Google Vaultを電子帳簿保存法の対応に利用できるか試してみた
危機管理室の吉本です。
Googleドライブに保存する請求や契約関連データについて電子帳簿保存法に対応する必要があったのでGoogle VaultというGoogle Workspaceの情報ガバナンス・電子情報開示ツールでどこまでできるか試してみました。
電子帳簿保存法の要件
今回は契約書などのデータをGooleドライブに保存する場合に求められる要件をまとめたものです。電子帳簿保存法の要件を網羅しているわけではありません。
- 保存期間の設定
電子帳簿保存法ではデータの保存期間が基本7年、最長10年として設定されています。
-
真実性の確保
難しい言葉ですが要するに改ざんができない措置のことと理解しています。編集権限の制約や、操作ログの取得がそれにあたりそうです。
-
保存データの検索
保管しているデータがどこにあるか検索できる必要があります。検索項目としては取引年月日・取引金額・取引先が必要です。
Google Vaultのテスト
テスト内容
Google Vaultを使用するにはライセンス要件があります。これを満たしたライセンスでVaultの下記機能をテストします。また、テストアカウントにはVaultを操作するすべての権限を付与しています。テストの対象はGoogleドライブのみとしています。
- 保存期間
必要な期間データを保管したり、不要になったデータを削除する機能があります。「保持ルール」と「記録保持」という機能がありますが、今回は他アカウントへの影響を避けるため、対象のアカウントを指定できる「記録保持」でデータが削除されないかを確認します。また、「保持記録」には有効期間はありません。
-
アクセス制御、監査ログ
アクセス制御と監査の機能があるので真実性の確保のため、Googleドライブへのアクセス権を特定のユーザーに絞れるか、操作履歴が取得できるかを確かめます。
-
検索機能
Googleドライブのアイテムを検索することができます。どのような条件で検索ができるか、検索要件を満たせるか試します。
テスト結果
Googl Vaultには案件を作成する機能があります。テスト用の案件を作り、この中で各機能をテストします。ホーム→案件→作成で作れます。
保存期間(記録保持)
案件を選択し、記録保持タブから作成をクリックします。サービスはGoogleドライブ、アカウントはテストアカウントを指定して作成します。 Googl Vaultでサポートされるデータタイプがあるのでこれに従い、テキストファイルをマイドライブに保存し、削除しました。マイドライブからは削除されていますが、下図のように検索結果には出てきます。さらにクリックするとダウンロードが可能なことを確かめられました。
アクセス制御、監査ログ
アクセス制御についてはGoogle Vaultサービスについてのものでした。Googleドライブのアクセス制御はそちらのサービスの機能でする必要があるようです。 監査ログ機能は2023年12月4日からGoogle Workspace管理コンソールに移動していました。この管理コンソールにアクセスし、セキュリティ→調査ツールと遷移します。データソースでVaultのログイベントを選択し、ここではターゲットユーザーを私のアカウントにして検索します。これでVaultを操作したログが出力できました。
検索機能
案件を選択し、検索タブから条件を設定して検索できます。データが保持データかどうか、特定のアカウントや組織部門など詳細に条件をつけて検索できました。ただし、Googleドライブに保存しているファイルに取引年月日などの情報はないため検索要件を満たすには他の方法で対応する必要があります。
まとめ
便利そうだけど何ができるかよくわかっていないGoogl Vaultの機能の理解が深まりました。電子帳簿保存法の要件をある程度満たせますが、他の方法と組み合わせて進めるのがよさそうです。