午前二時十三分。

最初の異常ログが出た時刻と同じ数字が、壁の時計に再び現れた。

二時十三分。

あの夜、法務管理者アカウントは外部へ何かを送った。あの夜、会社の神話は裂けた。そして今、怜子は同じ時刻に、別の扉の前に立っている。

監査計画　未実施

そのファイルは、文書保管室の一番下の棚にあった。

背表紙は厚い。しかし、紙はほとんど開かれていない。

佐伯が、そっと表紙を撫でるように見た。

「未実施、ですか」

怜子はうなずいた。

「契約には監査権があった。台帳にも監査予定欄があった。でも、実際に行ったかどうかを見る」

山崎行政書士事務所の山崎が、電話越しに言った。

『監査権は、書いてあるだけでは眠った権利です。使って初めて、相手も自社も目を覚まします』

遠野が低い声で続けた。

「ミナセも、オルフェも、ネレイドも、実地監査はしていないはずです」

「はず？」

怜子は聞き返した。

遠野は少し顔をしかめた。

「少なくとも、情報システム部門では記録を見ていません」

山崎がすぐに言った。

『“していないはず”ではなく、“情報システム部門では記録未確認”ですね』

遠野は、疲れた表情で笑った。

「山崎さん、もう頭の中で訂正されるようになりました」

『よい傾向です』

佐伯が記録した。

午前二時十三分。監査計画未実施ファイルの確認を開始。情報システム部門におけるミナセ、オルフェ、ネレイドへの実地監査記録は現時点で未確認。

怜子は、ファイルを開いた。

最初のページには、三年前の日付。

委託先監査計画案

対象委託先。ミナセ・データリンク。オルフェ・クラウドサービス。ネレイド・アナリティクス。旧エウリュディケ関連クラウド環境。A市健康管理事業関連委託先。コールセンター予備委託先。外部分析環境。

