先日は、電帳法について色々調べて国税庁の一問一答などを読みました。
分かったことは、
- 帳簿や決算書類は会計ソフト(特にクラウド)を使った方がよい
- スキャナ保存は急ぐ必要はない
- EC サイトはシステムを導入した方がよい
- メールと FAX がとにかくやべぇ
といったことでした。4のメール、 FAX については消極的には正本をプリントアウトした書類としてもらい、郵送等してもらうといった対策でした。つまり電子取引ではないとする方法になります(分かりにくいですが電子取引と電子商取引は全然別っぽいです)。
今回はもう一つの方法としてメールと FAX による電子取引を避け、クラウドストレージによる取引を行うことを考えます。また、これによりいわゆる PPAP 対策も行えます。
クラウドストレージによる電子取引とは?
ここでいうクラウドストレージは、「訂正又は削除の履歴の確保」の要件を満たしたクラウドストレージと考えます。上書き保存をしたときに記録が残り、さらに、旧バージョンにロールバックができるようなクラウドストレージですね。
大手のクラウドストレージであれば、基本的にどれもこの要件を満たしていると期待できるでしょう。
問34 具体的にどのようなシステムであれば、訂正又は削除の履歴の確保の要件を満たしているといえるのでしょうか。
【回答】 規則第4条第1項第3号に規定する訂正又は削除の履歴の確保の要件を満たしたシステムとは、例えば、
① 電磁的記録の記録事項に係る訂正・削除について、物理的にできない仕様とされているシステム
② 電磁的記録の記録事項を直接に訂正又は削除を行った場合には、訂正・削除前の電磁的記録の記録事項に係る訂正・削除の内容について、記録・保存を行うとともに、事後に検索・閲覧・出力ができるシステム 等が該当するものと考えます。
【解説】 規則第4条第1項第3号に規定する電子計算機処理システムについて、具体的には、例えば、他者であるクラウド事業者が提供するクラウドサービスにおいて取引情報をやりとり・保存し、利用者側では訂正削除できない、又は訂正削除の履歴(ヴァージョン管理)が全て残るクラウドシステムであれば、通常、当該電子計算機処理システムの要件を満たしているものと考えられます。
https://www.nta.go.jp/law/joho-zeikaishaku/sonota/jirei/pdf/0021006-031_03.pdf より引用。太字は筆者による編集
一問一答においてこのように書かれているので、オンプレミスで導入した Nextcloud や Owncloud, ユーザーが自由にサーバー環境を操作できる VPN 上の同システム、またバージョン管理機能を持つ OS のバックアップ機能などは「他者である者から提供された」とは考えづらいでしょう。
安価に Nextcloud や Owncloud を導入する場合でも、専門の企業に管理を委託する必要があると考えられます。
具体的にどうやってクラウドストレージで取引を行うの?
書類を受け取る側の企業がクラウドストレージのアカウントをもって、書類を発送する側に直接アップロードする権限を付与します。イメージとしては、インターネット上の仮想の自社ビルに、取引先ごとに受け取り専用の「部屋と鍵」を用意すると考えてください。
書類の送り手側は、部屋と鍵を利用するために配送業者を手配する代わりに同一のクラウドストレージサービスのアカウントを用意します(通常はメールアドレスになります)。送り手側は、配送業者に入室許可を与えてもらう代わりに、自分たちのアカウント情報(メールアドレスだけ)を受け手企業に共有します。パスワードはいらないですよ! この共有方法はメールでもいいですし、セキュアに行うなら書留・直接手渡しなどがいいでしょう。
書類の受け手側は、アップロード権限を指定されたアカウントに付与し、アップロードする場所(通常は URL )を送り手側に通知します。
以降は同じ URL を利用してアップロードできます。
もう1つのやり方
送り手側が自分のクラウドストレージにアップロードした URL を受け手側に通知し、受け手側が自分のアカウントのクラウドストレージに「直接コピーする」という方法があります。同じクラウドストレージサービスを利用していればクラウドサービス上で行え、お互いに記録が残りよりセキュアです。
ただし、作業を行う人間が正しい手順を踏まないとローカル PC 上に訂正又は削除の履歴が残らないデジタルコピーが作成されますので、その取り扱いに注意を要します(この運用が許されるなら、電子メールの添付ファイルをクラウドストレージに保存する方法も許されると思うので、お勧めしません)。
PPAP 対策にも
PPAP とは、 「Password 付き zip ファイルを送ります」「 Password を送ります」「暗号化」「Protocol」の略だそうです。
これの欠点は……ええっと、攻撃者がその気になったら何の効果もない、ということですね(メールは電子署名をつけて暗号化しない限り、メールサーバーとのやりとりを TLS などで暗号化しても、経路上で盗聴される可能性がある)。ツッコミどころがありすぎてツッコミたくなくて放置していた SE は多いでしょう。
