Excelの10の問題点
Microsoft Excelは、ビジネスの現場で最も広く使われているツールの一つである。表計算、データ分析、簡易的なデータベースとして、多くの企業が日常業務で活用している。しかし、規制要件が厳格化する現代において、特にPart11(FDA 21 CFR Part 11)などの規制遵守の観点から、Excelには看過できない問題点が存在する。本稿では、監査証跡、セキュリティ、バージョン互換性を中心に、Excelが抱える10の構造的問題点を明らかにする。
問題点1:監査証跡の不在
何が問題なのか
Excelには、標準機能として包括的な監査証跡(Audit Trail)機能が実装されていない。「誰が、いつ、何を、なぜ変更したか」という記録が自動的に残らないため、データの変更履歴を追跡することが極めて困難である。
具体的な影響
製薬業界などの規制産業では、Part11により電子記録の完全性が求められる。21 CFR §11.10(e)では、セキュアでコンピュータ生成されたタイムスタンプ付き監査証跡が必須要件として定められている。具体的には、固有のユーザーID(共有ログイン禁止)、日時のタイムスタンプ、作成・変更・削除の詳細、そして変更理由の記録が求められる。
実際に、2023年にはFDA査察で、アナリストが電子試験データを自由に変更・削除できる状態だったとして、製薬メーカーが警告を受けた事例が報告されている。
Excelの「変更履歴の記録」機能は存在するが、簡単にオフにできるため、規制要件を満たす信頼性は担保されない。また、固有のユーザーIDによるアクセス制御が不可能であり、Part 11が要求する監査証跡の基準を満たすことができない。
問題点2:電子署名機能の欠如
何が問題なのか
Part11では、電子記録の承認に電子署名が要求される。21 CFR Part 11では、電子署名は個人に固有であり、検証可能で、偽造耐性を持つことが必要とされる。しかし、Excelには規制要件を満たす電子署名機能が標準では搭載されていない。
デジタル署名機能はあるものの、ファイル全体への署名であり、特定のデータや承認プロセスに対する署名ではない。Part 11準拠システムでは、ドキュメントの編集・レビュー・承認・廃止ごとに電子署名を記録し、ユーザーID、日時、変更タイプを自動記録し、全バージョン履歴を保持することが求められるが、Excelにはこれらの機能が標準装備されていない。
実務上の困難
品質管理部門が検査結果を承認する際、Excelでは「承認者名を手入力する」「別途紙の承認書を作成する」といった代替手段に頼らざるを得ない。これでは電子化の意味が半減し、規制当局の査察時に指摘を受けるリスクがある。
問題点3:アクセス制御の限界
何が問題なのか
Excelのパスワード保護機能は、ファイル全体または特定のシートやセル範囲に対する単純な読み取り・編集制限しか提供しない。ユーザーごとに異なるアクセス権限を詳細に設定することは不可能である。
セキュリティリスク
例えば、営業部門が顧客データベースをExcelで管理している場合、閲覧権限のみ必要な担当者と編集権限が必要な管理者を明確に区別できない。結果として、過剰な権限付与によるデータ漏洩や誤操作のリスクが増大する。
Part 11準拠システムでは、ユーザーの役割に応じた詳細なアクセス制御(Role-Based Access Control)が必須だが、Excelではこのような高度な権限管理は実現できない。
問題点4:バージョン互換性の問題
何が問題なのか
Excelは頻繁にバージョンアップが行われるが、旧バージョンと新バージョン間で完全な互換性が保証されていない。特に、複雑な数式やマクロ、新機能を使用したファイルは、旧バージョンで正常に動作しない可能性がある。
業務への影響
2025年現在、多くの企業で複数のExcelバージョンが混在している。ある部門で作成したファイルが別の部門で正しく表示されない、数式の計算結果が異なるといった問題が頻発し、業務効率を著しく低下させている。
2025年の改善動向
ただし、Microsoftは2025年中盤以降、バージョン互換性の新しい管理方法として「Compatibility Versionsシステム」を導入している。2025年7月にMicrosoft 365へ正式にロールアウトされたこのシステムでは、ワークブック単位で互換性バージョンを管理し、特定の関数(LEN、MID、SEARCH、FIND、REPLACE等)の動作を統一することが可能になった。