監査観点。

契約遵守。再委託管理。アクセス権限。ログ保全。障害・事故報告体制。個人情報取扱い。クラウド設定。削除証明。教育履歴。証跡提出可否。

怜子は、その項目を見て静かに息を吸った。

すべて、今問題になっていることだった。

三年前の監査計画案は、未来を見ていた。

しかし、実施欄は空白だった。

実施日。監査担当。結果。是正依頼。完了確認。

すべて空白。

佐伯が小さく言った。

「計画はあったんですね」

「ええ」

怜子は答えた。

「計画は」

山崎が言った。

『計画があることと、監査したことは違います。監査したことと、是正したことも違います。是正したことと、完了確認したことも違います』

「はい」

怜子は、言葉を引き取った。

「その四つを分けます」

佐伯は、新しい表を作り始めた。

監査権行使状況整理表

契約上の監査権有無。監査計画有無。監査実施有無。監査結果有無。是正依頼有無。是正完了確認有無。未実施理由。判断者。次回対応。

また表だ。

だが、今度の表は、眠っていた権利を起こす表だった。

午前二時四十一分。

ファイルの二枚目には、監査計画が実施されなかった理由メモが挟まっていた。

件名。

委託先監査の実施時期について

本文。

怜子は、読み終えて目を閉じた。

書面確認。整理中。閉鎖予定。正式化前。

また、会社の魔法の言葉が並んでいる。

監査をしない理由は、いつも合理的に見える。

相手に負担をかける。費用がかかる。まだ契約が整理されていない。もうすぐ閉じる。まだ正式ではない。事業を止めるほどではない。

そして、監査されなかった場所から事故は起きる。

山崎が言った。

『このメモは、監査未実施の判断理由として重要です。作成者と承認者を確認してください』

佐伯が確認する。

「作成者、コンプライアンス室。確認、経営企画、情報システム運用課、法務部。承認、黒川さん」

「法務部の確認者は？」

佐伯の手が止まる。

「柏木前部長です」

怜子はうなずいた。

また柏木。

だが、柏木だけではない。

経営企画。情報システム運用課。コンプライアンス室。黒川。法務。

監査は、誰か一人が止めたのではない。複数の部署が、合理的に先送りした。

その合理性の総和が、無監査になった。

午前三時十七分。

遠野が電子側の監査フォルダを調べた。

書面確認シートが見つかった。

ミナセ・データリンクの回答。

質問一、情報セキュリティ管理体制は整備されていますか。回答、はい。

質問二、再委託先はありますか。回答、なし。

質問三、外部クラウドサービスを利用していますか。回答、業務に直接関係する利用はありません。

質問四、インシデント発生時の報告体制はありますか。回答、あります。

質問五、ログ保全期間は。回答、三か月。

質問六、監査を受け入れる体制はありますか。回答、あります。

怜子は、回答を見て言った。

「再委託先なし」

遠野が答えた。

「実際には、外部クラウド監視サービスを使っていた」

「“業務に直接関係する利用はありません”」

「ミナセは、ツール利用だから直接関係しないと整理したのかもしれません」

山崎が言った。

『質問の仕方も問題です。“外部クラウドサービスを利用していますか”だけでは、相手は自社判断で除外できます。業務データ、ログ、設定情報、認証情報、監視情報、サポート情報が外部サービスに送信・保存・閲覧されるか、項目を分けて聞くべきでした』

怜子は、書面確認シートを見た。

はい。なし。あります。

チェックボックスは美しい。

だが、美しいチェックボックスほど危険だ。

相手の「はい」を、自社の安心に変えてしまう。相手の「なし」を、調査終了にしてしまう。相手の「あります」を、体制の存在証明にしてしまう。

山崎が続けた。

『書面監査は、相手に書かせるだけではなく、根拠資料を求める必要があります。規程名、ログサンプル、再委託先一覧、契約書、アクセス権限台帳、教育記録、インシデント訓練記録。回答だけで終わらせない』

