サービス提供のバリューチェーンを構成する全ての企業群 -- 日本の産業構造上、その多くは中小企業-- に及んでいる。
　熾烈な市場競争に勝ち抜く上で取引先等を含むより緊密な情報ネットワークが不可欠となる反面、企業は厳格な情報の管理と共有化、セキュリティの確保、及び災害時等事業サービス継続のため、取引企業ネットワーク全体のコントロールが必要となっている。それはまた、市場や規制当局の要求であり、社会も“公器”としての企業に期待する時代にある。

　そこで今回、企業のガバナンスを支える内部統制の基盤、且つ緊要な経営課題である
　　　■ 機密情報記録の保全管理 ⇔ 情報セキュリティの確立
　　　■ 事業継続性の確保 ⇔ 災害復旧・事業継続管理の確立
　　　■ 中小企業における内部統制対応
　　　　　内部統制整備のプラス効果 ⇔ 企業価値・信頼性の向上
　の3つの点について、中小企業としての取り組み、考え方を整理したい。

機密情報記録の保全管理 ⇔ 情報セキュリティの確立

　昨今、設計開発から最終製品の供給まで、個人情報を含む顧客情報や製品技術・ノウハウなどの営業機密情報を、地理的にも階層的にも数多くの多様な企業が利活用し、各拠点・プロセスで大切な情報やデータ等が生成・ 共有され､記録、保管されている。

　こうした状況で、適正・効率的な工程管理と情報セキュリティを確立するためには、当該製品やサービスに係る全体の統制システムとセキュリティレベルの共有一元化が 大切である。ネットワークのどこかに「穴」--セキュリティホールがあると、バリューチェーン全体が脆弱化し、連鎖機能の停滞・支 障を来すリスクが高まる。

事業継続性の確保 ⇔ 災害復旧・事業継続管理の確立

　2004年10月、新潟県内陸部で発生した地震災害により、近畿に本社拠点を置く大手電機メーカーが生産不能に追い込まれ、グループ全体で900億円弱の損害を被った。被災子会社の部品供給ストップにより､いわゆるサプライ・チェーンの断裂を生じた災害事例である。部品メーカー被災より完全復旧までの約5ヶ月間、同グループは他の工場で代替生産することにより早期再開に漕ぎつけ、被害の軽減に努めた。
　 しかし、日本の中小企業には世界的に卓越した独自技術で､代替部品の調達も出来ず迂回策のない“単一障害点（Single Point of Failure）※” という最悪のシナリオも想定される。実効的な事業継続性確保のためには自社のみの対策では不十分であり、取引企業ネットワークを構成するＳＣＭ（サプライチェーンマネジメント）全体の事業継続計画（ＢＣＰ：Business Continuity Plan）の策定と体制整備が必要である。
　 切迫性が叫ばれている東海・中部地域や首都圏を始め地震活動期に入った日本においては、被害想定（中央防災会議）や各地公体等の支援体制・制度等を参考に災害復旧・事業継続の基本方針を立て、実行プランを策定することが急務である。今、政府系機関や重要インフラ事業者はもとより各企業グループも喫緊の経営課題として取り組んでいる。
◇ 政府 防災戦略目標 「大企業の全て、中小企業の半数以上のＢＣＰ策定と体制整備」
　　（参考）内閣府中央防災会議「事業継続ガイドライン」
　　http://www.bousai.go.jp/MinkanToShijyou/guideline01.pdf
　 とりわけ、顧客データや技術情報、権利・契約書など代替の利かない自社固有の情報資産の保全・保護対策に不備があれば、万一のとき、復旧・再開は絶望的である。また、経営トップ自身及びキーパーソンや金型などの重要資源（ボトルネック）対策、及び災害時の財務的手当てなどＢＣＰ基本方針に関する経営トップのリスク評価、決断が肝要である。
（参考）ＢＣＰ支援サイト ： 中小企業庁　http://www.chusho.meti.go.jp/bcp/
　9・11ＮＹ同時多発テロの後、Ｉ社など半導体関連業界では全ての取引先に対して、重要情報記録の保全やＢＣＰ策定を要点とするリスク管理＆内部統制の整備・強化を契約・調達条件として文書で要求。このような動きは、国内でも半導体関連以外に、製薬、自動車業界をはじめ電機、航空輸送分野など急速に拡大しつつある。

※ 単一障害点とは、システムないのある特定要素に障害が発生した場合に、
　　システム全体、またはシステムの一部が停止してしまう要素のこと。

中小企業における内部統制対応　
内部統制整備のプラス効果 ⇔ 企業価値・信頼性の向上

　　昨今、「食」「住」の安全やコンプライアンスに係る問題が頻発し、企業のモラル・信頼性に対する消費者・国民の眼は厳しい。また、バーゼル�U(自己資本規制)に伴う金融機関へのリスク管理要求は一層厳しくなり、中小企業の主な資金調達先である銀行等は、当局の指導もあり、融資先企業の財務会計の適正性や情報管理・コーポレートガバナンスの改善強化への取り組みに着目、重視するようになっている。

　 ※金融検査マニュアル別冊(中小企業融資編)の改訂では、検証事項「経営者の資質」の
　　　 判断ポイントとして、 「財務諸表など計算書類の質の向上に向けた取組状況」を追加。
　 ※新会社法では、中小企業のガバナンス強化施策として、監査役の業務監査権限に加えて、
　　　 決算書類等の適正性確保のため「会計参与制度」を創設。
　　　 中小企業庁調査では導入予定を含め数％と緒に着いた段階だが、今後の制度改善と
　　　 併せて徐々に浸透、増加の方向。

　外部の委託先における情報記録の漏えいや損傷等の問題も自社内部統制上の不備・欠陥となるため、情報セキュリティに問題のある相手先とのネットワーク接続や、重要な機密情報の共有・開示は出来ない。また、地震・風水害、爆破・火災など災害時への備え・対応力が弱く、顧客や市場への安定的・継続的な製品やサービスの供給に不安があるような相手とは組むべくもない。 こうした事業環境の変化やステークホルダー要求への適切な対応ができない企業は、結局その事業機会は減少・収縮し、資金調達への影響すら懸念される流れにある。


　以上、中小企業にとって内部統制の意味するところ、その対応について申し上げてきた。若干、煽り過ぎの感もある“内部統制対応ブーム”ではあるが、昨今の偽装問題・不正会計など続発する企業不祥事や情報漏洩、また火災事故や地震災害等を見ても、リスク管理に基づく内部統制制度の背景や方向性そのものは企業経営の本質的なものでありその重要性・有効性は紛れようもない。
　 経営者自らが経営強化のための内部統制整備に取り組むことにより、むしろ中小企業の方が、一層スピーディに実効性の高い導入・運用が可能であり、業務効率性・企業信用、ひいては顧客満足度の向上に資することが出来るものと考える。

　〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜
　 　次回は、地震災害や情報漏えい等のリスク管理、コンプライアンスの観点で
　 　企業の情報セキュリティガバナンス確立に不可欠な3つのマネジメント課題
　 　◆情報記録の保全・管理　 ◆情報セキュリティ　◆事業継続管理 　　　　
　 　対策検討に関して、具体的な事例も交えご紹介したい。
　〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜

【執筆：当社営業本部　立山 博】
内容に関するお問い合わせ　営業推進部　TEL：03-5425-5300