Excelを使用する場合の管理留意点

多くの企業や組織において、Microsoft Excelは最も身近で汎用性の高いツールとして広く活用されている。しかし、その手軽さゆえに、データ管理における重要なリスクが見過ごされがちである。特にビジネスの現場では、Excelファイルが契約書、見積書、在庫管理表など、重要な業務記録として使用されることが多い。
2025年の改訂J-SOX実施基準では、Excel単体での内部統制運用に対して厳しい見解が示されており、「証跡性・再現性の確保されたシステム」の重要性が改めて強調されている。本稿では、こうした最新の要求事項を踏まえ、Excelを業務で使用する際に押さえるべき管理上の留意点について解説する。

Excel管理における三つの重要原則

1. データの真正性確保と証跡管理

Excelの最大の特徴は、データの修正が容易である点である。この利便性は業務効率を高める一方で、意図的・偶発的を問わず改ざんのリスクを孕んでいる。データの真正性を確保するためには、技術的な保護措置と適切な運用ルールの両面からアプローチする必要がある。

電子データ管理の優位性

従来、「紙に印刷して保管すれば安心」という考え方が一般的であった。しかし、法的な観点から見ると、印刷物と電子データの証拠能力に本質的な差はない。むしろ、適切に管理された電子データは、以下の理由から印刷物よりも高い証拠能力を持つ場合がある。

• タイムスタンプの自動記録：ファイルの作成日時・更新日時が自動的に記録される
• 電子署名による真正性の証明：電子署名法第3条により「二段の推定」が適用され、高い証拠能力を持つ
• アクセスログの記録：誰がいつファイルにアクセスしたかを追跡できる
• ハッシュ値による完全性の保証：ファイルが改ざんされていないことを技術的に証明できる

印刷物は、これらの技術的証跡を持たないため、むしろ証拠能力の面では劣る場合がある。ただし、印刷物は視覚的な確認が容易であり、デジタルデータのバックアップとして補助的に活用する価値はある。

実務的な保護機能の活用

Excelには、データの真正性を確保するための機能が複数搭載されている。これらを適切に組み合わせることで、改ざんリスクを大幅に低減できる。

読み取り専用設定

確定版ファイルには必ず読み取り専用設定を適用すべきである。設定方法は以下の三つがある。

1. 読み取り専用を推奨する設定：ファイルを開く際に確認メッセージが表示され、意図しない編集を防止する
2. 書き込みパスワードの設定：編集にはパスワード入力が必要となり、閲覧は自由だが編集は制限される
3. ファイルプロパティでの設定：OS レベルでファイルを読み取り専用にし、上書き保存を不可能にする

これらの設定により、複数人での同時編集による競合や、誤操作による上書きを防止できる。

変更履歴の記録機能

Excelの「変更履歴の記録」機能は、内部統制の観点から極めて重要である。この機能を有効にすると

• セルの値の変更、追加、削除がすべて記録される
• 変更者、変更日時、変更前後の値が追跡可能になる
• 変更箇所がハイライト表示され、視覚的に確認できる
• 必要に応じて変更を承認または却下できる
• パスワード保護により、履歴の改ざんを防止できる

この機能は、J-SOX対応における「証跡性」の要求を満たす重要な手段となる。監査時には、この変更履歴を提示することで、適切な業務プロセスが実行されていたことを証明できる。

ケーススタディ：適切な証跡管理の実践例

ある製造業の企業では、受注管理において以下のような運用を確立している。

データ入力時

• OneDrive上のExcel標準フォーマットに入力
• 自動保存とバージョン履歴が有効化されていることを確認
• 重要なマイルストーンでは「現在のバージョン」として手動マーク
• 変更履歴の記録機能を常時有効化

ファイル保存時

• OneDriveの適切なフォルダに保存（アクセス権限設定済み）
• 確定版は読み取り専用に設定
• 重要データには書き込みパスワードを追加設定

定期管理

• 自動バージョン履歴により変更を追跡（手動作業不要）
• 週次でバックアップ状況を自動確認
• 月次でアクセスログを自動レビュー（異常検知設定）
• 四半期ごとにアクセス権限の棚卸し

この運用により、データの改ざんリスクが大幅に低減し、監査時の証跡提出もスムーズになったという。重要なのは、紙への印刷に頼るのではなく、電子データとしての適切な管理体制を構築することである。