本質的に、電子メールは安全ではないプロトコルですので(なんならパスワード付き zip も現代の計算機の処理速度の前ではあんまり安全ではないです)メールを使わないクラウドストレージ上でのやりとりの方が安全です。
ただ、 PPAP の本来の目的? である送信先の間違いについてはクラウドストレージを活用するだけでは対応できません。ワークフローシステムなどを活用して、他者による承認を得てからアップロードされるようにするなどの仕組み作りが必要になるでしょう。
容量について
大手のクラウドストレージサービスには大体、無料プランがあります。5GB ~ 15GB くらいが標準的です。
データのバックアップ用途としては心元ないですが、 PDF ファイルなどの取引情報のみを格納するのであれば充分でしょう。また、容量の追加も 1ユーザーのみなら月数百円程度からなので、認定タイムスタンプを付与するよりは安価に導入できるでしょう(保存期間をすぎたものを削除するようにすれば、事実上無料で使い続けられるでしょう)。
クラウドストレージごとに設定方法を見る
概念がなんとなく分かったところで、代表的なクラウドストレージごとに活用方法を見てみます。
Google Workspace
おすすめ度:★4つ
寸評:今回紹介する中で、唯一JIIMA認証を受けているので、認証制度がなければ不安という場合には唯一の選択肢になりえる(しかもお安い)。
特徴
検索エンジン最大手の Google が提供する、Gmail や Google Drive などをビジネス用にパッケージしたのが Google Workspace です。使い勝手は個人版とほぼ変わらない(はず)なので、すでに利用している方なら安心して使えるでしょう。
さらに、 OS 等と紐付いていないので、電子帳簿保存法のために様々なアカウントの連携などを変えたくない、バックオフィスに余力がない中小企業におすすめです。保存容量 30GB と価格当たりの容量は少なくなってしまいますが、月額680円から契約できるので小規模事業主、個人事業主で JIIMA 認証のツールが欲しい場合は有力候補の筆頭になるでしょう。
また、ファイルをアップロードしてもらうには Google アカウントが必要になりますが、とても普及しているため取引先にお願いしやすいのもポイントでしょう。
- JIIMA 認証
- 月額 680 円から使える
- Google アカウントがある人からファイルをアップロードしてもらえる
- Dropbox や OneDrive のようなファイルリクエスト機能はない
- 無料版でも容量を超えなければ過去のバージョンがほぼ無期限で復元できる(公式には30日と発表されているため、過信は禁物)
アップロードフォルダの作り方
Google Drive アプリ上で新規フォルダを作成し、そのフォルダを開くと画面の右側に「詳細」パネルがあります(今回とても大事な「履歴」タブも見えますね)。フォルダ作成直後は、「共有なし」状態なので「アクセスを管理」リンクをクリックします。
- 共有したい相手の Google アカウントのメールアドレスを入力します。Gmail でメールのやりとりをしている相手であれば、自動でサジェストされます
- チェックを付けて、通知とメッセージを送信します(が、まだ「送信」ボタンは押さないでください!)
- 歯車のアイコンをクリックします。
編集者は権限を変更して共有できます、のチェックボックスを解除します。
参考:https://support.google.com/a/users/answer/9308868?hl=ja
送信ボタンをクリックして、フォルダへの編集権限を付与します。
ただ、このままだと「オーナー」権限がアップロードした人(取引先)にあり、自由に編集や共有先の追加ができてしまいます。変更履歴が残る残らない / 電帳法に対応している対応していない以前に、これだとコンプライアンス上問題が生じます。このため、アップロードされたファイルは速やかに他の人がアクセスできない場所に移動させましょう。
Web 画面から、共有しているフォルダ以外に移動させると上記のような警告がでますが、むしろそのために行うので、「移動」をクリックしましょう。
Box
おすすめ度:★4つ
寸評:JIIMA 認証はないものの、JIIMA 認証を受けているソフトがバックエンドとして Box を利用するくらい信頼性が高い。そして高機能。高い。
特徴
老舗の Dropbox と同様にクラウドストレージ専業であり、ストレージ系のサービスが充実していて、さらにメインターゲットが法人のためか、セキュリティ・コンプライアンスが高いです(たとえば、 Google Workspace とは連携できるが、個人用 Google One とは連携しない、など)。
