電子文書の原本性保証ガイドライン

　　　電子文書の原本性保証ガイドライン
　　　　　　　　　　　　　　　開発本部開発管理部長　鈴木　実

１．はじめに
　我が国における一般的な電子化の現状は、電子的に作成又は取得した文書であっても、あくまでも原本は紙文書であり多くは紙によって保存・管理されていると見受けられます。情報伝達の迅速化、情報利用の容易化・高度化、省スペース・省資源化を実現するためには、従来の紙文書に代えて電子的な文書（＝電子文書）による保存・管理を推進することが必要です。政府も情報通信社会の推進に向けて、行政のあらゆる分野へ情報通信技術の成果を活用して国民サービスの向上と行政事務の効率化を図ることを課題とし、『セキュリティの確保に留意しつつ、「紙」による情報の処理からネットワークを駆使した電子的な情報の管理へ移行する。』といういわゆる「電子政府」を、2000年から2005年までを中心的な期間に位置づけ、構築していこうとしております。

　しかしながら、電子文書は紙文書と比較して、改ざんが容易でその痕跡も残りにくく、また記録媒体の経年劣化等により内容の消失等が起きやすい等の特性を有しており、これらの保存・管理上の問題点に関して適切な対策を講じる必要があります。電子文書の原本性保証とは、紙文書を電子化し、電子文書として保存・管理を行う際に電子文書が紙文書と同様に文書としての価値を持ち、かつ安全に利用できることが求められることです。この課題は、行政においても共通的に解決しなければならないものとして認識され、総務庁が主催する共通課題研究会において1999年４月に中間報告書（共通課題報告書）としてまとめられました（現在では最終報告書として「インターネットによる行政手続の実現のために」(平成12年３月）、としてまとめられております）。

　「電子文書の原本性保証ガイドライン」は、電子文書の原本性保証の確保を必要とするシステムの導入を検討する行政（中央省庁、自治体）および民間の機関に対して、活用して戴くことを目的に作成いたしました。本ガイドラインは、通商産業省平成11年度情報システム共通基盤整備のための連携推進事業として、当協会が情報処理振興事業協会より受託し、実施した「セキュア情報交換システムの開発」における標準作成作業成果物の１つとしてまとめられたものです。また、他の成果物には、ISO/IEC15408に基づく「原本性保証電子保存システムプロテクション・プロファイル」および「原本性保証電子保存システムインタフェース要件」等があります。策定にあたっては、当協会内に喜多紘一東京工業大学像情報工学研究施設教授を主査とする「原本性保証電子保存システム研究会」を設置し、原本性を保証するシステムのあり方を検討し取りまとめました。

２．ガイドラインの目的と定義
＜目的＞
　本ガイドラインの作成にあたっては、共通課題報告書を中心とし、様々な電子保存要件等の内容を分析し、さらに原本性保証電子保存システムの開発過程における検討、セキュア情報交換システムの導入対象となる自治体の文書管理、及び診療録等の電子媒体による保存に関する検討を参考としました。これらをふまえ、行政だけでなく民間においても、ユーザが電子文書の保存・管理の検討を行う際直面する原本性保証の問題について、共通課題報告書で示される原本性確保の要件を分かりやすく説明することで、原本性を保証するシステムを導入する際の対策指針を示すことを本ガイドラインの目的としております。

＜脅威と対策＞
　本ガイドラインでは、共通課題報告書で示される紙文書と比較した場合の電子文書の問題点を、原本性を脅かす要因（＝脅威）として捉え、それらに対しどのような対策を講じるかを共通課題報告書の原本性確保の措置内容から示し、かつ脅威と対策の双方に原本性保証電子保存システム研究会での検討内容等から補足説明を行っております。脅威については、行政における原本性保証の検討、国際セキュリティ標準であるISO15408などを参考にしながら、再整理を試みています。対策については、前述の脅威に対し「抑止」・「予防」・「検出」・「回復」の観点からそれぞれどのような対策が必要かを提示しています。それぞれ個々の対策には、システムを導入するにあたってのポイントを説明し、技術的もしくは運用的なソリューションを例示し、対策の方法のより具体的なイメージを理解する手助けとしています。