2. タイムスタンプの保護：信頼性の基盤

Excelファイルには、作成日時や更新日時といったタイムスタンプ情報が記録されている。このタイムスタンプは、ファイルの信頼性を担保する重要な要素である。

タイムスタンプが持つ意味

タイムスタンプは、以下の情報を提供する。

• いつファイルが作成されたか
• 最後にいつ更新されたか
• 誰がアクセスしたか（システム設定による）

これらの情報は、データの真正性を証明する上で極めて重要である。特に法的紛争や監査の場面では、タイムスタンプが決定的な証拠となる場合がある。

タイムスタンプを損なう行為

しかし、以下のような操作を行うと、タイムスタンプの信頼性が失われる。

ファイルのコピー＆ペースト

ファイルをコピーして別の場所に貼り付けると、作成日時が新しく記録されてしまい、元の作成時期が分からなくなる。ただし、更新日時は保持されるため、完全に情報が失われるわけではない。

別名保存の繰り返し

「見積書_最終版.xlsx」「見積書_最終版2.xlsx」のように、別名保存を繰り返すと、どれが真の最終版か分からなくなり、タイムスタンプの連続性が失われる。

システム日時の変更

PCのシステム日時を変更してファイルを保存すると、実際とは異なるタイムスタンプが記録され、記録の信頼性が完全に失われる。

適切な管理方法

タイムスタンプを保護するためには、以下の方法を実践すべきである。

ファイル移動の正しい方法

• 「移動」機能の使用：コピー＆ペーストではなく、「移動」機能を使用すればタイムスタンプは保持される
• robocopyコマンドの活用：大量のファイルやフォルダを移動する場合、Windowsのrobocopyコマンド（robocopy 移動元 移動先 /DCOPY:DAT /E ）を使用すれば、全タイムスタンプを保持したまま移動できる

バージョン管理システムの活用

Microsoft 365環境では、OneDrive/SharePoint上のファイルに自動的にバージョン履歴が記録される。

• 既定で500バージョンまで保存される
• 各バージョンのタイムスタンプも保持される
• 「誰が、いつ、何を」変更したかが自動記録される
• 任意の過去バージョンへの復元が可能

この自動バージョン管理機能により、タイムスタンプの信頼性が飛躍的に向上する。従来のファイル管理では、人間が注意深く操作しなければタイムスタンプが失われるリスクがあったが、クラウド環境ではシステムが自動的に保護してくれる。

ファイル名のルール化

システムによる自動管理が難しい環境では、ファイル名自体に日付を含めるルールを定めることが有効である。

• 形式例：YYYYMMDD_文書名_版番号.xlsx 
• 実例：20250127_受注管理表_v1.0.xlsx 

ただし、Microsoft 365環境ではバージョン履歴機能があるため、このような別名保存の必要性は大幅に減少している。

3. セキュリティで保護された環境での管理

Excelファイルには、機密情報や個人情報が含まれることが多い。適切なセキュリティ対策なしに管理すると、情報漏洩や不正アクセスのリスクが高まる。

物理的・論理的セキュリティ対策

アクセス制限のある環境での保管

重要なExcelファイルは、以下のような環境で管理すべきである。

• 入室制限のあるサーバールーム
• パスワード保護されたネットワークドライブ
• 暗号化されたクラウドストレージ（OneDrive/SharePoint等）

ローカルPCのデスクトップや個人フォルダに重要ファイルを保存することは避けるべきである。特に、OneDrive/SharePointへの移行は、以下の理由から強く推奨される。

• アクセス権限の詳細な設定が可能
• 自動バージョン履歴による変更追跡
• アクセスログの自動記録
• DLP（Data Loss Prevention）による機密情報保護
• 条件付きアクセスによるセキュリティ強化

バックアップ戦略の進化：3-2-1-1-0ルール

従来、バックアップのベストプラクティスとして「3-2-1ルール」が推奨されてきた。

• 3つのコピーを保持
• 2種類の異なる媒体に保存
• 1つは別の場所に保管

しかし、近年のランサムウェア攻撃の高度化により、このルールは「3-2-1-1-0ルール」へと進化している。

• 3つのコピーを保持
• 2種類の異なる媒体に保存
• 1つは別の場所に保管
• 1つはオフライン/イミュータブル（不変）なコピー ← 新規追加
• 0エラーでの復元確認を定期実施 ← 新規追加

