内部統制に対応した文書管理 - 文書管理ECMの重要性

<Insert Picture Here>

内部統制に対応した文書管理

日本オラクル株式会社Fusion Middleware事業統括本部

Copyright© 2011, Oracle. All rights reserved. 2

以下の事項は、弊社の一般的な製品の方向性に関する概要を説明するものです。また、情報提供を唯一の目的とするものであり、いかなる契約にも組み込むことはできません。以下の事項は、マテリアルやコード、機能を提供することをコミットメント（確約）するものではないため、購買決定を行う際の判断材料になさらないで下さい。オラクル製品に関して記載されている機能の開発、リリースおよび時期については、弊社の裁量により決定されます。

OracleとJavaは、Oracle Corporation 及びその子会社、関連会社の米国及びその他の国における登録商標です。文中の社名、商品名等は各社の商標または登録商標である場合があります。

日本版SOX法

相次ぐ会計不祥事やコンプライアンスの欠如などを防止するため、米国のサーベンス・オクスリー法（SOX法）に倣って整備された日本の法規制のこと。上場企業およびその連結子会社に、会計監査制度の充実と企業の内部統制強化を求めている。

「日本版SOX法」という呼び名は俗称で、実際には証券取引法の抜本改正である「金融商品取引法」の一部規定がこれに該当する。同法では第24条の4の4で「有価証券報告書を提出しなければならない会社のうち、金融商品取引所に上場している有価証券の発行者である会社その他の政令で定めるものは、事業年度ごとに、当該会社の属する企業集団及び当該会社に係る財務計算に関する書類その他の情報の適正性を確保するために必要な体制について評価した報告書（内部統制報告書）を有価証券報告書と併せて内閣総理大臣に提出しなければならないこととする。また、内部統制報告書には、公認会計士又は監査法人の監査証明を受けなければならないこととする」と定めている。

一般に企業などの組織内部において、違法行為や不正、ミスやエラーなどが行われることなく、組織が健全かつ有効・効率的に運営されるよう各業務で所定の基準や手続きを定め、それに基づいて管理・監視・保証を行うこと。そのための一連の仕組みを内部統制システムという。

下請代金支払遅延等防止法

下請け代金の支払いを適切に確保することにより、下請け業者の利益を保護することで、公正な取引を確保するための日本の法律をいう。独占禁止法の1つを構成する。

下請代金の支払遅延等を防止することによって、親事業者の下請事業者に対する取引を公正ならしめるとともに、下請事業者の利益を保護し、もつて国民経済の健全な発達に寄与することを目的としている。なお建設工事の請負においては適用されず、建設業法のさだめるところによる（法第2条第4項）。

◇製造委託・修理委託の場合

資本金1000万円～3億円の会社⇔資本金1000万円の会社または個人事業者

資本金3億円超の会社⇔資本金3億円以下の会社または個人事業者

◇情報成果物作成委託・役務提供委託の場合

資本金1000万円～5000万円の会社⇔資本金1000万円の会社または個人事業者

資本金5000万円超の会社⇔資本金3億円以下の会社または個人事業者

親事業者は下請業者に業務を委託した場合には、第3条で定められる基本的事項を記載した書面を作成し、下請業者に交付しなければならない。

両業者名・委託日・給付物または役務の内容・履行期・履行場所・検査完了日・下請代金・手形事項・一括決済方法・原材料など

親事業者は下請業者に業務を委託した場合には、第5条で定められる基本的事項を記載した書面を作成し、保存しておかなければならない。

両業者名・委託日・給付物または役務の内容・履行期・履行内容・受領日・検査完了日・変更／やり直し・下請代金・支払い・手形事項・一括決済方法・原材料など・支払残額・遅延利息

e文書法

財務・税務関係の帳票類や取締役会議事録など、商法（及びその関連法令）や税法で保管が義務づけられている文書について、紙文書だけでなく電子化された文書ファイルでの保存が認められるようになった。

また、元から電子データとして作成された文書だけでなく、紙として保存された文書をスキャンして画像ファイルとしたものに対しても、一定の要件を満たせば正規の文書として認められるようになった。対象となるのは取引先から受領した契約書や見積書、注文書、請求書といった財務・税務関係書類、カルテや処方せんなどの医療関係書類、定款や株主総会・取締役会の議事録の会社関係書類など。

