« 東京証券取引所 金融庁に障害報告書提出 | Main | 内閣官房 セキュリティ文化専門委員会報告書と技術戦略専門委員会報告書 »

2005.11.17

文書と記録

 こんにちは、丸山満彦です。ISMSの審査の現場で、審査員から「これは文書ですか、記録ですか」と聞かれると言う噂があります。審査員は、「バージョン管理するのが「文書」で、そうでないのが「記録」だ」と言ったとか、言わなかったとか・・・。え?

 
 ISOの世界(It's an ISO world.)では、文書と記録の定義があります。

■JIS X 0902-1情報及びドキュメンテーション-記録管理-第1部:総説
では、

=====
文書 document 一つの単位として取り扱われる記録された情報、又はオブジェクト。

記録 records 法的な責任の履行、又は業務処理における、証拠及び情報として、組織、又は個人が作成、取得及び維持する情報。
=====

となっています。

包含関係でいうと、文書の中に記録が含まれる、という感じでしょうか。

 記録管理の方針、手順及び実務において、「記録」が持つべき特性として次のようなことを挙げています。

・真正性 Authenticity
・信頼性 Reliability
・完全性 Integrity
・利用性 Usability

 会計記録にも当てはまりますね。なお、それぞれの意味は次のとおりです。

=====
7.2.2 真正性 真正な記録とは、次のことを立証できるものとする。
a) 記録が主張しているとおりのものであること。
b) それを作成又は送付したと主張する者が、作成又は送付していること。
c) 主張された時間に作成し、送付していること。
 (中略)

7.2.3 信頼性 信頼のおける記録とは、その内容が、処理、活動又は事実が完全であると信じることができ、そして継続して起こるその後の処理及び活動の過程を証明し、かつよりどころとすることができるものをいう。
 (中略)

7.2.4 完全性 記録の完全性は、その内容が完結していて変更されていないことを意味する。記録は、許可のない変更から守られなければならない。記録管理の方針及び手順は、記録作成後どんな追加又は注釈が許されるのか、どのような状況で追加又は注釈が許される場合があるか、だれに追加又は注釈を入れる権限があるのかを定めることが望ましい。どのような追加、注釈又は削除でも、それが明示され追跡可能となっていることが望ましい。

7.2.5 利用性 利用できる記録は、所在場所がわかり、検索でき、表示でき、解釈できるものをいう。
 (後略)
=====

 で、このような記録を維持するためにはシステム(ITシステムのみではないですよ・・・)が必要ですが、このような「記録システム」が持つべき特性として次のようなことを挙げています。

・信頼性 Reliability
・完全性 Integrity
・コンプライアンス Compliance
・包括性 Comprehensiveness
・体系的 Systematic

 会計システムにも当てはまりますね。なお、それぞれの意味は次のとおりです。

=====
8.2.2 信頼性 記録を管理するために配置されるいかなるシステムも、信頼できる手順に従って継続的に規則正しく運用ができることが望ましい。
 記録システムは、次の項目を満たすことが望ましい。
a) システムが及び業務活動の範囲内のすべての記録を定常的に取り込む。
b) 記録作成者の業務プロセスを反映する形で記録を定常的に取り込む。
c) 記録を権限のない変更又は処分から守る。
d) 記録に記述されている行動についての主要な情報源として定常的に機能を果たす。
e) すべての関係記録及び関連メタデータをいつでもアクセスできるよう用意する。
 (中略)

8.2.3 完全性 アクセスの監視、ユーザ確認、権限に基づいた廃棄、セキュリティなどの統制の手段は、記録に対して権限のないアクセス、廃棄、変更又は移動を防止することが望ましい。
 (中略)

8.2.4 コンプライアンス 記録システムは、組織が活動する現行業務、規制環境及び地域社会の期待から生じるすべての要求事項に適応して管理されることが望ましい。このよな要求事項に適応した記録システムを、定期的に評価し、その評価記録を証拠として保有することが望ましい。

8.2.5 包括性 記録システムは、そのシステムが稼動している組織、又は組織の一部に関するすべての範囲の業務活動から発生する記録を管理することが望ましい。

8.2.6 体系的 記録を、体系的に作成し、維持し、管理することが望ましい。記録の作成及び維持の実務は、記録システム及び業務システム双方の設計及び運用を通してシステム化することが望ましい。
 記録システムは、その管理のために、正確に文書化された方針、課された責任、及び正規の方法論をもつことが望ましい。
=====

 地域社会?という気もしますが、このJIS規格の元になったオーストラリア標準AS4390、それを国際標準化した、ISO15489の作成の際に自治体の文書管理などが専門の委員の人がいたのでしょうかね・・・


 そうそう・・・・、話はずれますがこの規格では、「説明責任」についても定義をしています。

=====
説明責任 accountability 個人、組織及び集団はその行動に対する責任をもち、その行動を他の人々に説明することを要求されるという原則
=====

 なるほど・・・

 



このブログの中の意見は私見であり、所属・関係する組織の意見ではないことをご了承ください。

|

« 東京証券取引所 金融庁に障害報告書提出 | Main | 内閣官房 セキュリティ文化専門委員会報告書と技術戦略専門委員会報告書 »

Comments

丸山 様

夏井です。

ここでも英語に戻って考えると簡単ですね。

Documentは,電子的なもの(electronic document)と非電子的なものとの両方を含むことは現代では常識です。written documentと明示されている場合にのみ紙の書面のことを指すと理解したほうがよいでしょう。日本語の「書面」でも同じに考えるべきだろうというのが私見ですが,時代遅れのようなタイプの学者からは反対されています。(笑)

次に,Recordは,動詞として用いられる場合には,紙や電磁的媒体などを含むすべての媒体との関係で「情報内容を符号によって固定すること」を意味するだけなので,Documentという形態で記録する場合にもRecordですね。また,Recordが名詞として用いられる場合には,何らかの媒体に符号としてRecordされた結果として残っているものすべてが「記録」なので,これまたDocumentという形態で残されている場合を含むことになります。

ちなみに,人間によってもコンピュータによっても処理不可能なもの又は処理の対象とされていないものは「符号」ではありません。

以上のような観点からすると,「記録の保護」とは,媒体の保護とその上に残されている符号の保護の両方を含む概念であることになります。「データに対する無権限アクセス」を処罰すべしとする私の説は,保護法益としては「符号」の保護を目的とし,そのための手段として「媒体」も保護しようとする説だということになりますね。

要するに,日本語で考えることをやめて英語で考えるようにすれば簡単にわかることが多い世界だということになりそうです。

Posted by: 夏井高人 | 2005.11.17 10:25

夏井先生、コメントありがとうございます。
=====
「データに対する無権限アクセス」を処罰すべしとする私の説は,保護法益としては「符号」の保護を目的とし,そのための手段として「媒体」も保護しようとする説だということになりますね。
=====
は、わかりやすいですね。この考え方は私も賛成です。デジタルフォレンジックスでもこの考え方が有益かもしれないですね。

英語と日本語の話ですが、某外資系企業の元セキュリティコンサルタントS氏も、常に英語と日本語を行き来しながら考えているように思います。これは、重要なことだと思います。


Posted by: 丸山満彦 | 2005.11.17 23:03

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



TrackBack


Listed below are links to weblogs that reference 文書と記録:

« 東京証券取引所 金融庁に障害報告書提出 | Main | 内閣官房 セキュリティ文化専門委員会報告書と技術戦略専門委員会報告書 »