＜必須とオプション＞
　一口に電子文書と言っても、その内容により、必要とされる原本性保証対策のレベルは異なると考えられます。行政を例にとると、担当者同士のメモ書きに近い電子メールのようなものから、情報公開の対象となるような公文書、民間からの申請文書まで様々な文書があり、それらを一律に同じ考え方で整理するのは現実的ではありません。基本的に、文書の電子化にあたっては、対象となる文書の重要度、保存期間等の観点から、どの程度の原本性対策が必要かを個別に整理する必要があります。しかし、原本性が問題となる文書である以上、それらに共通して必要な最低限の対策をある程度想定することは可能だと考えられます。

＜技術的対策と運用的対策＞
　原本性保証の対策を行うためには、原本性を保証しうるシステムを導入しそのシステムを利用して行う技術的な対策と、運用による対策を組み合わせ補完することで満たされます。技術的な対策は主に原本性を保証しうる製品仕様として、運用的な対策はユーザ側で
実施されるものです。

＜前提条件＞
　原本性を脅かす要因は、偶発的に発生する災害・システムの障害・劣化・人的エラーなどと、意図的に行われる改ざん・盗難などの不正行為に分けられます。災害とは、一般的な災害（火災・落雷・地震・水害等）やその他の災害（静電気・塩分・湿度・電磁界・小動物害・ノイズ・振動・粉塵等）などが挙げられます。このような災害に対する対策は本ガイドラインでは詳細に示していません。意図的な不正行為は、システム・機器の設置場所の部屋の鍵を壊す・変装して建物に侵入するといった物理的なアタックや、各種ネットワークを経由して不正に侵入する（ハッキング）といった論理的なアタックなどが挙げられます。ただし、原本性保証には組織外部の第三者が行う不正も含まれますが、第三者の不正を原本性確保の要件として明確に定義するかは今後の検討課題です。

３．原本性保証に対する脅威と対策

　本ガイドラインで脅威と捉える点について、共通課題報告書では「紙文書と比較した場合の電子文書の問題点」として次の点を挙げています。

・改ざん、修正、すり替え等が容易で痕跡も残らない、システム障害、記録媒体の経年劣化等により内容の消失、変化のおそれがあるなど、完全性の確保に問題があること

・盗難、漏えい、盗み見が大量かつ秘密裏に行われやすいなど、機密性の確保に問題があること

・ディスプレイに表示又はプリントアウトするなどの措置を講じない限り、可視性・可読性に欠けており、見読性の確保に問題があること

　本ガイドラインでは、表１に示すように原本性を脅かす脅威としてまとめております。

　　　　　　表１．本ガイドラインにおいて規定した、原本性を脅かす脅威

原本性を脅かす脅威
内　　　　容

改ざん故意により電子文書やシステムタイマー、ログ等の内容の変化・消失・消去・書き換え等が行われること。また故意ではなく過失によって、例えばユーザの入力ミス・誤操作・誤解・判断ミスなどにより、結果的に内容が変化・消失したり、文書の一部または全部が正しくない状態になること。

システム障害による電子文書等の内容の消失・変化予期せぬシステムダウンや、停電・誤切断など。これらにより電子文書等の内容が消失・変化するだけでなく、システムや機器が破壊されたりしても電子文書を利用することができなくなる。
システムがバージョンアップ・更新された際に元のバージョンのシステムで保存された電子文書が利用できなくなることなどもある。

記録媒体の経年劣化経年劣化は、情報の記録媒体であるディスクが長期間保存しておくことで劣化していくこと。紙文書は一部分が劣化した場合でも推測して判読することなどが可能だが、電子文書の場合は一部分が劣化することで全部分の情報が利用できなくなる恐れがある。一般的に、電子的な記録媒体であるディスク等は、紙などと比較した場合劣化しにくいが少々の劣化が大きな損失につながる。

電子文書等の盗難・漏えい・盗み見電子文書等の管理すべき情報が盗難・盗み見されたり、組織に無関係な人・組織に対して漏えいされること。盗難・盗み見の方法には、ネットワーク等を介して行う論理的な方法と、保存用の記録媒体を保管場所から持ち出すなどの物理的な方法の２通りある。