具体的には、Version 1(従来の計算動作、既存ワークブック全てに適用)とVersion 2(Unicode surrogate対応などの改善、2026年1月以降の新規作成ファイルに適用)の2つのバージョンが設定され、ワークブック単位で選択できる。これは、Microsoftが関数の計算結果を変更するという前例のない対応であり、既存ファイルの計算結果を保護しつつ改善を実装できるようになった点で画期的である。
設定はFormulas → Calculation Options → Compatibility Versionから行うことができ、バージョン間の互換性問題は2026年以降、根本的に改善される見込みである。
問題点5:データ整合性の脆弱性
何が問題なのか
Excelでは、ユーザーが自由にセルの値を変更、削除、上書きできる。データ入力時のバリデーション機能は設定可能だが、わずか数クリックで無効化できるため、データの整合性を保証する仕組みとしては不十分である。
現場での失敗例
在庫管理システムをExcelで運用している企業では、担当者が誤って数式を削除し、在庫数が実態と乖離するという事態が発生する。このような人為的ミスを防ぐ堅牢な仕組みがExcelには存在しない。
Part 11準拠システムでは、データの完全性を保証するため、入力値の検証、データの関係性チェック、変更不可能なロックメカニズムなどが実装されているが、Excelではこれらの機能を確実に実装することができない。
問題点6:同時編集の制約
何が問題なのか
Excel Onlineや共有ブック機能により同時編集は可能になったものの、従来のデスクトップ版Excelでは基本的に一人のユーザーしか編集できない。また、マクロ有効ファイル(.xlsm)では同時編集機能が制限される場合がある。標準の.xlsx形式では同時編集が完全にサポートされているが、マクロを使用する業務では依然として制約が存在する。
コラボレーションの障壁
複数の部門が関与するプロジェクトで、予算管理表をExcelで作成する場合、各部門が順番にファイルを編集する必要がある。これはリアルタイムのコラボレーションを阻害し、意思決定のスピードを遅らせる要因となる。
OneDrive/SharePointによる改善
OneDriveまたはSharePointにファイルを保存することで、リアルタイムの同時編集が可能になり、この問題は大幅に軽減される。複数のユーザーが同時に編集でき、変更内容は数秒以内に同期される。他のユーザーのセル選択が異なる色で表示され、@mention機能による通知・コメントも利用できる。
ただし、ローカルパス(C:\)に保存されたファイルやSharePoint on-premises(オンプレミス)環境では同時編集機能は利用できないため、組織としての統一的な運用方針が必要である。
問題点7:スケーラビリティの限界
何が問題なのか
Excelには行数(1,048,576行、正確に104万行)と列数(16,384列、XFD列)の上限が存在する。これはExcel 2007以降の全バージョン(Microsoft 365含む)に共通する技術的制約であり、220(行)および214(列)の設計限界によるものである。また、ファイルサイズが大きくなると動作が極端に遅くなり、最悪の場合クラッシュする。大量データの処理には本質的に不向きである。
参考として、他のスプレッドシートツールの上限は以下の通りである:Google Sheetsが18,268列、Row Zeroが18,268列で100万行以上対応、Apple Numbersが1,000列、LibreOffice Calcが1,024列となっており、Excelの列数制約は他のツールと比較しても限定的である。
ビッグデータ時代の課題
IoTセンサーから収集される大量のデータや、顧客の行動ログなど、現代のビジネスで扱うデータ量は急速に増加している。Excelでこれらを扱おうとすると、パフォーマンスの問題に直面し、分析作業そのものが困難になる。
規制産業では、臨床試験データや製造記録など、数十万件規模のデータを長期間保管・分析する必要があるが、Excelではこのような大規模データの管理は現実的ではない。
問題点8:セキュリティ脆弱性への露出
何が問題なのか
Excelファイルに埋め込まれたマクロ(VBA)は、マルウェアの温床となりやすい。また、ファイルの暗号化機能も、パスワードが短く単純な場合には、専用ツールによるブルートフォース攻撃で解除される可能性がある。
サイバー攻撃のリスク
