［米国］
日本版SOX法への対応準備に苦慮する海外法人

具体的な作業は4月以降？

（2007年03月19日）

　来年3月の決算期より施行される金融商品取引法（日本版SOX法）に対応するべく、該当する国内外の企業が準備に追われている。しかし、同法の実施基準の詳細が発表されるのは4月以降の見通しで、日本企業の米国法人のITマネジャーからは戸惑いの声も聞かれる。

　米国アーンスト＆ヤングでITリスク管理コンサルタント＆パートナーを務めるマリオス・ダミアニデス氏は、米国の公開企業会計監督委員会（PCAOB：Public Company Accounting Oversight Board）が昨年末にSOX法（米国企業改革法）の要件の一部を緩和したことを挙げ、日本にもこの影響があると指摘する。

　「日本版SOX法は、米国のSOX法を参考にしている部分が多い。米国同様、日本版SOX法も企業に対して過度の負担を課すものにはならないだろう」（ダミアニデス氏）

　ちなみに、ダミアニデス氏は情報システムコントロール協会（ISACA：Information Systems Audit and Control Association）の元国際プレジデントだ。

　富士フイルムの子会社である米国富士フイルムのIT担当副社長を務めるマイケル・ペルグリノ氏は、「日本版SOX法は、米国のSOX法が成立した当初と同様に、実務上の詳細はだれもわからない」と戸惑いを見せる。

　それでもペルグリノ氏は親会社の富士フイルムを習い、IT統制の文書化を実施するとしている。

　米国富士フイルムでは、投資対象の価値を正確に把握するための調査であるデュー・ディリジェンスの一環として、すべてのハードウェアやそのIPアドレス、さらにそれらの上で稼働しているソフトウェアをマトリックス化しているという。

　また、東京エレクトロンの米国法人である東京エレクトロン・アメリカのCIO、ラス・フィニー氏は、日本版SOX法への対応の一環として、自社のセキュリティ・ポリシーとITポリシーを見直す計画があると打ち明ける。

　同氏によると、新しいセキュリティ／ITポリシーの下では、グローバルITシステムの追跡／監視をはじめ、ITシステムで実施しているセキュリティ対策を文書化するという。

　「われわれは、日本版SOX法の施行が決まる前からグローバルITシステムの追跡／監視は実施している。日本版SOX法で求められる、IT資産の追跡に関しては、十分に対応できるだろう」（フィニー氏）

　しかし、富士フイルムのペルグリノ氏と同様、東京エレクトロン・アメリカのIT部門でも、現在は日本の金融庁が公開した実施基準案の範囲内でしかSOX法への対応準備ができていない。

　「すでにわかっている規制については精力的に取り組んでいる。規制内容の詳細が発表されれば、われわれは即対応できる自信がある」（フィニー氏）

(トーマス・ホフマン／Computerworld 米国版)