- 1 -

監査基準報告書 505 周知文書第３号

電子メールを利用した確認に係る周知文書

2021 年３月 19 日

改正 2022 年 10 月 13 日

日本公認会計士協会

監査・保証基準委員会

（周知文書：第 10 号）

《Ⅰ はじめに》

近年、財務諸表監査に当たって、電子的媒体又は経路によって確認手続を実施する

実務が増えてきており、我が国においても、紙面で確認状を送付しても回答が電子メ

ールによって行われる場合や、確認依頼を電子メールで送付し、確認回答者が電子メ

ールを利用して回答した確認回答データを監査人が入手するという方式により確認

手続を実施することがある。

なお、電子的確認については、本会より公表された監査基準報告書 505 実務ガイダ

ンス第３号「電子的媒体又は経路による確認に係る実務ガイダンス」において、電子

的確認の方式及び当該方式により考慮すべきリスク等に関する体系的な調査研究が

提供されており、本周知文書を利用するに当たって参考となる。

本周知文書は、監査基準報告書 505 実務ガイダンス第３号公表後の電子メールの

一層の普及と近時の新型コロナウイルス感染症拡大の下で感染防止のためリモート

ワークが求められる状況を踏まえて、会員の実務の参考に資するために、このような

電子メールを利用した確認に関して監査上留意すべき事項を提供するものである。

また、一般に公正妥当と認められる監査の基準を構成するものではなく、会員が遵守

すべき基準等にも該当しない。2021 年３月 19 日時点の最新情報に基づいている。

なお、電子メールを利用した確認には複数の方式が想定され、その内容に応じて確

認依頼への回答が電子的に行われることに伴うリスクが異なることを勘案して、監

査手続を立案し実施することに留意する（Ⅱ３．参照）。

また、監査基準報告書 505 周知文書第２号「監査人のウェブサイトを用いた電子

的媒体又は経路による確認に係る周知文書」において示された電子的確認システム

を用いた確認手続と異なり、電子メールを利用した確認においては、電子メールの送

受信時に不適切な介入や改竄といった不正行為が行われていた時にそれらが検出さ

れず情報伝達の完全性（インテグリティ）が確保されないリスクが高い。したがって、

紙媒体又は電子的確認システムによる確認の実施を検討した上で、実施が困難な場

合には、本方式の採用を検討することになると考えられるが、リスクへの対応につい

- 2 -

て、複数の手続を組み合わせる等、慎重な検討が必要であることに留意する（Ⅲ２．

参照）。

《Ⅱ 電子的確認について》

１．電子的確認とは

電子的確認とは、監査人の実施する確認手続において、電子的媒体により又は電

子的経路を通じて確認依頼又は回答入手を行うことをいう。

監査基準報告書 505 実務ガイダンス第３号においては、例えば、確認依頼を紙媒

体によって実施し、電子的媒体により又は電子的経路を通じて電子的に回答を入手

するもの等、様々な電子的確認の方式が示されている。電子的確認の利用には、監

査人及び企業の双方にとって以下の図に示すような利点が見られる。

２．本周知文書において取扱う電子的確認

本周知文書においては、監査人の実施する確認手続において、確認回答者が電子

メールを利用して回答した確認回答データを監査人が入手するという方式（電子メ

ールを利用した確認）を取り扱う。

なお、監査人のウェブサイトを基礎として整備及び運用する電子的確認システム

を使用し、電子的媒体により又は電子的経路を通じて確認依頼及び回答入手の双方

を行う方式（監査人のウェブサイトによる確認）については、監査基準報告書 505

周知文書第２号を参照する。

３．電子メールを利用した確認とは

電子メールを利用した確認とは、監査人の実施する確認手続において、確認回答

者が電子メールを利用して回答した確認回答データを監査人が入手する方式をい

う。

電子メールを利用した確認について、監査基準報告書 505 実務ガイダンス第３号

を踏まえて整理すると以下のような方式が考えられる。

- 3 -

【方式１】確認依頼を紙媒体により送付し確認回答を電子メールにより入手する場合

(1) 監査人は、被監査会社から確認回答者の住所等及び被監査会社の押印のある

紙媒体の確認依頼状を入手する。

(2) 監査人は、被監査会社から提供された確認依頼先の住所及び被監査会社の押

印を確認する。

(3) 監査人から確認回答者に確認依頼を紙媒体により送付する。(監査人のメール

アドレスを記載する。)

