紙と電子の対比で考える記録の保存レベル。情報漏えいの防止だけでなく、記録の保護も重要です。

コラム
セキュリティ

皆さんは、情報を・記録を保存していますか?会社生活をしていれば、どなたでもやっていることだと思います。会社生活の中では、情報漏えいの防止については、何度もきめ細かく指導されるのに対して、記録の保存に対する指導が不思議なくらい行われていません。本稿では、記録の保存について、特に、「変更・削除を受けない」という観点で「紙」と「電子」を対比しながら整理して行きます。

1.「記録の保存」の理想形

 「記録の保存」の要点を以下に3つ挙げます。本稿では、(1)に着目して、「変更を受ける」すなわち、「“改ざん・差し替えを受ける」リスクと「削除を受ける」すなわち、「隠滅を受ける」リスクについて整理して行きます。
(1)一旦、登録された後は、誰からの変更・削除も受けない。
(2)許可された人だけが閲覧できる、または写しを入手できる。
(3)所定の保存期限に達したところで、必要な手続きを経て廃棄または保存延長をおこなう。

2.紙での「記録の保存」の管理運用パターン

複数の部署が同一建屋で、執務室を部署毎に執務室を分けているケースを想定します。
この状況で、改ざん・差し替えを受けるリスク、隠滅を受けるリスクが高いものから順に上げていきます。
全ての記録の保存を最高水準の運用レベルで行うことはコスト面からも効率的ではないので、記録の持つ重要性に応じて、管理運用レベルを上げて行く必要があります。これを期に見直されてはどうでしょうか。
① 廊下にある無施錠のシンライン・キャビネットに、記録を綴じたキングジムファイルを保存する。
 ●リスク:他部署、自部署の者からの改ざん・隠滅を避けられず、脅威が大きい。
② 執務室内の無施錠シンライン・キャビネットで、記録を綴じたキングジムファイルを保存する。
 ●リスク:他部署の者がむやみに自部署の執務室に入ることを抑止する効果はあるものの、他部署、自部署の者からの改ざん・隠滅を避けられず、脅威は依然大きい。
③ 入退出管理付き執務室内の無施錠シンライン・キャビネットに、記録を綴じたキングジムファイルを保存する。
 ●リスク:他部署の者からの脅威は、ほぼ避けられるが、自部署の者からの改ざん・隠滅を避けられず脅威は避けられない。
④ 入退出管理付き執務室内のシンライン・キャビネットで、記録を綴じたキングジムファイルを保存し、施錠する。
 ●リスク:他部署の者からの脅威は避けられるが、自部署で鍵の保管場所を知っているものからの改ざん・隠滅の脅威は残る。
 ★補足)朝、出勤して来た時、鍵を開け、帰宅時に施錠する場合や、鍵のありかを皆が知っている場合は、前出③に近い管理運営レベルである。

 ここまでの運用管理では、鍵やシンライン・キャビネットの管理を記録の関係者が行っています。これまでの企業の改ざん・隠滅に係る不正事件でも記録の所有者や関係者が、改ざん・隠滅した事例は多いです。言い方を変えれば、日本お得意の性善説前提の管理方法であり、改ざん・隠滅に強い管理方法とはいえません。

 では、改ざん・隠滅に強い管理方法とは、どういうものでしょうか。それは、記録の保存を執務室内ではなく、会社内においても第三者が管理する書庫室を設け、そこを利用する方法です。書庫室の運営管理は、第三者である記録管理部門などが行います。金融機関では、書庫室が金庫になっていることも多く、金庫室とも呼ばれています。このケースについて、書庫室の運用で改ざん・隠滅を防止するためには、記録の所有者や閲覧者も決して、書庫室内に立ち入らせません。すなわち、
⑤ 書庫室で管理し、要求に応じて、記録の所有者や正当な閲覧権限のあるものに写しを渡す。
 ●リスク:所有者や正当な閲覧権限のあるものの不正行為を防ぐことができる。
 ★補足)保存している記録の台帳を整備しておかないと、記録を特定することは困難である。現在の実運用は、書庫室に保存している紙を電子化し、その台帳を作成の上、正当な閲覧権限のある者に閲覧を許可している。

3.電子での「記録の保存」の管理運用パターン

全社で同一のファイルサーバーを使い、部署毎にアクセス権限を管理する部門管理者を配置しているケースを想定します。自部署のフォルダの配下に記録を登録するフォルダがあります。この場合に、改ざん・差し替えを受けるリスク、隠滅を受けるリスクが高いものから順に上げていきます。

① 記録が登録されたフォルダに、部門のメンバー全員に、“フルコントロール”を与えている
 ●リスク:自部門のメンバーだけでなく、他部門のメンバーが勝手に招き入れられている可能性があり、極めてリスクが高く、あってはならない状態です。ファイルの書き換えだけでなく、削除も行えます。

