タイムスタンプの付与要件に代えて入力期間内に訂正削除履歴の残るシステムに格納することとする場合には、例えば、他社が提供するクラウドサーバにより保存を行い、当該クラウドサーバについて客観的な時刻証明機能を備えている必要があるとのことですが、自社システムで満たすことは可能でしょうか。

ああ、よくある質問ですね。結論から言うと、原則として自社システムではタイムスタンプの代替要件を満たすことはできません。

問題は「客観性」なんです。自社システムだと、システム管理者が時刻を変更できてしまう可能性がありますよね。

その通りです。例えば、本当は1月15日に保存したのに、後から「1月10日に保存した」ように見せかけることが技術的には可能なんです。

その気持ちは分かります。でも税務上の要件として求められているのは「第三者から見ても客観的に証明できる」ということなんです。本人が「やってません」と言うだけでは不十分なんですね。

そうです。取扱通達4-26では、保存日時の証明が「客観的に担保されている」ことが必要と明記されています。

実は、例外が一つだけあります。その会社が「システムベンダー」の場合です。

つまり、時刻証明機能を備えたクラウドサービスやシステムを、他社に提供しているIT企業のことです。

良い質問ですね。例えば、E社というシステム会社が、文書管理システムをF社、G社、H社という複数の顧客企業に提供しているとします。

E社が自分たちで時刻を改ざんしたら、顧客であるF社やG社、H社にも影響が出ますよね。つまり、第三者である顧客との関係性から、時刻の非改ざん性が担保されるんです。

正確です。顧客との信頼関係、契約関係があるから、客観性が認められるということです。

それは認められません。D社はシステムを外部に提供していないので、第三者との関係性がないからです。

鋭い質問ですね。もし完全に別システムで、顧客が使っていないシステムなら、それは通常の自社システムと同じ扱いになると考えられます。

そういうことです。では、具体例で考えてみましょう。I社という会社が自社開発の文書管理システムを持っていて、「うちのシステムはNTPサーバーと同期してるから大丈夫」と言っているケース。

はい。確かにNTPサーバーと同期していても、I社のシステム管理者がサーバーの設定を変更して、NTP同期を一時的に止めることができてしまいます。

その通り。でも、他社が提供するクラウドサービスなら、利用者側はサーバーの設定を変更できません。そこが決定的な違いです。

ISOの認証は素晴らしいことですが、電帳法の要件とは別物です。ISOは管理体制の認証であって、時刻証明の客観性を担保するものではありません。

その通りです。では、実際にK社であった事例を紹介しましょう。

K社は大手企業で、自社開発の基幹システムがありました。IT部門も充実していて、「自社システムで電帳法対応したい」と相談を受けました。

そうなんです。でも結局、タイムスタンプの代替要件は満たせないという結論になりました。

K社には二つの選択肢を提案しました。一つは、タイムスタンプを付与する方法。もう一つは、外部のクラウドサービスと連携する方法です。

K社は、基幹システムは自社のままで、スキャンした書類だけ電帳法対応のクラウドストレージに自動転送する仕組みを構築しました。

そうです。これなら、業務の流れはほとんど変えずに、電帳法の要件も満たせます。コストも最小限で済みました。

もう一つの方法は、タイムスタンプを使うことです。最近は自動でタイムスタンプを付与できるソフトウェアもあります。

はい。例えば、書類をスキャンして自社システムに保存すると同時に、タイムスタンプも自動的に付与されるような仕組みです。

L社という中小企業では、そういうタイムスタンプ一体型のスキャナ保存ソフトを導入しました。月額3,000円程度で、年間1,000件までタイムスタンプを付与できるプランです。

最近は電帳法対応の需要が増えて、価格競争も激しくなっていますからね。

監査ログは重要ですが、それだけでは不十分です。なぜなら、その監査ログ自体も自社システムで管理されているからです。

理論上はそうです。もちろん、実際に改ざんするかどうかではなく、「改ざんできないことを客観的に証明できるか」が問題なんです。

親会社のシステムを使ってるんですけど、これは自社システムになるんでしょうか?

良い質問ですね。それは親会社とM社の契約関係によります。

親会社が「クラウドサービス提供者」として、正式にM社にサービスを提供している形なら、他社提供のクラウドサービスとして認められる可能性があります。

そうです。きちんとしたサービス提供契約があり、SLA(サービスレベル契約)などで時刻証明の信頼性が保証されていることが重要です。

もう一つ重要なポイントがあります。仮に自社システムで対応しようとして、後で税務調査で否認されたらどうなると思いますか?

その通りです。すでに原本を廃棄していたら、適切な保存をしていなかったことになり、青色申告の承認取消しなどのリスクもあります。

そうです。N社という会社では、自社システムで対応しようとしていたんですが、税理士として「リスクが高すぎる」と説明して、結局クラウドサービスに変更してもらいました。

では、まとめましょう。自社システムでタイムスタンプの代替要件を満たすことは、原則としてできません。

正確です。一般企業が自社システムで対応したい場合は、タイムスタンプを付与するか、外部のクラウドサービスを利用する必要があります。

完璧です。クライアントには、「確実性」と「コスト」を天秤にかけて、最適な方法を提案してください。

良いですね。その際、年間の書類保存件数や、既存システムとの連携のしやすさも考慮して提案すると良いでしょう。

素晴らしい。電帳法対応は、技術的な要件だけでなく、客観性や証明可能性という法的な視点も重要なんです。これを忘れずにクライアントをサポートしてください。