刊行物
情報センサー2021年2月号 Digital Audit

バックオフィスのDXにおける内部統制上の留意事項
~電子契約・スキャナ保存制度~

アシュアランスイノベーション本部 イノベーション戦略部
公認会計士 新井慎吾
2002年に当法人入所後、製造業を中心とするグローバル企業の会計監査に従事するとともに、多数のIT企業等のIPO業務を経験し、ベンチャー企業の発掘・支援等に注力。20年7月より新設されたイノベーション戦略部に所属し、クライアントのDX促進支援に従事している。現在、日本公認会計士協会 IT委員会 デジタルトラスト対応専門委員。

Ⅰ はじめに

近年、コスト削減や業務の効率化、ならびに勤務形態の柔軟化などへの要請を背景に、従来紙で作成・保管してきたビジネス文書のデジタル化に対する関心が高まっています。
2020年に入り、世界的に流行している新型コロナウイルス感染症への対策として外出自粛が要請されましたが、リモートワークを困難にする要因の一つが、業務や書類作成のデジタル化が進んでいない点でした。
このような中、企業においてビジネス文書のデジタル化への対応としての電子契約やスキャナ保存制度などの導入は避けて通れないものとなりつつあり、デジタル化に対応した内部統制(デジタル内部統制)の構築が必要となります。
本稿では、電子契約やスキャナ保存制度の特徴について解説するとともに、それに伴う内部統制上の留意事項について論じます。なお、文中の意見に関する部分については、筆者の私見であることをあらかじめ申し添えます。

Ⅱ ビジネス文書のデジタル化と電子帳簿保存法の関係

文書のデジタル化に主管省庁の承認が必要となる、あるいは電子保存できる文書を定めているのが、通称「e-文書法」と呼ばれるものになります。
法律で備付けや保存が義務付けられている文書などの中には、電子保存を認めず書面でしか保存できない文書も一部ありますが、多くの文書については各省庁の主務省令により電子保存が可能となっています。
そして、法人税などの税法の規定で備付けおよび保存が義務付けされている帳簿書類の電子化を容認した法律が、税法の特例である「電子計算機を使用して作成する国税関係帳簿書類の保存方法等の特例に関する法律」いわゆる「電子帳簿保存法」になります。
ビジネス文書のデジタル化には、具体的に、電子契約のように取引の開始から完了まで電子文書上で行う電子化(電子取引)と、スキャナ保存制度のように既存の紙面文書をスキャンして電子文書に変換する電子化の二つがありますが、電子帳簿保存法との関係は<図1>のようになります。

(下の図をクリックすると拡大します)

そして、電子帳簿保存法においては、電子保存における改ざんといったリスクに対応するために、詳細な適用要件が定められています。なお、本稿では電子帳簿保存法における適用要件などの解説は割愛しています。
このような中、企業においては、税務コンプライアンス違反とならないように、適用に当たっての要件の遵守は当然必要ですが、デジタル化に伴う個々の企業におけるリスクを認識し、適切な内部統制の再構築を行うことも重要と考えられます。

Ⅲ 電子契約

1. 電子契約の特徴

電子契約のメリットには、契約書の製本代、送料、作業を行うための人件費、紙の保管料、印紙税といった費用の削減効果があります。また、契約書の作成から契約に至るまでの一連の作業をリモートで実施することが可能であることから、作業の生産性向上につながります。さらに、いつ誰が電子サインしたかが明確になることにより、コンプライアンス意識の向上にも寄与すると考えられます。
このように多くのメリットがある一方で、これまでの紙面による契約書から電子データになることにより、<図2>のような特徴の変化を伴うことになります。

(下の図をクリックすると拡大します)

このような電子契約の特徴から、「改ざん」「なりすまし」「データ消失・漏えい」といったリスクが生じることが考えられ、内部統制の再構築を検討する際には、従来の紙から電子データへの変化によるリスクを意識した対応が望まれます。

2. 電子契約における内部統制上の留意事項

前述の特徴も踏まえ、電子契約の導入においては、デジタル化に対応した内部統制の構築が重要となります。すなわち、紙の契約書を前提とした場合の従来の業務フローから、電子データを前提とした業務フローの構築、見直しが求められるのです。
そういった中、電子契約における内部統制上の着眼点として、<図3>のような項目が考えられます。

(下の図をクリックすると拡大します)

(1) 本人性

ここでいう本人性とは、電子契約を締結する相手方が名乗った通りの人物であり、契約元の会社にとって意図した相手であるかどうかを意味します。電子契約においては、リモートで行うことから相手の顔が見えず、また、郵送等も行わないことから意図した相手でないといった「なりすまし」のリスクがあります。
この「なりすましリスク」に対応するために、例えば、電子契約の締結に当たり、取引相手先に電子メールを送る際、別途、SMS認証を追加するといった二要素認証を用いることや、あるいは、当事者間において第三者機関から発行される電子証明書付きの電子署名を用いるといったことも考えられます。

(2) 権限性

ここでいう権限性とは、電子契約を行う際にサインをする者が、その所属する組織で電子契約を締結する権限を実際に有している者かどうかを意味します。電子契約によると、法人ではなく個人の電子サインが付されることになり、また、電子契約書データ(PDF)の署名パネルやクラウド上のシステムにて、いつ誰が電子サインしたか明確になります。
例えば、企業内部において、契約の種類に応じて誰が電子サインするのかを明確に定めたり、また、代理でサインする場合には、その権限委譲のルールを整備することが考えられます。さらに、取引相手側の権限性についても確認する社内ルールを整備することも考えられます。

(3) 非改ざん性

ここでいう非改ざん性とは、電子契約締結後において、その契約内容が変更されていないかどうかを意味します。
例えば、使用している外部ベンダーが提供するクラウド型の電子契約システム自体が改ざんできない仕様となっていることを確認することが考えられます。また、電子契約システムのベンダーが受託業務に係る内部統制の保証報告書を入手している場合には、それによりベンダーにおけるIT全般統制やIT業務処理統制を確認することも考えられます。
さらに、クラウド上の電子契約システム外にてPDF保管される場合、非改ざん性を担保する仕組みの一つとして、タイムスタンプを用いることが考えられます。タイムスタンプとは、タイムスタンプに刻印されている時刻以前にその電子文書が存在していたこと(存在証明)と、その時刻以降、当該文書が改ざんされていないこと(非改ざん証明)を証明するものになります。

(4) データ消失

電子契約の場合、電子データでの保管のため、予期せぬシステム障害などにより文書を消失リスクがあります。
そのため、電子契約のバックデータを取っておくことにより、不測の事態が生じた場合においても事業活動への支障を軽減することが可能となります。

(5) データ漏えい

電子契約の特徴として、複製により短時間内かつ広範囲にわたる漏えいが起こるリスクがあります。
多くの電子契約サービスはクラウド型である中、既存の社内の情報セキュリティ管理規程などの見直しの検討や、具体的なアクセス権限の設定、パスワード管理の検討が必要と考えられます。

(6) その他

① 文書情報管理

多くの企業が電子契約ベンダーの提供しているクラウド型の電子契約システムを利用している中、複数の電子契約システムを利用することにより(ex.自社と他社で異なるシステム利用、自社で複数のシステム利用など)、契約書データが複数箇所に保管されてしまい、自社において一元管理が困難になるというリスクがあります。
そのため、e-文書法や電子帳簿保存法の保存要件に対応した形でのデジタル化における文書情報管理の仕組みやルールを定めることが重要となります。

② システム間連携(API)

電子契約が社内承認なく勝手に締結されることを防止する観点からは、社内稟議(りんぎ)申請→承認→契約締結→保管といった一連の業務フローの構築において、電子契約システムと社内基幹システムをAPI連携し、人の手が入らないような仕組みを作ることが有効であると考えられます。

