ISO27001の管理策から考えるリモートワークと電子押印
昨今、リモートワークが続々と増えており、通常とは異なるスキームで社内の稟議を通すこともあると思います。そこでよく利用されているのが電子押印ではないでしょうか。
今回は、電子押印を利用することでどのようなリスクが発生するのか、またその発生したリスクにどのように対応していくべきなのかということについて、ISO27001の管理策の観点から考えていきたいと思います。
電子押印によって発生し得るリスク
そもそもですが、電信印鑑には2種類のものがあります。1つは単純に印影を画像化した電子印鑑。もう一つは印影に識別情報が保存された電子印鑑です。
電子押印によって発生し得るリスクは、その印影の複製可能性です。通常重要な書類に使用される印鑑は特注のものであることが多いでしょう。――しかしこういった複製が簡単にできてしまう印影を用いることは、その真正性を確かめることができないため、リスクとなり得るのです。つまり、偽造のリスクを高めてしまうことになることが電子押印を利用するリスクであるといえます。
電子押印利用のリスクに対策を行うためには
では、こういった偽造リスクを回避するためには、どのような管理方法が適切なのでしょうか。いくつかのパターンで考えてみましょう。
識別情報が保存された電子印鑑を利用する
最初に考えられるのは、電子印鑑に対して識別情報を付与した画像データを利用するというものです。この識別情報は有料のサービスを利用することで作成可能となります。こういった電子印鑑には、「いつどこで押印されたか、誰が押印したか」などの情報をログとして残すことができるため、通常の印鑑よりも高いトレーサビリティを持ちます。
一方で、そのシステムは簡素なものであるため、自社で独自の印影管理システムを構築することも可能でしょう。Webアプリケーションとして動作させれば、そのアプリケーションのログイン情報管理にリスクを委託することができます。
稟議システムの開発
次に考えられるのは、「無理に印鑑を利用した稟議システムにせずに、合理的な稟議スキームを開発する」というものです。
確かに現状のスキームを維持するのであれば押印によってその稟議の真正性を確かめることは理にかなっているかもしれませんが、「稟議を通す」という目的で行うのであれば、無理に押印にこだわる必要はありません。
例えば社内用のアプリケーション内で稟議を通すシステムを構築しておけば、ログインとパスワードの管理によってその真正性を確かめることができます。――確かに、ログイン情報を管理することで新たなリスクは生まれるかもしれませんが、VPNを利用してアクセス制限をかけたり、二段階認証システムを用いたりすることでそのリスクは低減することができるでしょう。
もちろん公的な書類に関してはどうしても押印が必要なものがあるため、そういった場合には実印や識別情報が保存された電子印鑑を利用する必要があるかもしれませんが、その頻度や重要性によっては新たにシステムを構築してしまうことも一つの管理作であるといえるでしょう。
本質を考えて合理的な計画を策定しよう
ISOプロでは他のページでも、マネジメントシステムとは組織が合理的な決断を下すためのツールであるという表現を行っていますが、あるリスクに対してどのような対策を取っていくのかということは、様々な視点から本質を考えることで見えてきます。
とりわけ、前例の少ない今回のような事例に関しては、マネジメントシステムを活用した合理的判断を行うことは難しいかもしれませんが、それでも計画を実行し、システムを運用してみることで初めて見えてくるものもあると思います。
また、合理的な判断を行うためには、世の中にはどのような技術やサービスがあり、組織の抱える課題やリスクを委託することができるかどうかということについては、常にアンテナを張っておくのが良いでしょう。
ISOプロでは月額4万円から御社に合わせたISO運用を実施中
ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。
また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。
サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。
こんな方に読んでほしい