「その記録を見せてください」
監査員がそう言う。こちらの監査担当が答える。「中身は機密情報のため、お見せできません」。
製薬会社の委託先(CRO)による品質監査。システム担当として同席した自分は、この攻防を横で見ながら、規制産業の本質を改めて突きつけられていた。
スポンサー監査とは別物だった
以前、製薬会社(スポンサー)からのシステム監査に対応した話を製薬メーカーのシステム監査に技術者として対応した話に書いた。
今回は違う。CRO——製薬会社が治験業務を委託している品質組織からの監査だ。立場が一段違う。スポンサーの監査が「発注元のチェック」なら、CRO監査は「品質を担保する専門組織のチェック」で、観点がより実務的で細かい。
監査にも種類がある。その違いを、実際に両方受けて初めて理解した。
技術者として聞かれたこと
監査で自分に向けられた質問は、技術の深い部分というより、「運用の証拠」を問うものが大半だった。
- 開発フロー:どういう手順で開発し、リリースしているか
- 開発ベンダーのアカウント管理:外部委託先の誰が、どこまでアクセスできるのか
- 通信の暗号化:どこで、どう暗号化しているかの具体
- システム全体の構成図:何がどう繋がっているか
- アクセス権限・認証:誰がシステムに入れるか、権限はどう管理しているか
- 監査証跡・ログ:「いつ・誰が・何をしたか」が記録されているか
- 変更管理・バリデーション:変更手順とCSV文書、テスト証跡が揃っているか
- データ保全・バックアップ:データの完全性、復旧手順、保存期間
並べてみると分かる。**「技術がどう優れているか」を聞かれていない。**問われているのは、すべて「それが記録され、証明できる状態にあるか」だ。
「記録を見せろ」と「機密だから見せられない」
この監査で一番印象に残ったのが、冒頭の攻防だ。
監査員は当然、エビデンスを見たい。「アクセス権限が適切に管理されている」と言うなら、その記録を見せてほしい。「変更管理ができている」なら、その手順書と証跡を出してほしい。監査とは、口頭の説明ではなく証拠で確認する行為だからだ。
一方で、こちらには見せられないものがある。システムの中身、具体的な構成、機密データ。それを全部開示するわけにはいかない。
そこで、自社の監査担当が盾になる。「その点はこういう仕組みで担保しています。ただし中身は機密情報のため、お見せできるのはここまでです」。見せられる範囲と見せられない範囲の線引きを、その場で交渉していく。
技術者の自分は「事実」を答える役。監査担当は「どこまで開示するか」を判断する役。この役割分担の妙を、横で見ていて面白いと思った。監査対応は技術だけでも、交渉だけでも成り立たない。
一番のギャップ:技術より「記録・証明」
エンジニアとして一番強く感じたのは、ここだ。
普段の開発では、「動くか」「速いか」「綺麗か」を気にする。でも監査の世界では、それらはほとんど問われない。問われるのは——
「それが正しく行われたことを、後から証明できるか」
どれだけ優れた設計でも、記録がなければ「やっていない」のと同じ扱いになる。逆に、地味で当たり前の運用でも、証跡がきちんと残っていれば評価される。
技術力ではなく、記録力。これが規制産業のシステム運用の核心だ。頭ではわかっていたが、監査員の質問を全身で浴びて、改めて骨身に染みた。
技術者が監査で準備しておくべきこと
今回の経験から、技術者として監査前に揃えておくべきものを整理しておく。次の自分のためのメモでもある。
- 構成図を最新に保つ:「今どうなっているか」を一枚で示せる状態に
- アクセス権限の一覧:誰が・どの権限を・いつ付与されたか
- 監査証跡が取得・保存されていること、その保持期間を即答できる
- 変更管理の証跡:変更手順・承認記録・テスト結果が紐づいている
- 暗号化の具体:どの通信を・どの方式で、を口頭で説明できる
- バックアップ・復旧手順:いつ取得し、復旧テストをしたか
ポイントは、これらを監査の前に一発で出せる状態にしておくこと。当日その場で探し始めると間に合わない。準備が9割、というのは監査でも同じだった。
規制産業のシステム運用とは何か
監査が終わって思う。規制産業でシステムを運用するとは、「良いものを作る」ことと同じくらい、「正しくやったことを証明し続ける」ことなのだと。
エンジニアの本能は前者に向く。動くもの、速いもの、美しいものを作りたい。でも、ここではそれだけでは足りない。記録を残し、証跡を積み、いつ聞かれても証明できる状態を保つ。地味だが、それが信頼の土台になる。
「記録を見せろ」と「機密だから見せられない」の攻防は、その本質を象徴していた。見せられる証拠を、見せられる形で、普段から用意しておく。それが、規制産業の技術者に求められる作法だ。
関連記事: