NTTデータ・セキュリティ創立10周年特別コラム情報セキュリティの10大潮流－その8－
～電子文書基盤の確立～

■■　安全安心な電子社会の構築【カテゴリ2】　■■

第3の潮流 「電子文書基盤の確立」

1. 電子文書化の進展

(1) 行政施策として進められた電子文書化

個人情報保護法と時期を同じくしてe文書法が2005年4月1日に施行されました。個人情報保護法に隠れがちのe文書法ですが、その意味するところは大きいのです。電子署名法、IT書面一括法、そしてe文書法の施行により、電子取引や企業活動等で生じる一連の文書を従来の紙ベースに代わって電子文書で扱い、保存できるようになったのです。いわゆる本格的な電子文書に関わる法的整備が整ってきたといえるのでしょう。

＜電子署名＞
1995年米国のユタ州にて世界で始めて電子署名法が制定され、その後相次いで米国各州や欧州でも制定が続きました。日本では総務省、経済産業省、法務省が中心となり検討が進められ、2001年に制定されました。印鑑に代わり電子的な署名（デジタル署名）が法的に認められたことで、電子取引が急速に進展することになります。

＜IT書面一括法＞
2001年4月、証券取引法や旅行業法、割賦販売法、訪問販売法など、複数の法律をまとめて「IT書面一括法」にて改正し、今まで紙で行っていた取引について、電子文書でも可能とし電子商取引の促進をねらいました。従来紙文書での交付や手続きが義務付けられていた書面について、EメールやFAX、Webの活用などを活用した電子的文書を認めるものです。

＜e文書法＞
民間に保存が義務付けられている文書の電子保存を認める統一的な法律が 2005年e文書法として制定されました。この法律により従来の紙による保存から電子的媒体による保存が認められ、保存の大幅なコスト削減も可能になりました。国税については、2005年に電子帳簿保存法の一部が改正され、紙で保存することを義務付けられていた取引情報、会計帳簿書類等を改め、その一部の情報については電磁的記録（以下「電子データ」という）及びマイクロフィルム（以下「COM」Computer Output Microfilm という）のままで保存することが可能になりました。

2. 規制緩和と強化

上記で挙げた法律は文書の電子化を可能にし、規制を緩和するものですが、一方で安全な取引が行われるように個人情報保護法、J-SOX法、不正競争防止法、新会社法により電子文書に求められる要件を厳しくした規制強化も打ち出されています。また、ITが高度に普及した中で企業による不正や企業への攻撃に対する対応として、情報の公開や説明責任義務の発生、訴訟に対応したデジタルフォレンジックが注目されています。 企業の秘密情報を保護する不正競争防止法については、あまり知られていないようですので、簡単に説明しておきます。

＜不正競争防止法＞
不正競争防止法の改正で営業秘密侵害罪の目的要件が拡大され、より実態に合わせた営業秘密（企業秘密）の法的保護が可能になりました。営業秘密侵害罪における「不正の競争の目的」を改め、不正の利益を得たり、保有者に損害を加えたりする目的をもってなされる行為、についても処罰の対象に含めることになりました。この法律は、営業秘密がアクセス制御等により適切に管理されていることが条件となります。

(1) 秘密として管理されていること（秘密管理性）

• 情報にアクセスできる者を制限すること（アクセス制限）
• 情報にアクセスした者にそれが秘密であると認識できること（客観的認識可能性）

• 当該情報自体が客観的に事業活動に利用されていたり、利用されることによって、経費の節約、経営効率の改善等に役立つものであること。現実に利用されていなくてもいい。

• 保有者の管理下以外では一般に入手できないこと。

3. 電子文書で要求されるセキュリティ

(1) 電子文書のセキュリティ

電子文書に関わる規制緩和とともに、一方で企業活動の中で生ずる文書の作成・流通・保存・公証等に関わる電子文書流通基盤は、ビジネスプロセスの要として、嘗てないほどにその安全性、信頼性が経営者に求められてきたと言えます。
文書の電子化に関わる一連の法律では、文書の安全性・信頼性に関して、いくつかの条件を課しています。e-文書法では、真実性、可視性の確保を要求していますが、これらの要件は電子署名やタイムスタンプの付与といったセキュリティ技術や運用によって実現されます。また、電子文書作成・配布・公証・保存等には一貫して安全で信頼性が保証されたプロセスが求められています。

(2) 長期保存

近年、行政機関は、電子政府・電子自治体の実現に向けて、申請手続きや調達手続きの電子化を進めています。政府の「e-Japan戦略II」では、「民間保存文書の電子的保存の制度面・技術面の検討および電子文書の長期保存の技術開発支援」が掲げられています。これは、電子化した文書では、改ざんや成り済ましなどがあってもその痕跡が残りにくいことから、電子文書の原本性を保証するシステムが必要となっているためです。

暗号解読技術の進展などにより、時間の経過に伴って電子署名が改ざんされる危険性が増大しているので、署名の有効期限が定められています。このため、署名の有効期限を超えて長期保存する必要のある大量の文書では、できるだけコストと時間をかけずに署名の有効性を維持することが課題となっています。

PKIによるデジタル署名の有効期間の終了時期に署名へのタイムスタンプを付す国際標準（RFC3126）及び次世代電子商取引推進協議会（ECOM）が推進する長期署名フォーマットが提案されています。また、電子文書を登録する際、過去に登録した電子文書に電子署名した署名データ（ハッシュ値とよばれる改ざんの有無の判別に使える情報）を引き継いで、新たな署名データ（署名間に連鎖構造を持たせた電子署名）を作り出していく、ヒステリシス（履歴）署名方式も提案されています。

4. フォレンジック

(1) フォレンジックとは

電子文書の拡大・普及にともなって、訴訟や不正行為、情報漏えい事件対応などに電子文書の収集・管理や分析を行う「フォレンジック」が注目されています。デジタルフォレンジック研究会ではフォレンジックを「インシデントレスポンスや法的紛争・訴訟に対し、電磁的記録の証拠保全や調査・分析を行うとともに、電磁記録の改ざん・毀損等についての分析・情報収集等を行う一連の科学的調査手法・技術を言う」と定義しています。

（引用）デジタルフォレンジック研究会：http://www.digitalforensic.jp/

(2) フォレンジックの動き

2006年12月に米国の連邦法が改正され、米国で事業を手がける企業は，民事訴訟の際に証拠を電子開示する義務を負うことになり、「eDiscovery」と呼ばれるデータ開示の手続きを踏まねばならなくなりました。電子文書化にともなって、世界的に「フォレンジック」に取り組む必要性が高まっており、電子文書を含むすべての社内文書の保管と破棄に関する明確なルールを構築し、文書管理規則として整備することが求められています。

(3)電子メール管理の重要性

電子メールが2002年には310億件であったものが、2006年には600億件位まで増大し、今では企業で作成される文書の93％は電子文書で管理、そのうち70％は紙に印刷することなく電子文書として残っており、内部不正や訴訟では電子文書が重要な役割を果たしています(佐々木東京電機大教授談）。電子メールについては、法律上は、ほかのデータと同じく文書にあたり、反トラスト裁判、性差別、セクハラ、中傷などの犯罪で決定的な証拠となった事例もあるようです。 一方従業員のプライバシー問題も配慮して社内の電子メールの使用規則を定める必要があります。