Google AppsにおけるSOX法コンプライアンス

SOX法とは、2002年に制定されたサーベンス・オクスリー法のことで、主に大企業による意図的な誤解を招く会計慣行によって引き起こされた一連の財務上の大問題に対応するため、企業の会計と説明責任に関する広範な法律を新たに制定したものです。最も有名な例は、30歳以上の多くの人が記憶しているであろう、2001年のエンロン事件です。この事件では、世界最大のエネルギー企業であり、米国第7位の企業であったエンロンが、数百億ドルの財務上の損失を投資家に隠していたことが発覚しました。国民を欺くことを意図した企業によるこの不正行為やその他多くの不正行為の発覚は、市場全体に対する信頼にはるかに深刻な危機をもたらし、何百万人ものアメリカ人が何十億ドルもの退職貯蓄を失うことになりました。

SOX法において最も重要なのは、「内部統制の経営者による評価」と題された第404条です。SOX法は、主に会計慣行の完全性を保護し、上場企業の正確な財務報告を確保することを目的としていますが、その要件はデータ・セキュリティとアクセス・コントロールの領域に深く及んでいます。SOX法第404条は、ITシステムとプロセスを評価することにより、財務情報の完全性に責任を持つことを経営者に課しています。組織内のほとんどの財務データがIT環境を通じて流れていることを考えると、ITへの影響は重大です。

SOX法への準拠を証明するために、経営者は財務報告に係る内部統制の有効性を評価する必要があり、監査人はその評価を証明する必要があります。監査人は、企業が実施した統制を徹底的に検証した上で、これを行います。

SOX法は、深刻な社会的信用の失墜と、世論の甚大な反発を受けて制定されたものであり、コンプライアンス違反に対する罰則は厳しいものになる可能性があります。すべての企業にコンプライアンスへの厳しい注意を強いるSOX法の特徴の一つは、コンプライアンスの責任が企業のCEOとCFOにあることです。最高経営責任者（CEO）や最高財務責任者（CFO）は、会社の業務や財務報告を把握していないという抗弁はできなくなり、申告された結果の正確性について責任を負うことになります。

企業が正確な報告書を提出しなかった場合、最高経営責任者（CEO）および/または最高財務責任者（CFO）の禁固刑（最高20年）や最高500万ドルの罰金につながる可能性があります。会社のどのレベルにおいても、たとえ意図的でない、あるいは偶発的なものであったとしても、失敗は会社のこれらの主要人物の個人的責任となる可能性があります。

ITアプリケーション、さらに言えばクラウドベースのソリューションを選択する際に企業が直面する最大の課題は、その選択が企業のSOX法コンプライアンスに影響を与えるかどうかということです。

Google AppsおよびGoogle Appsエンジンは、「SSAE-16」および「ISAE-3402」に基づく年次監査の対象となり、顧客に対して実施されているプロセスと統制について第三者監査人による認証が行われます。これらの監査報告書は、企業がSOX法監査人に提出することで、Google Appsを使用する際の財務報告に関する内部統制を確認することができます。企業は、Google MarketplaceのAppsを使用する前に、同様の第三者監査人の証明を確認することが重要になります。

Google Appsの明確な差別化要因は、企業のセキュリティ要求に対応するようにすでに設計されており、SOX法やその他の規制体制へのコンプライアンスという全体的な戦略に適合する高い柔軟性を備えていることです。

SOX法違反で企業がメディアから非難された分野のひとつが、内部統制の不備の報告です。2013年には、チェース銀行が内部監査手続きに関する懸念を報告しなかったとして指摘を受けました。2014年7月、証券取引委員会は、コンピュータ機器会社QSGIの最高経営責任者（CEO）と前CEOを、同社の財務報告に係る内部統制の状況を監査人や公衆に虚偽報告したとして起訴しました。これらは特にデータ・セキュリティやアクセス・コントロールの失敗ではありませんでしたが、監査手順の遵守や、監査手順の記録を含む記録保存のコントロールは、記録へのアクセスをコントロールし、内部レビュー手順を合理化するための手順やシステムによって強く影響を受ける可能性があります。アクセスや記録に対する統制が改善され、より効率的で信頼性の高いものになれば、内部手続の監視が容易になり、SOX法違反を回避することができます。

データセキュリティとアクセスコントロールに関しては、企業がSOX法への準拠に関してベストプラクティスを効率的に維持するための基盤となる5つの重要な領域があります。いずれの場合も、Google Appsはベストプラクティスを実現する効率的な手段を提供し、必要に応じて手順の見直しや変更を容易に行うことができます。ここでは、5つの領域とGoogle Appsがコンプライアンスを容易にする方法を紹介します。