佐伯は、監査再設計メモに書いた。

回答だけで終わらせない。根拠資料を求める。

午前三時五十五分。

オルフェとネレイドの監査記録は、見つからなかった。

正確には、監査対象にする前の「対象整理メモ」があるだけだった。

契約主体整理後。

その後、整理はされていない。

怜子は、机に両手を置いた。

「契約が曖昧だから監査しない。監査しないから実態がわからない。実態がわからないから契約が整理できない」

遠野が言った。

「循環しています」

「迷宮ですね」

佐伯が呟いた。

山崎が言った。

『契約主体が曖昧な相手ほど、先に実態確認が必要です。契約があるから監査するのではなく、実態があるから確認する。そこを再発防止に入れましょう』

怜子は、再発防止案に書いた。

契約書の有無にかかわらず、データ、ログ、認証情報、設定情報、業務判断に関与する実態がある外部事業者を監査対象候補に含める。

山崎が言った。

『よいです。さらに、“契約主体整理中”を監査延期理由にしない、と入れてください』

怜子は追記した。

契約主体整理中であることを理由に、実態確認を延期しない。

午前四時二十六分。

A市への委託契約書を再確認した。

アステリオンは、A市に対して、再委託先を適切に管理し、必要に応じて監査を受け入れ、事故時には速やかに報告する義務を負っている。

A市から見れば、アステリオンは受託者だ。ミナセやオルフェやネレイドがどうであれ、まず説明責任を負うのはアステリオン。

怜子は、A市への監査対応履歴を探した。

A市は、二年前に一度、委託先管理について照会していた。

質問。

再委託先の管理状況を示す資料をご提出ください。

アステリオンの回答。

怜子は、その回答を見て、胸の奥が冷えた。

適切に管理しています。必要に応じて確認を実施しています。

しかし、ミナセの外部サービス利用は台帳にない。オルフェとネレイドは監査対象整理中。旧環境は閉鎖予定として除外。監査は未実施。

この回答は、正確だったのか。

嘘とまでは言えないかもしれない。だが、実態を十分に表していない。

山崎が言った。

『A市への過去回答は、今回の更新説明で触れる必要があるかもしれません』

怜子はうなずいた。

「厳しいですね」

『はい。ただ、A市はこの回答を前提に御社を信頼した可能性があります』

その通りだった。

行政からの照会に、会社は「適切に管理」と答えた。行政は、それを信じた。住民の情報は、そのまま預けられた。

言葉は、相手の判断材料になる。

だから、言葉の中身が空なら、相手も空を掴むことになる。

午前五時三分。

A市への追加説明準備が始まった。

見出し。

過去の委託先管理に関する当社回答と現在確認中の事項について

飯倉は頭を抱えた。

「また自分から火をつけるような文です」

怜子は言った。

「A市には先に説明します。報道で知るほうが悪い」

山崎が言った。

『A市向けには、過去回答をそのまま引用し、その時点での根拠、現在確認された不備、今後の是正を分けてください』

佐伯が表を作った。

過去回答。回答時点の根拠。現在確認された不足。影響。是正方針。更新予定。

A市への回答欄には、こう入った。

契約および社内規程に基づき適切に管理しています。必要に応じて確認を実施しています。

回答時点の根拠。

委託先管理台帳、ミナセ書面確認シート、契約上の監査権。

現在確認された不足。

ミナセの外部クラウド監視サービス利用が台帳に反映されていない。オルフェ・ネレイドの実態確認未了。旧エウリュディケ環境の閉鎖根拠未確認。実地監査未実施。

怜子は、その表を見て言った。

「これは、A市に怒られますね」

山崎は答えた。

『怒られるでしょう。ただ、怒られるべき内容です』

午前五時四十六分。

ミナセへの緊急監査要求案が作られた。

タイトル。

情報セキュリティ事案に関する緊急監査および資料提出要求

本文は強い。

監査権に基づき、以下の資料提出を求める。外部クラウド監視サービス利用状況。オルフェ・ネレイドとの関係。ログ削除・再構築の作業記録。認証情報管理。再委託または外部サービス利用判断の経緯。障害初認から当社報告までの時系列。証拠保全措置。担当者一覧。アクセス権限台帳。過去三年のセキュリティインシデントまたはその疑い。