内容技術要件／対応手段

見読性作成・保存した文書を表示・印刷でき、内容が確認できるイメージ解像度・階調、文字コード、ファイル形式

完全性文書の作成者・作成時期、紙文書などと電子化した文書が同一であることが確認できる（真正性）

電子署名、タイムスタンプ

保存義務期間中に文書が改ざん・消去されないこと、改ざんされたことが確認できる（真正性）

文書の作成者・作成時期、紙文書などと電子化した文書が同一であることが確認できる（真正性）

保存義務期間中に文書が消失、破損しない（保存性）記録媒体、アーカイブ、ILM

機密性文書の盗難、漏えい、盗み見などが防止できるアクセス制御、暗号化、データ消去・廃棄

検索性必要に応じて求める文書を探し出せる DMS、CMS、OCR

※電子データの作成・保存における課題として「見読性」「完全性」「機密性」「検索性」などの確保が挙げられる

http://www.atmarkit.co.jp/aig/02security/digisign.html

http://www.atmarkit.co.jp/aig/04biz/timestamp.html

http://www.atmarkit.co.jp/aig/04biz/ilm.html

http://www.atmarkit.co.jp/aig/04biz/dms.html

http://www.atmarkit.co.jp/aig/04biz/contentmanagement.html

http://www.atmarkit.co.jp/icd/root/25/5787025.html

これらの法律を厳守するには

決済等のルールを明文化し

その決済ルールを遵守する

決済等マニュアルをみて

毎回書類を回す？

日付印のバックデートを

お願いするなんていいの？

それらのプロセスを見える化する

誰が変えたかをどう記録する？

保存期間は？

どこで滞っているか調べるには？

業務文書(ドキュメント)をWindowsファイルサーバで管理している

そのファイルサーバーは拠点ごとに分散している

ファイルサーバにはアクセス権を設定して運用している

ちょっと、ご自身のチェックをしてみましょう

文書管理は各部門にまかせている

業務文書(ドキュメント)は文書管理システムで管理している

その文書管理システムには欠点はない

技術担当上長

プロジェクト（文書化）予実進捗管理が人海戦術的

監査室営業部/生産部

プロジェクト（文書化）環境が整理、整備されていない

関連付けられた文書一式の開示ができない

業務指示と承認がシステム的整備されていない(記録があいまい）

営業

過去の提案・見積の参照・参考閲覧ができない

IT業務処理統制では、取引が承認・入力され、漏れなく正確に記録され、処理され、出力されることを確保しなければなりません。しかし業務手順や処理の正当性を見える化したものの、

文書が介在する業務フローがシステム化されていないため、正当性の実態把握ができない文書をファイルサーバーで管理するものの、アクセス履歴が残せず、監査証跡として提示できない文書をファイルサーバーで管理するものの、を文書規定に則った保存、保全ができているか示せない文書の整理を台帳と人手で運用してきたものの、ファイルサーバーがごみ箱状態になっている

「文書の介在する業務のIT業務処理統制」を実現した事例顧客プロファイル：情報処理システムコンサルティング、開発企業 / 営業部および生産部 / 内部統制・コンプライアンスの強化

精密機器・大型機械などの製造業 / 内部統制・コンプライアンス室

ロケーション：日本（関東）

この企業・該当部門がおかれた立場

•親会社が上場会社でJ-SOX法対象企業•「コンプライアンス経営」行動指針に従った業務•取引先に対して、自社業務・取引の正当性の開示•１案件あたり数年にわたる活動

•ファイルサーバが分散されていて、アクセス権の設定も分散されており、各支店等で独自に行っており、本店側から確認できない。

•本店でアクセス権を一覧表示できず、各支店から提出された報告書をそのまま採用して監査を受けている（可能性がある。）

•人事異動で組織から転出する際に、異動元の管理者がアクセス権の削除を忘れ、異動後も継続して旧組織のドキュメントを参照できている。

•人事異動の際、発令のタイミングでサーバへのアクセス権が変更されてしまい、移動しなければならないドキュメントを移動できなくなってしまい、一時的にアクセス権を復活してもらうが、その後そのままになっている。

•サーバ上のドキュメントは、管理者の立場から見た場合、どれが保管期限が過ぎているか判断付かないため、ほとんど何年も放置された状態。

•状況担当者が各自削除している場合もあるが削除し忘れがあり、年数を経た後では担当者自身でも判断が困難で、放置されている。

「文書の介在する業務のIT業務処理統制」を実現した事例顧客プロファイル：地方銀行

ロケーション：日本（関西）

ファイルサーバーでできないことオラクルなら

文書へのアクセス権管理（力技でなんとか・・・）

アクセス履歴把握、レポート

文書保全、ごみ箱化対策

文書に付与されるセキュリティ区分とユーザーに付与される権限の組み合わせで厳格かつ、柔軟なアクセス権管理ができます。

文書公開開始日、文書公開終了日、保存期間後の文書の扱いの指定や管理ができます

文書へのアクセス履歴を記録。レポート出力ができます。不正アクセスの有無の把握、監査時証明等に使用できます。

• 文書の版管理

• 文書へのアクセス権管理

• 文書へのアクセス履歴把握、レポート

• 文書原本の配布管理

• 文書の保存期間の管理

コンプライアンスの観点で重要な文書管理機能

Copyright© 2009, Oracle. All rights reserved.

