2013年9月19日

イマ旬キーワード

記録管理

内部統制、情報セキュリティ、個人情報保護、知的財産確保など企業活動のさまざまな場面で、業務処理の証拠・証跡としての「記録」およびその管理方法の重要性が見直されつつあります。

ビジネスソリューション事業本部 西尾 秀一

記録管理とは?

「記録」とは少し堅苦しい言葉で言えば、「法的な義務の履行または業務処理の証拠として組織または個人によって作成、取得、保存される情報」です。この記録には、法律の定めに従って記録が義務付けられているもの(例:株主総会議事録、決算書、請求書、カルテ、建築図面など)だけでなく、個人情報漏えいや知財紛争・労働争議など企業にとって大きな問題が発生した際に、適切な業務処理が行われていたか否かについて説明責任を果たすために必要な証拠(例:特権ID払い出し管理簿、個人情報管理簿、研究ノートなど)や、原因究明のために必要な日常的な証跡(例:電子メール、各種システムログ、勤務時間管理簿など)が含まれます。これらの記録の生成、取得、保存、利用および廃棄に関する効率的かつ体系的な統制を行うための仕組みおよびプロセスが「記録管理」です。

なぜ今、記録管理が重要となってきたのか?

残念ながらこれまでの日本は欧米と比較して、記録管理に対する意識が低いもしくは属人的である場合が多く、組織的な取り組みが出来ていないケースが多々見受けられました。日本において記録管理が注目され始めたのは、新会社法やいわゆる日本版SOX法といった内部統制に関する法律が施行されたタイミングです。企業活動の透明性を高め、説明責任を果たすために必要な記録管理の強化が図られました。

しかし最近は別の側面から、記録管理に対する注目が高まっています。ひとつは、ビジネスや生活のIT化が急速に進んだ結果、各種データや電子メールなどの通信記録、サーバーへのアクセス記録などが裁判の証拠として重要な位置を占めるようになったということです。遠隔操作ウイルス事件は記憶に新しいと思いますが、これら電子的な証拠・証跡の収集や分析を行う「デジタル・フォレンジックス(Digital Forensics)」にも関心が高まっています。

もうひとつの側面は、ビジネスのグローバル化に伴い、海外企業との提携、競争などの動きが激しくなる中で、それら海外企業との係争事案や海外の司法局から訴えられる事案が増えてきたことです。専任の記録管理職を置いているような意識の高い海外企業との裁判で、自社や従業員の利益や権利を守るための武器として、適切な記録管理が重要な役割を担うようになってきたわけです。

記録管理に求められる要件

「記録」はその目的から、いざという時に役に立たないと意味がありません。先日、防犯カメラの映像をもとに容疑者を逮捕したところ、カメラの撮影時刻が実際の時刻と数分違っていたために誤認逮捕となってしまったという事件が報じられましたが、記録の生成についての管理が適切に行われていないために起こってしまった事件と言えるでしょう。

記録管理に求められる要件は、記録管理のバイブルとも呼ばれている標準規格ISO/IEC15489-1(JIS X 0902-1)に良くまとめられていますので、そちらをご参照ください。その規格の中で、「記録は、組織にとって価値ある資産であり、記録管理は組織の全ての人々が実践すべき規範である」と述べられています。適切な記録管理を行うことは、現在および将来のステークホルダーに対する説明責任を確実にし、将来の行動と意思決定を支援することができるビジネスの源であるとも言えます。

【図】

図:記録管理に求められる要件(ISO/IEC15489-1)

著者プロフィール

【写真】

ビジネスソリューション事業本部 西尾 秀一

セキュリティ・エバンジェリスト。セキュアシステム構築、セキュリティ評価などの技術開発、コンサルティングおよびタイムスタンプサービス提供などに従事。現在、日本ネットワークセキュリティ協会(JNSA)理事、日本セキュリティ監査協会(JASA)幹事、IPA情報システム等の脆弱性情報の取扱いに関する研究会委員、タイムビジネス協議会(TBF)企画運営委員など。

イマ旬キーワード

お気軽に
お問い合わせ
ください

見直される「記録管理」の重要性に関するお問い合わせ

お問い合わせフォーム

見直される「記録管理」の重要性に関連する情報

サービス

技術力と豊富な実績が可能にする先進のセキュリティソリューションをご提供

ITの有効活用で体系的に内部統制の強化をサポート