③ コンプライアンス

多くの文書において電子保管が可能となっていますが、電子保存を認めず書面でしか保存できない文書も一部あり、電子契約が法令上禁止されていないかの確認が必要となります。また、電子帳簿保存法などにおいても適用に当たり詳細な要件が定められています。
そのため、電子契約導入に際しては、文書管理規程や印章規程、情報セキュリティ管理規程などの社内規程の見直しも含め、総務部や経理財務部だけでなく、法務部や情報システム部なども巻き込み、コンプライアンスを意識した全社的な取り組みが重要と考えられます。

Ⅳ スキャナ保存制度

1. スキャナ保存制度の特徴

スキャナ保存制度は、原本が紙面(書面)形態である国税関係書類(一部を除く)の廃棄を想定した電子帳簿保存法において定められている電子データによる文書の保存方法の一つになります。
このように、国税関係書類をスキャン保存するに当たっては、紙の証憑(しょうひょう)が廃棄されることもあり、電子帳簿保存法や電子帳簿保存法施行規則において、改ざん防止措置(タイムスタンプの付与、入力時期など)、社内体制としての適正事務処理要件や原本との同一性・見読性の確保(入力機器・解像度・検索機能など)といったさまざまな法的要件が定められています。

2. スキャナ保存制度における内部統制上の留意事項

前述のように、スキャナ保存制度適用に当たり、電子帳簿保存法や電子帳簿保存法施行規則に定める法的要件を満たすことは当然必要ですが、個々の企業の状況を踏まえ、<図4>の着眼点を意識した適切な内部統制を構築することも重要と考えられます。

(下の図をクリックすると拡大します)

(1) 非改ざん性

改ざんリスクは、紙面をスキャンする前とスキャン後の両局面にて存在します。
まず、紙面をスキャンする前において、紙面自体が改ざんされるリスクがあります。また、紙面のスキャン後において、PDF編集ソフトウェアを用いて内容が改ざんされるリスクもあります。さらに、領収書の使い回しによる経費の二重請求といったリスクもあります。
このようなリスクに対して、次のような内部統制の構築が考えられます。

(例示)
  • スキャン時におけるダブルチェックの実施
  • 事後的検証(原本とPDFの照合)の実施
  • PDFにスキャン担当者等の電子署名を付与する
  • タイムスタンプを付与する
  • 書面原本の作成・受領・管理担当者とスキャン実施担当者の職務を分離する
  • PDFの保存および更新が、いつ、誰によって、どのように実施されたかを後日特定できるように、履歴情報を保存する
  • 事後的に、同一日付、同一取引先、同一金額のデータを検索し該当データについて、領収書原本と照合することにより、使い回しの有無を確認する

(2) データ消失 (3)データ漏えい

(2)データ喪失と(3)データ漏えいについては、電子契約で述べた事項と同様になります。

(4) その他

会計監査人設置会社のように監査人による監査を受けている会社においては、監査の一環の中で原本の提示が求められることがあります。そのため、税務上は原本の廃棄が認められる場合においても、重要な監査証拠となりうる書類の原本については、どの期間保存するかについて、事前に監査人と被監査会社と十分協議することが重要となります

Ⅴ おわりに

引き続き新型コロナウイルス感染症の収束までに時間を要する状況や、昨今の企業における働き方改革の潮流を勘案すると、リモートワーク導入の動きは、一過性のものではなく、ニューノーマルな働き方として今後も続くことが想定されます。
われわれとしても、企業がデジタルトランスフォーメーションを進める際の真のビジネスパートナーとしてクライアントの皆さまや社会からいっそう信頼される監査法人となり得るよう努力するとともに、今後のデジタル社会の構築の一助となれればと考えています。


  • 参考:日本公認会計士協会IT委員会研究報告第50号「スキャナ保存制度への対応と監査上の留意点」