2026.06.30 IPO

情報統制とは?内部統制の強化にITへの対応(IT統制)が必要な理由【2024年改訂】

「情報統制」という言葉は、報道や言論を制限する意味と、企業内の情報管理を指す意味の二つで使われます。本記事では後者、つまり内部統制の一部としての情報統制とIT統制を整理し、内部統制の強化になぜ「ITへの対応」が欠かせないのかを、金融庁の基準と2024年4月適用の改訂内容にもとづいて解説します。IT全般統制(ITGC)とIT業務処理統制(ITAC)の違い、3点セットによる文書化、構築・評価の手順、そして「どこまでやるべきか」の判断基準まで、上場準備企業や情報システム担当者が実務で迷いやすい点を具体的に扱います。

目次

まとめ|情報統制とIT統制の全体像と内部統制強化で最初に押さえる要点

企業文脈の情報統制とは、社内外の情報の流通・公開・制限を管理することを指し、内部統制の6つの基本的要素のうち「情報と伝達」に深く関わります。そのうちITシステムやデータの管理に焦点を当てたものがIT統制で、こちらは要素「ITへの対応」に位置づけられます。両者は別物ではなく、内部統制という同じ目的を支える車の両輪です。

結論として、内部統制の強化にITへの対応が必要なのは、受発注・会計・人事まで業務がITに依存し、手作業中心の統制では財務報告の正確性を担保しきれなくなったためです。2024年4月以後に始まる事業年度から適用された改訂基準では、外部委託やクラウド利用に伴うサイバーリスクへの対応が明確に求められました。まず取り組むべきは、対象システムの洗い出し、アクセス管理と変更管理の整備、そして業務記述書・フローチャート・RCMによる文書化です。以降の章で、この順に根拠と手順を示します。

情報統制とは何か|一般的な意味と企業・内部統制で使う場合の意味の違い

「情報統制とは」と検索すると、国家による報道規制の解説と、企業の内部統制の解説が混在して表示されます。これは同じ言葉が二つの場面で使われているためです。まず、この二つを切り分けるところから始めます。

「情報統制」の2つの意味|報道・言論の統制と社内の情報管理の区別

辞書的な意味での情報統制は、政府や権力機構が公表する情報を意図的に操作・制限することを指します。戦時下の報道規制や、特定の国における言論統制がこれにあたります。一方、企業やビジネスの文脈では意味が異なり、社内外に出す情報の管理・制御を指します。具体例は、機密情報の取り扱いルール、不祥事発生時の広報手順、従業員のSNS発信ガイドライン、競合への情報流出を防ぐ社内ポリシーなどです。本記事が扱うのは後者であり、内部統制の一部として運用される企業内の情報統制です。

情報統制とIT統制の違い|対象範囲・目的・具体例の比較

情報統制とIT統制は明確に線引きされた用語ではありませんが、実務では対象範囲が異なります。情報統制はIT分野に限らず全般的な情報の管理を指し、IT統制はそのうちITシステムとデータの管理・運用に絞った概念です。下表で整理します。

観点 情報統制 IT統制
対象範囲 社内外の情報全般(紙・口頭・データ) ITシステム・データ・アクセス権
主な目的 情報漏えい防止・機密保持・リスク管理 システムの安定運用・データの正確性確保
具体例 機密情報の開示ルール、SNS発信基準 アクセス権限管理、変更管理、ログ監視
内部統制での対応要素 主に「情報と伝達」 主に「ITへの対応」

つまり情報統制が「どの情報を、誰に、どこまで伝えてよいか」を定める活動であるのに対し、IT統制は「その情報を扱うシステムを、どう正しく動かすか」を担保する活動だと整理できます。

情報統制・情報セキュリティ・内部統制を混同しないための位置関係

似た言葉が多いため、関係を一度固定しておきます。最も広い枠が内部統制で、その中に「情報と伝達」「ITへの対応」といった要素があります。情報統制は主に「情報と伝達」を担い、IT統制は「ITへの対応」を担います。情報セキュリティは、機密性・完全性・可用性を守る技術と運用の総称で、IT統制のアクセス管理やログ管理と重なりますが、IT統制が財務報告の信頼性を主目的にするのに対し、情報セキュリティは情報資産全般の保護を目的とする点で範囲が異なります。判断に迷ったら「財務報告の正確性に関わるか」を基準にすると、IT統制の対象かどうかを切り分けやすくなります。