見読性の欠如ディスプレイに表示又はプリントアウトするなどの措置を講じない限り、保存された電子文書を必要な時に直ちに目で確認できないこと。

電子文書保存・管理の責任やその権限の不明確化文書の保存や管理を行う責任や権限を明確にせず、また管理者等を定めないことで、第三者から見た場合の電子文書の信頼性が保たれなくなる等のこと。
管理者を定めるだけでなく、電子文書を保存した者が誰であるかがシステム上明確でなくなることも含まれると考えられる。ただしこの脅威の重要性そのものや、保存者が単独の責任なのか、組織など複数の人なのか、保存の操作の代行を許すかどうか等は、対象文書や業務要件によって変わることに留意する必要がある

コンピュータウィルスによる破壊・消去コンピュータウィルスによる破壊・消去は、故意または過失によっていわゆるコンピュータウィルスがシステム・機器内に侵入し、電子文書もしくはシステム自体を破壊・消去すること。

原本と謄本・抄本の混同による、唯一性の欠如原本と謄本・抄本の混同による唯一性の欠如とは、電子文書は全く同一のものを容易かつ大量に作ることができるため、原本と謄本・抄本のように同一の電子文書が複数存在することとなった場合において、それらが混同されること。ここでの唯一性とは、原本と謄本・抄本などが明確に判別でき、混同されていない状態のことを表す。この脅威の重要性は、対象となる文書や業務要件によって変化することに留意する必要がある。

　原本性を脅かす脅威は、その行為を行う主体によって分ける必要があります。脅威の中でも「改ざん」・「電子文書等の盗難・漏えい・盗み見」・「コンピュータウィルスによる破壊・消去」は、人間が必ず介在して行う脅威であるためです。脅威となる行為を一般ユーザが行う場合、システム管理者が行う場合、組織外部の者が行う場合に分けて考える必要があります。
対策については、共通課題研究会の中間報告書における対策要件に沿って、個々の対策についての説明およびソリューション例を示しています。

　スペースの都合上全て掲載できませんが、対策についての説明およびソリューション例を以下にご紹介します。

＜アクセスの認証について＞
　『ホストコンピュータ、端末機、通信関係装置、プログラムその他のハードウェア及びソフトウェアの全部又は一部により構成されるものであって、電子文書を保存・管理するためのシステムにアクセスする者をID、パスワード等によって識別し、認証すること（必須）』

　電子文書の保存・管理するシステムは、正当なユーザだけが利用できるようにしなくてはならず、容易に他者になりすますことを防ぐ必要があります。アクセスする者をIDやパスワード等を利用して識別し認証することは、組織内部の人間に対してはもちろんのこと組織外部の人間かどうかを識別する場合も含まれます。特に組織外部の人間が出入りをしやすい場所・環境にシステムが設置される場合は、ICカードなどの物理的な認証手段も組み合わせて行い、IDとパスワードを入手しただけではアクセスできないようにしておくことなども考えられます。また、ユーザの個人のIDやパスワードなどを盗む、または他のユーザがIDやパスワードを入力しているところを盗み見るなどが考えられるため、ユーザの情報を管理しているファイルもしくは管理簿等を適切に管理したり、ユーザに入力時の注意を促すなどが必要となります。また同時にユーザが自身のIDやパスワードといった情報を安易に他人に教えないよう、また人目に触れる場所に書き留めておくなどをしないように、またパスワードには類推しやすい言葉を利用しないなどといったユーザ教育を行うなども必要です。

　技術的なソリューション例は、

・ユーザが容易に他者の権限を利用できないように、また他者の名前で原本を保存するといったことができないようにするなど、ID・パスワード等またはデジタル署名等によってユーザを特定できるようにする。

・特に組織外部の者が容易に不正にアクセスできないよう、ID・パスワードとICカード等の物理的な手段を組み合わせて、ユーザの特定を行う。などが挙げられます。

　運用的なソリューション例は、

・ユーザのIDやパスワードもしくはICカード等を利用する場合、登録情報などは他のユーザが容易に見ることができないよう適切に管理する。
・ユーザがIDやパスワードを安易に他人に教えない、また人目に触れる場所に書き留めておくことなどをしないよう、管理者などが適切に教育を行う。