2024年には、Excelの脆弱性を悪用したランサムウェア攻撃が複数報告されている。特に2024年6月には、Fortinet FortiGuard Labsが「Menace Unleashed: Excel File Deploys Cobalt Strike at Ukraine」と題された攻撃を報告している。
この攻撃では、ウクライナ語の軍事予算関連Excelファイルを装い、「Enable Content」でマクロ有効化を促す社会工学的手法が用いられた。HEXエンコードされたVBAマクロがDLLダウンローダーを展開し、regsvr32ユーティリティ経由でDLLを実行、Avast AntivirusやProcess Hackerの検出を回避しながら、ウクライナ地域限定でAES暗号化されたCobalt Strike Beaconを展開した。
このような標的型攻撃では、VBAマクロを通じてCobalt Strikeなどのマルウェアが展開され、企業の情報セキュリティ担当者にとって深刻な脅威となっている。
セキュリティ対応の進展
ただし、2022年7月27日以降、Microsoftはセキュリティを大幅に強化している。Access、Excel、PowerPoint、Visio、Word(Windows版)において、インターネット由来のマクロファイルはデフォルトでブロックされ、「Microsoft has blocked macros」という警告が表示される。
この機能はMark of the Web(MOTW)という技術に基づいており、インターネットからダウンロードされたファイルにZoneId属性を付与する。ZoneId=3(インターネットゾーン)のファイルはマクロがブロックされ、ユーザーが明示的に有効化しない限り、不用意なマクロ実行は防止される仕組みが実装されている。これにより、マクロ攻撃のリスクは大幅に軽減された。
しかし、2024年6月の攻撃事例が示すように、マルウェア作成者もこの対抗策を研究中であり、ユーザーが「Enable Content」をクリックしてしまう社会工学的手法の有効性は依然として高い。過信は禁物である。
また、暗号化については、Excel 2013以降はAES-256が採用されており、暗号化自体は強固である。Excel 2016以降では100,000回のSHA-512ハッシュが使用され、セキュリティレベルは非常に高い。しかし、パスワードが短く単純な場合、専用ツールによるブルートフォース攻撃(Intel Core i7で約50パスワード/秒)で解除される可能性が残る。強力なパスワード(12文字以上、大小英字・数字・記号の組み合わせ)を使用することで、このリスクは大幅に軽減される。
問題点9:バックアップとリカバリの困難さ
何が問題なのか
Excelファイルは通常、個人のPCやネットワークドライブに保存される。組織的なバックアップ体制が整っていない場合、ファイルの紛失や破損時に復旧が困難である。また、特定時点の状態に戻す「ポイントインタイム・リカバリ」も容易ではない。
データ損失のリスク
重要な財務データをExcelで管理している企業で、担当者のPCが故障し、過去数ヶ月分のデータが失われるという事態が実際に発生している。規制産業では、データの完全性と追跡可能性が求められるため、このようなバックアップ体制の脆弱性は重大なコンプライアンスリスクとなる。
OneDriveによる大幅な改善
この問題については、OneDriveまたはSharePointへの移行により大幅に改善される。具体的には以下の機能が利用可能になる。
- バージョン履歴: 個人用アカウントでは過去25バージョン、ビジネス/教育機関アカウントでは最大500バージョン(設定による)が自動保存され、ワンクリックで復旧可能。Harvard大学は2025年6月11日以降、自動バージョン管理アルゴリズムを導入し、古いバージョンを自動削除する仕組みを実装している。
- AutoSave機能: Microsoft公式情報(2025年5月27日更新)によると、数秒ごとにリアルタイムで自動保存され、データ損失のリスクが最小化される。ただし、OneDrive/OneDrive for Business/SharePoint Onlineへの保存とMicrosoft 365サブスクリプションが必須である。
- ポイントインタイム・リカバリ: 任意の過去時点の状態に復元可能であり、特定の時点のデータを確実に取り出すことができる。
これらの機能により、従来のバックアップとリカバリの困難さは実質的に解決される。ただし、OneDriveへの移行が前提となるため、組織として統一的な運用方針が必要である。
問題点10:規制変更への対応の遅さ
何が問題なのか