バージョン履歴については、 Business アカウントだと最大 50 (51) バージョンが保持されるので、書類データのバージョンが溢れることはほぼないでしょう(それはさすがに色々と問題が…)。ファイルをアップロードしてもらう場合は「ファイルリクエスト形式」、「メールでのファイルアップロード」、「社内での共有」「コラボレータアカウント」と多彩です。ただし、お高い……。そして、 JIIMA 認証がないのが難点です(ただし、NTT などの大手代理店が 電子帳簿保存法対応をうたっているので、代理店を通して購入する場合は安心かもしれません)。
- 個人プランや小規模ビジネスプランは容量やバージョン管理に不安
- ビジネスプランは、最低アカウント数が3~で、維持コストが高い
- 電子署名など、高機能かつコンプライアンスを重視したビジネス向けのサービス
- 中規模以上で、 電子帳簿以外のデータも大量に取り扱うなどでないと持て余しそう
- 取引先が多い場合などはおすすめできる
アップロードフォルダの作り方
適当なフォルダを、Box 内につくります。
右メニューに「ファイルリクエスト」というリンクがあるのでクリックします(バージョンなどは隣のタブの詳細に入ります。Google Workspace と同様の UI といえます)。
クリックした時点でファイルリクエストのフォルダとなっているので、
- 「コピー」ボタンでリンクをコピーしてアップロードして欲しい人に共有します。
- さらにセキュリティを高めたい場合には、「設定」リンクをクリックします。
- アップロードできるユーザー自体は制限しませんが、 Box へのログインを必須にすることで、誰からアップされたかは分かるようになります。
- 期限を定めた取引などの場合には、これをオンにします。
また、メールでのアップロードの場合、指定したメールアドレスに添付ファイルつきのメールを送信することでフォルダにファイルがアップロードされるようになります。
メールは全てが暗号化される保証がないため、セキュリティ上危険がありますが、 「Web への自由なアクセスが制限されている取引先(銀行とか)」「中国本土からの送信」といった場合に活用できます。
高いだけのことは、あります。
Dropbox
おすすめ度:★1つ
寸評:標準でのバージョン保存期間が30日または180日と短いため。
特徴
クラウドストレージは Dropbox から始まったといっても過言ではないくらい古くからある、メジャーなクラウドストレージです。無料でもファイルリクエスト機能があり、気軽に始められそうです。しかし、バージョン履歴・訂正・削除の記録が30日(個人版)または180日(エンタープライズ版)と短いため、そのままでは電子帳簿保存法の保存期間に対応できないと考えられます。
対策として、 Extended Version History アドオン、 Data Governance アドオンを導入する方法があるようです。
10 年間に期間を延長するアドオンの購入には、 Standard 以上のプランが必要となっています。
アップロードフォルダの作り方
Web 画面の右メニューから「ファイルリクエスト」を選択すると、上図のように説明文が表示されます。
ファイルリクエストの作成を選ぶと、上図のような作成画面が表示されます。 Dropbox のファイルリクエストはアカウントの作成を要求しないため、上記のようになります。
- タイトルを決めます。ここで決めたタイトルが、デフォルトの保存先フォルダにも影響します。
- タイトルとは別に、指定フォルダにアップロードしたい場合はここで選択します。
- アップロード者や日時などで、ファイルの名前を決定できます。
- アップロードする人を限定できないので、セキュリティのためパスワードを入力します
- 作成ボタンで作成します。
さすがに老舗かつクラウドストレージ専業サービスだけあって、ファイルリクエスト機能は取引先の負担(アカウント作成など)なしで実行できて便利ですが、何よりバージョン管理の非力さ(拡張には英語のページを読み解かないといけない)というのがハードルが高いように思います。そんなに難しい英語ではないですが、トラブル時のコミュニケーションなどを考えると、ハードルは高いですね……。
OneDrive
おすすめ度:★3つ
寸評:みんなアカウント持っている分面倒。有料アカウントを持っていても個人アカウントだとアップロード専用フォルダが使えないなど、融通が利かない。
特徴
無料の Microsoft アカウントに勝手についてきて、さらに Office 365 には 1TB のストレージがついてきますので多くの事業者にとってはすでに導入準備ができている場合が多いのが利点です。特に Windows 10 以降、 Microsoft アカウントを作らずに Windows OS をセットアップするのに特別な手順、知識が必要になったこともあり、アカウント保有者は多いでしょう。よりセキュアな「個人用 Vault」サービスがある点も特徴です。
問題は、 「PC セットアップ時に勝手にアカウントが作成されるイメージがあり、アカウント管理に頓着されない」「PC の内容が標準でバックアップされており、容量を使い切ってしまいがち」という点です。 IT リテラシーの高くない会社と共同で導入するには、この辺りが課題でしょうか(普及している分厄介)。
