1 Answers
Best Answer
0
ER/ES指針の要件
電子署名に関する要件
ER/ES指針では、電子署名が満たすべき要件として以下が挙げられています。
- 本人性証明:当該情報が当該措置を行った者の作成に係るものであることを示すものであること
- 非改ざん性証明:当該情報について改変が行われていないかどうかを確認することができるものであること
- 署名情報の明示:署名者名・日時・署名の意味が明示されていること
- 記録とのリンク不可分性:電子署名と電磁的記録のリンクが不可分であること
- 電子署名の管理・運用:電子署名及び認証業務に関する法律に基づき、電子署名の管理・運用に係る手順が文書化され、適切に実施されていること
電磁的記録の真正性確保のための要件
電磁的記録の真正性を確保するために以下の要件が定められています。
- システムのセキュリティを保持するための規則、手順の文書化と適切な実施
- 保存情報の作成者の明確な識別と、変更の場合は変更前情報の保存および変更者の明確な識別
- 監査証跡の自動的な記録と、システムによる完全自動化
- 電磁的記録のバックアップ手順の文書化と適切な実施
- コンピュータ化システムバリデーション(CSV)の実施
適合性評価
電子署名の要件適合性
- 本人性証明:システムでの電子署名機能により対応可能
- 非改ざん性証明:システム内の電子署名機能で対応可能
- 署名情報の明示:現状では文書自体に署名情報を追加できないため不十分
- リンク不可分性:元文書とPDFが物理的に分離されているため、技術的対策なしでは要件を完全に満たせない
- 管理・運用手順:適切な手順書の整備が必要
監査証跡としての適合性
- 自動記録性:PDF出力に手動操作が介入する可能性があり、完全自動化の観点で不十分
- 改ざん防止:PDF生成プロセスの監査証跡が不明確であり、システム側で担保する必要がある
- タイムスタンプの正確性:システムの時刻同期と正確性の保証が必要
システム全体としての真正性
- CSV実施状況:PDF出力機能を含むシステム全体のバリデーション状態が不明確
- 一体管理の実現性:手順による対応は可能だが、技術的な担保としては不十分
一体管理の課題と対策
現状の課題
- 物理的分離リスク:元文書とPDFが別ファイルであることによる紐付け切断リスク
- 手動操作依存:PDF出力プロセスへの手動介入による真正性への懸念
- 改ざん検知の難しさ:分離された文書間の整合性確認の困難さ
必要な技術的対策
- 厳格な命名規則とハッシュ値管理:元文書とPDFの不可分な関連付けを技術的に担保
- PDF生成プロセスの完全自動化:操作ログをシステム側で自動記録する仕組み
- デジタルシールやブロックチェーン技術の活用:改ざん防止策の強化
結論
現行システムはER/ES指針の要件を手順管理に依存した暫定対応で部分的に満たす可能性がありますが、査察時に「真正性の証明不十分」と指摘されるリスクが残ります。
推奨される技術的改善
- 電子署名情報の直接埋め込み:できれば文書自体に署名情報を統合する機能の実装
- 自動紐付け機能:デジタルシールなどを用いた改ざん防止策の導入
- 完全自動監査証跡:PDF生成プロセスを含むすべての操作ログの自動記録
- CSV実施:PDF出力機能を含むシステム全体のバリデーション実施と文書化
暫定的な手順による対応
技術的改善が実装されるまでの暫定対応として、
- 詳細な手順書の整備:元文書とPDFの厳格な命名規則、保管方法、アクセス制御を文書化
- 技術的紐付け:可能であればハッシュ値による整合性確認の仕組みを導入
- アクセス制御の厳格化:許可のない修正を防止するためのアクセス権限設定
- 定期的な整合性確認:元文書とPDFの対応関係を定期的に確認するプロセスの確立
- 徹底したトレーニング:関係者への手順の周知と遵守の徹底
理想的には、システムの機能強化により技術的に要件を満たす方向での改善を検討すべきです。
Replying as
Submit