内部統制とIT統制の関係|6つの基本的要素における「ITへの対応」の位置づけ

IT統制を正しく理解するには、土台となる内部統制の枠組みを押さえる必要があります。内部統制の定義と要素は、金融庁の基準で明文化されています。

内部統制の4つの目的と6つの基本的要素(金融庁の基準)

金融庁「財務報告に係る内部統制の評価及び監査の基準」では、内部統制を、4つの目的を達成するために業務へ組み込まれるプロセスと定義しています。4つの目的は、業務の有効性及び効率性、報告の信頼性、事業活動に関わる法令等の遵守、資産の保全です。2024年4月適用の改訂で、従来の「財務報告の信頼性」が「報告の信頼性」へと広げられました。これらを支えるのが、次の6つの基本的要素です。

  1. 統制環境
  2. リスクの評価と対応
  3. 統制活動
  4. 情報と伝達
  5. モニタリング(監視活動)
  6. IT(情報技術)への対応

IT統制は、このうち6番目の「ITへの対応」を具体化したものにあたります。

IT統制が対応する「ITへの対応」と他の5要素との連動

「ITへの対応」は、他の5要素から独立して存在するわけではありません。たとえば「情報と伝達」では、必要な情報が組織内外へ正しく伝わる状態を確保しますが、その情報の大半はデータ化されており、伝達を担うのはITシステムです。「統制活動」で定めた承認手続きも、システム上の承認機能として実装されて初めて機能します。改訂基準でも、大量の情報を扱う状況下では情報の信頼性を確保するためにシステムが有効に機能することが重要だと明記されました。IT統制は、他の要素を有効に働かせるための基盤という役割を担っています。

ITガバナンスとIT統制の違い|方針の決定と実行という役割分担

ITガバナンスとIT統制は、目的と実行の関係にあります。ITガバナンスは、経営層がITをどう使いリスクをどう抑えるかという方針を定める活動です。IT統制は、その方針を現場で実行・担保する仕組みづくりを指します。たとえば経営層が「クラウドを積極的に取り入れつつ情報セキュリティは最高水準を維持する」と方針を示したとき、特権IDの厳格な管理やSaaS導入時のセキュリティ評価といった具体策に落とし込むのがIT統制です。方針はガバナンス、運用は統制と覚えておくと混同しません。

内部統制の強化に「ITへの対応」が必要な理由と2024年改訂で追加された論点

ここからが本題です。なぜ内部統制の強化に、わざわざITへの対応が必要なのか。理由は大きく二つあり、いずれも2023〜2024年の制度改訂で裏づけられています。

業務のIT依存が進み手作業統制だけでは限界がある理由

第一の理由は、業務のIT依存です。調達・製造・販売・物流といった基幹業務から、財務・人事・給与の管理業務まで、ほぼすべての処理がITシステム上で行われるようになりました。手作業を前提にした統制では、システムが自動処理する大量のデータの正確性を検証しきれません。たとえば会計システムへの入力ルールが甘ければ、誤った数字がそのまま財務諸表に反映されます。情報漏えいが一度起きれば、企業の信用は直接損なわれます。実際に発生した情報漏えい事案の経緯と対応については、情報漏えい事件の経緯と利用者の対応でも具体的に整理しています。IT統制は、こうしたリスクをシステム側で予防・発見するための仕組みです。

2024年4月適用の基準改訂で「ITへの対応」に追記された3つの論点

第二の理由は、制度がITへの対応を強く求める方向へ動いた点です。2023年4月7日に企業会計審議会(金融庁)が内部統制基準・実施基準の改訂に関する意見書を公表し、2024年4月1日以後に開始する事業年度から適用されました。約15年ぶりの大改訂です。「ITへの対応」には、主に次の論点が追記されました。

