ファイル交換ソフトWinny(ウィニー)の暴露ウイルスによって、深刻な情報流出事件が起きた。監査法人トーマツの職員が、監査先企業24社の情報を流出させてしまったのだ。厳しい守秘義務がある会計監査のスタッフが、顧客のデータを流出させたのだから深刻な問題だ。またこの事件の背景には、ほかの監査法人の不祥事による解散や、それによる監査法人変更の問題があるようだ。(テクニカルライター・三上洋)
スクリーンセーバーに偽装したウイルスに感染?監査法人トーマツからの情報が流出したのは8月27日のこと。監査先企業24社、個人情報約7,000件の情報が入ったエクセル・ワードなどのファイルが、ファイル交換ソフトWinnyとShareに流れてしまった。9月上旬になって各メディアが報道し、監査法人トーマツでも謝罪のプレスリリースを出している。
流出させてしまったのはトーマツの福岡事務所の職員で、私物と思われるパソコンに監査関係のファイルを保存していた。このパソコンでファイル交換ソフト・Winnyを使い、音楽ファイルをダウンロードした際に、暴露ウイルスに感染している(西日本新聞の報道による)。感染したのはAntinnyと呼ばれる暴露ウイルスと思われ、有名女性アーチストの名前が付いたファイル(スクリーンセーバーに偽装したもの)をダブルクリックしたことから感染した可能性が高い。
トーマツ広報によると「二次被害を防止するために、流出したデータの詳細や、流出させた職員の情報は発表していない」とのこと。そのため企業名は公式には発表されていないが、被害者の一社である西日本新聞が報じたことから、西日本新聞が被害者であることはハッキリしている。
西日本新聞によれば、流出させたトーマツの職員は、以前は「みすず監査法人(2007年7月に解散)」に勤めていた。今回流出したファイルは2007年3月以前のもので、前勤務先・みすず監査法人による監査ファイルである。つまり前勤務先から持ち出したデータを流出させたことになる。
ファイルの内容は主に会計監査のデータで、「総勘定元帳」「流動資産一覧」「損益計算書」「従業員長期貸付金」といったエクセルが含まれている。中には「寄付金一覧」といったファイルもあり、監査先企業が複数の国会議員の後援会へ寄付金を払ったことも書かれているようだ。また、みすずの前身である中央青山監査法人のウェブサイトの下書きと思われるファイル名もあった。
皮肉なことにセミナーのために用意したと思われる「内部統制」というパワーポイントさえあった。企業の不祥事を防ぐための方法が書かれていると思われるが、その文書が外部に流出してしまっているのだからお粗末としか言いようがない。
旧みすず→トーマツに移行した企業が被害者被害者である企業名は公開されていないが、企業名を推測すると、不思議な事実が浮かび上がってくる。
西日本新聞社(監査法人を「みすず」から「トーマツ」へ変更) 耐火物製造の大手企業(監査法人を「みすず」から「トーマツ」へ変更) バルブ製造会社(監査法人を「みすず」から「トーマツ」へ変更) 空調機器製造会社(監査法人を「みすず」から「トーマツ」へ変更)被害者の企業のうち、企業名を推定できるものすべてが、みすず監査法人から監査法人トーマツへと変更している。みすず監査法人(旧中央青山)は、粉飾決算の不祥事が重なったことから、2007年7月31日で解散している。企業は他の監査法人へ変更したわけだが、ここに登場した企業はすべて監査法人トーマツへ移っている。
ここからは推測であるが、流出させた職員は、みすず監査法人でのデータを持ってトーマツへ移籍したのではないだろうか。職員が移籍しただけでなく、監査先企業・監査データ・担当職員が丸ごと移ったのかもしれない。みすず監査法人が解散したことを考えればやむを得ない処置ではあるが、会計監査の守秘義務は守られていたのだろうか?
アドバイスする立場にある監査法人の不祥事2009年から企業の会計監査を充実させ、企業の内部統制をしっかりするための法律がスタートする。いわゆる日本版SOX法(J-SOX法)と呼ばれるもので、金融商品取引法の一部が該当している。それによると企業の財務とその他の情報の適正性を確保するために「内部統制報告書」と呼ばれるものを提出する必要がある。くだいて言えば「会計は公正ですよ、社内の体制はしっかりしていますよ」という報告が義務付けられるわけだ。
その報告書には、公認会計士や監査法人の証明が必要だ。つまり日本版SOX法の要となるのが監査法人である。また日本版SOX法では、ネットワークでの情報保存も「IT統制」として重視されている。
それにも関わらず今回の事件では、監査法人自らが顧客である企業の情報を、インターネットに流出させてしまった。さらに自社の監査データではなく、職員が以前勤務していた監査法人のデータだったことは、深刻な問題だと言えるだろう。意図したことではないにせよ、内部統制をしっかりできていなかったことの証拠である。
内部統制・内部監査の専門家である千葉商科大学客員教授でコンサルティング・ワン代表の水島正氏にお話を伺った。
「実は多くの監査法人は、自分自身の内部統制がしっかりできていません。銀行や商社がパソコン・ファイルの持ち出しを厳しく禁じているのに対し、一部の監査法人ではファイルを入れたパソコンを平気で持ち歩いています。人にアドバイスする立場にあるのに、自分達のほうが遅れているんですね。」
「旧中央青山監査法人は、粉飾決算に関わるなどの不祥事を何度も起こしていました。監査法人の不祥事をなくすために、アメリカではPCAOB(公開会社会計監視委員会)という機関ができています。これを真似て、日本でも金融庁の管轄で『公認会計士・監査審査会』という団体が、監査法人をチェックしています。このような事件が起きるようでは監査法人への社会的な信頼をなくすだけでなく、金融庁から審査会への圧力が厳しくなることも考えられます。」
監査法人トーマツの広報部は「問題を起こしたことを深く反省し、お詫び申し上げます。今後こうしたことが起きないように、職員にルールを徹底させます」とコメントしている。(なお流出ファイルには、暴露ウイルスが感染していると思われる。興味本位で開くと感染してしまうので、Winnyなどからダウンロードしてはいけない)
http://www.yomiuri.co.jp/net/security/goshinjyutsu/20070907nt0c.htm