(4) 確認回答者は、確認対象項目への回答（「確認回答データ」）を電子メール

により監査人に送付する。

(5) 監査人は、確認回答データを電子ファイルの形式で入手する。

- 4 -

【方式２】確認依頼及び確認回答を電子メールにより送受信する場合

(1) 監査人は、被監査会社から確認回答者の電子メールアドレスを受領する。

(2) 監査人は、被監査会社から提供された電子メールアドレスの妥当性等を確認

する。

(3) 監査人から確認回答者に確認依頼を電子メールにより送付する。

(4) 確認回答者は、確認対象項目への回答（「確認回答データ」）を電子メール

により監査人に送付する。

(5) 監査人は、確認回答データを電子ファイルの形式で入手する。

なお、「方式１」「方式２」いずれの場合も監査人は、確認回答者が実際に回

答を電子メールで送付したことを、電話等により確認回答者に直接確かめる。

電子メールを利用した確認においては、確認回答者が電子メールにより回答を

行うことに合意していることが前提であり、金融機関等一部の確認回答者におい

て合意が得られない場合がある。

また、確認回答者は通常、郵送される紙媒体の記名捺印を一定の根拠として、

監査人による確認依頼に回答を行うことについて被監査会社の同意がなされたも

のと判断しているが、上記の「方式２」のように電子メールにより送付された確

認依頼について、確認回答者が被監査会社の同意がなされたものと判断できない

場合には、回答を行わない可能性がある。このため、確認依頼を電子メールによ

り送付する場合には、電子形式で作成された確認依頼書に被監査会社が電子署名

を付す、又は被監査会社が事前に確認回答者に監査人が確認を実施する旨を知ら

- 5 -

せ、その際に監査人をメールの宛先としてＣＣ：に入れる等の方法により、監査

人への確認回答の依頼が被監査会社の意思によるものであることを確認回答者が

認識することが可能となるように検討することが考えられる（監基報505ガ３Ⅱ

７.(1)①、②参照）。

なお、メールの送り手になりすますフィッシングメールの手法が巧妙化してい

る現下において、確認回答者が監査人からのメールのドメインの適切性を検証す

る機会を提供するため、監査人は、監査事務所が取得したドメインを使用したメ

ールアドレスを発信元に使用することが望ましい。

このほか、電子メールを利用した確認に伴うリスクへの対応の観点からは、確

認回答依頼及び確認回答者による確認回答データは、メール本文に記載するので

はなく、PDFファイル等に記載し暗号化した上でメールに添付する方式で送受信す

ることが考えられる（Ⅲ３．（例７）参照）。

《Ⅲ 留意事項》

１．監査基準報告書 505「確認」を踏まえた電子的手法による確認の実施

監査基準報告書 505 においては、「監査人は、確認依頼への回答の信頼性につい

て疑義を抱く場合、疑義を解消するため、追加の監査証拠を入手しなければならな

い。」とされており（第９項）、「全ての回答には、入手を妨害されたり、改竄又は不

正に係る何らかのリスクがあり、当該リスクは、回答が紙媒体、電子媒体又はその

他の媒体によるかに関係なく存在している。」とされている（A11 項）。

確認手続に伴う回答の信頼性、改竄又は不正等のリスクは、紙媒体を用いた郵送

による確認及び電子的手法による確認を問わず存在するが、電子メールによる確認

を実施する場合、紙媒体又は電子的確認システムを用いた場合と当該リスクの内容

又は程度が異なることに留意して、これらのリスクを許容可能な低い水準にまで軽

減できているかどうか、評価し、考慮することが求められる。

２．電子メールを利用した確認に伴うリスク

電子メールを利用した確認に伴うリスクは、基本的には、監査基準報告書 505 実

務ガイダンス第３号に示された確認依頼への回答が電子的に行われることに伴う、

確認回答者のなりすましや事後否認等のリスクであり、以下の四つのリスクから構

成される。

(1) 回答が適切な情報源から得られていないリスク

(2) 確認回答者が回答権限をもっていないリスク

(3) 情報伝達の完全性（インテグリティ）が確保されないリスク

(4) 確認回答者が回答内容を否認するリスク

このうち、(4) 確認回答者が回答内容を否認するリスクとは、確認回答者が回答