  • ITの開発・運用・保守を外部組織へ委託するケースが増え、ITの委託業務に係る統制の重要性が増していること
  • クラウドやリモートアクセスなど多様な技術の利用にあたり、サイバーリスクの高まりを踏まえた情報システムのセキュリティ確保が重要であること
  • 「リスクの評価と対応」で不正リスクへの考慮が明記され、IT統制もこれと連動して整備する必要があること

実務への含意は明確です。SaaSを利用しているなら、自社とベンダーの責任範囲を切り分け、自社が負うアクセス管理やログ監査を統制対象に組み込む必要があります。委託契約には、セキュリティ要件と委託業務の評価条項を明記しておきます。

経済産業省「システム管理基準 追補版」2024年12月改訂の位置づけ

制度の具体的なガイダンスとして、経済産業省の「システム管理基準 追補版(財務報告に係るIT統制ガイダンス)」があります。平成19年(2007年)3月30日に初版が公表され、令和6年(2024年)12月25日に改訂版が公表されました。これは、システム管理基準にもとづいて構築された情報システムと、内部統制で求められる「ITへの対応」との対応関係を明らかにする文書です。金融庁の実施基準が「何を達成すべきか」を示すのに対し、この追補版は「どの統制項目を整備すればよいか」を具体的な項目レベルで示します。ギャップ分析の段階で、この追補版を整備済み・未整備のチェックリストとして用いると、自社の不足点を項目単位で洗い出せます。

IT統制の3つの種類と文書化|IT全社的統制・ITGC・ITAC・3点セットの役割

IT統制は、性質の異なる3つの統制から構成されます。さらに、それらを監査で示すための文書化とセットで運用します。順に見ていきます。

IT全社的統制・IT全般統制(ITGC)・IT業務処理統制(ITAC)の違い

3つの統制は、対象とする層が異なります。下表で役割を整理します。

種類 対象 主な内容
IT全社的統制 経営・全社レベル IT戦略・方針の策定、IT統制の体制整備
IT全般統制(ITGC) IT基盤全体 開発・変更管理、運用管理、アクセス管理、外部委託管理
IT業務処理統制(ITAC) 個別の業務システム 入力・処理・出力の正確性を確保する統制

関係を一言でいえば、IT全社的統制が方針を定め、ITGCがその基盤を保証し、その上でITACが日々の処理の正確性を守る、という階層構造です。ITGCの土台が崩れていると、いくらITACを作り込んでも統制は機能しません。たとえば会計ソフトの承認ルールが完璧でも、誰でもサーバーにアクセスして元データを直接書き換えられるなら意味がないからです。

IT全般統制(ITGC)の4領域|開発・運用・アクセス・外部委託

ITGC(IT General Controls)は、ITシステムの環境全体を保証するための統制で、4つの領域に分かれます。第一に、システムの開発・変更管理です。変更の申請、上長の承認、テスト、本番反映、変更後の動作確認という一連の手順を記録に残します。第二に、運用管理で、バックアップの取得記録やバッチ処理、障害対応の記録が対象です。第三に、アクセス管理です。誰がどのシステムにどこまでアクセスできるかを管理し、入退社に応じたアカウントの発行・削除、特権IDの厳格な管理、多要素認証の導入が論点になります。アクセス制御で用いる認証連携の仕組みは、OIDC(OpenID Connect)の仕組みとOAuthとの違いで詳しく解説しています。第四に、外部委託管理で、委託先からSOC報告書を入手し、自社が対応すべき補完的利用者統制を運用しているかが問われます。

IT業務処理統制(ITAC)の入力・処理・出力統制

ITAC(IT Application Controls)は、個別の業務システム上で、承認された業務がすべて正確に処理・記録されることを確保する統制です。3つの局面に分かれます。入力統制では、入力データに重複や誤りがなく、必須項目が空欄ならエラーになる、上長の承認がないと発注できないといった仕組みでデータの妥当性を確認します。処理統制では、EDIによるデータの授受やマスタデータの維持管理、例外処理の修正と再処理を適切に管理します。出力統制では、システムから出力する帳票やデータの正確性を担保します。出荷データに誤りがあれば、その後の売上計上が誤るため、出力段階のチェックも統制の対象です。

