「SAS70」は、“SOX法対策”にどこまで“使える”か 業務委託先のセキュリティ統制評価基準として普及する一方、不適切な運用が問題に 関連トップページ:ITガバナンス | コンプライアンス | セキュリティ管理(CSO Online) | アウトソーシング | 【特別企画】内部統制とCIOの役割 米国企業改革法(Sarbanes-Oxley Act:通称SOX法)の施行を契機に、業務を委託するアウトソーシング・サービス事業者に対する情報セキュリティ統制の監査基準として、米国企業の間で脚光を浴びている「SAS70」。現在、その導入企業が急速に増えているという。その一方で、同基準をきちんと理解しないまま報告書を信用したあげく、内部統制の不備を見逃してしまったというような例も散見されている。本稿では、米国での事例を基に、SAS70が、セキュリティ統制評価に関してどれだけの効果を期待でき、またど