目次
点検や検査を行う場合、必ず記録を残します。その記録が改ざんできるような状況では、問題を起こしかねません。
IT技術が普及した現代において、デジタルデータによる記録は、当たり前のように行われます。
さらにDXが進むと、全てが電子帳票に置き換わっていくことでしょう。
デジタルデータは便利な反面、セキュリティ対策を怠ると、改ざんや捏造などの不正を行いやすいという懸念があります。
今回は、記録の不正や改ざんを防止する監査証跡について説明します。
監査証跡とは
監査=企業活動において法令や社内規定などの守るべきルールが守られているかどうかを明確に定められた基準に従い評価を行うこと
大手電機メーカーが製造する配電盤の不正な点検が行われていたニュースは記憶に新しいかと思いますが、大手自動車販売店で実施していない点検を実際には点検したかのように偽った事件など企業による不祥事は後を絶ちません。
これらの不祥事では製品の安全性には問題は無いとされていますが、企業への信頼という面で大きな影響を与えます。そのような不祥事が生じないためにも、監査を行って確認します。
監査には様々な種類があり、システムを対象としたシステム監査や、経理処理を対象とした会計監査などがあります。
監査を行う場合様々な証拠を確認しますが、証拠となる情報についていつどのように記録されたのかを記録したものが監査証跡となります。
システム監査においては、システムの動作記録を監査証跡として扱います。
なぜ監査証跡が必要なのか?
システム監査においては、システム上のデータが監査対象となります。先ほども述べましたが、システムのセキュリティ対策を行っていないと、データの改ざんが可能となります。
データの改ざんが容易に行えてしまうシステムは、システムのデータ自体の信頼性に欠けています。監査証跡を残すことでデータの信頼性を担保することができるのです。
監査証跡の目的
業務に関わる全ての人がデータを改ざんしても証拠が残るようにするために、監査証跡が利用されます。
コンピュータシステムについては、システムにアクセスがあった場合、何らかの痕跡を残すことができます。
一般的にはシステムログと呼ばれるもので、電子指紋といわれることもあります。
この電子指紋から、いつ誰がどのような操作をしたのか把握することができます。
不正アクセスがあった場合にも電子指紋が残るため、データの改ざんがあった場合に速やかに調査を行うことが可能です。
監査証跡のメリット
監査証跡のメリットについて下記2点、具体的に説明します。
- 不正アクセスの防止
- 説明時の証拠になる
不正アクセスの防止
システムの操作記録を監査証跡として記録することで、不正アクセスを防止することができます。
万が一、不正アクセスがあったとしても、その記録が残り、誰がどのような操作をしたのかが一目で分かります。
不正アクセスの記録が残ると認知されていれば、不正アクセスの未然防止に繋がります。
不正アクセスがあったとしても、監査証跡から誰がどのような不正アクセスをしたのかを特定できます。
説明時の証拠になる
監査証跡は、不正アクセスを防止する効果と共に、システムを適切に運用している証拠にもなります。
システムに対する操作記録として監査証跡が残るので、システム監査を行う際に
正当な操作で運用されていることがわかります。
データインテグリティとは
データインテグリティ(Data integrity)=データの改ざんや偽装を防ぎ、データの正確性と完全性が客観的に担保されていること
データインテグリティは、医療分野において、安全性や信頼性を担保する規則の枠組みのことです。
2000年代以降、マーケットやサプライチェーンのグローバル化で医薬品もその対象となり、その安全性を担保するために注目されるようになりました。
ALCOAについて
データインテグリティの原則として、ALCOAというものがあります。
ALCOAとは、
①帰属性(Attributable)
②判読性(Legible)
③同時性(Contemporaneous)
④オリジナル性(Original)
⑤正確性(Accurate)
の頭文字を並べた単語です。
製品データをALCOAの原則を満足しているかを監査します。
さらにALCOAの原則に、
・完璧性(Complete)
・一貫性(Consistent)
・永続性(Enduring)
・可用性(Available)
を加えて「ALCOA CCEA」と呼ばれるガイドラインも発表されています。
ALCOA CCEAの対象はデジタルデータだけではなくハードウェアを含むソフトウェア製品、施設全体のセキュリティ、業務の運用体制や教育など包括的なものとなっています。
監査証跡を適切に記録するためには
監査証跡を適切に記録するために、ALCOAの原則に沿って説明します。
①帰属性
また帰属性によって、データのアクセス権限を明確にします。
データを更新できる人、閲覧だけできる人、閲覧もできない人を決めておくことで
データを改ざんする可能性を減らすことができます。
②判読性
手書きの書類などの修正跡が残らないような記録方法では、簡単に改ざんすることができてしまいます。
重要な書類については、不滅インクを使用し修正する場合痕跡が残るようにします。
また複数枚の記録となる場合は、連番のページ番号を付けて、ページの抜けや飛ばしが無いようにします。
③同時性
データが生成された時刻と記録の時刻でズレがあった場合、その間にデータが改ざんされた可能性があります。
また、生成の順番が決まっている場合、記録されたデータも順番に保存されている必要があります。
④原本性
デジタルデータによる記録は、複製が容易に行えます。
複製されたデータが原本と置き換わらないようにしなければなりません。
また、作業用として何度も複製して編集していると、どれが最終版か分からなくなることもあるでしょう。
データを作成する段階から原本性の管理が必要です。
⑤正確性
試験結果や検査結果など数値で管理するデータについては、正確性が求められます。
数値データが正しいことを証明するために、測定に使用した機器の校正データも合わせて記録するようにします。
校正していない機器で測定したデータについては、監査の際に無効なデータとして判断される可能性があります。
データの入力を手入力で行っている場合も注意が必要です。
手入力の場合、入力ミスによって正確性が損なわれる可能性があります。
まとめ
2022年1月に電子帳簿保存法の改正が施行されました。
これまで法令上、帳簿や書類の保存は原則として紙で行うこととされていました。
しかし昨今のIT技術普及により、ファイリングの手間や保管スペースコスト負担など
業務の非効率化を招いているとのことで、一定の条件を満たせば電子化による保存が認められるようになりました。
一定の条件として、データの真実性の確保や可視化の確保が必要です。
これまで業務のデジタル化を進めてきた企業においても、データインテグリティの原則を考慮していないと
せっかくのデジタル化が法令的に問題となる場合があります。
監査証跡を残して、データインテグリティの原則に合致したシステムの構築が重要となるでしょう。
現場帳票研究所の編集部です!
当ブログは現場帳票電子化ソリューション「i-Reporter」の開発・販売を行う株式会社シムトップスが運営しております。
現場DXの推進に奮闘する皆様のお役に立てるよう、業界情報を定期的に配信致しますので、ぜひ御覧ください!