IT統制の文書化と3点セット(業務記述書・フローチャート・RCM)

整備したIT統制は、文書化して初めて監査で評価できます。中心となるのが、いわゆる3点セットです。業務記述書は、業務の流れを文章で記述したものです。フローチャートは、その流れを図で可視化し、処理の分岐や承認の位置を示します。そしてリスクコントロールマトリックス(RCM)は、業務プロセスに潜むリスクと、それを防ぐ統制を対応づけた表形式のツールです。RCMを作ると、どのリスクにどの統制が効いているか、逆にどのリスクが手当てされていないかが一目で分かります。監査では「誰が・いつ・何をしたか」を追跡できることが求められるため、3点セットは統制の存在を示す証拠書類としても機能します。

IT統制を構築・評価する手順と監査でチェックされる4つの評価項目

概念を理解したら、構築と評価の手順に落とし込みます。ここは実務担当者が最も知りたい部分です。

IT統制を構築する4ステップ|現状把握からギャップ分析・運用評価まで

IT統制は、次の4ステップで段階的に構築するのが現実的です。

  1. 現状把握:会計ソフトやSaaSなど社内システムを一覧化し、関連する規程の有無と陳腐化を確認し、現場へのヒアリングで実際の運用を調べる。
  2. ギャップ分析:システム管理基準 追補版などが求める統制要件と現状を突き合わせ、未整備の項目を特定し、財務への影響度で優先順位をつける。
  3. 統制の構築:優先度の高い課題から運用ルールを設計し、手順書として文書化する。承認履歴が残る仕組みを併せて整える。
  4. 運用と評価・改善:ルールが現場で守られているかを定期的に評価し、不備があれば是正する。四半期ごとのアカウント棚卸しなどが典型です。

ルールを作っただけで運用の証拠が残っていなければ、監査では機能していないと判断されます。文書化と記録の保存まで行って、はじめて監査で「整備され、運用されている」と示せます。

監査で確認される4つの評価項目と評価手法(サンプリング・ウォークスルー)

監査では、主に4つの観点が確認されます。第一に、開発・変更時のルールが守られ、申請から承認・テスト・反映までが記録されているか。第二に、バックアップやログ監視など日々の運用が記録されているか。第三に、アクセス権の管理が適切で、特権IDの利用ログがレビューされているか。第四に、外部委託先の管理が十分か、です。評価の手法には2種類あります。サンプリング評価は、一定期間のデータから複数件を無作為抽出し、統制が実施されているかを確認します。ウォークスルー評価は、1つの取引を取引開始から仕訳計上まで追跡し、統制が一連の流れの中で機能しているかを確かめます。前者は実施状況の網羅性を、後者は仕組みの妥当性を見る点で役割が異なります。

IT統制で陥りやすい失敗と「どこまでやるべきか」の判断基準

最後に、教科書には載りにくい現実的な論点を扱います。IT統制は、整備すればするほど良いというものではありません。

統制を厳しくしすぎて形骸化する失敗とクラウド管理漏れ

典型的な失敗は二つです。一つは、統制を厳しくしすぎる失敗です。財務に影響しないツールの設定変更にまで多段階の承認を課すと、現場の不満が溜まり、抜け道が作られてルールが形骸化します。対策は、財務への影響度に応じて統制に強弱をつけ、高リスクな作業だけ承認を厳格にすることです。もう一つは、クラウドサービスの管理漏れです。各部門が情シスを通さずSaaSを導入すると、退職者アカウントの放置や、監査時にデータの正確性を証明できない事態を招きます。クラウド導入に情シスの事前承認を必須とし、管理台帳を整備し、経理の支払い履歴と突き合わせて未登録のサービスを洗い出すことが有効です。