Oracle Universal Content Managementは、ドキュメント、イメージ、ビデオ、Webページなどをデータベースで管理し、唯一の信頼できるソースとして管理するとともに、バックアップや冗長化にかかるコストを削減します。特定部門に限らず、全社部門で利用できる機能を備えています。

オラクルのECMの中核：日常のコンテンツの利用、管理Oracle Universal Content Management（Oracle UCM）

紙文書 Office文書 Webサイト画像、動画

全てのデジタルコンテンツをデータベースに格納

保存期間管理デジタルアセット管理Webコンテンツ管理文書管理

gif jpg

swfpdf

tiff

doc

ppt xlsH/A構成による冗長化

DBバックアップによる全データのバックアップ

バージョン（版）管理

メタデータ（属性）管理

検索

権限管理

承認ワークフロー

フォルダ階層

変換（ＨＴＭＬ/XML/PDF）

仮想ドキュメント

有効期限

WebDAVアクセス

WebサービスAPI

LDAP連携

セキュリティ強化

インフラ管理の最適化

安定運用

ISO準拠

法対応（J-SOX,e-文書法）

監査証跡

コンテンツ一元化、再利用

ビジネスプロセス改革

データ活用、分析

目的

機能

デフォルトで製品にすべての機能が含まれる


Oracle UCM SEに登録されているコンテンツは、版管理が厳格に行われています。

過去の版を参照・改編のためにいつでも呼び出すことができます。

コンテンツを登録するときファイル名は同一でもかまいません。新旧でファイル名が同一であっても、Oracle UCMでは版管理

を正しく行います。ファイルサーバーで管理しているときのようにファイル名の命名に悩む必要がありません。

バージョンIDをクリックして、過去のファイルを参照可能

バージョン新

バージョン旧

文書の変更履歴の管理－版管理


文書の変更履歴の管理－版管理（続き）

ファイルサーバーへWindows Explorerでアクセスすると、

フォルダ内に新旧の版が多数混在して、どれが最新の版であるか判別するのに迷いませんか？

Oracle UCM SE へ、Windows Explorerを用いてアクセスした

場合は、常に最新の版しか表示しないので、新旧の判別に迷うことがありません。

新旧4つの版が存在するが最新の版しか表示しない


Oracle UCM に登録されたコンテンツに対して、全文検索または属性（メタデータ）による検索を行うことが可能です。 Office2007により作成されたドキュメントにも対応済みです。

全文検索用の領域が用意されているので、簡単に全文検索可能。

検索

全文検索・属性（メタデータ）による検索

全文検索

メタデータ検索

メタデータ入力支援と同様、検索項目の選択


インデックス情報

HTML変換

オリジナル(ネイティブ）コンテンツ

例: MS Word ファイルなど

オリジナルファイルフォーマット

MS Word、Excel、Power Point などのコンテンツがOracle UCM SEに登録されると、HTMLへの変

換を自動的に実行させることが可能です。コンテンツに対する編集権限をもたないユーザーに対しては、HTML変換されたコンテンツを参照させることで、オリジナルファイルの不正改変や不用意な流出を防止することができます。オプション製品 Content Conversion Serverを併用すると PDF変換を行うこともできます。

HTMLへの自動変換、ブラウザによるプレビュー


ワークフロー・プロセス

公開投稿

レビューア権限

承認承認

+

編集

承認+

新規投稿

プロセスの進行条件

全員の承認

[n]名以上の承認

ワークフロー確認画面

レビューおよび承認画面

フロー状況確認画面

自由にカスタマイズ可能なワークフロー• スクリプトによる記述でワークフロー• 投稿者によって、動的に承認者を変更可能

承認を経て公開する仕組みの提供• チェックインの際に、メタデータによって、ワークフローの起動を制御可能• 承認終了後に公開• 承認者へはメールで通知可能• 承認画面でドキュメントを閲覧しながら承認,却下の選択が可能

文書の回覧ワークフロー


文書へのアクセス履歴、証跡保存

期間中にアクセスされた文書、アクセスしたユーザー、またはアクセスしなかったユーザーなど、条件を指定してアクセスの履歴をレポートすることができます。

文書へのアクセス履歴を記録して監査時に証跡として報告する目的、通達文書などへアクセスしていない人を把握する目的、重要文書へのアクセス制御が正しく機能していることのモニタリングする目的などに用いる機能を提供します。


http://www.oracle.co.jp/inq_pl/INQUIRY/quest?rid=28

Oracle Direct 検索

あなたにいちばん近いオラクル

Oracle Directまずはお問合せください

Web問い合わせフォームフリーダイヤル

専用お問い合わせフォームにてご相談内容を承ります。

※フォームの入力には、Oracle Direct Seminar申込時と同じログインが必要となります。

※こちらから詳細確認のお電話を差し上げる場合がありますので、ご登録されている連絡先が最新のものになっているか、ご確認下さい。

0120－155－096

※月曜~金曜 9:00~12:00、13:00~18:00

（祝日および年末年始除く）

システムの検討・構築から運用まで、ITプロジェクト全般の相談窓口としてご支援いたします。

システム構成やライセンス/購入方法などお気軽にお問い合わせ下さい。

http://www.oracle.co.jp/inq_pl/INQUIRY/quest?rid=28

Copyright© 2011, Oracle. All rights reserved.19

OTN×ダイセミでスキルアップ!!