遠野が言った。

「これを出すと、ミナセはかなり反発します」

須堂が答えた。

「反発するでしょう。ただ、契約上の監査権がある。今行使しない理由はありません」

山崎が言った。

『相手を責める文面だけにすると、資料が出てこなくなります。冒頭に、“被害拡大防止と関係者への説明のため、事実確認を優先する”と入れてください』

怜子は追記した。

須堂が確認した。

「よいです。ただし、証拠保全義務に関する文言は強く残しましょう」

山崎が言った。

『提出期限は項目ごとに分けたほうがよいです。即時、一営業日以内、三営業日以内。全部を即時にすると、実現不能になります』

佐伯が表にした。

即時提出。一営業日以内。三営業日以内。後続提出。

監査要求もまた、表になった。

午前六時二十七分。

オルフェ・ネレイドへの実態確認要求案も作られた。

問題は、直接契約が不明確なことだった。

須堂が言った。

「直接の契約関係がない可能性があるため、法的根拠は慎重に。ミナセ経由の要求と、アステリオンからの事実照会を並行しましょう」

山崎が補足した。

『文面では、“契約上の監査”ではなく、“当社情報が関係する可能性のある環境に関する事実確認”としましょう』

怜子はうなずいた。

遠野が言った。

「技術的には、相手が回答しない場合、こちらのログから追うしかありません」

「その場合も記録」

怜子が言うと、遠野が苦笑した。

「はい。記録します」

午前七時五分。

A市へ、過去回答と監査未実施に関する説明が送られた。

送信後、十五分で西森から電話が来た。

声は冷たかった。

『二年前、御社は適切に管理していると回答しました』

「はい」

『その根拠が、書面確認と契約上の監査権だけだったということですか』

怜子は、逃げなかった。

「現時点で確認できている範囲では、実地監査や外部サービス利用の詳細確認までは実施されていませんでした」

『それで、適切に管理していると回答した』

「はい。結果として、実態を十分に反映しない回答でした」

電話の向こうで、沈黙があった。

西森は言った。

『住民に対して、A市も説明しなければなりません。御社の回答を信頼して委託を継続していた部分があります』

「承知しています」

『承知では足りません』

「はい」

『A市として、御社への監査を実施します。資料提出だけでなく、関係者への説明、委託先への同行確認も求めます』

怜子は答えた。

「受け入れます」

『また、他の自治体にも同様の回答をしていないか確認してください』

「確認します」

西森の声は、少しだけ震えていた。

『住民からは、市も責められています。なぜこんな会社に預けたのか、と』

怜子は、目を閉じた。

「申し訳ありません」

『謝罪は受けます。ただし、これからは、御社の“適切に管理”という言葉をそのまま信じることはできません』

「はい」

『証拠で示してください』

証拠で示してください。

それが、監査の本質だった。

午前七時四十八分。

A市監査対応チームが立ち上がった。

資料提出。現地説明。委託先同行。ログ提示。台帳差分。監査未実施理由。是正計画。今後の監査体制。

山崎が、A市監査対応表を作った。

項目。A市要求。提出資料。担当者。提出期限。未確認事項。説明者。根拠資料番号。

飯倉が言った。

「山崎さん、表がなければもう動けませんね」

山崎は答えた。

『表に依存しすぎるのもよくありませんが、今は必要です』

怜子は、A市監査対応表を見た。

会社は、ようやく監査される側になった。

これまで、監査権を持っていながら使わなかった会社が、今度は監査を受ける。

皮肉ではある。

しかし、監査を受けることでしか、見えないものもある。

午前八時二十九分。

ミナセから、緊急監査要求への一次回答が来た。

怜子は、最後の一文を見た。

証拠隠滅の意図はありません。

聞いていない言葉が、先に出てきた。

須堂が言った。

「相手も防御姿勢に入っています」

山崎が言った。

『ここで感情的に返さないことです。協力意思を確認しつつ、提出期限と保全要請を再度明確にしましょう』

怜子は返信案を作った。

須堂が確認し、送信された。

午前九時十七分。

遠野が技術監査項目を提示した。

ミナセ向け。

一、夜間監視サーバ構成。二、オルフェ・ネレイド連携設定。三、管理者アカウント一覧。四、MFA設定。五、ログ保存先。六、削除済みログの復元可能性。七、外部IPアクセス履歴。八、APIキー管理。九、障害対応作業記録。十、社内承認フロー。

オルフェ・ネレイド向け。

一、アステリオン関連環境の存在有無。二、旧エウリュディケ環境の接続履歴。三、データ保存場所。四、アクセス権限。五、監視・分析ログ。六、関連会社間のデータ共有。七、削除済み環境のバックアップ。八、サポート担当者。九、外部からの不審アクセス。十、契約または利用規約の適用関係。

山崎が言った。

『技術項目は十分です。これに、契約・個人情報・行政説明の観点を重ねましょう』

怜子は、法務監査項目を追加した。

契約関係。再委託承諾。秘密保持。個人情報取扱い。目的外利用。事故報告義務。削除・返還義務。監査協力義務。再々委託。海外移転。保険。従業員教育。規程整備。

佐伯が表に統合した。

技術監査と法務監査が、一つの監査票になった。

山崎が言った。

『よいですね。これが、契約と技術を分けない監査です』

怜子は、少しだけ山崎事務所のPRを思った。

クラウド法務。Azure技術支援。契約書とシステム設定をつなぐ仕事。

山崎が今やっているのは、まさにそれだった。ロゴも大げさな宣伝もない。ただ、技術項目と法務項目を一つの表に並べる。

それが現場を救う。

午前十時二分。

A市の監査チームが、午後から来社することになった。

アステリオン側は慌ただしく準備を始めた。

しかし山崎が止めた。

『資料をきれいに整えすぎないでください』

飯倉が驚いた。

「どういう意味ですか」

『監査を受けるからといって、未確認事項を隠すような整理をしてはいけません。提出資料には、確認済み、未確認、調査中を明記してください。空欄があるなら空欄の理由を書く』

怜子はうなずいた。

「監査用に化粧しない」

『はい。監査用の化粧は、後で剥がれます』

佐伯が小さく言った。

「名言が増えていく」

山崎は聞こえないふりをした。

午前十時四十六分。

監査未実施ファイルの最後に、手書きのメモが見つかった。

作成者は不明。

怜子は、その文をしばらく見つめた。

誰が書いたのかはわからない。

柏木か。成瀬か。内部監査の誰かか。あるいは、通報者か。

しかし、正しい。

監査しないことは、信頼ではない。放置だ。

委託先を信頼するなら、監査する。クラウドを信頼するなら、設定を見る。AIを信頼するなら、ログを見る。取締役会を信頼するなら、宿題を追う。法務を信頼するなら、保留事項を確認する。

