そもそも内部統制とは

そもそもエンロンの粉飾がきっかけで内部監査の強化がすすんだ。

現地法人あるいは地方の拠点に権限委譲する。そのためにコンピュータ・システムでお金の使い方をしっかり本社で管理する。従って、このシステム自体もきちんと監査して改竄されないようにしておかなければならない。

しかし、日本企業の場合、権限委譲は中途半端でお金の使い方も人間系の信頼関係の監視下のもとで管理されている。従って本格的なシステムは導入・運用されておらず、よって、この監査を行っても実はあまり意味がない。

中国への日本企業の進出失敗の原因についてかかれた記事でこのような指摘を読んで、これが和製SOX法の違和感の原因なのかと妙に納得した。

バインド変数

バインド変数はマニュアルでみたことはあったが「Oracle の PL/SQL　などででてくる変数のこと」程度の認識しかなかったのだが...　 　

　select * from emp where eno = :1 ;

さて、いくらがんばってＳＱＬを捕まえても、バインド変数が使われていたらどの個人情報を検索されたのかわからない。

ＳＱＬを捕まえたい

昨今は内部統制でやれ監査だ、セキュリティだ、と騒がれてきている。これと個人情報の漏洩問題が絡んで事態は複雑化してつつある。

個人情報が格納されているのはデータベースで、このデータベースを検索するのはＳＱＬであるので、ＳＱＬをすべからく保存しておきたい、という気持ちはだけはよくわかる。

でもデータベースのレベルでこれをやるのは無謀のような、そういえば何年か前の年金未納問題騒ぎは検索履歴はきっとアプリケーションのレイヤで検索履歴をもっていたのではと思っていたら、通信レイヤだった模様。

個人情報の漏洩
2004年3月から社会保険庁が保有する年金未納情報がマスコミで報道され、職員の個人情報の漏洩が疑われたため調査が実施され、同年7月に321名の職員の業務目的外の閲覧行為が明らかになった。

その後、2004年1月から12月までの期間における職員の業務目的外の閲覧行為について、2005年3月に全職員を対象に自己申告調査を行った結果、1,535名（2004年7月の処分者321名を含む）の閲覧行為、オンライン通信履歴の記録をもとに調査を行った結果、1,574名の閲覧行為が明らかになった