※OTN掲示版は、基本的にOracleユーザー有志からの回答となるため100%回答があるとは限りません。

ただ、過去の履歴を見ると、質問の大多数に関してなんらかの回答が書き込まれております。

Oracle Technology Network(OTN)を御活用下さい。

・一般的な技術問題解決方法などを知りたい！

・セミナ資料など技術コンテンツがほしい！

一般的技術問題解決にはOTN掲示版の

「ミドルウェア」をご活用ください

http://forums.oracle.com/forums/main.jspa?categoryID=484

過去のセミナ資料、動画コンテンツはOTNの

「OTNセミナーオンデマンドコンテンツ」へ

http://www.oracle.com/technetwork/jp/testcontent/index-086873-ja.html

※ダイセミ事務局にダイセミ資料を請求頂いても、お受けできない可能性がございますので予めご了承ください。

ダイセミ資料はOTNコンテンツオンデマンドか、セミナ実施時間内にダウンロード頂くようお願い致します。


OTNセミナーオンデマンドコンテンツダイセミで実施された技術コンテンツを動画で配信中!!

ダイセミのライブ感はそのままに、お好きな時間で受講頂けます。

※掲載のコンテンツ内容は予告なく変更になる可能性があります。

期間限定での配信コンテンツも含まれております。お早めにダウンロード頂くことをお勧めいたします。

OTN オンデマンド

最新情報つぶやき中

OracleMiddle_jp・人気コンテンツは？

・お勧め情報

・公開予告など


Oracle エンジニアのための技術情報サイト

オラクルエンジニア通信http://blogs.oracle.com/oracle4engineer/

• 技術資料• ダイセミの過去資料や製品ホワイトペーパー、スキルアップ資料などを多様な方法で検索できます

• キーワード検索、レベル別、カテゴリ別、製品・機能別

• コラム

• オラクル製品に関する技術コラムを毎週お届けします

• 決してニッチではなく、誰もが明日から使える技術の「あ、そうだったんだ！」をお届けしますこんな資料が人気です

6か月ぶりに資料ダウンロードランキングの首位が交代！新王者はOracle Database構築資料でした。

データベースの性能管理手法について、Statspack派もEnterprise Manager派も目からウロコの技術特集公開中

オラクルエンジニア通信

最新情報つぶやき中

oracletechnetjp

http://blogs.oracle.com/oracle4engineer/


■パフォーマンス診断サービス•Webシステムボトルネック診断サービス

•データベースパフォーマンス診断サービス

オラクル社のエンジニアが直接ご支援しますお気軽にご活用ください!

オラクル無償支援検索

NEW■システム構成診断サービス•Oracle Database構成相談サービス

•サーバー統合支援サービス

•仮想化アセスメントサービス

•メインフレーム資産活用相談サービス

•BI EEアセスメントサービス

•簡易業務診断サービス

■バージョンアップ支援サービス•Oracle Databaseバージョンアップ支援サービス

•Weblogic Serverバージョンアップ支援サービス

•Oracle Developer/2000(Froms/Reports)Webアップグレード相談サービス

■移行支援サービス•SQL Serverからの移行支援サービス

•DB2からの移行支援サービス

•Sybaseからの移行支援サービス

•MySQLからの移行支援サービス

•Postgre SQLからの移行支援サービス

•Accessからの移行支援サービス

•Oracle Application ServerからWeblogicへ移行支援サービス

ITプロジェクト全般に渡る無償支援サービス

Oracle Direct Conciergeサービス

NEW

NEW


インストールすることなく、すぐに体験いただけます

製品無償評価サービス

http://www.oracle.com/jp/direct/services/didemo-195748-ja.html

Web問い合わせフォーム「ダイデモ」をキーワードに検索することで申し込みホームページにアクセスできます

提供シナリオ一例

・データベースチューニング

・アプリケーション性能・負荷検証

・無停止アップグレード

・Webシステム障害解析

1日5組限定！

※サービスご提供には事前予約が必要です

• サービスご提供までの流れ1. お問合せフォームより「製品評価サービス希望」と必要事項を明記し送信下さい

2. 弊社より接続方法手順書およびハンズオン手順書を送付致します

3. 当日は、弊社サーバー環境でインターネット越しに製品を体感頂けます