を行った後に回答への関与又は内容について否認した場合に反証を提示できない

- 6 -

リスクをいう。

電子メールを利用した確認としては「方式１」及び「方式２」が想定されるが、

「方式１」の場合は確認回答依頼に郵送を用いることにより、監査人が想定した確

認回答者の住所に届けられたことが確かめられるのに対して、「方式２」の確認回

答依頼の電子メールによる発信には同様の効果が得られず確認回答者のなりすま

しのリスクが高まるものと考えられる。

そのため、「方式２」によって確認手続を立案及び実施する場合には、(1) 回答

が適切な情報源から得られていないリスク、(2) 確認回答者が回答権限をもってい

ないリスク及び(4) 確認回答者が回答内容を否認するリスクが相対的に高いこと

に留意する。

また、確認において監査人のウェブサイトを用いる場合には、上記(3) 情報伝達

の完全性（インテグリティ）が確保されないリスクに対応するため、監査人のウェ

ブサイトのような電子的確認システムに組み込まれた内部統制のデザインが状況

に適合しているかどうかを運営管理者が継続的に評価し、所定の処理からの逸脱が

生じた場合にはその是正対応を行うことや、独立した第三者による受託業務に係る

内部統制の検証報告書を利用することも考えられる。

しかしながら、電子メールを利用した確認の場合には、同様の対応ができない。

そのため、監査人のウェブサイトを用いた確認と比較して、上記(3)情報伝達の完

全性(インテグリティ)のリスクに対して十分に対応できないことが想定される。確

認回答内容が改竄されていないことを確かめるために、使用する電子メールの物理

的・人的セキュリティに脆弱性がないか、暗号化が適切に行われているかどうか評

価するとともに、追加手続の立案と実施を慎重に検討することが必要になることが

考えられる。

なお、電子メールを利用した確認に際しては、電子的確認システムにおいて担保

されることが想定される以下の事項についても考慮しておくことが望まれる。これ

らは、電子的回答の信頼性に直接かかわるものではないが、電子的回答の信頼性を

間接的又は補助的に担保する要件であると考えられる（監基報 505 ガ３Ⅱ４.(5)参

照）。

(1) 機密性

監査人は、電子的回答の入手に際した通信経路からの情報の窃用及び入手後の

機密保持に留意する。

(2) 加工可能性

監査人が電子的回答の情報を利用して、確認対象項目の金額や数量等の照合、

確認差異の調整手続を実施するために、電子的回答の情報の数値以外の形式を加

工する際に、元の情報が改変されないように留意する。

(3) 見読可能性

監査人が電子的回答を見読するためには、一般的にパーソナルコンピュータ等

- 7 -

のハードウェアと特定のソフトウェアが必要であり、これらは電子的回答の発行

者や利用者で共通のものが前提となる。したがって、監査人は電子的回答を利用

するための仕組みを構築する際に、必要となるハードウェアやソフトウェアを考

慮する。

３．電子メールを利用した確認に伴うリスクへの対応の例示

前述したような電子メールを利用した確認に伴うリスクを踏まえ、これらを軽減

するために想定される手法として、例えば、以下の手法が考えられる。なお、以下

の手法はあくまで例示であり、以下に限定されるものではないことに留意する。

以下の各手法については、単独では十分にリスクを軽減できないことがあり、そ

の幾つかを組み合わせて実施することが必要かどうか、また個人へ確認する場合に

は適切な対応とならない可能性もあることなど、その状況に応じて慎重な判断が求

められる場合がある。また、固有リスクの程度によっては組み合わせて実施しても、

監査リスクを許容可能な低い水準に抑えることができないことがある。また、監査

チームごとに実施するよりも、監査事務所レベルで実施した方が効率的な対応も含

まれている。

電子メールによって確認回答を入手する場合、回答それ自体は２．に示したよう

なリスクに対する証拠を提供するとは限らず、当該電子メールに付された電子署名、

送受信記録（電子メールのヘッダー情報等を含む）、電子メールのメッセージ本文、

別途行った電話でのコミュニケーション等、関連して実施した手続により証拠が提

供されることがあるため、それらを含めた適切な文書化が必要となることに留意す

