IT建築基準法はできないものか？

今朝の朝刊を何気なく見てたら、某コンサル会社が「監査、内部統制、システム監査の経験ある人材求む」とでっかい求人広告を出してました。J-SOX法の制定により、この種のスキルの需要が高くなるのは明らかでしょう。

システム監査という仕事はきわめて重要です。ちゃんとシステム監査をやっていれば、東証、名証の障害も防げたと思います（もちろん、監査のときだけまじめにやるというような悪質な行為をされれば別ですが）。システム監査技術者が、情報処理技術者資格の中でも上位のポジションを与えられていることからも、一般にシステム監査が重要ととらえられていることはわかります。

とは言え、システム監査は法的な強制力があるものではないので、システム監査を全くやらなかったり、または、適当に形だけやってもなんら罰則はないわけです。大企業のシステム監査実施率は50%くらいと聞いたことがあります。業務監査・会計監査のおまけでやってるようなところも多いのではないでしょうか？

そもそも、ITの世界では、強制力のある法律とか、独占的業務ができる資格（弁護士とか建築士のように）はほとんどないと言ってよいですよね。こういう状況もそろそろ変えていかなければならないのではないでしょうか？

今話題の構造設計所偽造問題についても、建築基準法他の法律があるので、表ざたになり罰せられるわけです。ザル法という説もありますが、少なくとも強制力・罰則のある法律があるのはないよりましです。ITの世界では、東証のようにちょっとしたきっかけで大問題になるような、かなりひどい設計や運用体制はあっても、誰も気がつかない（または、知っててもほっぽらかし）だけで潜在リスクになっているケースは非常に多いと思われます。

ITの世界でもある規模以上のシステムは建築士に相当する人が設計を指揮しないとダメとか、ある規模以上の企業は必ず毎年システム監査をしないとダメ（しないと罰則）という厳しいルールがそろそろ必要なのではないかと思います。もちろん、その場合には、資格は今の情報処理技術者のようにペーパーテストだけで受かるようなものではなく、もっと敷居が高いものにしないとまずいでしょうが。

こういうシステム監査の法的強制力強化という点では、J-SOX法がある程度の役割を果たすかもしれません（金融庁の草案を見る限り、ITの比重はかなり高そうなので）。しかし、J-SOXの目標はあくまでも財務報告の適正化なので、やはりITに絞った法律があってもよいのではと思うわけです。