証拠偽造のない世界はITで作る――牧野弁護士：Interview（2/4 ページ）

[聞き手：堀哲也，ITmedia]

　大和銀行事件で大阪地裁が下した有名な判決では、セキュリティ対策の問題として対抗的基準は出来ていた、個別のマニュアルや規定も問題ない、とされてます。ただ、最後に現金と証拠との照合ができず、証拠偽造が見抜けなかった。それが問題だと指摘されています。

　契約書が紙ベースであると偽造できてしまいます。だから、ITを使って、少なくとも人間の手では偽造できない世界を作り、誰にも偽造をさせない前提を作らなければなりません。

文書の保管と監査はITで行う

　具体的には、紙文書をデジタル化してe文書にしてしまいましょうということになりますが、相手側の発行する請求書や領収書にも偽造が行われないよう、タイムスタンプと電子証明書を付ける。こうすることで、デジタルデータが信ぴょう性や客観性の高いものになってくる。大元の証拠の信頼性が揺らがないように、基礎をしっかり打ち込む必要があるのです。

　商業帳簿や領収書はできるだけデジタル化する必要があるでしょう。そして、一枚一枚にタイムスタンプやハッシュ値を取るのと同時に、今月発生した領収書のフォルダにハッシュをかける。そうすれば、領収書が抜き取られればハッシュが変わってくるので、不正が行われていないかが分かります。このように串刺しにハッシュを取って登録しておけば、縦横の情報の連鎖が明らかになります。

ITmedia　文書の電子化などでITの力を活用しなければ、コンプライアンスや内部統制の確保は難しいということですね。

牧野　企業の上から見て内部統制やコンプライアンスはいいのですが、「ちょっと待ってよ」とも思います。監査対象はとても多いのです。例えば、キヤノンについては、業務の見直しを行い、9000フローが存在し、1万点の問題点（インシデント）が見えてきたといわれています。9000フローで生まれてくる文書は半端じゃありません。これをすべて確認するのは現実的じゃない。言葉で言うのはいいけど、現場は一番困ります。

　そこでどうするかといえば、ここでもITしかない。監査役がプログラムを走らせて、ハッシュが狂っている部分を探し出せるようにすればいい。IT化することで、ソートをかけて検索することができる。そして、ピンポイントに抜き出して「数字に問題ないか」「保管方法に問題がないか」やデータベースのセキュリティを確認することが可能になってきます。膨大な作業を一瞬で行えるのがITの強さです。ITを活用することで、偽造を防ぐだけでなく、監査も合理的に行えるようになります。

　日本版COSOレポートなどにもすべてITという項目が入ってきていますが、それにはこのような理由があるからです。米国のCOSOレポートや米SOX法と異なるところです。