ランサムウェアのバックアップ攻撃

従来のランサムウェアは、業務データを暗号化することで身代金を要求していた。しかし、最近のランサムウェアは、バックアップデータ自体を標的にするようになっている。ネットワーク接続されたバックアップは、業務データと同様に暗号化される危険性がある。

このため、以下の対策が不可欠である。

• オフラインバックアップ：ネットワークから物理的に切り離されたバックアップを保持する
• イミュータブルストレージ：一度書き込まれたデータを変更・削除できないストレージを使用する
• 定期的な復元テスト：バックアップが本当に復元可能かを定期的に検証する

デジタルセキュリティ対策

パスワード保護の適切な使用と限界

Excelには、ファイルやシート、セル単位でのパスワード保護機能がある。これらを適切に活用することで、一定のセキュリティを確保できる。

• ファイルパスワード：ファイルを開く際にパスワードを要求
• シート保護：特定のシートの編集を制限
• セル保護：特定のセルのみ編集可能にし、数式や重要データを保護

ただしExcelのパスワード保護には重大な脆弱性があることを認識しなければならない。

• パスワード解除ツールが多数存在する
• 特にExcel 97-2003形式は非常に脆弱
• VBAコードやZIP解凍により簡単に解除できる
• シート保護やブック保護も、XMLファイルの編集で解除可能

したがって、Excelのパスワード保護は「気軽な閲覧を防止する」程度の効果しかないと考えるべきである。機密性の高いデータには、以下の対策を併用する必要がある。

• 専用の暗号化ツールの使用
• OneDrive/SharePointのアクセス権限管理との組み合わせ
• DLP（Data Loss Prevention）機能の活用

アクセス権限の管理

SharePointやOneDrive for Businessを使用する場合、適切なアクセス権限設定が極めて重要である。

• 最小権限の原則：必要な人にのみ、必要な権限を付与する
• 定期的な権限レビュー：退職者や異動者の権限を速やかに削除する
• 共有リンクの管理：期限付きリンクの活用、組織外共有の制限を行う
• 条件付きアクセス：特定のデバイスや場所からのアクセスのみを許可する

内部統制におけるExcel管理の課題と対策

Excel単体運用の限界

2025年の改訂J-SOX実施基準では、Excel単体での内部統制運用に対して厳しい見解が示されている。主な問題点は以下の通りである。

証跡が残らない問題

Excel単体では、「誰が、いつ、何を」変更したかを確実に記録することが困難である。特に、ローカルPCで管理されているExcelファイルでは

• アクセスログが記録されない
• 変更履歴を後から改ざんできる
• ファイルのコピーや削除が追跡できない

これにより、監査時に「やったことを証明できない」状態に陥り、説明責任を果たせなくなる。

改ざんが容易な問題

Excelファイルは、技術的に改ざんが非常に容易である。

• ファイルのコピーや変更が簡単
• タイムスタンプの操作が可能
• パスワード保護も容易に解除できる
• ハッシュ値による完全性確認が一般的でない

これらの特性により、悪意ある改ざんを防ぐことが困難である。

属人的な運用の問題

Excel管理は属人的になりがちで、以下のリスクが生じる。

• 個人PCに保存され、組織として管理できない
• バージョン管理が担当者の判断に依存する
• 担当者不在時に業務が継続できない
• 退職時にファイルが失われる

Excel運用の最低限要件

内部統制の観点から、Excelを業務で使用する場合、以下の要件を満たすことが最低限必要である。

システム環境の要件

1. OneDrive/SharePoint上での管理：ローカルPC保存を禁止し、クラウド環境で一元管理する
2. 自動バージョン履歴の有効化：変更の追跡可能性を確保する
3. アクセス権限の適切な設定：最小権限の原則に基づく権限管理
4. アクセスログの自動記録：誰がいつアクセスしたかを記録する

運用ルールの要件

1. 変更履歴機能の常時有効化：すべての変更を追跡可能にする
2. 確定版の読み取り専用設定：意図しない変更を防止する
3. 定期的な監査ログレビュー：異常なアクセスを検知する
4. バックアップの自動化：3-2-1-1-0ルールに準拠する

