// シス担のミカタ
認可・アクセス制御

職務分掌 しょくむぶんしょう

内部統制権限分離アクセス制御不正防止監査SOD
職務分掌について教えて

簡単に言うとこんな感じ!

「一人に全部やらせない」ルールだよ!たとえば「発注する人」と「支払いを承認する人」を別々にすることで、不正や間違いを防ぐ仕組みなんだ。会社のお金やシステムを守る、地味だけどめちゃくちゃ大事な考え方ってこと!

職務分掌とは

職務分掌(Separation of Duties、略してSoD)とは、一連の業務プロセスを複数の人・部門に分割して担当させることで、不正行為・ミス・権限の乱用を防ぐ内部統制の仕組みです。「一人の人間が、ある取引のすべてのステップをコントロールできないようにする」という原則に基づいています。

たとえば、同じ人が「商品の発注」「納品の確認」「支払いの承認」をすべて行えてしまうと、架空の発注や横領が起きやすくなります。これを防ぐために、各ステップを別の担当者・部門に割り当てるのが職務分掌です。ITシステムの世界では、アカウントの作成権限承認権限を分けたり、開発環境本番環境へのアクセスを分けたりすることで同じ考え方を実装します。

内部統制の国際的な枠組みであるCOSO(コーソー)や、日本のJ-SOX(金融商品取引法)情報セキュリティ基準のISO 27001でも、職務分掌は重要な統制手続きとして明示されています。「誰がどの権限を持つか」を設計するときの根幹となる考え方です。

職務分掌の構造と考え方

職務分掌は「1つの取引を、互いにチェックし合える複数のロールに分割する」ことが核心です。典型的な分割パターンを見てみましょう。

業務プロセス分けるべきロールなぜ分けるか
購買・支払い発注者 / 承認者 / 支払い実行者架空発注・横領の防止
ITアカウント管理申請者 / 承認者 / 実際に作成する管理者不正アカウント作成の防止
システム開発開発者 / テスター / 本番リリース担当意図的・偶発的な改ざんの防止
財務報告記帳担当 / レビュー・承認者 / 監査担当誤記・粉飾の防止

覚え方:「作る・承認・実行の三権分立」

国の統治に「立法・行政・司法」の三権分立があるように、職務分掌も「申請(起案)・承認・実行」の3ステップをそれぞれ別の人が担うイメージで覚えると◎。誰か一人がすべてを握れないようにするのがポイントです。

違反(SoDコンフリクト)の典型パターン

【危険な例】一人の担当者が持つ権限の組み合わせ

  NG: 発注権限 + 支払承認権限
  NG: アカウント作成権限 + アカウント承認権限
  NG: 開発者権限 + 本番デプロイ権限
  NG: 仕訳入力権限 + 仕訳承認権限

→ これらの組み合わせを「SoDコンフリクト(衝突)」と呼ぶ

歴史と背景

  • 1970年代〜 — 大企業での横領・会計不正が相次ぎ、内部統制の必要性が認識される。会計・監査の世界で「職務分掌」が基本原則として確立
  • 1992年 — COSO(トレッドウェイ委員会組織委員会)が内部統制の統合的フレームワークを発表。職務分掌がコントロール活動の中核に位置づけられる
  • 2002年 — 米国でエンロン・ワールドコム事件を受けSOX法(サーベンス・オクスリー法)が成立。職務分掌の実装が上場企業に事実上義務化される
  • 2006年 — 日本でも金融商品取引法(J-SOX)が改正施行。内部統制報告書の提出が義務化され、日本企業も本格対応を迫られる
  • 2013年 — COSOフレームワーク改訂版が発表。IT全般統制の観点から、システム上の権限管理(論理的職務分掌)の重要性がより強調される
  • 2020年代〜 — クラウド・SaaSの普及により、IAM(Identity and Access Management)ツールでのSoDコンフリクト自動検出が主流に。ERPシステム(SAPなど)では組み込み機能として標準化

物理的分掌 vs 論理的分掌(IT上の実装)

職務分掌には「人・組織の役割分担」と「ITシステム上の権限設計」の2つの側面があります。

職務分掌の2つの実装レイヤー 物理的(組織的)分掌 人・部門・プロセスの分割 発注部門 ≠ 経理部門 購買担当と支払担当を分ける 申請者 ≠ 承認者 自分の申請を自分で承認できない 開発チーム ≠ リリース担当 作った人が本番に上げられない 内部監査 ≠ 被監査部門 自分の業務を自分で監査できない 論理的(システム)分掌 ITシステム上の権限・ロール設計 RBAC(ロールベースアクセス制御) 職責に応じた権限セットを付与 IAM / 特権ID管理 管理者権限を必要な時だけ付与 SoDコンフリクト自動検出 ERPやGRCツールで矛盾を検出 アクセスログ・監査証跡 誰が何をしたか記録・追跡 連携

補償統制(Compensating Control)とは

小規模な組織では「担当者が少なくて分けられない」というケースもあります。そのときに使うのが補償統制です。分掌できない部分を補うために、「上位者による定期レビュー」「ログの自動監視」「外部監査の強化」などを追加します。SoDを完全に実装できない場合でも、リスクを低減する代替手段として認められます。

関連する規格・RFC

規格・基準内容
COSO内部統制フレームワーク(2013年版)職務分掌を「統制活動」の中核として定義。全社統制の基盤
ISO/IEC 27001(A.6.1.2)利害相反する職務の分離を情報セキュリティ管理策として要求
J-SOX(金融商品取引法 第24条の4の4)上場企業に内部統制報告書の提出を義務化。SoDはキー統制の一つ
NIST SP 800-53(AC-5)米国連邦政府向けセキュリティ基準。Separation of Dutiesを明示的に要求
COBIT 2019ITガバナンスフレームワーク。アクセス管理・変更管理での分掌を規定
PCI DSS(要件7)カード情報を扱うシステムでの最小権限・職務分掌を要求

関連用語

  • 最小権限の原則 — ユーザーやシステムに「業務上必要な最小限の権限だけ」を与えるセキュリティ設計の基本原則
  • RBAC(ロールベースアクセス制御) — 職責(ロール)単位でアクセス権を管理する仕組み。職務分掌をシステムで実装する代表的な手法
  • IAM(Identity and Access Management) — 誰が何にアクセスできるかを一元管理するシステム・概念
  • 内部統制 — 組織が業務の適正を確保するために整備する仕組み全体。職務分掌はその核心的な要素
  • [特権ID管理](./privileged-