クローズアップテーマ こんな場合にどうするか
第8回 電子メールシステムはJ-SOX上の内部統評価の対象になるのか【大林 正幸】(2008/11/25)
2008年11月25日 大林正幸
1.電子メールと内部統制
以下は、ある会社の事例である。
「担当者が重要な業務処理手続きの変更を関係者に電子メールで通知することがあった。あらかじめ、上司の最終の決裁を受けるため、電子メールで報告し決裁を仰いだ。上司から、返事がなければ承認したと看做す趣旨を沿えて送った。特段の上司の返事もなかったので、承認があったものと判断した。内規では、重要な業務処理手続きの変更には直属の上司の承認が必要とある。」この状況は、内部統制としては有効なのだろうか。
電子メールは、社内外とのコミニュケーション・ツールとして、様々に活用されており、なくてはならないインフラである。また、過去、IT企業で起きた不祥事では電子メールの文書は有力な証拠として使われたこともあった。電子メールシステムを介して重要な情報が伝達されるわけだが、内部統制の整備評価の対象になるのだろうか。
金融商品取引法での内部統制報告制度に関する実施基準には、ITの利用で、電子メールにふれた箇所がある。以下である。
「統制環境の有効性を確保するためのITの利用
(前半略)ITの利用は、統制環境の整備及び運用を効率的に行っていくうえでも重要となる。例えば、電子メールといったITを利用することは経営者の意向、組織の基本的方針や結締事項等を組織の適切な者に適時に伝達することを可能にし、統制環境の整備及び運用を支援することになる。
一方で、ITの利用は例えば経営者や組織の重要な構成員等が電子メール等を用いることにより、容易に不正を共謀すること等も可能としかねず、これを防止すべく適切な統制活動が必要になることにも留意する必要がある。」
実施基準では、電子メールは、情報の伝達の手段として有効なものであるとしている反面、不正の共謀の可能性もあり統制活動が必要であるという。電子メールシステムに対する何らかの統制整備の必要性を示唆しているとも解釈できる。
2.電子メールの内部統制整備面での論点
電子メールと内部統制との関わりは、以下の点であろう。
(1)プライバシー権の保護と従業員の監督という点で、電子メールのモニタリング権の行使の関係はどうか
(2)電子メールが社員の私的領域を有しないと考えるのであれば、社内の文書として、電子メールの文書の保存管理は内部統制の評価の対象にすべきか
(3)電子メールは、承認・決済の処理の手段として内部統制の評価の対象になるのか。
以下、上記の項目について検討する。
3.プライバシー権の保護と従業員の監督という点での電子メールのモニタリング権の行使の関係(注1)
電子メールの私的領域は、社内のロッカーなどに比較して、殆どその余地はないとの東京地裁の判例もあり、会社によるモニタリングが可能であることは確立している。例えば、電子メールは文書として記録が残り、後日、経営活動に活用できる重要情報が多いこともあり、他社員が閲覧できるとする。要するに、上司は部下の仕事を監督することと同様に、常時、社員の仕事の状況をモニタリングしなければならないという意味で、電子メールをモニタリングできるという判断である。
ただ、個人情報保護法第21条を受けて経済産業省ガイドラインでは「従業者のモニタリングを実施するうえでの留意点」で、以下の点を示している。(注2)
・モニタリングの利用目的を特定し、社内規程に定めるとともに従業者に明示する。
・モニタリングの実施責任者とその権限を定める。
・モニタリングの実施について社内規程を策定し社内に周知する。
・モニタリングが適正に行われているか監督または確認を行う。
内部統制の整備の視点からみれば、上記留意点をもとに、規定化や社内通知などで、電子メールのモニタリングの仕組みを社員に知らしめることが必要である。
4.社内文書として電子メールの文書の保存管理は内部統制の評価の対象になるのか
電子メールは、重要情報もあるが、読んで廃棄してもかまわない情報も多い。保存すべき重要情報かどうかの判断は、当事者に任せられるため、当事者以外の者が関与する余地は少なく、重要な情報が削除されるリスクにさらされている。内部統制の視点では重要な情報の保存管理が保障される仕組みが整備されているかがポイントだろう。電子メールの文書を当事者が勝手に削除できないようにしたり、また、電子メールのデータを長期間保存することは、データ管理者の負担も極めて大きく、膨大な容量のデータ保存設備が必要になり、コスト負担は大きい。現状では、重要でない膨大な文書も多いという実態から、費用対効果を考えて内部統制の整備・評価の対象にすべきかを判断することになる。
実施基準の言う、「容易に不正を共謀すること等も可能」というリスクに対しては、電子メールのモニタリングにより統制するということのほうが現実的である。
5.電子メールは、承認・決済の処理の手段として内部統制の評価の対象になるのか
前述の通り、申請・稟議・承認などの統制活動が電子メールを通して、頻繁に行われることは多い。米国にある会社では、むしろ、電子メールによる手続きが普通である、内部統制の承認、照合などの基本機能を電子メールで実施すると、後日、監査のための証跡として残すことが必要になるだろう。
しかし、そもそも、電子メールの電子データの文書に証跡としての力があるのだろうか。
証跡は、反復可能で、誰が何度見ても、同一のものとして確認できなければならない。この為には、サーバー、または、各人のパソコン上で保管されている電子メールの文書を承認記録として残すには、電子メールの手軽さからみて、履歴を含めて、原資料まで遡ることができることを保証されることが必要なのだろう。また、少なくとも監査対象期間中は、保存されておくことも必要である。このようなルール化ができなければ証跡としての価値は下がる。そのため申請・承認などに関わる電子メールはぺーパーに出力し証跡として保存し、利用する方法もある。この場合、出力され文書は内部統制文書として公式な文書として保存しなければならない。中途半端な運用をすると、文書管理が複雑になるので、内部統制の整備評価のために電子データかペーパーか、どちらにするのかを明確にしておくことも必要である。
以上の対応が可能でなければ、つまり、電子メールの文書管理ルールの遵守ができないと判断される場合は、電子メールは、単なるコミュニケーションの手段として位置づけ、別途、証跡を確保する仕組みを整備するべきである。
参考文献
(注1)高野一彦氏 「情報法 コンプライアンスと内部統制 第2版」ファーストプレス
(注2)経済産業省 「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン (平成20年2月29日 厚生労働省・経済産業省告示台1号)」 従業者の監督