システム化への移行推奨

ただし、これらの要件を満たしても、Excel単体では限界がある。以下の場合は、専用システムへの移行を検討すべきである。

• 複数部門にまたがる業務プロセス
• 承認ワークフローが必要な業務
• 大量のトランザクションを処理する業務
• 高度な監査証跡が必要な業務

専用システムとしては、以下のような選択肢がある。

• ワークフローシステム
• 内部統制専用ツール
• ERP（統合基幹業務システム）
• クラウド型業務管理システム

Excel管理の自己診断チェックリスト

自組織のExcel管理体制を確認するため、以下のチェックリストを活用されたい。

デジタル管理項目

□ OneDrive/SharePointでのファイル管理が実施されているか
□ 自動バージョン履歴機能が有効化されているか
□ 変更履歴の記録機能を適切に活用しているか
□ 読み取り専用設定を確定版ファイルに適用しているか
□ ファイルのコピー＆ペーストではなく、移動や参照を使用しているか
□ ファイル名に日付や版番号を含めるルールが定められているか（バージョン管理システムがない場合）

内部統制項目

□ 「誰が、いつ、何を」変更したかを追跡できる仕組みがあるか
□ アクセスログの自動記録と定期レビューが実施されているか
□ 改ざん検知の仕組み（ハッシュ値等）があるか
□ 監査時に証跡を迅速に提出できる体制があるか
□ 重要な変更時には変更理由と変更者を記録しているか
□ 定期的に棚卸しを行い、不要ファイルを削除しているか

セキュリティ項目

□ アクセス制限のあるフォルダやドライブで管理されているか
□ 機密情報を含むファイルには適切な保護が設定されているか
□ アクセス権限の定期レビューが行われているか
□ DLP（Data Loss Prevention）機能が有効化されているか
□ 条件付きアクセスポリシーが設定されているか

ランサムウェア対策項目

□ 3-2-1-1-0バックアップルールに準拠しているか
□ オフライン/イミュータブルバックアップがあるか
□ バックアップからの復元テストを定期的に実施しているか
□ バックアップデータへのアクセス制御は適切か
□ ランサムウェア検知の仕組みがあるか

今後の展望：Excelを取り巻く環境の変化

クラウド化による管理の進化

Microsoft 365の普及により、Excelもクラウドベースでの利用が主流になりつつある。これにより、データ管理の質が大幅に向上している。

自動バージョン履歴

OneDrive/SharePoint上のExcelファイルは、自動的にバージョン履歴が保存される。過去のバージョンに遡って確認・復元が可能となり、タイムスタンプの信頼性が大幅に向上する。これにより、従来のような手動でのバージョン管理や別名保存の必要性が大幅に減少している。

リアルタイム共同編集

複数人が同時に編集できる機能により、メール添付でのファイル共有が不要になり、「最終版」の混乱が解消される。変更が数秒でリアルタイム反映されるため、作業効率が飛躍的に向上する。

監査ログの自動記録

誰がいつアクセスし、何を変更したかが自動的に記録され、トレーサビリティが確保される。これにより、内部統制の要求事項である「証跡性」が自動的に満たされる。

AIとの統合による新たな可能性

2025年現在、AIがExcelに統合されつつあり、以下のような機能が実用化されている。

• データクリーニング（重複削除、形式統一）
• トレンド識別と予測分析
• 複雑な関数の自動生成
• テキスト分析とセンチメント分析
• グラフとピボットテーブルの自動生成
• 異常値の自動検出と警告

利用条件と制約

ただし、これらの高度なAI機能を利用するには、以下の条件を理解しておく必要がある。

法人向け

• Microsoft 365 Copilot（有料アドオン）の契約が必要
• 追加料金が発生する

個人向け

• Microsoft 365 Personal/Familyに基本機能が含まれる（2025年より）
• 月60個のAIクレジットが付与される
• 1回の使用で複数クレジットを消費する場合がある
• クレジット消費後は月が変わるまで利用不可

2025年11月の重要な進化：COPILOT関数

2025年11月より、「COPILOT関数」が展開開始される。この関数により、セルに自然言語プロンプトを入力するだけでAI処理が可能になる。従来の数値処理関数とAIテキスト処理を組み合わせた革新的機能であり、Excel の使い方そのものが変わる可能性がある。

