QUNIE

2021.01.21

デジタル化社会の潮流に潜む罠

【後編】デジタル化社会における原本性確保とは

電子データ管理で押さえておきたい3つのポイント

難波 孝 

Summary

  • 文書自体のデジタル化が進む一方で、電子データの管理方法や規定類の整備は進んでおらず、その結果現状の電子データでは原本とみなされない恐れがある
  • 電子データの原本性確保は紙文書とは異なり、種類(フォーマット)の多様化や、複製が容易にとれるなどの特性をはじめに理解した上で必要な手段をとる必要がある
  • 電子メールの管理方法や保管期限は多くの企業で課題となっており、早急な管理規定の作成・運用が求められている

「真のデジタル化社会」とは、どのようなものだろうか。企業における文書管理に限定して筆者の意見を述べると、現在大量に発行されている文書のほとんどを電子データにて管理・運用し、紙の印刷をなくすことが大前提であり、それはつまり、書庫や倉庫の紙原本が一切存在しない世界を意味する。この変化は想像以上に大きなものだが、現時点ではそれほど世間にインパクトを与えていないことに筆者は違和感を拭えない。たとえば、今倉庫で保存している紙文書を全て廃棄することができるだろうか。そして代わりの電子データを紙文書と同様に改ざんや改変のない「原本」として外部やステークホルダーに証明できるだろうか。DXやRPAという言葉がごく当たり前に使用される昨今でさえ、こと文書管理に関してはいまだデジタル化元年、もしくはそれ以前の段階にすぎないと言わざるを得ない。

後編ではデジタル化社会における電子データの原本性確保に関して、企業が見逃しがちな3つのポイントを中心に解説する。

原本性とは何か?

「原本性」という言葉はいささか曖昧な要素を含むため、整理しておきたい。はじめに断っておくが、原本性の定義はいまだ統一されておらず、さまざまな法制度によって解釈が異なる。例えばe文書法の場合「完全性」や「真正性」という言葉を用いて、原本としての要件を定義している。その他法制度ごとや、あるいは医療、建築といった業界の特性ごとによって多少記載内容に違いはあるものの、本稿においては、現状のまとめとして次の3点を全て兼ね備えていることを原本性と定義する。

  • 作成者が明確に定義されている
  • (故意であるか否かに関わらず)改変がない
  • オリジナルである

また、本稿においては、紙発行を行わず最初から電子データで運用・管理する文書の原本性にフォーカスしているため、紙文書の電子化(スキャン)における原本性確保については筆者の過去記事を参照願いたい。

ポイント①多様化する文書に対応した原本性確保

紙文書とは違い、電子データにはさまざまな種類(フォーマット)が存在する。WordやExcelといったレイアウトを持つものがあるかと思えば、csvやテキストといった文字や数字情報のみのデータ、さらには画像や動画など多岐にわたる。したがって、当然のことながらそれぞれの電子データの特性を理解し、文書に合った原本性確保の手法を実装する必要がある。しかしながら現状においては電子データそのものの特性に対する十分な理解も明確な管理基準もなく、単にファイルサーバーなどのITシステムに電子データを格納しているだけの企業が多いのではないかと筆者は危惧している。

下表1は、紙文書と電子データそれぞれにおける原本性確保の手段をまとめたものである。一見電子データの原本性確保は手段の数も多彩であり、紙文書と比較してより厳格だと思われがちであるが、明らかな弱点が存在する。それは、オリジナルであることの証明である。

表1:文書の種類ごとの原本性確保手段

 

結論から言うと、全く同じ文書を簡単に複製することが可能である電子データの特性を考慮すると、紙文書と同様の「オリジナル」という概念(唯一無二であること)を当てはめるのは現状困難を極める。なぜなら、紙文書は完成した1つの文書を全員が原本と理解した上で利用・閲覧するが、電子データの場合は利用・閲覧のたびに各々が複製を行う可能性があるからだ。1つの文書に対して複数人で利用する紙文書は、オリジナルを維持することで原本性を確保するが、各々が自由に複製を取って利用できる電子データの場合においては、それ以前に「オリジナル」を定義する必要がある。このオリジナルの定義がポイントであり、現状はそこまで考慮されていない場合が多い。筆者は近い将来に向け、電子データがオリジナルであることを証明するための新しくかつシンプルな仕組み(原本を証明するスタンプなど)を構築すべきだと考えているが、仕組みができるまで電子化が進められないわけではない。企業独自でオリジナルを定義すればよいのである。参考までにオリジナルを定義するための運用方法について一部を記載する。これらを文書ごとに検討し、規定や実施手順書に落とし込んだ上で、適切に運用することが重要である。

【電子データがオリジナルであることを定義する手法の例】

  • 最終成果物を格納する場所を、作成途中の文書とは明確に分離し、権限管理やログ管理を行う
  • 最終成果物のみ、長期保存用のフォーマット(例:PDF/A[1])に変換する
  • 使用頻度は低いが保存が義務付けられている文書は、外部の専門業者に保存を委託する
  • 文書を管轄する部課の責任者(通常は文書を利用しない者)が数分以内に該当文書を探し出せるレベルのフォルダ管理を徹底する
  • 定期的にファイルサーバーや文書管理システム内のアセスメントを実施し、同内容(Hash値[2]やファイル名などさまざまな手法がある)の電子データを全て削除する
  • 決めたルールを文書管理規定や手順書に確実に落とし込み、運用状況を定期的に監査する

