【後編】情報漏洩防止対策だけでは不足です。エビデンス保管に潜む日常のリスク―紙文書管理における改ざん、証拠隠滅リスクについて

コラム
セキュリティ

 前編では、ファイルサーバーでエビデンスを管理している場合のリスクについて説明し、ファイルサーバーの高度なアクセス許可を使って、WORM設定(書込みを1回のみ許可、書換え・削除禁止設定)することで、誤改変、誤削除、誤移動の対策ができることを説明しました。中編では、残存リスクである悪意のある改ざん・証拠隠滅、システム上のトラブルに対して、WORM型のアーカイブ手段を利用することが有効であることを解説しました。
 本編では、電子文書だけではなく、紙文書についても改ざん、証拠隠滅リスクのあることを説明し、注意喚起致します。昨今では、電子文書管理の進展に伴い、紙文書管理の文化・正しい運用が失われつつありますので、このリスクを認識しておく必要性が増しています。

1.文書・エビデンスの差し替えリスク

 フォルダーに綴じてある文書、エビデンスについての改ざんで一番大きいのは文書またはページの差し替えリスクです。最近の文書は、さすがに、手書きではなく、ワード、エクセルなどの電子文書を印刷したものが使われるのが通常です。そうすると監査などの前の点検で不備を見つけた場合には、悪気はないけれども、手持ちの電子文書を修正し、印刷して綴じていた文書と差し替えている場面をよく目にしました。場合によっては、担当者印、承認印の押し直しも合わせて行われます。
 通常は、法律に触れるような文書ではなく、内部監査の対象文書で、このようなことが行われがちです。これは、立派な証拠改ざんです。正しくは、修正が必要ならば、元の文書と、修正履歴を残し、修正版を作成すればよいことです。このようなことに慣れ、常態化するとやがて一線を越えて、手をつけてはいけない文書まで差し替えてしまいます。一番基本的なことは、一旦、処理の終わった文書やエビデンスの差し替え行為を許さない、しない文化を社内に構築することです。ただ、紙の場合は、厳密に管理して差し替えや改ざんを防ぐことには極めて管理工数がかかります。

2.紙図面管理の事例

 当社は、社内規定に従って、鍵のかかったキャビネットで保管しているから大丈夫と多くの方がおっしやいます。しかし、鍵をかけるだけでは、持ち出したファイルの中身の差し替え、改ざん防止はできないのです。鍵自体の管理、持ち出した文書の管理が必要なのです。紙文書で、厳密に差し替えや改ざんを防ぐためにはどの程度のことが必要であるかを、図面を紙に書いていたころに遡って、図1の図面入庫室を例に説明したいと思います。

 図面の作成は、設計部が行い、設計部で審査、承認したものを図面係に入庫し、図面保管庫で管理します。一旦、入庫すると図面係以外の人は原図にアクセスできません。図面倉庫の鍵は第三者である図面係が管理します。原図を見たいときには、図面係に申請して原図の写しをもらいます。図面係以外にはアクセスさせないところが、この管理の肝になります。修正・バージョンアップがある場合は、図面倉庫に併設した図面訂正室に、図面係の許可を得て、入室し、そこで原本を出してもらい修正・訂正し、図面来歴を記載し、図面の版番をアップします。承認者も図面訂正室で承認します。このようにして、原図にアクセスさせない。アクセスする場合も監視下で行うという対応を取ることで、改ざん、証拠隠滅を防ぐことができます。このような管理が無く、キャビネットを解錠し、持ち出したファイルを自席に持ち出すのであれば、改ざん・証拠隠滅の機会はいくらでもあります。
 このように紙文書の厳密管理には、設備も人も必要です、一方、電子文書ではある程度のアクセス権管理を設定することで、改ざん、証拠隠滅リスクを下げることができるのです。

まとめ

 紙文書で改ざん防止、証拠隠滅防止を厳密に行うには、設備・人が必要になってきます。紙で持つ必然性のないものについては、電子的に管理する方が経済的と言えるでしょう。

関連記事