デジタルキューブ 取締役 / 公認会計士・税理士 和田 拓馬
近年、上場審査において IT ガバナンスの重要性が急速に高まっています。特に地方企業にとって、限られたリソースの中で IT ガバナンスを適切に構築することは、上場準備における大きな課題となっています。本稿では、FinanScope を通じた支援経験とデジタルキューブ自身の TPM 上場経験から得た知見を基に、上場審査で問われる IT ガバナンスの重要ポイントと、地方企業が実践できる具体的なアプローチをご紹介します。
目次
IT ガバナンスが重視される背景
上場審査において IT ガバナンスが重視される背景には、いくつかの社会的変化があります。
デジタル依存度の高まり
まず、企業活動における IT システムへの依存度が格段に高まっている点が挙げられます。会計システム、販売管理、人事給与、業務システムなど、企業活動の多くが IT に支えられています。この状況下では、IT システムの不具合やセキュリティインシデントが直接的な業績影響や情報漏洩リスクにつながりかねません。
特に2020年以降、リモートワークの普及によって企業の IT 環境は大きく変化しました。オフィス内に閉じていた環境から、社外からのアクセスを前提とした環境への移行は、新たなセキュリティリスクをもたらしています。
情報セキュリティインシデントの増加
サイバー攻撃の高度化と増加も見逃せない要因です。上場企業であれば、セキュリティインシデントが発生した場合、適時開示の対象となり得ます。実際に、情報漏洩やランサムウェア被害による業務停止などが開示される事例も増えています。
2024年、日本の上場企業における個人情報漏洩事故の発生件数は過去最多を記録しました。東京商工リサーチの調査によると、その件数は189件に上り、これは前年比8.0%増という顕著な増加を示しています 。(※参照記事)この数字は、2012年の調査開始以来、4年連続で過去最多を更新しており、サイバーセキュリティを取り巻く状況が年々厳しさを増していることを示唆しています。
| 企業名 | 開示日 | インシデントの種類 | 概要 | 業務停止 | 期間 |
| 株式会社KADOKAWA | 2024年 6月8日 | ランサム ウェア攻撃 | データセンターへの大規模なランサムウェア攻撃により、広範囲なサービスが停止 | あり | 約2ヶ月以上 |
| 株式会社 イズミ | 2024年 2月22日 | ランサム ウェア攻撃 | 社内サーバーがランサムウェアに感染し、ネットワーク全体が遮断、基幹業務が停止 | あり | 約3ヶ月 |
| 名古屋港統一ターミナルシステム | 2023年 7月 | ランサム ウェア攻撃 | コンテナターミナルシステムがランサムウェアに感染し、港湾業務が停止 | あり | 約3日間 |
上場審査では、このようなリスクに対する体制整備が重要な審査ポイントとなっているのです。
個人情報保護の強化
個人情報保護法の改正や、EU の GDPR(一般データ保護規則)など、データ保護に関する法規制も強化されています。特に顧客データを扱う企業にとって、これらへの対応は経営上の重要課題となっています。
上場企業には、こうした法規制への対応と、適切なデータ管理体制の構築が求められるのです。
上場審査で問われる IT ガバナンスの5つのポイント
では具体的に、上場審査ではどのような IT ガバナンス体制が求められるのでしょうか。主に以下の5つのポイントが重要となります。
ポイント1:IT 戦略と経営戦略の整合性
上場審査では、IT 投資が単なる「コスト」ではなく、経営戦略を実現するための「投資」として位置づけられているかが問われます。
チェックポイント
- IT 戦略が経営計画と連動しているか
- IT 投資の意思決定プロセスが明確か
- IT に関する重要決定が取締役会に報告される体制があるか
地方企業においては、IT 担当役員が不在であることも少なくありません。そのような場合は、まず「IT 戦略委員会」などの会議体を設置し、経営層の IT 戦略への関与を明確にすることが重要です。
ポイント2:情報セキュリティ体制の構築
情報セキュリティに関する基本方針の策定と、それを実行するための体制整備が求められます。
チェックポイント
- 情報セキュリティポリシーが策定されているか
- セキュリティ対策の実施状況をモニタリングする体制があるか
- インシデント発生時の対応手順が明確か
- 従業員への教育・啓発活動が行われているか