② 部門のメンバー全員に、“変更”の権限を与えている
 ●リスク:“変更”権限には実は、“削除”権限も含まれています。したがって、ファイルを削除することやファイルを差し替えてしまうこともできてしまいます。PDFのような改変できないファイルでも隠滅・差し替えによる改ざんは可能です。また、電子署名やタイムスタンプがついたファイルの場合はファイル自体を改変されたら検知自体はできますが、元の記録がなくなってしまいますので改変前の状態に戻すことができません。
★補足)この設定の状態のケースは非常に多く、リスクは非常に高いです。

③ 記録に関連する部門内のメンバーにのみ“変更”の権限を与えている。他のメンバーについては、必要に応じて“読取り”権限も与えている。
 ●リスク:“変更”権限を持っているメンバーは、上記と同じく、改ざん・隠滅ができてしまいます。関係者であるがゆえに、逆に、記録を改ざん・隠滅してしまいたい場面にも遭遇しやすく、リスクが高いです。改ざん・隠滅した本人は、訂正した程度にしか認識していないこともあります。しかし、元の記録を変えてはいけません。
 ★解説)本当は、“1回のみ書込み”と“読み出しのみ”という権限をメンバーに与えることができれば、改ざん・隠滅リスクが低減できます。しかしながら、ファイルサーバーのデフォルトの設定では、これがありません。“書込みのみ”という設定はありますが、記録されているファイルを上書きできてしまうため、記録の改ざんや、記録内容の破壊が出来てしまいます。これは多くの情報共有サービスで提供されている“アップロード”という機能でも同じです。
“アップロード”では、情報が上書かれてしまうため、記録の改ざん・隠滅に繋がります。本当は、“1回のみアップロード”という権限が欲しいところです。

④ 記録を登録するメンバーにだけ“1回のみ書込み”権限を与え、他のメンバーについては、必要に応じて“読取り”権限も与えます。“1回のみ書込み”権限は、デフォルト設定にはありませんが、カスタマイズ設定で作れます。
 ●リスク:これで、記録を登録するメンバー、それを利用するメンバーから改ざん・隠滅を受けることはなくなりました。残るリスクは、このフォルダのフルコントロールをもっている部門管理者か、あるいは、全てのフォルダにシステム管理者を入れている場合です。システム管理者もリスクになります。
 ★補足)改ざん・隠滅を行うのは記録に関係したメンバーであることが多いということがあるので、次に管理レベルを上げるとしたら、部門管理者の改ざん・隠滅を防ぐ策をとることになります。

⑤ 全社共通で、記録を管理する部門(記録管理部門)を設けて、そこに記録のフォルダを作成し、フルコントロール権は第三者である記録管理部門が持ちます。記録を登録するメンバーにだけ“1回のみ書込み”権限を与え、他のメンバーについては、必要に応じ“読取り”権限も与えます。
 ●リスク:記録保有部門のメンバーからの改ざん・隠滅は防げるようになります。
 残るリスクは、記録管理部門やシステム管理部門かのメンバーからの改ざん・隠滅です。
 ★補足)記録管理部門やシステム管理部門のメンバーは記録に関する直接の関係者ではありません。過去の例からすると、改ざん・隠滅というより、会社への不満から会社を混乱に陥れるためのデータ破壊、データ削除などの不正が考えられます。

⑥ 通常のファイルサーバーの利用方法では、これ以上の対応はできません。これ以上を望む場合は、文書管理ソフトを導入します。その中でも、登録から指定した日までは、情報の所有者、システム管理者にも変更、削除を許可しないタイプを利用します。

4.紙と電子の対比

ここまで、紙と電子の場合、それぞれについて、記録を保護する仕方とそのレベルについて説明してきました。ともすれば、だから電子は危ないから紙がいいとか、紙は時代おくれだから電子がいいという話になりがちですので、筆者の独断ではありますが、紙と電子の場合の記録の保護のレベルを表1に対比しました。
表1の中に管理運営パターン番号①、②・・・は、上記2,3に置ける管理運営パターンとします。

部門管理者、システム管理者をある程度信用する前提で、性善説に頼ることなく管理するためには、赤い線以上の管理レベルが必要となります。いかがでしょうか。

6.まとめ

新型コロナウィルス対策の影響でテレワークが進み、オフィスの在席率が減っています。従来は執務室に人がいることで、紙に対する改ざん・隠滅の抑止力が働いていたと考えますが、現在ではそれが弱まっています。一方、電子で通常行われている記録関係者への変更権限付与の運用は、改ざん・隠滅に対して無防備です。情報共有サーバーとして、利用が進むオンラインストレージについても同様です。

 いざ、事件が起きてから「想定外だった」というのではなく、少なくとも「④記録を登録するメンバーだけに1回のみ書込みのみ権限を付与する」以上の管理運用レベルに計画的に上げていくことをお勧めします。

関連記事