規制要件は時代とともに変化する。しかし、Excelベースのシステムでは、新たな規制要件に対応するためにファイル構造や運用ルールを変更することが困難である。特に、過去に作成された大量のファイルを遡って修正することは現実的ではない。
コンプライアンスリスク
2025年、多くの国でデータプライバシー規制が強化されている。個人情報を含むExcelファイルに対して、GDPR(EU一般データ保護規則)におけるデータ削除権(忘れられる権利)への対応や、データ処理の記録管理が求められるが、Excelではこれらの要件を満たすことが極めて困難である。
例えば、顧客データベースをExcelで管理している場合、特定の個人の全データを完全に削除し、その削除記録を保持することは、複数のファイルに分散したデータを手作業で探す必要があり、実務上不可能に近い。
Part 11準拠システムでは、規制変更に応じたシステムアップデートやデータマイグレーションが計画的に実施されるが、Excelベースのシステムではこのような柔軟な対応が困難である。
解決への道筋
専用システムへの移行検討
これらの問題点を根本的に解決するには、規制要件に対応した専用のデータ管理システムやエンタープライズ向けアプリケーションへの移行を検討すべきである。LIMS(Laboratory Information Management System)、QMS(Quality Management System)、ERP(Enterprise Resource Planning)などが選択肢となる。
これらのシステムでは、以下のような機能が標準実装されている。
- 包括的な監査証跡(誰が、いつ、何を、なぜ変更したかの完全な記録)
- 規制要件に準拠した電子署名機能
- ユーザーの役割に応じた詳細なアクセス制御
- データ整合性を保証する検証ルール
- 自動バックアップとポイントインタイム・リカバリ
- 規制変更に対応可能な柔軟なシステム設計
段階的なアプローチ
いきなり全てをExcelから移行するのではなく、まず規制リスクが最も高い領域から優先的に対応する。例えば、Part11への準拠が必須な製造記録や品質データから着手し、成功事例を積み重ねながら展開範囲を広げていく。
具体的には、以下のような優先順位付けが考えられる。
- 最優先(High Risk): FDA査察対象の電子記録(製造記録、品質試験データ、臨床試験データ)
- 優先(Medium Risk): 個人情報を含むデータベース(顧客情報、従業員情報)
- 検討(Low Risk): 定型的な集計や一時的な分析
このように、リスクベースアプローチで段階的に移行することで、組織への影響を最小化しながら確実にコンプライアンスを向上させることができる。
ハイブリッド戦略
全てをExcelから置き換える必要はない。定型的な集計や一時的な分析など、Excelが得意とする用途では引き続き活用し、監査証跡やセキュリティが重要な用途では専用システムを使用するというハイブリッドアプローチも現実的である。
具体的には、以下のような使い分けが推奨される。
Excelを継続利用できる用途
- アドホック分析や探索的データ分析
- プレゼンテーション用の図表作成
- 個人的なメモやスケジュール管理
- 一時的なデータ集計
専用システムへの移行が必要な用途:
- 規制当局への提出データ
- 長期保管が必要な記録
- 複数部門で共有する重要データ
- 監査証跡が必要な業務プロセス
まとめ
Excelは優れたツールであり、その柔軟性と使いやすさは多くのビジネスパーソンに支持されている。しかし、規制遵守が求められる環境や、データの完全性・セキュリティが重要な用途においては、従来型Excelの設計上の限界が存在する。
2025年以降、規制要件の厳格化とデータガバナンスの重要性は増す一方である。一方で、Microsoftも2025年7月のCompatibility Versionsシステム導入、2022年7月のマクロセキュリティ強化、OneDriveによるバージョン履歴・AutoSave機能の拡充など、継続的な改善を進めている。Excelの問題点と改善動向の両方を正しく理解し、適切な用途と不適切な用途を見極めることが、コンプライアンスリスクを低減し、業務効率を向上させる第一歩となる。
重要なのは、Excelを全面的に否定するのではなく、その限界を認識した上で、組織全体として最適なツールの組み合わせを選択していくことである。技術の進化を味方につけ、より信頼性の高いデータ管理体制を構築していくことが、これからの時代を生き抜く鍵となるであろう。
