【公認会計士 椎名 潤 氏監修】
昨今の企業活動のグローバル化に伴い、IT技術が急速に普及しています。また企業が日々の取引活動を行う中で扱う様々な情報やデータは、IT技術の普及と共に、従来の紙資料から電子媒体で記録・管理する手法が主流となってきています。
近年、企業が取引活動を公正かつ円滑に行っていくために、企業が取り扱うデータを「監査証跡」として適切に残し、またデータの改ざん等の不正を防止しデータに記録された情報の正確性を確保する「データインテグリティ」の考え方が重要視されています。
本記事では、監査証跡の適切な管理が重要とされる背景や、内部不正対策等を行うための必要な知識や情報について解説します。
目次
監査証跡とは?
監査証跡とは、監査において使用される監査証拠に「いつ、誰が、どこから、何をしたか」が時系列で記録され、必要に応じてシステムの操作内容等が再現可能な形で記録されている証跡をいいます。
システム監査において必要となる監査証拠を適時に入手するためには、開発の関係者間の意思疎通を図る情報共有、コミュニケーションの仕組み、ルールが公式化され、常に適切に実践されていることを確認することが大切です。
参照:経済産業省公表「システム監査基準 P25」
システム監査における監査証拠の例として、各種システム上のログデータや動作記録等が想定されますが、これらの監査証拠が「監査証跡」として機能することで、後述の「システムの安全性」や「データの完全性」の確保につながっていくと考えられます。
監査証跡がもたらす安全性とその目的
監査証跡には「システムの安全性」及び「データの完全性」といった要件が備わっていることが重要です。
これらの要件を満たすことで、システム上のログデータ等の監査証跡が適切な「証拠」としての証明力が付与され、監査が適切に実施されていることの客観的な証明にもなります。
システムの安全性
上述の通り、システム上のログデータ等の監査証跡には「いつ、誰が、どこから、何をしたか」が時系列で記録される必要があります。
仮に監査証跡が無い場合は、不正アクセスによるデータの改ざんが行われた場合でも、その原因や手口を追跡することが困難になります。
監査証跡を適切に残すことで、システム上問題が発生した場合でも、解決に向けての適切な対応を図りやすくなり、結果的にシステムの安全性の確保へつなげることが可能と考えられます。
データの完全性
データの完全性とは、企業活動の中で使用される一連のデータ上の記録内容に矛盾がなく、各データ間の情報が一貫して正確であることを言います。
例えば製造業においては、製造記録と品質検査記録に関するデータ間の内容に何ら矛盾がなく、真実に基づいた情報がデータに正確に記録されている場合は、「データの完全性」が確保された監査証跡として認められ、安心して製品を出荷できることにつながると考えられます。
仮に監査証跡が「データの完全性」の要件を満たさない場合、一連の業務プロセスの中でデータの改ざんが生じても見落としやすくなり、不備が生じたデータをそのまま使用し業務を進めた結果、思わぬトラブルに発展してしまう恐れがあります。
データの完全性を確保するために、業務処理を行ううえで必要な情報を、常に時系列に沿って正確かつ一貫性をもって記録しておく必要があります。
監査証跡を活用するメリット
ここでは、監査証跡を活用するメリットについて解説します。
内部不正を未然に防ぐ
監査証跡を活用することで、内部不正を未然に防ぐことが可能となります。
監査証跡として用いられるシステムログを日常的に監視することで、仮に従業員によるシステムへの不正アクセス等があった場合でも、情報漏洩などの実被害が生じる前に発見し対応することが可能であると考えられます。
加えて、定期的にログを収集し不正の兆候・パターンを分析することで、今後の再発防止策等の検討にも役立てると考えられます。
昨今、企業が活用するITシステムなど情報資産に関連する不祥事が相次いでいます。特に情報漏洩の発生は、深刻な社会問題となっています。情報漏洩は、内部不正など企業内の従業員によって数多く引き起こされているのが実情です。