AIの適切な活用

AI活用においても、最終的な責任は人間が持つべきである。重要な判断についてはAIの提案を鵜呑みにせず、人間が確認・承認するプロセスが不可欠である。特に、以下の点に注意が必要である。

• AIが生成したデータの妥当性を必ず検証する
• 重要な意思決定はAIに全面的に依存しない
• AIの判断根拠を理解し、説明できるようにする
• 定期的にAIの出力精度を検証する

セキュリティの最新動向

ゼロトラストアーキテクチャ

従来の境界防御（組織内は安全、外部は危険という考え方）から、ゼロトラスト（すべてのアクセスを検証する）への移行が進んでいる。Microsoft 365では、以下の機能によりゼロトラストを実現している。

• 条件付きアクセスポリシー
• MFA（多要素認証）の必須化
• デバイスコンプライアンスチェック
• リスクベース認証

DLP（Data Loss Prevention）の活用

DLPは、機密情報の自動検知と保護を実現する機能である。Excelファイルに含まれる個人情報や機密情報を自動的に検知し、以下のような保護措置を講じる。

• 外部共有の自動制限
• 機密情報を含むファイルのダウンロード制限
• ポリシー違反の自動通知
• 機密情報のマスキング

まとめ

Excelは便利なツールであるが、その手軽さゆえに管理面での注意が疎かになりがちである。本稿で述べた三つの原則——「データの真正性確保と証跡管理」「タイムスタンプの保護」「セキュリティで保護された環境での管理」——を実践することで、データの信頼性と安全性を大きく向上させることができる。
特に重要なのは、以下の点である。

電子データの適切な管理が最優先

印刷物に頼るのではなく、電子データとしての適切な管理体制を構築することが重要である。電子署名、タイムスタンプ、アクセスログ、ハッシュ値などの技術的証跡により、印刷物よりも高い証拠能力を確保できる。

内部統制への対応

改訂J-SOX実施基準を踏まえ、証跡性・再現性を確保する管理体制が不可欠である。Excel単体での運用には限界があり、OneDrive/SharePointなどのクラウド環境への移行、または専用システムへの移行を検討すべきである。

ランサムウェア対策の強化

3-2-1-1-0バックアップルールに準拠し、オフライン/イミュータブルバックアップを確保することが重要である。バックアップ自体が攻撃対象となる現代において、従来のバックアップ戦略では不十分である。

クラウドとAIの活用

Microsoft 365環境の自動バージョン履歴、リアルタイム共同編集、AI機能などを積極的に活用することで、管理の質を飛躍的に向上させることができる。ただし、AI機能の利用条件や制約を理解し、適切に活用することが重要である。
デジタルトランスフォーメーションが進む現代においては、クラウド環境とAI技術を積極的に取り入れながらも、基本的な管理原則を守ることが、これからの時代においても変わらず重要である。各組織の業務特性に応じて、本稿で紹介した方法をカスタマイズし、実効性のある管理体制を構築されることを期待する。

関連商品

お役立ち情報

QMS（手順書）ひな形　CSV関連

🕒️2023年4月7日

お役立ち情報

QMS（手順書）ひな形　医薬品関連

🕒️2023年4月7日

ecompliance.co.jp

【セミナービデオ】データインテグリティSOP作成セミナー 株式会社イーコンプライ...

https://ecompliance.co.jp/SHOP/EL-006.html

製薬業界においては、患者の安全性を確保するためにデータインテグリティに関心が高まっています。紙媒体であれ、電子記録であれ、記録（データ）や文書の信頼性を担保することは極めて重要です。改正GMP省令では、データインテグリティに関する手順書の整備が求められます。いったいどんな手順書を作成すれば良いのでしょうか。データインテグリティに関する手順書は、企業や組織で1冊作成すれば良いというものではありません。現存の関連するすべての手順書にデータインテグリティを保証するための手順を埋め込んでいかなければなり...

ecompliance.co.jp

【書籍】 3極当局の指摘事例にみる ラボにおけるデータ記録・管理と電子化への移行

https://ecompliance.co.jp/SHOP/P099.html

ecompliance.co.jp

【VOD】生成AIシステムのCSV実施とAIリテラシー教育セミナー

https://ecompliance.co.jp/SHOP/O161.html

ecompliance.co.jp

【VOD】データインテグリティ・21 CFR Part 11対応セミナー

https://ecompliance.co.jp/SHOP/O159.html