信頼とは、見ないことではない。見に行くことだ。

午前十一時三十分。

怜子は、再発防止方針に一文を加えた。

監査は疑うためではなく、信頼を説明可能にするために行う。

山崎がそれを見て言った。

『これは、よいと思います』

「山崎さんに褒められると、少し安心します」

『褒めたというより、使える文だと思いました』

飯倉が笑った。

「それが最高評価ですね」

午後零時十七分。

A市監査チームが到着した。

西森健康福祉部長、森情報政策課長、有馬法務担当、外部のセキュリティアドバイザー、そして住民説明を担当した保健師も一名同行していた。

怜子は、会議室ではなく、文書保管室に近い小会議室へ案内した。

西森は、壁に貼られた言葉を見た。

名前を数字に戻さない。未了を未了のままにしない。宿題化を恐れない。声を上げた人を、裏切り者にしない。

西森は、しばらく黙っていた。

「これは、御社の標語ですか」

怜子は答えた。

「今回の事案を受けて、対策本部内で掲げているものです」

西森は、厳しい顔で言った。

「標語で終わらせないでください」

「はい」

山崎の声が、リモートから聞こえた。

『本日の監査資料では、それぞれの標語に対応する具体的な管理表、規程改定案、未了事項一覧を用意しています』

西森が画面を見た。

「山崎さんですね」

『はい。山崎行政書士事務所の山崎です。本日は資料整理支援として参加しています。御社、ではなく、アステリオン様の説明を補助する立場です』

西森は、少しだけ頷いた。

「A市としては、きれいな説明より、確認できる資料を求めます」

山崎は答えた。

『その前提で整理しています。確認できないものは、確認できないと記載しています』

監査が始まった。

午後一時。

A市監査チームは、最初に委託先管理台帳を見た。

有馬が質問する。

「ミナセの外部クラウド監視サービス利用が、なぜ台帳に反映されなかったのですか」

怜子は答えた。

「事業部およびミナセ側で、再委託ではなくツール利用と整理され、法務、CISO、個人情報管理責任者への正式照会が行われていませんでした。内部通報でも疑問が上がっていましたが、事業部確認に基づき終了していました」

「それは、御社のルール上、許されていたのですか」

「明確に禁止する規定がありませんでした。再発防止として、外部サービスにログ、設定情報、認証情報、個人情報またはそれに準じる情報が送信・保存・閲覧される場合は、名称にかかわらず台帳登録と審査を必要とするよう改定します」

山崎が、画面共有で改定案の該当箇所を示した。

有馬は、文言を見て言った。

「“名称にかかわらず”は重要ですね」

山崎が答えた。

『はい。“ツール利用”“外部サービス”“クラウド機能”“サポート”などの名称で再委託審査を回避しないためです』

西森は、遠野に聞いた。

「技術的には、ミナセの外部サービス利用を検知できなかったのですか」

遠野は答えた。

「一部通信は検知可能でした。ただ、委託先側の環境であり、当社側からは全体が見えていませんでした。また、事前に外部サービス利用が登録されていなかったため、想定外通信として監視対象に組み込めていませんでした」

A市のセキュリティアドバイザーが言った。

「つまり、台帳不備が監視不備につながった」

遠野はうなずいた。

「はい」

怜子は、その言葉を記録した。

台帳不備が監視不備につながった可能性。

法務の台帳と技術の監視が、ここでつながった。

午後一時五十二分。

A市監査チームは、監査未実施理由メモを見た。

西森が言った。

「相手負担やコストを理由に実地監査をしなかった」

怜子は答えた。

「はい」

「その結果、住民が負担を負っている」

怜子は、言葉を失った。

その通りだった。

監査の相手負担を避けた結果、日下部澄江が眠れない夜を過ごしている。

コストを削った結果、A市が住民説明に追われている。事業を止めないために監査を後回しにした結果、事業そのものが揺れている。

怜子は言った。

「申し訳ありません」

西森は、静かに言った。

「謝罪は受けます。ただ、今後は監査計画に住民リスクを入れてください。相手負担、コスト、事業影響だけでなく、監査しないことで誰が負担するのか」

山崎が言った。

『監査計画の判断項目に、“未監査時の本人・住民影響”を追加しましょう』

佐伯が、すぐに監査計画改定案へ入れた。

未監査時の本人・住民影響

西森は、それを見てうなずいた。

午後二時三十六分。

A市の監査は続いた。

個人情報台帳。AI利用リスク管理台帳。内部通報再設計案。証拠保全ルート。開示マトリクス。会見未了事項一覧。住民説明未了事項一覧。ミナセ監査要求。オルフェ・ネレイド実態照会。

西森は、何度も厳しい質問をした。

「これは実施済みですか、計画ですか」「誰が判断者ですか」「未了事項の期限は」「次回報告はいつですか」「住民向けにどう説明しますか」「この表は、誰が更新し続けますか」

