監査証跡とは?目的や意義などを徹底解説

点検や検査を行う場合、必ず記録を残します。その記録が改ざんできるような状況では、問題を起こしかねません。
IT技術が普及した現代において、デジタルデータによる記録は、当たり前のように行われます。

さらにDXが進むと、全てが電子帳票に置き換わっていくことでしょう。
デジタルデータは便利な反面、セキュリティ対策を怠ると、改ざんや捏造などの不正を行いやすいという懸念があります。
今回は、記録の不正や改ざんを防止する監査証跡について説明します。

監査証跡とは

監査=企業活動において法令や社内規定などの守るべきルールが守られているかどうかを明確に定められた基準に従い評価を行うこと

※具体的には、業務や業務の成果物を証拠として提示し、ルールが順守されているのかを合理的に保証する。

大手電機メーカーが製造する配電盤の不正な点検が行われていたニュースは記憶に新しいかと思いますが、大手自動車販売店で実施していない点検を実際には点検したかのように偽った事件など企業による不祥事は後を絶ちません。
これらの不祥事では製品の安全性には問題は無いとされていますが、企業への信頼という面で大きな影響を与えます。そのような不祥事が生じないためにも、監査を行って確認します。

監査には様々な種類があり、システムを対象としたシステム監査や、経理処理を対象とした会計監査などがあります。
監査を行う場合様々な証拠を確認しますが、証拠となる情報についていつどのように記録されたのかを記録したものが監査証跡となります。

システム監査においては、システムの動作記録を監査証跡として扱います。

なぜ監査証跡が必要なのか?

システム監査においては、システム上のデータが監査対象となります。先ほども述べましたが、システムのセキュリティ対策を行っていないと、データの改ざんが可能となります。
データの改ざんが容易に行えてしまうシステムは、システムのデータ自体の信頼性に欠けています。監査証跡を残すことでデータの信頼性を担保することができるのです。

監査証跡の目的

業務に関わる全ての人がデータを改ざんしても証拠が残るようにするために、監査証跡が利用されます。
コンピュータシステムについては、システムにアクセスがあった場合、何らかの痕跡を残すことができます。
一般的にはシステムログと呼ばれるもので、電子指紋といわれることもあります。
この電子指紋から、いつ誰がどのような操作をしたのか把握することができます。
不正アクセスがあった場合にも電子指紋が残るため、データの改ざんがあった場合に速やかに調査を行うことが可能です。

監査証跡のメリット

監査証跡のメリットについて下記2点、具体的に説明します。

  • 不正アクセスの防止
  • 説明時の証拠になる

不正アクセスの防止

システムの操作記録を監査証跡として記録することで、不正アクセスを防止することができます。
万が一、不正アクセスがあったとしても、その記録が残り、誰がどのような操作をしたのかが一目で分かります

不正アクセスの記録が残ると認知されていれば、不正アクセスの未然防止に繋がります。
不正アクセスがあったとしても、監査証跡から誰がどのような不正アクセスをしたのかを特定できます。

説明時の証拠になる

監査証跡は、不正アクセスを防止する効果と共に、システムを適切に運用している証拠にもなります。
システムに対する操作記録として監査証跡が残るので、システム監査を行う際に
正当な操作で運用されていることがわかります。

データインテグリティとは

データインテグリティ(Data integrity)=データの改ざんや偽装を防ぎ、データの正確性と完全性が客観的に担保されていること

データインテグリティは、医療分野において、安全性や信頼性を担保する規則の枠組みのことです。
2000年代以降、マーケットやサプライチェーンのグローバル化で医薬品もその対象となり、その安全性を担保するために注目されるようになりました。

ALCOAについて

データインテグリティの原則として、ALCOAというものがあります。

ALCOAとは、

①帰属性(Attributable)
②判読性(Legible)
③同時性(Contemporaneous)
④オリジナル性(Original)
⑤正確性(Accurate)

の頭文字を並べた単語です。

製品データをALCOAの原則を満足しているかを監査します。
さらにALCOAの原則に、

・完璧性(Complete)
・一貫性(Consistent)
・永続性(Enduring)
・可用性(Available)

を加えて「ALCOA CCEA」と呼ばれるガイドラインも発表されています。

ALCOA CCEAの対象はデジタルデータだけではなくハードウェアを含むソフトウェア製品、施設全体のセキュリティ、業務の運用体制や教育など包括的なものとなっています。

監査証跡を適切に記録するためには

監査証跡を適切に記録するために、ALCOAの原則に沿って説明します。

①帰属性

帰属性=データの所有者・責任者を明確にし、手書きの署名や押印など、責任者が内容に承認した証明を残すこと
監査証跡としては、承認した日時などについても記録します。

また帰属性によって、データのアクセス権限を明確にします。
データを更新できる人、閲覧だけできる人、閲覧もできない人を決めておくこと
データを改ざんする可能性を減らすことができます。

②判読性

判読性=データが継続的に判読でき、理解できること。

手書きの書類などの修正跡が残らないような記録方法では、簡単に改ざんすることができてしまいます。
重要な書類については、不滅インクを使用し修正する場合痕跡が残るようにします。
また複数枚の記録となる場合は、連番のページ番号を付けて、ページの抜けや飛ばしが無いようにします。

③同時性

同時性=データの生成と記録が同時であること

データが生成された時刻と記録の時刻でズレがあった場合、その間にデータが改ざんされた可能性があります。
また、生成の順番が決まっている場合、記録されたデータも順番に保存されている必要があります。

④原本性

原本性=データが原本であること

デジタルデータによる記録は、複製が容易に行えます。
複製されたデータが原本と置き換わらないようにしなければなりません。
また、作業用として何度も複製して編集していると、どれが最終版か分からなくなることもあるでしょう。
データを作成する段階から原本性の管理が必要です。

⑤正確性

正確性とは、データが正確であることです。

試験結果や検査結果など数値で管理するデータについては、正確性が求められます。
数値データが正しいことを証明するために、測定に使用した機器の校正データも合わせて記録するようにします。
校正していない機器で測定したデータについては、監査の際に無効なデータとして判断される可能性があります。

データの入力を手入力で行っている場合も注意が必要です。
手入力の場合、入力ミスによって正確性が損なわれる可能性があります。

まとめ

2022年1月に電子帳簿保存法の改正が施行されました。
これまで法令上、帳簿や書類の保存は原則として紙で行うこととされていました。

しかし昨今のIT技術普及により、ファイリングの手間や保管スペースコスト負担など
業務の非効率化を招いているとのことで、一定の条件を満たせば電子化による保存が認められるようになりました。

一定の条件として、データの真実性の確保や可視化の確保が必要です。
これまで業務のデジタル化を進めてきた企業においても、データインテグリティの原則を考慮していないと
せっかくのデジタル化が法令的に問題となる場合があります。

監査証跡を残して、データインテグリティの原則に合致したシステムの構築が重要となるでしょう。

導入社数4,000社以上!
ペーパレスアプリでの
シェアNo.1

i-Reporter

(アイレポーター)

使い慣れたエクセル帳票から
そのまま移行できる
現場帳票の電子化システム

3分で分かる資料ダウンロード

現場帳票のデジタル化相談してみる