電磁記録に対する記録管理（ISO15489）の重要性

SOX法におけるIT統制に限らず、ISO9001、ISO14001など、電子帳簿保存法等の各種コンプライアンスに適合するために電磁的記録を行う場合には、一定の技術要件をみたす必要がある。具体的には、蓄積された情報の改ざんを不可能とする仕組み、簡単に言えば、上書き不可能・追記のみ可能とする仕組み（例えば削除の場合、削除したというフラグが立つだけで、どのような情報が削除されたか、後に確認可能）が存在するかどうか、また、証跡管理として情報の登録、変更、削除等の各種操作の操作履歴（例えば、いつ、誰が、どこから、何の情報に対して削除行為をしたか）がすべて記録されており、自在に確認可能かどうかなどがあげられる。このような電磁的記録に関する基準を盛り込んだ記録管理の国際基準がISO15489であり、WTO（世界貿易機関）で2001年9月に採択されている。また、日本国内ではISO15489が2005年7月にJISｘ0902として制定されている。
ところが、この記録管理が情報システムとしてほとんど実現されていない。

なぜ、記録管理が実現されないのだろうか。もっとも大きな理由はIT業者側の認識の低さと技術力不足である。IT業者側の問題により、記録管理（ISO15489）に曲がりなりにも対応する製品が極めて少ない状態になっている。一般に出回っているファイリングシステムの多くが、パッチ投入などでデータ更新（上書き）が可能な仕組みとなっており、さらにまずいことに、そのパッチ投入に対する履歴管理などの機能がない場合が多い。これでは証跡管理として利用不可能である。上書き不可能なように順次書き込み方式を採用している場合もあるが、これでは検索性能を確保できず、実用性に問題がある。さらに具合がわるいことに、IT業者側の認識が低いことも手伝って、ユーザー側が記録管理の重要性を認識していない場合が多い。ユーザー自身がその必要性を理解していなければ、記録管理が実装されるわけがない。

もっとも、一部の先進的企業や団体では、記録管理に適合した製品・サービスを実装し始めている。例えば、佐賀県では各種台帳を管理する仕組みとして記録管理に適合したシステムを実用化している。佐賀県の場合、記録管理の実現だけでなく、コスト面、ユーザーサービス面でもメリットを享受しているとのことである。読者の皆さんの職場で、もし、電磁的記録の記録管理が導入されていなければ、このような先進事例を参考にされてはいかがだろうか。