山崎の表がなければ、答えられなかっただろう。

だが、それでも答えられないものはあった。

そのたびに怜子は言った。

「未確認です」「調査中です」「次回までに確認します」「現時点で根拠資料がありません」

西森は、それを一つずつA市側の宿題表に入れていった。

監査される側になると、未了の重さがよくわかる。

午後三時十八分。

A市監査の最後に、保健師が口を開いた。

彼女は、日下部澄江へ最初に電話した担当者だった。

「私は、システムや契約のことは詳しくありません」

会議室が静かになる。

「でも、日下部さんのような方と普段接していると、情報は生活そのものだと感じます。介護度も、訪問履歴も、服薬も、ただの項目ではありません」

怜子は、その言葉を聞いていた。

保健師は続けた。

「監査というと、書類や設定を見るものだと思います。でも、監査の先に、その情報を預けた人がいることを忘れないでください」

怜子は、深く頭を下げた。

「はい」

山崎が静かに言った。

『監査手順書の冒頭に入れましょう。監査対象はシステムや委託先ですが、監査の目的は情報を預けた人を守ることだと』

怜子は、すぐに書いた。

監査対象は契約、台帳、システム、委託先、AIである。しかし、監査の目的は、情報を預けた人の生活と尊厳を守ることである。

保健師は、画面の文字を見て、小さくうなずいた。

午後四時。

A市監査チームは帰った。

残された宿題は、三十六件。

A市監査未了事項一覧。また新しい表が増えた。

佐伯は、もう驚かなかった。

「三十六件、全部期限を入れます」

怜子はうなずいた。

「お願いします」

山崎が言った。

『期限だけでなく、回答形式も入れてください。資料提出、口頭説明、住民向け反映、行政報告反映。目的が違います』

佐伯は、列を追加した。

回答形式。

午後四時三十七分。

ミナセから追加資料が届いた。

夜間監視サーバの構成図。オルフェ監視コンソールの利用申請。ログ削除作業記録。担当者チャット。外部サービス利用判断メモ。

外部サービス利用判断メモには、こうあった。

また、後日。

怜子は、思わず額に手を当てた。

後日は、どこにでもいる。

遠野が言った。

「ログ項目に個人識別子が含まれる可能性を認識していた」

須堂が言った。

「重要です。ミナセ側の認識として記録しましょう」

山崎が言った。

『“必要に応じて後日整理”の後に、実際に整理された記録があるか確認してください』

佐伯が、ミナセへの追加照会項目に入れた。

“必要に応じて後日整理”とされた事項について、後続確認・整理の有無。

午後五時二十六分。

攻撃者からメールが届いた。

件名。

Audit

本文。

ようやく、あなたたちは書いた権利を使った。遅すぎるが、役には立つ。

怜子は、その文を見た。

攻撃者の言葉に腹が立った。

だが、否定できない。

監査権は書いてあった。使っていなかった。今、ようやく使っている。

遅すぎる。だが、役には立つ。

怜子は、メールを保存した。

そして、自分のメモに書いた。

権利は、行使しなければ説明責任にならない。

午後六時九分。

社内向けに、委託先・外部サービス緊急棚卸しの通知が出された。

対象。

すべての部署。すべての外部サービス。契約書の有無を問わない。無償ツール、試用環境、検証環境、API連携、外部サポート、クラウド監視、分析環境、生成AIツールを含む。

通知文の冒頭に、山崎が整えた一文が入った。

この一文は強かった。

従業員から、すぐに反応が来た。

声が出始めた。

今度は、消してはいけない。

佐伯が言った。

「問い合わせが多すぎます」

山崎が答えた。

『よい兆候です。今まで台帳に載っていなかったものが出てきます』

怜子はうなずいた。

「全部、未了事項として管理します」

午後六時五十七分。

緊急棚卸しの一次結果は、開始一時間で百件を超えた。

その中には、危険なものもあった。

外部翻訳サービスに契約書の一部を貼り付けていた部署。無償の可視化ツールにログCSVを読み込ませていた部署。生成AIに問い合わせ文案を作らせるため、顧客属性を入力していた部署。SaaSサポートへ、マスキング不十分なエラーログを送っていた部署。検証用クラウドに古いデータを複製していた部署。