内部不正が行われる手法の多くは、従業員に付与されたシステムIDや操作権限を、従業員自身が悪用して情報を持ち出すケースが主流となっています。この場合は上述の通り、システムログの監視など「監査証跡」の活用により、従業員不正をはじめとする内部不正の防止につなげていくことが期待されます。
疑問点や問題時の確実な証拠になる
上述の内部不正以外の問題が発生した場合でも、監査証跡の活用は疑問点や問題の解決のための確実な証拠として機能すると考えられます。
「監査証拠」としてのシステムへのアクセスログの収集を日常的に行っていれば、仮に外部からシステムへの不正アクセス等の問題が生じた場合でも「いつ、誰が、どのような操作を行ったか」が明確となり、不正アクセスを受けるまでの流れを時系列で把握することが可能となるので、攻撃元の特定のための追跡を円滑に行うことができます。
内部不正以外にも、企業外部からのサイバー攻撃や不正アクセスによる情報漏洩の発生、さらに不自然な外部からの侵入といったリスクも発生し得ます。企業内のシステムが、外部からの不当な侵入を受けた際に、通常はログなどに何らかの証跡が残ります。これを「監査証跡」として活用し悪意のある攻撃元を特定することで、早期の問題解決につながると考えられます。
データの信頼性を確保する「データインテグリティ」
昨今、監査証跡の観点で重要な取り組みとして、「データインテグリティ」の考え方が注目されています。データインテグリティとは、データの改ざんや偽装を防ぎ、データの正確性・完全性を客観的に確保することを意味します。特に製薬業界において、人命に直接かかわる医薬品に関するデータの品質確保を目的として「データインテグリティ」の遵守が求められています。
万が一製造記録や品質検査記録等のデータに改ざんがあった場合、医薬品を服用する患者の健康や生命に悪影響を及ぼす恐れがあります。これを受けて、医薬の研究開発から製造・販売までのプロセス全体としてのデータインテグリティの確保が求められるようになりました。
ALCOAの原則とその重要性
1990年代頃より、特に製薬業界においては、人命に直接かかわる情報を扱う各種データの品質確保に向けて、規制当局においても査察の強化が必要となりました。「データインテグリティ」を立証するための要件として、1994年にFDA(米国食品医薬品局)により「ALCOA原則」という概念が初めて公表され、この原則は現在でもデータインテグリティの基本要件となっています。最近は製薬業界のみならず、様々な業種・業界からもデータインテグリティやALCOA原則の考え方が重要視されています。
「ALCOA」の表記は、以下5つの文言の頭文字を取った用語であり、守るべき要件の内容を示しています。
・Attributable(帰属性)
・Legible(判読性)
・Contenmporaneous(同時性)
・Original(原本性)
・Accurate(正確性)
監査証跡を正確に記録・保持するポイント
昨今のITシステムの普及に伴い、情報の記録媒体は、紙資料からデータなどの電子記録への移行が進んでいます。データ記録の改ざん等の不正を防止し、データの信頼性を確保するためには「監査証跡」を適切に残すことが重要です。そのためには、データが作成されてから現在までどのような変更が行われてきたかの経緯が分かる必要があります。そこで重要となるのが、監査証跡を正確に記録し保持することです。すなわち、監査証跡においても「データインテグリティ」の確保が求められます。
監査証跡が「データインテグリティ」を確保するためには、上述の「ALCOA原則」で要求されている、5つの要件を満たす必要があります。
帰属性の確保
帰属性とは、すべてのデータ記録を「誰が、いつ、どのように作成」したかが分かることをいい、記録に関する責任の所在を明確化するための要件です。監査証跡が本要件を確保するためには、「データ上必ず作業日と作業者を記録すること」が求められます。
情報の判読性
