データインテグリティとは何か
データインテグリティ (Data Integrity) とは、データがそろっていて、欠損や不整合がないことを保証すること、またデータが一貫していて、正しく、アクセス可能であることを保証すること、とされています。逆に、データインテグリティが守られていない状態とは、1つは悪意による改変、例えば意図的なデータ改ざんや申請書類の偽造ができる状態にあることになります。もう1つは事故によるデータの改変、例えばデータ転送時にエラーが発生した場合やデータのバックアップをしていない状態でハードディスクがクラッシュした場合も該当します。データインテグリティを確保するということは、データが本来あるべき姿で存在すること、またデータの改変ができない、またはデータの改変が起こったとしてもそれを知らせるシステムにすることが必須になります。
データインテグリティを証明するためには、ALCOA+ の原則を満たす必要があります。
- 帰属性 (Attributable)
- 誰が何を行ったのかを確認できること
- 判読性 (Legible)
- ファイルを読める状態にすること
- 同時性 (Contemporaneous)
- 測定と同時にデータが記録されること
- 原本性 (Original)
- データが生成された時と同じフォーマットで残っていること
- 正確性 (Accurate)
- 生データと分析結果が確かに存在すること
- 完結性 (Complete)
- データには全てが含まれていること
- 一貫性 (Consistent)
- 一連の作業を1つのシステムで行うこと
- 永続性 (Enduring)
- 記録の保持と保護を確実に行えるメディアを使用すること
- 有用性 (Available)
- 必要な時に記録にアクセスできること
データインテグリティへの対応
データインテグリティを証明するためには、ソフトウェアの機能などの技術管理を用いるか、SOP などの手順管理を用いる必要があります。技術管理はソフトウェアで実行する管理であるのに対し、手順管理はユーザーの組織で実行する管理になります。
手順管理の手法として使われる SOP は、技術管理の代わりとして用いることはできますが、以下の4つの条件が必須です。
- SOP が存在すること
- SOP のトレーニングを行っていること
- SOP に従っていること
- 監視されている状態で SOP に従っていること
たとえ SOP が存在していたとしても、SOP に従っていなかったり、確認作業を怠ったりしていれば、その組織は機能していないとみなされてしまいます。一方、ソフトウェアに監査証跡機能が搭載されていれば、それは技術管理の1つとなります。ただし、その監査証跡機能は規制が求める全ての機能を有していて、その機能が有効であることが条件です。