る。

なお、以下の手法の中には、（例１）（例５）（例６）等、被監査会社及び確認回

答者の協力を得ることが重要なものがあることに留意する。

- 8 -

（例１）確認回答における複数者の関与

回答が適切な情報源から得られていないリスクや確認回答者が回答権限をも

っていないリスクに対応するために、確認依頼状を電子メールで送信する際、並

びに確認回答者が回答のための電子メールを監査人に送信する際に、確認回答者

の上席者及び／又は確認回答先の経理担当者をＣＣ：に含めることが効果的であ

る場合がある。

また、確認回答先から確認回答を入手した後に、当該上席者等に対して監査人

が、確認回答入手の旨を電子メールで送信することも、上記のリスクに対応する

上で効果的である場合がある。

- 9 -

このような確認回答における複数者の関与は、確認回答者に適切な内容の回答

を行うように牽制を与える上で重要であると考えられる。

なお、電子メールによる確認回答においては、当該回答が適切に上席者等によ

り承認されたものであるかどうかを電子メール本文上で判別することは通常困

難である。このため、確認回答について上席者等が関知していることを証する手

段について、あらかじめ確認依頼状において明確にしておくことが適切であると

考えられる。例えば、確認回答者が監査人に対し回答するに当たって、上席者を

ＣＣ：に含めることや、確認回答者による回答後、上席者が当該メールへの返信

により監査人に対し承認の旨を表明することが考えられる。

（例２)確認回答先への電話確認

監査人は、回答が適切な情報源から得られていないリスク及び確認回答者が回

答権限をもっていないリスクに対応するために、確認依頼に当たって、確認回答

者が実在し、適切な回答権限を有しているかについて、また、確認状が適切な宛

先に送付されるかどうかについて確かめるため、確認状の送付前に、宛先の一部

又は全部の妥当性をテストすることがあるとされており（監基報 505 の A6 項）、

例えば、確認回答者に電話により確かめることが想定される。なお、可能な場合

には、被監査会社から入手した確認回答者への直通電話ではなく、所属する組織

の大代表に架電の上、当該回答者への取次を依頼することにより、当該回答者が、

被監査会社から通知された確認回答先の組織（会社・部署）に実在することを確

かめることが考えられる。

なお、確認回答の送信元の電子メールアドレスがグループメールアドレスとな

っている場合は、回答者個人が特定されず、回答が適切な情報源から得られてい

ないリスク及び確認回答者が回答権限をもっていないリスクはより高まること

となるため、グループメールアドレスを使用した確認回答者が誰なのか特定する

とともに、確認回答先の組織において適切な回答権限を有していることについて

確かめることを考慮することがある。ただし、確認回答者である会社が、確認に

対する回答専用の電子メールアドレスとしてグループメールアドレスを設定し

ている旨を、被監査会社等に正式に通知した場合のように、個人の電子メールア

ドレスよりもグループメールアドレスの方が、信頼性が高いこともある。

また、監査人は、確認回答者が実際に回答を送信したかどうかを、確認回答者

に電話により確かめることがあるとされている（監基報 505 の A14 項）。

なお、過年度に電話確認を実施した確認回答者に再度確認回答を求める場合等、

回答が適切な情報源から得られていないリスク及び確認回答者が回答権限をも

っていないリスクが許容可能な低い水準にあると判断される場合には、電話確認

や後述するドメインの適切性の検討を省略することができることがあると考え

られる。

- 10 -

（例３）確認回答先に関する追加手続

監査人は、回答が適切な情報源から得られていないリスク及び確認回答者が回

答権限をもっていないリスクに対応するために、確認回答者が実在し、回答者と

して適切であるかどうかについて、確認回答者の電子メールアドレスを確認する

ほか、例えば、以下を行うことにより確かめることが考えられる。

・被監査会社の担当者と確認回答者との間のコミュニケーション履歴の閲覧

（被監査会社が入手した確認回答者の名刺の閲覧を含む。）

・確認回答者氏名について、取引等に関連して被監査会社が確認先から入手し