SOX 法の要件である、記録や手順を保護し、監査する方法を確保するための要件である、データへのアクセス制御とすべての記録の完全性を確保するための対策を実施する一環として、Google Apps では、Google Admin コンソールを使用して、ユーザーとその権限を広範かつ柔軟に制御することができます。

このコンソールを通じて、管理者は、アクセス制御、アクセス履歴、現在のアクセス状況、および自動ログ機能を通じて認証制御に使用される方法に関する定期的なレポートを提供することができます。これにより、管理者は、必要に応じて、アクセス制御の記録や、これらの制御に対する経時的な変更に容易にアクセスし、レビューすることができ、適切なセキュリティを確保し、SOX法準拠のための手順をレビューすることができます。

重要なのは、ニーズの変化や従業員の出入りに応じて、ユーザーアクセスを簡単に変更できることです。最も重要な機能の1つは、解雇時に従業員のアクセスをオフにし、すべての企業データとアプリからのアクセスを削除することです。

Google Appsを効果的に管理すれば、適切な人が適切なレベルのアクセス権を持っていることを証明することが容易になります。

Google Apps では、企業のニーズに合わせて認証制御をカスタマイズできます。Google Appsを利用することで、企業は強力な認証制御を実装することができ、権限のないユーザーによるカード会員データへのアクセスを制限することができます。Google Apps では、多要素認証の実装により認証メカニズムを強化できます。最初のステップとして、ユーザはユーザ名とパスワードを使用してログインする必要があります。Google Appsでは、組織は強力なパスワードの使用を強制することができます。第二段階として、ユーザーは、テキスト、音声通話、Googleモバイルアプリを介して携帯電話に送信されるコードを使用するか、コンピュータのUSBポートに差し込まれたセキュリティキーのコードを使用することができます。

Google Apps は、管理パネルから上記の実装を実証することができます。管理者は、セキュリティ管理パネルからユーザーパスワードの強度を実証することもできます。

データ及び会計のセキュリティ全般において特に脆弱性があり、会計及びセキュリティ慣行の明確な管理及び記録を維持することが困難である分野として、セキュリティ手順が会社の主要なセキュリティスキームにうまく統合されていない可能性があるサードパーティサービスの利用があります。Google Appsでは、Google Marketplaceを通じてサードパーティがサービスを提供することができます。これらのサードパーティ・サービスのセキュリティは、Google Adminインターフェイスを使って監視・管理することができ、管理者は同じコンソールからユーザーアクセスとサードパーティへのアクセスの両方を監視することができます。Google APIやGoogle Scriptをベースとするサードパーティアプリに対してGoogleが課す厳格な要件は、統一されたセキュリティ構造の確保に役立っています。

すべてのデータにアクセスし、不注意によるデータ損失を防止する能力は、SOX法への準拠に不可欠です。特に、エンロン事件やその他のスキャンダルによって、企業内の通信や記録の不適切な削除がニュースの見出しになりました。

Google Appsの定期的なバックアップは、サードパーティアプリのアーカイブ機能で実現できます。これらのサードパーティアプリは、スケジュールされたデータバックアップ、アーカイブ内の特定の情報を検索する機能、アーカイブの安全な保存、構造および権限とともにデータをアプリに直接リストアする機能など、重要な機能を提供します。また、SOX法監査人に統制の設計と運用の有効性を示すことができる履歴ダッシュボードも含まれています。

SOX 法の規定により、あらゆるレベルでのコンプライアンスは最終的に CEO の責任であることが明確になっているため、データセキュリティのあらゆる側面にアクセスし、管理組織全体で報告することが極めて重要です。Google Appsは、広範で柔軟なセキュリティとアクセス機能を提供するだけでなく、セキュリティ手順やデータ、アカウントの履歴に関するログや記録へのアクセスも容易です。これらのログには、ドキュメントのバージョン履歴の明確な追跡が含まれ、変更、変更時刻、変更を行ったユーザーのログを提供します。

これは、内部セキュリティを効率的に見直し、データ・セキュリティ手順の改善を実施し、さらに重要なこととして、SOX法への準拠を審査する監査人に明確な文書を提供するために不可欠です。セキュリティ手順の不備を報告しなかったり、気づかなかったりすることは、SOX法準拠の最も一般的な失敗の1つであり、規模の大小を問わず、どの企業にとっても潜在的なトラブルの原因です。ロギング機能により、企業は自社の手順を監査し、社内で問題を認識できるようになります。また、管理者や指定したユーザーにリアルタイムでアラートを送信することもでき、内部統制に役立ちます。SOX法では、内部統制対策の報告や不備の正確な報告が義務付けられているため、これは非常に重要な要素です。