判読性とは、データ上の全ての記録を人間が読むことができ、かつ容易に理解できる状態にあることをいいます。データに必要な記録が保存されていても、必要時に読めなければ実用性に欠けてしまいます。よって監査証跡においても「すべての情報を、極力平易で分かりやすい表記で記録すること」などが求められます。
同時性の実現
同時性とは、作業の実行と記録の作成が同時に行われることをいいます。例えば製薬業において、研究室での実験結果に関するデータは、実験と同時に即記録することが必須です。仮に実験結果のデータを自宅に持ち帰った後に記録するのでは、同時性の要件を満たさなくなります。よって監査証跡においても「必ず作業と同時に記録すること」を徹底する必要があります。
原本性の維持
原本性とは、データ上の記録が複製されたものではなく「原本」であることを証明することをいいます。本要件を満たすには「最初に収集された情報」を記録することが求められます。監査証跡においても「データ上、必ず最初に記録された日付と、変更履歴のいずれも残すようにする」ことを徹底する必要があります。
データの正確性
正確性とは、データに記録された情報が真実に基づいており、信頼できることをいいます。データ改ざんなどの不正行為を防ぐための要件であり、データインテグリティの確保において、特に重要な要件です。監査証跡が本要件を満たすには「手順書に従い作業を実行する」、「コンピュータシステムに対してバリデーションを実装する」などの対応策が必要となります。
まとめ
本記事では、監査証跡の適切な管理や、データインテグリティの重要性を中心に解説しました。
企業が取引活動を行う中で使用するデータや情報は、従来の紙媒体から電子媒体への移行が進んでいます。その中で、監査証跡として扱われる記録も、システム上のソースコードや、システムログなど電子データの形で記録されることが一般的となっています。これらを読み解くには専門知識やスキルが必要となるケースがあり、監査証跡を管理するうえでのハードルが高くなると考えられます。
漏洩チェッカーによる監査証跡の管理
監査証跡の管理を効果的かつ効率的に実施するためには、必要な機能が搭載されたツールの活用が有効です。中でも「漏洩チェッカー」は、「IT人材がいなくても情報管理を支援してくれるログ監視ツール」という特徴があり、IT専門知識が無くても容易に活用が可能な証跡管理ツールです。また、以下のようなメリットを有しており、「監査証跡」の管理を行う上でも非常に利便性の高いツールです。
・必要な機能だけを組み合わせ利用
・ログ情報をもとに重要情報の動きや稼働時間、端末の利用実態を可視化
・端末とユーザーを紐づけて情報漏えい防止をサポート
漏洩チェッカーは、パッケージではなく端末ごとなど1機能単位から低コストで契約可能なため、各会社に合ったIT資産管理の設計に役立ちます。是非監査証跡の管理にご活用されることをお勧めします。
低コストでセキュリティ対策を始めるなら
- 「セキュリティ対策が求められているが、予算が限られている」
- 「ひとり情シス状態で、管理負担が大きい」
こうしたお悩みを抱える中小企業の方は多くいらっしゃいます。
予算やリソースが限られている企業では、市販のパッケージソフトが高額で、オーバースペックになりがちです。
弊社の「漏洩チェッカー」は、PC端末の台数や必要な機能に応じて契約内容を調整できるため、コストを抑えながら最適なセキュリティ対策を実現します。
ITの専門知識がなくても簡単に操作できるシンプルな管理画面を備えており、運用負担が少ない点も「漏洩チェッカー」の特徴です。
まずは無料で資料をダウンロードしてお確かめください。
漏洩チェッカー:https://stmn.co.jp/roei-checker/
運営会社:株式会社スタメン(東証グロース市場4019)
著者情報
漏洩チェッカー 編集部
従業員が安心して働ける環境を提供するための、IT資産管理、情報漏洩対策、労務管理に関するコンテンツを発信しています。
漏洩チェッカーは、株式会社スタメンが運営する、情報セキュリティマネジメントシステム(ISMS)およびプライバシーマーク(Pマーク)を取得しているクラウドサービスです。東京証券取引所グロース市場上場。