ISMS やプライバシーマークの取得は必須ではありませんが、それらの認証基準を参考にセキュリティ体制を構築することは有効です。特に地方企業の場合、専任の情報セキュリティ担当者を置くことが難しいケースもあるでしょう。その場合は、クラウドサービスの活用や外部専門家との連携も検討に値します。
ポイント3:業務システムの整備と内部統制
会計システムをはじめとする基幹系システムが適切に整備され、内部統制の観点から必要なチェック機能が組み込まれていることが重要です。
チェックポイント
- 会計システムから財務報告までの一連のプロセスが適切か
- システム間のデータ連携において手作業が極力排除されているか
- システムアクセス権の管理が適切に行われているか
- システム変更管理のプロセスが整備されているか
上場準備段階では、月次決算の早期化や業務の効率化のために基幹システムの更新を検討するケースも多いでしょう。しかし、上場直前のシステム刷新はリスクも高いため、段階的なアプローチが望ましいと考えます。まずは現行システムの運用ルールを明確化し、必要に応じて部分的な機能強化を図ることをお勧めします。
ポイント4:データガバナンスの確立
企業が保有する各種データの管理体制も重要な審査ポイントとなります。
チェックポイント
- 保有する情報資産の洗い出しと重要度分類がなされているか
- 個人情報の管理体制が整備されているか
- データのバックアップ体制は適切か
- データ保持期間や廃棄方法が定められているか
まずは「情報資産台帳」を整備し、自社が保有するデータの全体像を把握することから始めましょう。特に個人情報については、取得から廃棄までのライフサイクル全体を管理する体制の構築が重要です。
ポイント5:IT リスク管理と BCP 対策
IT に関するリスクの特定・評価・対応策の策定、および事業継続計画(BCP)におけるIT視点の考慮も重要です。
チェックポイント
- IT リスクの洗い出しと評価が定期的に行われているか
- システム障害やセキュリティインシデント発生時の対応手順が明確か
- 重要システムのバックアップや代替手段が検討されているか
- BCP に IT の視点が組み込まれているか
特に地方企業の場合、自然災害によるシステム停止リスクへの対応が重要となります。クラウドサービスの活用により、地理的なリスク分散を図ることも効果的な対策の一つです。また、定期的な訓練を通じて実効性を高めることが重要です。
地方企業のための IT ガバナンス構築ステップ
これらのポイントを踏まえ、地方企業が効率的に IT ガバナンスを構築するためのステップをご紹介します。
1. 現状把握と課題の洗い出し
まずは現状のIT環境と運用体制を客観的に評価することから始めましょう。
具体的なアクション
- 使用中のシステム・サービスの棚卸し
- 情報セキュリティに関する現状の取り組みの整理
- IT 関連規程の洗い出し
- IT リスクの特定と評価
この段階では、外部の専門家による「IT デューデリジェンス」を実施するのも有効です。客観的な視点から現状の課題を明確にすることで、効率的な改善計画を立てることができます。
2. 優先順位をつけた段階的アプローチ
すべての課題を一度に解決しようとするのではなく、優先順位をつけて段階的に取り組むことが重要です。
具体的なアクション
- 「リスクの大きさ」と「対応の容易さ」の2軸でマッピング
- 短期(3ヶ月以内)、中期(1年以内)、長期(上場まで)の時間軸で計画策定
- まずは基本方針や規程の整備から着手
- 既存システムの運用ルール明確化を優先
当社の支援事例では、まず「情報セキュリティ基本方針」と関連規程の整備から着手し、並行して現行システムの運用ルールの文書化を進めるアプローチが効果的でした。
3. 外部リソースの効果的な活用
地方企業においては、専門人材の確保が大きな課題となります。外部リソースを効果的に活用することも検討しましょう。
具体的なアクション
- IT コンサルタントや情報セキュリティの専門家との連携
- 地元の IT 企業やベンダーとの協力関係構築
- クラウドサービスの戦略的採用
- 監査法人の IT の専門家への相談
特に監査法人には、IT 監査の専門家が在籍していることが多いため、早い段階で相談することをお勧めします。上場審査を見据えた適切なアドバイスを受けることができるでしょう。
4. クラウドサービスの戦略的採用
限られたリソースで効率的に IT ガバナンスを構築するためには、クラウドサービスの活用が効果的です。
具体的なアクション
- セキュリティ対策が組み込まれたクラウドサービスの選定
- 内部統制機能を備えた業務システムの導入
- 従業員教育を支援するeラーニングシステムの活用
- 情報セキュリティ管理を支援するツールの導入
ただし、クラウドサービスを導入する際には、サービス選定の基準や導入・運用のプロセスを明確にすることが重要です。また、クラウドサービス利用に関する規程も整備しましょう。
FinanScope による支援
FinanScope では、上場準備企業の IT ガバナンス構築を複数の側面から包括的に支援し、充実したサポート体制を整えています。
IT ガバナンス構築を支援する機能
FinanScope Management には、IT ガバナンス関連のタスクと必要な文書テンプレートが標準で組み込まれています。
- 情報セキュリティ基本方針のテンプレート
- IT 関連規程(情報セキュリティ管理規程、システム管理規程など)
- IT リスク評価シート
- 情報資産台帳のフォーマット
- インシデント対応手順書のテンプレート
これらのテンプレートを活用することで、IT ガバナンス体制の構築を効率的に進めることができます。
専門家ネットワークの活用
FinanScope Consulting を通じて、IT ガバナンスの専門家によるサポートも提供しています。
- IT 内部統制の専門家によるアドバイス
- 情報セキュリティポリシーの策定支援
- IT リスク評価のサポート
- 上場審査を見据えた対応策の提案
特に地方企業の場合、専門家へのアクセスが限られることも多いため、このようなリモートでの支援は効果的です。
オンラインでのサポート体制
地理的な制約を超えて、オンラインでのサポートを提供しています。
- ウェビナーによる情報提供
- オンライン相談会
- リモートでのドキュメントレビュー
- クラウドを活用した情報共有
IT システム診断・改善支援サービス
上場準備企業の IT 内部統制構築・運用を包括的に支援する「IT デューデリジェンス支援サービス」を提供しています。このサービスでは以下の3つのフェーズで体系的なサポートを提供します:
- 評価・分析フェーズ:現行 IT 環境のアセスメントとロードマップ策定
- 改善支援フェーズ:統制活動の設計と規程・マニュアルの整備
- 維持・運用フェーズ:統制活動の有効性評価と外部監査対応支援
AWS パートナー企業としての技術力と自社の TPM 上場経験を組み合わせ、上場審査で求められるIT統制の課題解決を支援します。特に経営戦略とIT施策の整合性確保、グループガバナンスにおけるIT統制の評価、サイバーセキュリティ対策など、多くの上場準備企業が直面する課題に対して、限られた人員や予算内でも効率的に対応できるよう、実践的なサポートを提供しています。
FinanScope、IT システム診断・改善⽀援サービスを開始 〜上場審査で指摘されやすい IT システムの課題解決をワンストップで
まとめ:IT ガバナンスを上場準備の重要な柱に
上場審査において IT ガバナンスの重要性が高まる中、地方企業においても効果的な対応が求められています。限られたリソースの中でも IT ガバナンスを構築するためには、以下の点が重要です。
- 現実的なアプローチ:自社の状況に合わせた優先順位づけと段階的な改善
- 外部リソースの活用:専門家との連携やクラウドサービスの戦略的採用
- 実効性の重視:形式的な整備ではなく、実際に機能する体制づくり
- 継続的な改善:上場後も見据えた持続可能な体制の構築
IT ガバナンスは、単なる「上場審査のための対応」ではなく、企業の持続的な成長と価値向上を支える重要な経営基盤です。上場準備の過程を通じて、より強固な経営基盤を構築する機会と捉えることをお勧めします。
FinanScope は 、地方企業の上場準備におけるITガバナンス構築を全力でサポートいたします。まずは無料相談会で、皆様の状況や課題をお聞かせください。
無料相談会のご案内
FinanScope では、上場準備に関する疑問や不安を解消するための無料オンライン相談会を実施しています。本記事でご紹介した内容以外にも、企業の状況に合わせた具体的なアドバイスを提供しています。
相談可能な内容
- IT ガバナンス体制の構築に関するアドバイス
- 情報セキュリティポリシーの策定支援
- システム環境の整備に関する相談
- 上場審査を見据えた IT 対応策の提案
- FinanScope の具体的な活用方法
下記ページより、相談会の予約を承っております。
URL:https://meetings.hubspot.com/takuma6/finanscope-online
一社一社の状況は異なりますが、「地方から、新しい可能性を切り拓く」。その挑戦を私たち FinanScope は全力で支援します。
