公開企業のための SOX メッセージコンプライアンス

概要

エンロンやワールドコム、そしてアーサーアンダーセン等の恥ずべき不祥事をきっかけに、世界中で企業の電子データの取扱いについての法規制が強化されました。2002年に施行されたSarbanes-Oxley Act (SOX法)により、ビジネスの記録はあらゆるポイントで記録されなければならなくなりました。SOX法は企業のアカウンタビリティ(説明責任)についても注意を促しています。企業が監査や捜査、訴訟などの公的な手続きに関連する場合は特にそれらが求められます。

Global Relayの一連のホステッドサービスは、電子記録の信頼性と完全性を担保しながらも、低いコストと企業のリソースの効率的な活用を実現しています。Global Relay Archive、Compliance Reviewer、Message Converter及びIM Interpreterは全て、公開企業がSOX法を遵守するために必要な、総合的なコンプライアンスソリューションを提供します。

記録の保持

Global Relayのメッセージアーカイブ及びコンプライアンスシステムであるGlobal Relay Archiveは、企業内の全ての電子的なコミュニケーションの信頼できる完全な記録を取得し、アーカイブして、安全で簡単にアクセスできるオフサイトのストレージシステムに保存します。以下のコンプライアンス機能をサポートしています:

電子メール、添付ファイル、インスタントメッセージ及びBloombergのメッセージを取得
アーカイブされたメッセージを7年間保管 (削除ポリシーにより変更可能)
全従業員が自分のメッセージに簡単にアクセス可能(Web経由を含む)
専用のWORM (Write Once, Read Many) ドライブによる不正な修正の防止
東海岸と西海岸にあるデータセンターに設置されたオフサイト・シングルインスタンスのミラーリングされたストレージ
メッセージのインデックス作成とシリアル化、Bcc及び配信リストへの対応、メタデータ、監査証跡
Google風のサーチエンジンにより、メッセージを数秒で検索・取得
システム、ネットワーク、メッセージの安全確保と暗号化
.pstファイルやバックアップテープなどからアーカイブへのデータ移行
訴訟時の証拠保全やSEC調査のためにリテンション条件を柔軟に設定

Global Relay Archiveはどのように動作するのでしょうか? 全てのメール、添付ファイル、インスタントメッセージ(AOL, MSN, Yahoo, GoogleTalkなど)、Bloomberg、BlackBerry、ソーシャルメディアなどは安全にキャプチャされ、インポートされた古いメールや.pstファイルなどと共に迅速なオンライン検索、取得、モニタリングのためにGlobal Relay Archiveに統合されます。Webベースの安全なアクセスと検索エンジン技術によるリアルタイムインデックスにより、全ての従業員及びコンプライアンス責任者は現在及び過去のメッセージを数秒で見つけ出すことができます。

内部統制と監督

Global RelayのモニタリングシステムであるCompliance Reviewerは、ターンキーですぐに使える柔軟なオンライン監督システムを提供します。これには先進的なモニタリング、フィルタリングそしてeDiscoveryの機能が含まれており、企業のメール及びIMのコンプライアンス、正しい使い方及び企業ガバナンスのポリシーを適用できます。コンプライアンス機能には以下が含まれます。

Global Relay Archive内のメール、添付ファイル、IM、Bloombergをスキャンし、モニター
禁止コンテンツを特定するために企業が設定したルールによるコンテンツフィルタリング
ブール代数、クライテリアリスト、プロキシミティ、アクションアラートによる先進的解析
パーセンテージやユーザー毎にカスタマイズして受信者のメッセージをランダムにサンプリング
すぐに見つけられるように、キーワード検索の結果をメッセージの中でハイライト
メッセージや添付ファイル全体のレビュー、及びヘッダーのみの一括レビュー
アクションアイコンと定義済みノートによるレビュアーの承認、却下、エスカレーション
上位レビュアーへのエスカレーションのためのマルチティアレビュー構造
フォルダ、フラグ、優先度及びラベルを使った事前設定されたシングルクリックコンプライアンスのためのウィザードコマンド
承認されたレビュアーへのアクセス権限をカスタマイズされたセキュリティルールにより管理
メールあるいはIMでコンプライアンス違反を通知
過去のレビューとそれに関連した行動の詳細な時間付きの監査証跡
調査とモニタリングプロセスを変更するためのWebベースのコントロールセンター
フラグ付けルールから特定の単語、フレーズ、メールアカウント(法的内容、弁護士との連絡、ニュースレターなど)を除外

Compliance Reviewerはどのように動作するのでしょうか? Compliance Reviewerは強力な検索エンジンを使ってGlobal Relay Archiveからお客様社内のメッセージを取得し、使いやすくお客様独自のフィルタとウィザードコマンドを使ってアーカイブされたメール、IM、Bloomnergメッセージを効率的にレビューし、モニタリングします。以下の様な違反が検知されたメッセージは読み込まれた時点でレビューのためにフラグ付けされます

キーワードおよびフレーズをリアルタイムでフィルタリング(スタートアップリストが提供されます)
柔軟な検索条件を使った特殊クエリ
先進的なルールベースのキーワード/フレーズ近似解析
パーセンテージを使ったユーザー、ユーザーグループ、全社のランダムサンプリング

監査対応

Compliance Reviewer監査ツールとGlobal Relay Archiveは、法的監査及び証拠提出のために効率的に対応できるよう設計されています。Global Relayはこれまでに、数百に上る企業やSOX法が適用される組織の監査及び規制調査をサポートしています。現在もGlobal Relayは、毎週3社から6社のお客様の監査及び召還に対応しています。