義務対象でない企業がIT統制を「やりすぎない」ための線引き

ここははっきり立場を示します。すべての企業が同じレベルのIT統制を整える必要はありません。法的に内部統制報告制度(J-SOX)の対象となるのは、金融商品取引法上の上場企業とその連結子会社です。会社法では、大会社(資本金5億円以上または負債総額200億円以上)の取締役会設置会社に、内部統制システムの整備方針を決定する義務があります。これらに該当しない非上場の中小企業が、上場企業並みの3点セットや厳格な評価手続きを最初から作り込むのは過剰です。投じた工数に見合う効果が得られず、運用も続きません。非対象企業がまず取り組むべきは、退職者アカウントの確実な削除、重要システムのバックアップ、会計データへのアクセス制限といった、情報漏えいと不正に直結する最小限の統制です。上場を本格的に視野に入れた段階で、初めて全社的なIT統制の構築に着手すれば十分です。「対象かどうか」と「いつ着手するか」を分けて考えることが、無駄な投資を避ける判断基準になります。

よくある質問

情報統制とIT統制に関して、検索で多く寄せられる質問に簡潔に答えます。

情報統制とIT統制の違いを簡単に教えてください

企業文脈の情報統制は、紙・口頭・データを問わず、社内外の情報の流通や公開・制限を管理する活動です。IT統制は、そのうちITシステムとデータの管理・運用に絞った統制を指します。情報統制が「どの情報を誰にどこまで伝えるか」を定めるのに対し、IT統制は「その情報を扱うシステムを正しく動かす」役割を担います。内部統制の6つの基本的要素でいえば、前者は主に「情報と伝達」、後者は「ITへの対応」に対応します。両者は対立するものではなく、内部統制を支える補完関係にあります。

IT全般統制(ITGC)とIT業務処理統制(ITAC)の違いは何ですか

ITGCは、サーバーやネットワークといったIT基盤全体の信頼性を保証する統制です。開発・変更管理、運用管理、アクセス管理、外部委託管理の4領域が対象になります。一方ITACは、個別の業務システム上で、入力・処理・出力が正確に行われることを確保する統制です。両者は土台と建物の関係にあり、ITGCという土台が安定していなければ、ITACという建物も実効性を持ちません。会計ソフトの承認ルールが整っていても、サーバーへ自由にアクセスして元データを変更できれば統制が崩れる、という例で理解すると分かりやすいでしょう。

IT統制は非上場企業や中小企業にも必要ですか

法的な義務として求められるのは、上場企業とその連結子会社(J-SOX)、および会社法上の大会社です。非上場の中小企業に上場企業並みのIT統制は義務づけられていません。ただし、情報漏えいや不正、データ消失のリスクはどの企業にも存在します。退職者アカウントの削除、重要データのバックアップ、会計システムへのアクセス制限といった最小限の統制は、規模を問わず整えておく価値があります。将来の上場を見据える場合は、早い段階から軽量なルールを試験導入しておくと、本格対応への移行がスムーズです。

IT統制の3点セットとは何を指しますか

3点セットとは、業務記述書・フローチャート・リスクコントロールマトリックス(RCM)の3つの文書を指します。業務記述書は業務の流れを文章で記し、フローチャートはその流れと承認の位置を図で示します。RCMは、業務に潜むリスクと、それを防ぐ統制を対応づけた表です。これらは、統制が存在し機能していることを監査人に示す証拠書類として用いられます。とくにRCMは、どのリスクにどの統制が効いているか、手当てされていないリスクはどれかを可視化できるため、IT統制の設計・評価の中心的なツールになります。

ITガバナンスとIT統制はどう使い分けますか

ITガバナンスは、経営層がITの利用方針とリスク許容度を決める活動で、いわば上位の意思決定です。IT統制は、その方針を現場で実行・担保する仕組みづくりを指します。たとえば「クラウドを使いつつセキュリティは最高水準を保つ」という方針がガバナンス、それを受けて特権IDの管理やSaaS導入時の評価プロセスを整備するのがIT統制です。方針はガバナンス、運用は統制、と役割で分けると混同しません。両者は上下の関係でつながっており、どちらか一方だけでは機能しません。

関連記事

資料請求

RELATED POSTS 関連記事

一覧へ戻る