Microsoft Accessでシステム開発

Aceessでのシステム開発に関するコラム集です。

180.Accessでのシステム開発で知っておきたい法律・規制とその対応策

Accessによる業務システムの開発は、比較的手軽で内製化もしやすく、多くの企業や自治体で利用されています。しかし、システムを業務で運用する以上、法令順守は避けて通れません。特に近年は、個人情報保護や労務管理、セキュリティに関する法律が厳しくなっており、Access開発者や社内システム担当者も、法律・規制に対する理解が求められています。この記事では、Accessでのシステム開発で押さえておくべき主な法律と、それに対応するための具体策を紹介します。

●個人情報保護法（改正個人情報保護法）
Accessを使って顧客管理や従業員情報のシステムを作成する場合、個人情報保護法の対象となります。氏名、住所、電話番号、メールアドレスなどを扱う場合には、以下のような配慮が必要です。

アクセス制限の設定：ログイン機能の実装や、フォーム・テーブル単位でのアクセス制御が重要です。パスワード付きの起動ファイルや、ユーザーレベルでの操作制限を設けましょう。

ログ管理：誰がいつ、どのデータにアクセス・変更したかを記録する機能（監査ログ）を導入することで、情報漏えい時の追跡が可能になります。

不要な個人データの保有禁止：不要になった個人情報は、削除または匿名化処理を行い、保有期間を明確に定義しましょう。

●労働安全衛生法・労働時間適正把握の指針
勤怠管理システムや残業記録などをAccessで開発するケースでは、厚生労働省の定める「労働時間の適正な把握のためのガイドライン」に準拠する必要があります。打刻機能、残業警告、36協定の超過アラートなど、法定の時間管理に対応したロジック設計が求められます。

また、タイムスタンプの改ざん防止機能や、上長による確認承認の仕組みも推奨されるため、フォームやマクロの工夫が重要です。

●マイナンバー法への対応
Accessシステムでマイナンバー（個人番号）を取り扱う場合、極めて厳格な管理が必要になります。以下のような対応策が不可欠です。

暗号化：マイナンバーを格納するフィールドは、VBAを使ってAES暗号などで暗号化し、平文で保持しない設計にします。

厳格なアクセス管理：特定の管理者だけがデータを閲覧できるようにし、ユーザー認証や閲覧ログの記録を行いましょう。

取り扱い履歴の保存：データの表示、変更、削除といった操作をログとして残し、外部監査にも対応できるようにする必要があります。

サイバーセキュリティ基本法・情報セキュリティ10大脅威
クラウド環境と連携するAccessシステムや、社外とのデータのやり取りが発生する場合、情報セキュリティ対策は必須です。IPA（情報処理推進機構）が公表する「情報セキュリティ10大脅威」を参考に、以下のような対策を講じましょう。

パスワードの強化：簡易なパスワードではなく、8桁以上・英数字混在・定期変更などを徹底。

外部送信時のチェック：CSVやExcelで出力する際には、出力前に確認ダイアログを表示し、誤送信を防ぐ。

マルウェア対策：Accessファイルはマクロを多用するため、セキュリティソフトとの併用や、信頼された環境での運用が重要です。

開発契約と著作権に関する注意
外部の開発者やフリーランスにAccessシステムを委託する場合、著作権や契約範囲も注意が必要です。ソースコードの所有権、再利用可否、保守契約の有無などを明記した契約書を作成し、後のトラブルを防ぎましょう。

Accessシステムはその柔軟性ゆえに、多様な業務に適用できますが、法的・規制的な観点を軽視して開発を進めてしまうと、大きなリスクに発展します。技術だけでなく、運用面や管理体制まで含めた「コンプライアンスを意識した開発」が、これからのAccess開発者に求められる姿勢と言えるでしょう。