そして、「ファイルの要求」という、リンクを知っている人にファイルをアップロードしてもらう機能があります。このアップロードには「 Microsoft アカウント」や「 OneDrive 」は不要です。受け手側のみあれば大丈夫です。
ただし、この「ファイルの要求」機能を利用するには Microsoft の個人用アカウントではだめで、ビジネスアカウント(組織のアカウント)が必要です。 Microsoft の組織のアカウントには制限が色々あるので、すでに利用しているのでなければお勧めできません。ただし、ビジネスアカウントでは電子帳簿保存法に関するホワイトペーパーがあるので、 JIIMA 認証がない中では比較的安心して導入できるのではないでしょうか。
- 無料容量:5GB
- 容量追加:540円/月~
- 紹介コード付きリンク
※紹介コード付きリンクから登録していただいても、皆さんには容量追加がありません……。
アップロードフォルダの作り方
アップロード専用フォルダは組織アカウントがないと作成できませんが、アップロードだけでなく編集も可能なフォルダであれば個人アカウント・無料アカウントでも作成できます(その場合、書類を受け取ったら必ず OneDrive 内の別フォルダに移動します。また複数の取引先をひとつのフォルダに集約することはやめましょう)。
OneDrive でフォルダを共有するには、まず OneDrive 内に適当なフォルダを作成し、「共有」ボタンをクリックします。
「リンクの設定」パネルが開くので、共有の属性を設定します。
- 「特定のユーザー」を選択します(「リンクを知っているすべてのユーザー」は、たとえリンクを特定の人にしか教えないとしても非常に危険です)。
- その他の設定で「編集可能」とします。
- 取引期限を有期的にする場合は、有効期限の日付を設定します。
最後に、適用ボタンをクリックして次に進みます。
- 追加するユーザーのメールアドレスを入力します。有効な Microsoft アカウントである必要があります(未所持ユーザーに Microsoft アカウントに招待しつつ共有はできない)。
- 招待メールに記載する文言を書きます。
- 送信ボタンで確定します。
リンクのコピーについては、メールアドレスを入力後であれば動作しますが、隣の「指定したユーザーが編集できます」をクリックしてしまうと画面が戻るなど動作が分かりづらいため、メールでの共有をおすすめします。
共有された相手には、上記のようなメールが届きますので、「開く」ボタンで OneDrive の該当フォルダを開くことができます。このフォルダにアップロードしてもらう形となりますね。
なお、このメールは Gmail だと迷惑メール判定となっておりましたので、届かない場合などは確認してみてください。
クラウドストレージの管理も、やっぱりちょっと大変そう
日頃、インターネットに触れていると Google Drive や OneDrive といった個人向けのクラウドストレージサービスを当たり前のように使うことが多くあります。また、仕事で活用している方もいらっしゃるのではないでしょうか(中小企業診断士の実務補習でも当たり前のように Dropbox を使おうという流れになりましたね……あんまり気軽だとちょっとコンプライアンスが心配な気もしますが)。
しかし、調べてみると、大手クラウドストレージサービスとはいえ、改正電子帳簿保存法が要求する水準を満たしているのか? と重箱の隅をつつき出すと不安なところは続々と出て来ます。
それを考えると、改正前から認められている認定タイムスタンプの、「とりあえず押して、紛失しなければ OK!」みたいな処理の確実さはやはり素晴らしいと思います。
株式会社 Vector の提供する「みんなのタイムスタンプ」は、初期費用 0 円、タイムスタンプ 1つあたり 20 円と、小規模事業者、個人事業主でも気軽に始められる価格なのが魅力です。
取引数が100を越えてくると、ストレージサービスと比べてちょっと高いかな? となり始めるかと思いますが、確実性の点ではメリットがあると言えるでしょう。
終わりに
この法律は……大分厄介ですね。国税庁が出している資料の他、税理士さんの見解なども参考にしているのですが、「いや、ほんとにそれで大丈夫!?」と言いたくなるような見解をしてらっしゃる方もちらほらおられます。もちろん、税務、税法については税理士さんが専門なのですが、ソフトウェアの機能の解釈として不安が残るようなことが書かれていたりします(メールダウンロードできるように残しておけばいいよ! とか、一問一答で否定されている内容が出ていたりします)。
実際のところ、税務調査でも入らない限り、この当たりの適法性が一般企業に問われることは少ないのだろうなと推察しますが、そう言われても社内 SE としてはできる限り瑕疵のないシステムを構築する義務があるでしょう。
費用・コストについて問題がなければ、タイムスタンプによる保存が恐らく安全性・効率性の面で優れていると言えると思います。それでも色々と工夫はこれからもしていきます。
楽介でした。
