2016年以降、自動車や素材など製造業でデータ偽装事件が相次いだ。データの改ざんを防ぐには、企業体質の改善だけでなく、データを改変できない環境づくりを進める必要がある。
企業や業界への信頼度を下げる「データ偽装事件」が後を絶たない。
自動車業界では2016年に、燃費測定試験で必要なデータである走行抵抗値について、三菱自動車が数値の修正や捏造(ねつぞう)を行った。2015年にはVolkswagen(VW)が、排ガス規制の測定試験をクリアするために、試験時のみ窒素酸化物(NOx)が基準値以下になるようディーゼルエンジンを制御する不正なソフトウェアを複数の量産モデルに搭載していたことが明らかになった。
また、国土交通省によるカタログ値の測定試験とは別に、自社の完成検査の中で燃費や排ガス性能の測定を行っていたSUBARU(スバル)は、抜き打ち検査に対応するため完成検査での測定値を書き換えていたことが2017年に判明した。
素材メーカーでも品質データ改ざんなどの不正が続いた。神戸製鋼所で検査証明書のデータを不正書き換えしていたことが明らかになった後、三菱マテリアルや東レのグループ会社での検査データを書き換える不正が明るみに出た。
これらの事件の背景には、規制や開発目標の達成に向けてほしい数字を得ようとする焦りや、納期厳守に対するプレッシャーがあった。今後、データの偽装や改ざんを防ぐには、企業体質の改善だけでなく、データを不正に改変できないようにしたり、改変されたことを確実に知らせたりする仕組みが不可欠だ。データを正しく記録し管理することは、製品の品質や同一性、安全性の他、セキュリティを証明する上でも必要になる。
アジレント・テクノロジーが2018年3月14日に東京都内で実施した記者向け説明会で、データ偽装を防ぐために必要な取り組みを聞いた。
データ偽装事件が起きたこれらの企業は、データの削除、捏造や偽造、修正、改ざんが意図的に行える環境にあり、いずれも「データインテグリティ(Data Integrity、データの完全性)」が守られていない状態だった。しかし、不注意や手違いでデータの削除や修正が起きうる環境も、不正と同様に望ましくない。
データインテグリティを確保するには、標準作業手順書に厳密に従うことで管理する他、データを改変できないようにしたり、改変されたことを確実に知らせる仕組みが必要だ。
手順を厳守することでデータインテグリティを確保する代表例はNASA(米国航空宇宙局)だ。宇宙ステーションに物資を送る場面などでは、1つの不正や手違いが命取りになりかねない。そのため、徹底的な手順管理で作業の信頼性を高める。
しかし、手順を管理することによるデータインテグリティの確保には、どうしても人の手が介在する。
アジレント・テクノロジー 市場開発グループ ネットワークデータシステム担当の西山大介氏は「手順管理は、あれをやりなさい、これをやりなさい、とチェックリスト化するということだ。完全に守るには、努力やコンプライアンス、ガバナンスがガチガチに必要になる」と説明。そのため、データを管理するサーバシステム側で、ソフトウェア技術によって自動的・強制的に記録の保護やアクセス管理、変更や入力の履歴の管理を行うべきだと指摘した。
データインテグリティの確保については米国食品医薬品局(FDA)や欧州医薬品庁(EMA)が定めた原則(ALCOA+もしくはALCOA-CCEA)がある。こうした省庁が関わっているのは、食品や医薬品で特に厳しくデータインテグリティを満たすことが要求されているためだ。
帰属性 | アクセス管理、作成されたファイルの変更や実行を全て記録する機能(監査証跡)、電子署名を確認することで、誰が何を行ったのか確認できること |
---|---|
判読性 | 社内外の人がそのファイルを読める状態にしておくこと |
同時性 | 測定と同時にデータが記録されること |
原本性 | データが作成された時と同じフォーマットで残っていること |
正確性 | 生データと分析結果が存在すること |
完結性 | データに欠損がなく、それを保証できること |
一貫性 | データの収集や解析、レポート作成を1つのシステムで行えること |
永続性 | 記録の保存と保護を確実に行える媒体を使用すること |
有用性 | 必要な時に記録にアクセスできること |
出典:アジレント・テクノロジー |
西山氏によれば、データインテグリティへの取り組みは業界を超えて進んでいる。ただ、業界によって認識に違いがある。例えば製薬業界はグローバルで一斉に対応が進み、データインテグリティの確保に必要な体制が既に整った企業もあるという。FDAの規制ではデータ記録や署名の電子化について言及されており、電子データは紙の書類よりも信頼性が高いと定義されている。
次いで積極的に対策されているのは食品業界だ。FDAがデータインテグリティの確保を重要視しており、米国に輸出する海外企業も査察の対象となるためだ。西山氏は「化粧品や医療機器でもデータインテグリティを重視する動きが活発だ」と説明した。
しかし、日本では製薬業界を除いて取り組みが遅れているという。「われわれは、データインテグリティを推進していく上で、改ざんされやすい紙の記録ではなく、電子ファイルを管理することが優先だと捉えている。データの電子化が前提になる。しかし、日本は政府からして紙とハンコの文化のため、海外と比べて遅れてしまう」(西山氏)。
データを偽装していないものの、スズキが国土交通省の定めた測定方法ではない独自手法で走行抵抗値を測定していたことや、日産自動車とスバルが国土交通省に届け出た内容とは違う体制で完成検査を実施していたことも記憶に新しい。データを扱う体制に限らず、企業体質の在り方も問われる事件が続いた。
データインテグリティを確保することは、開発目標や納期達成に向けたプレッシャーの中でどこまで不正に対する抑止力になれるか。
西山氏は「電子データを管理するサーバシステムのソフトウェアによって、ルールを守らないメンバーがいることや、データの扱いにミスがあったことは記録に残せるし、不正や手違いがあったとアラート(警告)を出すことは可能だ。ただ、環境を整えても、それを無視してでも何かしようとすることは止められない。最終的には、企業のコンプライアンスやガバナンスの問題になる」とコメントした。
Copyright © ITmedia, Inc. All Rights Reserved.