ポイント②システム連携時の原本性確保

現在の文書管理システムには、セキュリティ面や改ざん防止に対して実に多種多様な機能が備わっている。もちろんそれらの機能が有用であることに疑いはなく、苦言を呈すつもりはないのだが、1点気になる点を挙げておきたい。ECM(エンタープライズコンテンツマネジメント)[3]の普及により、文書の作成から廃棄までを一元管理する流れがあるとはいえ、実際に文書の作成から活用、保管、保存、廃棄に至るまでを同一システムで完結している企業はほぼ皆無であろう。故にどこかのタイミングで確実に電子データの移動(複製して貼り付け)が行われているにも関わらず、その際に移動前の電子データと移動後の電子データの同一性や原本性が考慮されることはあまりない。不正をする要因として有名な“不正のトライアングル”[4]の一つに「機会」があるが、文書管理システム内で厳格に管理されている時よりも、電子データを移動する時の方が改ざんのタイミング(機会)としては容易であり、実際に不正が多いのも事実である。故に電子データの移動時においては、できる限り人の介入をなくすための自動化ツールの導入検討や、企業内で明確な規定や手順を決めておく必要がある。

ポイント③電子メールに関する原本性確保

2019年3月、内閣府より「行政文書の電子的管理についての基本的な方針」が発表された。趣旨としては、次の2点が挙げられる。

  • 今後行政文書は基本的に電子データを原本として管理する
  • 電子メールに関しても行政文書として扱う

2点目は、つまり電子メールの扱いを文書管理規定に明記し、保存年限を設定した上で、例外を除き国民からの開示要求にも対応する必要があることを意味している。

例えば電子帳簿保存法では、現在においても民間企業における受発注のエビデンスを電子メールで保存することが認められており、今後、行政文書ほど厳格ではないにせよ、電子メールを重要証跡として扱う方向に進むことは容易に想像ができる。事実、現状の電子メールの管理方法や保管期限に関しては多くの企業で課題として認識されており、「何年保存しておけばよいのか?」「どのように管理すればよいのか?」といった相談を筆者もよく受ける。電子メールは訴訟においても証拠となりえることはすでに周知の事実であり、さらにコミュニケーション履歴はAIなどの技術を用いることにより、ナレッジマネジメントの一翼を担う大切な文書となる。結果として、管理規定を作成し運用することが当然求められる。

一方、企業(当事者)のメールサーバーに保存されているメールデータは改ざんが容易であることから、その信頼性は決して高くはない。訴訟などで行われる原本性確保の方法は、訴訟対応開始時点で対象となるメールデータを第三者が保全し、外部ストレージで保存することである。これにより第三者性が担保され、関係者が容易にアクセスできない環境であることから証拠性が担保される仕組みである。また、この技術は何も訴訟のみに限って使われるものではない。例えば退職者による営業秘密情報の持ち出しや、ハラスメント、もしくは不正や談合の疑いなどにおいて社内調査を実施する場合をはじめ、電子メールが証拠の一部となる場面は決して少なくない。その際に確実な証拠として外部に提出するためにも、日頃から社内の電子メールに対し、課長職以上の役職者や営業部、技術系の責任者など重要なコミュニケーションを電子メールで実施する者を対象に、毎月その電子メールを第三者が保全し外部ストレージに預けておき原本性を確保しておくことは非常に有用であるといえる。

おわりに

今後、文書は紙から全て電子データに変わる時代が遅かれ早かれ到来すると考えられる一方で、その管理要件に関する法令整備が出遅れていることは前編に記載のとおりである。むしろ、前編で取り上げたリスクに気付かず今後も整備が行われないかもしれない。しかし少なくとも企業としてリスクに気付かなかった、では済まされないことは言わずもがなである。例えば記録を管理する文書において少しでも改ざん(場合によっては悪意のない修正)の疑義が発生すると、その記録に関する信頼度はたちまち地に落ちてしまう。同時に企業としての信頼を失い、場合によっては企業の存続にまで影響を及ぼすであろう。記録を適切に残していくためには、その記録が正式なものであり、かつ改ざんされていないこと、つまりは原本性の確保が最重要である。法令が整備されていないことは、決して対策を打たなくてもよいということではなく、企業に対応と責任が委ねられているということに他ならない。

また、本稿で指摘した課題がいきなり全てクリアになるとも考え難く、段階的な推移と変遷を経て法令整備や技術開発が進むだろう。その過程に併せて、電子データを運用・管理する我々が電子データの取り扱いに対する意識と知識を向上させることも肝要だ。

  1. [1] 長期保存を目的としたPDFの国際規格。デバイス・PDFリーダーに依存せず、時間が経過しても作成時と同様の表示を保持する。
  2. [2] 電子データの内容を一定の法則で固定長の文字列に変換したもの。「デジタル指紋」などと呼ばれ、複数の電子データの同一性を確認するために用いられる。
  3. [3] 画像ファイルや動画ファイル、音声ファイルなどを含めたコンテンツの保存が可能な管理システム。
  4. [4] アメリカの組織犯罪研究者であるドナルド・R・クレッシーが提唱したもので、不正が行われるには「動機」「機会」「正当化」という3つの要因がそろった時に発生するとした理論のこと。

難波 孝

インシデントリスクマネジメント担当

マネージャー

公認不正検査士(CFE)、文書情報管理士、ファイリングデザイナー。大手監査法人を経て現職に至るまで文書管理コンサルタントとして15年以上の経験を有する。数多くの不正・不祥事・海外訴訟(eDiscovery)対応に携わった経験を生かし、企業の文書管理に関して業務効率改善のみならずリスクマネジメントの観点からも支援している。

  • facebook

ページ先頭へ戻る

CLOSE