１　内部統制とは

　まず、前提として、内部統制の意味を確認しておきます。日本において、内部統制という用語は、大阪地裁平成１２年９月１０日判決（いわゆる大和銀行事件）を契機にして注目されるようになった概念です。上記判決では内部統制について以下のとおり判示しています。

 

大阪地裁平成１２年９月１０日判決

健全な会社経営を行うためには、目的とする事業の種類、性質等に応じて生じる各種のリスク、例えば、信用リスク、市場リスク、流動性リスク、事務リスク、システムリスク等の状況を正確に把握し、適切に制御すること、すなわちリスク管理が欠かせず、会社が営む事業の規模、特性等に応じたリスク管理体制（いわゆる内部統制システム）を整備することを要する。（中略）取締役は、取締役会の構成員として、また、代表取締役又は業務担当取締役として、リスク管理体制を構築すべき義務を負い、さらに、代表取締役及び業務担当取締役がリスク管理体制を構築すべき義務を履行しているか否かを監視する義務を負う（中略）監査役は（中略）取締役がリスク管理体制の整備を行っているか否かを監査すべき職務を負うのであり、これもまた、監査役としての善管注意義務の内容をなすものと言うべきである。

 

　ここでは、この裁判例の内容を根拠に、内部統制とは、「健全な会社経営を行うためにリスク管理体制を整備すること」という意味で使用します。前述した、裁判例等の影響を受けて、法律上も、内部統制に関する規定が設けられるようになりました。

　例えば会社法では、「取締役の職務の執行が法令及び定款に適合することを確保するための体制その他株式会社の業務の適正を確保するために必要なものとして法務省令で定める体制の整備」(会社法第３４８条３項４号)について、「大会社においては、取締役は、前項第四号に掲げる事項を決定しなければならない。」（会社法第３４８条４項）とされています。

 

２　クラウドと内部統制との関係

　ここでは、内部統制を、大阪地裁平成１２年９月１０日判決（いわゆる大和銀行事件）大和銀行事件を引用して、「健全な会社経営を行うためにリスク管理体制を整備すること」と定義しました。しかし、ここでいうリスクには、前記判決文に例示されているように、信用リスク、市場リスク、流動性リスク、事務リスク、システムリスク等があります。そして、ここでいうリスクには、営業秘密や個人情報等の情報管理に伴うリスクも含まれることになります。　そして、営業秘密や個人情報の管理は、情報処理システムの存在が不可欠となりますので、情報処理の一形態である、クラウド・コンピューティングが内部統制との間でどのように係わってくるのかという点を検討する意味がでてくるわけです。　クラウド・コンピューティングを利用するメリットは、複数のクラウド・ユーザが共通のハードウェア・ソフトウェア資源を利用することでコストを抑えることができるという点にあります。　従って、コストが抑えられる分、各企業が各種サービスを受けやすくなり、内部統制との関係でも、クラウド・コンピューティングを採用するメリットがあると評価することもできるのではないかと思います。

　但し、内部統制とは、「健全な会社経営を行うためにリスク管理体制を整備すること」であり、このような管理体制が整備されているか否かを監査する必要があります。そして、どのような監査をすべきかいという点について、平成１９年４月５日付で、社団法人日本監査役協会が、「内部統制システムに係る監査の実施基準」（以下「監査基準」という。）を制定していますので、ご紹介したいと思います。監査基準の第１０条には以下のように規定されています。

 

（情報保存管理体制に関する監査）

第１０条

１　監査役は、情報保存管理体制について、以下に列挙する重大なリスクに対応して いるか否かを監査上の重要な着眼点として、監視し検証する。

一　重要な契約書、議事録、法定帳票等、適正な業務執行を確保するために必要な文　　書その他の情報が適切に作成、保存又は管理されていない結果、会社に著しい損害が生じるリスク

二　重要な営業秘密、ノウハウ、機密情報や、個人情報ほか法令上保存・管理が要請される情報などが漏洩する結果、会社に著しい損害が生じるリスク

三　開示される重要な企業情報について、虚偽又は重大な欠落があるリスク

２．監査役は、情報保存管理体制が前項に定めるリスクに対応しているか否かについて、以下の事項を含む重要な統制上の要点を特定のうえ、判断する。

一　代表取締役等が、会社経営において情報保存管理及びその実効的体制の整備が必要不可欠であることを認識しているか。

ニ　情報の作成・保存・管理のあり方に関する規程等が制定され、かつ、当該規程を有効に実施するための社内体制が整備されているか。

三　取締役会議事録その他法定の作成資料について、適正に内容が記録され保存される社内体制が整備されているか。

四　保存・管理すべき文書及び情報の重要性の区分に応じて、適切なアクセス権限・保存期間の設定、セキュリティー・ポリシー、バック・アップなどの管理体制が整備されているか。

五　個人情報ほか法令上一定の管理が求められる情報について、役職員等に対して、当該法令で要求される管理方法の周知徹底が図られているか。

六　会社の重要な情報の適時開示、ＩＲその他の開示を所管する部署が設置されているか。開示すべき情報が迅速かつ網羅的に収集され、法令等に従い適時に正確かつ十分に開示される体制が整備されているか。

七　情報保存管理に関して定められた規程及び職務分掌に従った管理がなされているか。情報保存管理の状況を監視するモニタリング部門が存在し、会社の情報保存管理に係る問題点が発見され、改善措置が講じられているか。

八　情報保存管理の実効性に重要な影響を及ぼしうる事項について、取締役会及び監査役に対して定期的に報告が行われる体制が整備されているか。内部通報システムなど情報保存管理に関する状況が業務執行ラインから独立して把握されるシステムが整備されているか。

 

　従って、クラウド・コンピューティングを利用した場合でも、これらの項目をクリアすることができるのか否かという点を、クラウド・サービスを利用するユーザ企業としては、事前に把握しておく必要があるということになります。

クラウド・コンピューティングを使用しているので、書類がどのサーバに保存されているのか把握することができない状況であれば第１０条1項１号、第２項１号ないし４号に違反する可能性があるのではないかと思います。

また、個人情報の管理をクラウド事業者に委託しており、クラウド事業者がどのような管理をしているのか把握できていないとすると、第１０条１項２号、同条２項１号、２号、４号、５号違反する可能性があるのではないかと思います。

 

３　まとめ

　以上のとおり、クラウド・コンピューティングは、ハードウェア又はソフトウェアの資産を安く入手することができるため、情報システムを利用した内部統制を実現しやすくなるという側面があるように思います。但し、クラウド・コンピューティング（特にパブリック・クラウド）による情報管理をする場合、クラウド事業者の管理体制を把握しにくいという事情があります。

　従って、情報管理の水準が高い企業（実績のある企業）をクラウド事業者として選定し、クラウド事業者との契約においても、情報の管理状況を把握することを可能とする条項を用意しておく等の工夫が必要になるのではないかと思います。

以上