などが挙げられます。

４．終わりに

　電子文書の原本性保証の問題については、前述の「インターネットによる行政手続の実現のために」で「電子文書であっても、完全性・機密性・見読性の要件が確保されていれば、原本として保存されている紙文書と同様の状態にあるものとみてよいと考えられる」と結論づけているように、電子文書はシステムによって要件確保がなされている限りにおいて原本として価値を持つと考えてよいと思われます。昨今の行政の情報化・電子政府の盛り上がりと共に、今後は中央省庁・地方自治体等行政において積極的に文書の電子化が進むことと、システム化の検討の際には、ぜひ本ガイドラインを参照いただきたくことを期待いたします。ただし今回作成したガイドラインは、さらに利用者となりうる方々のご意見などを反映させ、より良いものとなるように改訂を進めていく所存であります。

　最後に、本ガイドラインを取り巻く動向を図１に示します。本ガイドラインは共通課題研究会における報告書を元にシステムを利用する行政機関等を対象として作成したものですが、システムを開発するメーカや認定・評価機関が、原本性保証電子保存システムを開発・認定するための標準化の動きがあります。当協会においても、本ガイドラインの要件を満たす「原本性保証電子保存システム（＊）」を開発しており、このような標準化の動向をふまえながら、本ガイドラインの改訂を進めると同時に、原本性保証電子保存システムの積極的な導入が進むよう検討を続けて参ります。

　　（＊）開発概要のホームページhttp://www.nmda.or.jp/nmda/ipa/gen/ipa-gen.html

　NMDA-Topページへ　研究成果Indexへ　研究成果目次へ

原本性を脅かす脅威	内　　　　容
改ざん	故意により電子文書やシステムタイマー、ログ等の内容の変化・消失・消去・書き換え等が行われること。また故意ではなく過失によって、例えばユーザの入力ミス・誤操作・誤解・判断ミスなどにより、結果的に内容が変化・消失したり、文書の一部または全部が正しくない状態になること。
システム障害による電子文書等の内容の消失・変化	予期せぬシステムダウンや、停電・誤切断など。これらにより電子文書等の内容が消失・変化するだけでなく、システムや機器が破壊されたりしても電子文書を利用することができなくなる。システムがバージョンアップ・更新された際に元のバージョンのシステムで保存された電子文書が利用できなくなることなどもある。
記録媒体の経年劣化	経年劣化は、情報の記録媒体であるディスクが長期間保存しておくことで劣化していくこと。紙文書は一部分が劣化した場合でも推測して判読することなどが可能だが、電子文書の場合は一部分が劣化することで全部分の情報が利用できなくなる恐れがある。一般的に、電子的な記録媒体であるディスク等は、紙などと比較した場合劣化しにくいが少々の劣化が大きな損失につながる。
電子文書等の盗難・漏えい・盗み見	電子文書等の管理すべき情報が盗難・盗み見されたり、組織に無関係な人・組織に対して漏えいされること。盗難・盗み見の方法には、ネットワーク等を介して行う論理的な方法と、保存用の記録媒体を保管場所から持ち出すなどの物理的な方法の２通りある。
見読性の欠如	ディスプレイに表示又はプリントアウトするなどの措置を講じない限り、保存された電子文書を必要な時に直ちに目で確認できないこと。
電子文書保存・管理の責任やその権限の不明確化	文書の保存や管理を行う責任や権限を明確にせず、また管理者等を定めないことで、第三者から見た場合の電子文書の信頼性が保たれなくなる等のこと。管理者を定めるだけでなく、電子文書を保存した者が誰であるかがシステム上明確でなくなることも含まれると考えられる。ただしこの脅威の重要性そのものや、保存者が単独の責任なのか、組織など複数の人なのか、保存の操作の代行を許すかどうか等は、対象文書や業務要件によって変わることに留意する必要がある
コンピュータウィルスによる破壊・消去	コンピュータウィルスによる破壊・消去は、故意または過失によっていわゆるコンピュータウィルスがシステム・機器内に侵入し、電子文書もしくはシステム自体を破壊・消去すること。
原本と謄本・抄本の混同による、唯一性の欠如	原本と謄本・抄本の混同による唯一性の欠如とは、電子文書は全く同一のものを容易かつ大量に作ることができるため、原本と謄本・抄本のように同一の電子文書が複数存在することとなった場合において、それらが混同されること。ここでの唯一性とは、原本と謄本・抄本などが明確に判別でき、混同されていない状態のことを表す。この脅威の重要性は、対象となる文書や業務要件によって変化することに留意する必要がある。