遠野が頭を抱えた。

「これは全社的です」

怜子は答えた。

「だから全社棚卸しです」

飯倉が言った。

「また公表事項が増えますか」

須堂が答えた。

「すべてを直ちに公表するわけではありません。今回事案との関係、個人情報影響、重大性を評価します。ただし、隠すことはできません」

山崎が言った。

『棚卸し結果にも分類が必要です。今回事案関連、個人情報影響あり、影響可能性あり、影響なし、調査中。分類基準を明確にしましょう』

怜子は、また表を作った。

外部サービス緊急棚卸し評価表

もう驚かない。

会社を作り直すとは、表を作り続けることなのかもしれない。

午後七時四十四分。

椎名が、棚卸し結果を見て言った。

「これが、うちの実態か」

怜子は答えた。

「はい。少なくとも、見え始めた実態です」

「見えなかっただけで、前からあった」

「はい」

椎名は、深く息を吐いた。

「監査とは、嫌な鏡だな」

山崎が言った。

『はい。ただ、鏡を割っても顔は変わりません』

椎名は、少しだけ笑った。

「山崎さん、今日は厳しいですね」

『監査の日ですから』

午後八時二十六分。

A市監査の未了事項、ミナセ監査、外部サービス棚卸し、AI利用台帳、内部通報再設計。

それぞれの表が更新されていく。

怜子は、壁を見た。

名前を数字に戻さない。未了を未了のままにしない。宿題化を恐れない。声を上げた人を、裏切り者にしない。監査は、信頼を説明可能にするために行う。

新しい一文が追加された。

書いた権利は、使う。

佐伯が貼りながら言った。

「少し短いですね」

怜子は答えた。

「覚えやすいほうがいい」

山崎が言った。

『規程本文では、もう少し丁寧に書きます』

「はい、お願いします」

午後九時十二分。

通報者から、新しいメッセージが届いた。

怜子は、その文を読み、しばらく黙った。

誰かが見に行くこと。

それが監査だった。

疑うためでも、罰するためでも、形式を満たすためでもない。

見に行くこと。

現場へ。委託先へ。ログへ。台帳へ。AIの出力へ。通報の終了理由へ。取締役会の宿題へ。被害者の声へ。

見に行かなかったから、会社は神話を信じた。

午後十時。

怜子は、翌日の監査計画会議の資料を作った。

タイトル。

監査権行使と継続的確認体制の再構築

章立て。

一、監査未実施の経緯。二、書面確認の限界。三、外部サービス・ツール利用の監査対象化。四、AI利用監査。五、内部通報から監査への接続。六、A市監査への対応。七、委託先監査計画。八、取締役会宿題管理。九、監査結果の開示・通知方針。十、継続運用体制。

山崎が資料を確認して言った。

『第十章らしいですね』

怜子は少し笑った。

「また章ですか」

『今回は本当に第十章ですから』

佐伯が、疲れた顔で笑った。

「山崎さん、もう物語の登場人物ですね」

『私は裏方で結構です』

怜子は、その言葉を聞いて、少しだけ首を横に振った。

山崎は裏方だ。だが、裏方がいなければ、この物語は何度も崩れていた。

午後十時四十八分。

攻撃者から、その日最後のメールが届いた。

件名。

You are opening doors.

本文。

監査の向こうには、復旧がある。試したことのないものを、復旧できるか。

怜子は、その文を見て、遠野を呼んだ。

「復旧」

遠野は、暗い顔でうなずいた。

「次はそこです。バックアップ、代替運用、データ整合性、住民向けサービスの復旧。正直、かなり厳しい」

「復旧訓練は？」

遠野は黙った。

その沈黙が答えだった。

山崎が言った。

『監査で見たものは、次に復旧で試されます。契約、台帳、監査、バックアップ、通知。すべてつながっています』

怜子は、目を閉じた。

復旧。

会社は、説明してきた。開示してきた。監査し始めた。

だが、システムと信頼をどう戻すのか。

それは、また別の章だった。

午後十一時十六分。

怜子は、壁に貼られた言葉の下に、新しい紙を用意した。

まだ何も書かない。

次の言葉は、復旧の章で見つける。

佐伯が聞いた。

「何を貼るんですか」

怜子は答えた。

「まだわからない」

遠野が、静かに言った。

「復旧は、機能ではなく証明です」

怜子は、その言葉を見た。

山崎が電話の向こうで言った。

『それ、貼りましょう』

怜子は、ペンを取った。

復旧は、機能ではなく証明。

紙を壁に貼る。

監査権は、ようやく眠りから覚めた。

だが、監査で見つけた傷を、会社は直さなければならない。

そして次に問われるのは、バックアップがあるかではない。

戻せることを、誰に、どの証拠で、どう説明できるかだった。