Googleライクな検索エンジンにより、数秒でどのようなメッセージも検索・取得
オンライン検索及びeDiscoveryツールを使って監査要求に数分で対応
コンプライアンス担当役員のレビュー及び関連行動の統計とレポート
訴訟ホールド及び予期されるSOX調査に柔軟に対応できる保持期間の柔軟な設定
社内の専門家が監査の期間中、法的コンプライアンスについて助言
共有フォルダによる訴訟管理(外部弁護士のレビューなど)

Global Relayの監査ツールはどのようにして監査をサポートするのでしょうか? Global Relayは、監査上の要求から発生する特別な条件に合わせて記録を生成する柔軟で効率的な方法を提供します。メッセージは以下の2つの方法で即座に準備できます。

「監査アカウント」によるメッセージのオンラインレビュー

監査要求をベースにしたオンライン検索パラメータを生成
監査に必要な範囲のみにアクセスを限定 (日付、ユーザー、件名など)
監査担当者に一時的なオンラインレビューの権限を付与
個人的、あるいは制限されたメッセージへのアクセスを制限
監査担当者のレビュー履歴を自動生成 (監査担当者を監査!)
監査終了後は監査担当者のデータへのアクセスを禁止

規制当局への提出データの生成

データを抽出して提出するために迅速に発見、集約して統合
規制当局が指定するメディア(DVDやCD)に必要な情報を生成

良くある質問

アーカイブ及びコンプライアンスの要件とは?

監査及び品質管理

SOX法103条では、全ての監査書類及びその他監査レポートに関わる情報(監査レポートの結果を検証できるだけの詳細にわたって)を最低7年間保持することを求めています。

データの生成

SOX法105条(b)では、提出されたドキュメントもしくは情報の正確性を検証するために、監査に関連する情報を作成することを求めています。

企業の責任

SOX法302条は、公開企業の上級経営者に決算報告書の正確さを個人的に保証するよう求めています。

内部統制規制

SOX法404条は、経営者が財務報告に関わる内部統制体制を構築・維持する責任があると定めています。

改ざんの防止

SOX法802条(a)は、捜査を妨害しようとして記録や文書を内部で変更、破棄、分断などを行う事に対して刑罰を科しています。

情報の保持

SOX法802条は、監査に関わる全ての情報を監査者が最低7年間保持することを求めています。これには作業要書類、メモ、書面でのやりとり、コミュニケーション及び電子的記録(メール及びIMを含む)が含まれます。

Sarbanes-Oxley (2002)の重要性とは?

SOX法は全ての公開企業に対して信頼性のある記録管理体制を構築するよう求めており、これには効率的にデータを保管し取得できることを含みます。これらの要求は投資家を虚偽の記載や財務データの不当表示から守る為であり、説明責任を強化して記録の改ざんを防ぎ、公開企業と監査人の情報開示と透明性を高めるためです。

誰に適用されるのか

通常これらの規則はSECが管轄する公開企業全てに適用されます。しかし、SOX法は全ての企業が守るべき記録管理についての標準を規定するもので、メール保管のポリシーと実施もそれに含まれます。

違反した場合の罰則

コンプライアンス違反による企業財務への影響は明白で、しかもどんどん厳しくなっています。最近の例では以下の様な判決があります

詐欺訴訟の過程で信頼できるメールを提出できなかったことで、モルガンスタンレーに14億5千万ドルの賠償を要求
17ヶ月間にわたってメールを作成しなかったことでメリルリンチに250万ドルの罰金

このほか、違反の内容によっては、コンプライアンス違反は罰金や拘留の対象となります。

少なくとも5年の間「作業書類」を監査もしくはレビューしなかった場合

罰金及び/または5年以下の投獄

CEOまたはCFOによる企業の財務報告の「無責任な」違反

罰金及び/または10年以下の投獄

公的な手続きに用いる記録または文書の意図的な破壊、修正または隠蔽

罰金及び/または20年以下の投獄

KPMG

SaaS事業者の適正評価を包括的に行うのは、公開企業の責務です。

Global Relayは適正評価のプロセスをお手伝いします。Global Relayの内部統制の厳格さは、KPMGの「KPMG Report on Global Relay's Business, Operational & Security Controls」によって検証されています。このレポートは、Global Relayの高度な内部統制について保証し、透明性を担保しており、Global Relayを真に差別化しています。

KPMGレポートはGlobal Relayのセキュリティ、ビジネス及び運用上の統制について、ユニークかつ広範囲に検証しています。

物理的セキュリティ - データ保護を運用する安全策とデータセンターの統制
変更管理 - ソフトウェア開発のリリースに関するフレームワーク、運用と変更管理
ネットワークセキュリティと可用性 - システムアーキテクチャ、冗長性、アクセスとセキュリティ
Message ArchiverとCompliance Reviewer - 受信メッセージの処理、安全なストレージ、データセンター間のレプリケーション及びエンドユーザーからのアクセス
データのインポート、展開及び破棄 - 顧客データ取扱い上のポリシ-、手法及びセキュリティ
セキュリティポリシー及び標準 - プライバシーと機密性を管理するポリシーと標準
個人ポリシー及びプロセス - 従業員のライフサイクル管理

本レポートの詳細について、またはGlobal Relayがどのようにして御社の適正評価をお手伝いできるかについて詳しく知りたい場合は、今すぐご連絡下さい。