た文書等に当該氏名が記載されているかどうかの検討

また、確認回答入手後、情報の信頼性に関する疑義が生じた場合、例えば、確

認回答を受けた金額について追加回答として回答内容を裏付ける内訳文書の送

信を求めることがあることに留意する。

（例４）ドメインの適切性の検討

回答が適切な情報源から得られていないリスク及び確認回答者が回答権限を

もっていないリスクに対応するために、確認回答者の電子メールアドレスのドメ

インの適切性の検討を行うことがある。

ドメインの適切性の検討として、例えば、確認回答先の公式ウェブサイトに問

合せ先の電子メールアドレスなどが掲示されている場合には、そのドメインとの

整合性を確かめる。

また、確認回答者の電子メールアドレスについてドメイン検索を行うことによ

り、電子メールアドレスのドメインの登録状況から回答者の所属する組織の実在

性を確かめる方法が想定される。

電子メールアドレスのドメインの登録状況については、例えば、いわゆる Whois

（https://whois.jprs.jp/）による検索によって、レジストリ（登録管理組織）

へのメールアドレスの登録の有無及び組織名、ドメイン管理担当者情報等が確認

できる。特に、「co.jp」のドメインは、日本で何かしらの法人格がなければ取得

できないドメインで、一つの企業・組織につき一つしか取得することができない

とされるものであり、ドメイン登録時に法人登記情報との照合が行われているた

め、登録された法人は実在しており、ドメイン使用者は法人に所属していると考

えることができる。

そのため、実際の確認回答者の電子メールアドレスについて、電子メールアド

レスのドメインが適切かどうかについて確かめることは有益であると考えられ

る。なお、「co.jp」ドメイン以外のドメインについては、必ずしもこのように登

録管理組織によって組織の実在性を確かめた上でドメインが登録されていない

ことがあることに留意する。

ドメイン検索の結果、ドメインが登録管理組織に登録されているが、確認回答

- 11 -

者が適切な情報源ではないリスク又は確認回答者が回答権限をもっていないリ

スクが許容可能な低い水準にないと考えられる場合には、ドメイン検索に加えて、

確認回答先への電話による確認、ドメイン管理組織に登録されている確認回答先

のドメイン管理担当者への電子メール等による照会等の実施を考慮することが

ある。

（例５）電子署名の活用

回答が適切な情報源から得られていないリスク、確認回答者が回答権限をもっ

ていないリスク、及び確認回答者が回答内容を否認するリスクに対応するために、

確認回答者からの回答に電子署名の添付を求めることにより、回答者の所属する

組織の実在性を確かめる方法が想定される。

ここにいう電子署名とは、「電子署名及び認証業務に関する法律」（以下「電子

署名法」という。）第２条及び第３条に定められるような、電磁的に記録された情

報について作成者本人の識別を可能とし、暗号化等の措置で、改変があれば検証

可能な方法により行うものを想定している。確認回答者からの回答に付された電

子署名が電子署名法の要件を満たすものであることを確かめた場合、監査人は、

確認回答者からの回答が回答者本人の意思によるものであること、電子署名の付

された電子的な文書が改竄されていないことを確かめることが可能であり、有益

であると考えられる。例えば、電子メールの送受信時に不適切な介入が行われた

場合にも、確認回答データが改竄されていないことが確かめられ、情報伝達の完

全性（インテグリティ）の確保に役立つことが考えられる。

なお、立会人型の電子署名においては、署名のプロパティ又は作成者及び認証

業務事業者間の合意契約締結書等に情報の作成者の電子メールアドレス情報が

表示されることがある。

この場合には、確認回答依頼を電子的経路で実施する際に用いた確認回答者の

電子メールアドレスと照合することにより、確認依頼時に想定した適切な情報源

から回答が得られているかどうかを確かめることができる。

なお、電子署名法第２条及び第３条に該当しないような電子的機能を用いて、

PDF 化された確認回答書が提供されている場合には、電子署名法の要件に該当す

る電子署名が付されている場合に比べて本人識別性や非改竄性に係るリスクが

高まるものと考えられる。したがって、当該電子的機能の内容に応じて、適切な

情報源から回答が得られているかどうか、作成後に改変が行われる可能性が高い

かどうかを慎重に検討するために、電話又は電子メールを通じた作成者本人への

質問、確認回答書が添付された電子メールの発信アドレスの検討、タイムスタン

プが使用されている場合にはその吟味等の監査手続の立案及び実施を考慮する。

- 12 -

（例６）法務省商業登記に基づく電子認証制度の活用

回答が適切な情報源から得られていないリスク及び確認回答者が回答権限を

もっていないリスクに対応するために、確認回答者からの回答に登記所が発行す

る会社・法人の電子証明書（http://www.moj.go.jp/MINJI/minji06_00028.html）

の添付を求めることにより、回答者の所属する組織の実在性を確かめる方法が想

定される。

情報の作成者の本人性の確認を目的とする電子署名制度とは異なり、この認証

制度は、印鑑証明書（紙媒体）に代えた電子媒体による法人登記が行われている

ことを証明する手法であり、現行では、国・地方公共団体等に対するオンライン

による申請・届出の手続に利用されるにとどまっているが、理論上は、企業間取

引の電子商取引への適用も可能である。ただし、申請のためには、利用者（確認

回答先）が登記所において当初手続を行う必要があり、また、監査人が電子証明

書を見読するためには専用のソフトウェアをインストールする必要がある等、所

定の対応が必要となることに留意する。

（例７）電子メールの送受信時の不適切な介入や改竄を発見するための手続

インターネットに接続している状態は、外部から侵入されるリスクが高く、電

子メールで行われた確認回答の改変を検出するのは容易でない。電子メールの送

受信時に不適切な介入・傍受や改竄といった不正行為が行われていた時にそれら

が検出されず情報伝達の完全性（インテグリティ）が確保されないリスクが存在

する。こうしたリスクを必要な程度まで軽減できているかどうかについて、監査

人は、それぞれの状況に応じた適切な対応を検討する。この場合、複数の手続を

組み合わせることにより、当該リスクに対応することが考えられる。

例えば、確認依頼を送付する前に電話で確かめた確認回答者（上記の「例２」

の手続）から電子メールによる回答を受領した場合、当該回答者に回答を受領し

た旨の連絡を電話で行うことにより、想定した確認回答者以外の第三者による介

入を検知できることがあると考えられる。

また、送付された電子媒体の確認回答書のプロパティ情報を確かめたり、確認

回答書の画像化された署名や印影が前期のものと同一であるかどうかを確かめ

たりすることは、不適切な介入や改竄の兆候を発見する一つの方法になり得ると

考えられる。

さらに、受領した回答が、電子署名が付された文書ファイルである場合は、当

該電子署名の仕組み（例：タイムスタンプ）を利用して電子署名が付された後の

改変の有無を確かめることが可能な場合がある（(例５)参照）。

なお、確認回答依頼において、確認事項については暗号化した上で送信するよ

うに配慮する。また、メール本文に記載するのではなく、PDF ファイル等に記載

しメールに添付する方式で送受信するとともに、確認回答者による回答時も同様

- 13 -

の方式を用いるよう依頼するなどの対応は機密情報漏洩防止にも資すると考え

られる。

（例８）確認回答者からの宣誓等の入手

確認回答者が正当な回答権限を有する者であるかどうかを確かめることが容

易ではなく、確認回答者が回答内容を事後に否認した時にこれに対する反証が提

示できないリスクが存在する。このようなリスクを一定程度軽減するために、PDF

等によって作成された確認の回答書の様式に、確認回答者が確認先において回答

権限を有している旨、確認回答が正確である旨及び当該回答は紙媒体等の形式に

よる他の回答に優先する旨の記載を組み込むことが考えられる。また、このよう

な記載について、確認回答様式ではなく確認回答者が回答を送信する電子メール

本文に記載することも考えられる。

以上

・本周知文書（2022 年 10 月 13 日改正）は、次の公表物の公表に伴う修正を反映し

ている。

－監査基準報告書（序）「監査基準報告書及び関連する公表物の体系及び用語」

（2022 年７月 21 日改正）