これからの文書情報マネジメント 目次
- はじめに
- 1. 主要概念
- 2. 文書の取り扱いに対する考え方
- 3. 文書情報システム
- 4. これからの文書情報マネジメント
- 5. 対象とする文書
- 6. 文書のコントロール
- 7. 文書情報マネジメントの運用
はじめに
本ページの目的
本ページは、組織的なデジタル化を推進している方、電子文書の組織的・体系的な取り扱いを検討されている方を主な対象に、文書の流通、共有、保存などの運用をどのようにマネジメントすればよいかを、入門者向けに、分かり易く解説することを目的としています。
以下では、デジタル社会と文書の現状認識に続いて、第1章で、文書情報マネジメントに関わる主要概念を紹介し、第2章で、文書の取り扱いに対する考え方、第3章で、文書情報システムの概要、第4章でこれからの文書情報マネジメントの方向性について説明します。後半の各論は、第5章で対象とする文書、第6章で、作成基準、保存期間、分類体系、アクセス権管理などのコントロールを、第7章では文書情報マネジメントの運用について概説します。
文書の保存から流通・共有へ
改正デジタル手続(デジタルファースト)法及びデジタル社会形成基本法が令和3年に施行され、官民上げての本格的なデジタル社会への移行が始まりました。
e-文書法においても、令和3年度の改正で、取引情報に係る電磁的記録の保存を出力書面等の保存で代替できる措置が廃止となっています。
既に、業務上の文書はほぼ100%が電子的に作成され、インターネットの普及に伴い、文書は電子的な手段によって流通・共有が行われています。また、急速に増え続ける電子文書や電子データを活用するだけでなくナレッジの蓄積やAIによる付加価値再生産が始まっています。
これらの流れに乗るには、電子文書を資産として組織的・体系的に取り扱い、運用していく仕組みなくしては成り立ちません。
1. 主要概念
1.1 文書
文書の概念としてよく引用されているのは明治43年の大審院判例で、この判例から次の3つが文書の要件であるとするのが定説とされてきました。
① 文字やこれに代わる符号で記載されている。
② 永続性のある状態で、ある物体の上に記載されている。
③ 意思を表示したものである。
今日では、文書の概念に、①の文字やこれに代わる符号に加え、写真やコンピュータデータなども含まれるようになっています。
また、②のある物体の上に記載されているという観点からは、それが紙であれば紙文書、電子媒体であれば電子文書(ESI: Electronically stored Informationとも言います。)となりますが、電子文書の場合は、単に情報が電子媒体に書込まれているだけではなく、必要な時にいつでも画面に表示または印刷でき、読んで理解できなければなりません。
文書には、印刷物、構造化データ、非構造化データ、スキャンされた紙やファックス、電子メール、音声、動画、アニメーションやイメージを含んだWebページなど様々な形式がありますが、最近は、処理の自動化に向けて、Word文書に文の構造を示すタグを付けたり、PDF文書にXMLデータを埋め込むなど、人間が見て理解できるだけでなく、コンピュータによって処理可能な形式へと変化しています。
1.2 文書情報
公益社団法人日本文書情報マネジメント協会(以下、JIIMAという)では、「業務における文書と文書を特定し管理するための情報」を「文書情報」と定義しています。「文書を特定し管理するための情報」には様々な種類と呼び方があり、ファイル基準表、経緯情報、ログや、総称としてのメタデータなどがこれに該当します。
1.3 文書情報システム
文書情報システムは、文書の作成、配付、受領、保存などの、文書の取扱い過程や保存運用過程(2.2節)におけるプロセスの実行や、文書に対するコントロール(6章)を支援するシステム(または)サービスです。
最近は、急速な業務のデジタル化の過渡期にあり、電子文書が、電子契約、電子請求書発行、電子決裁、経理、勤怠管理などさまざまな業務システムやサービスに分散保存されている状況が多々あり、これらを統括する文書情報マネジメントが非常に重要になります。
1.4 文書情報マネジメント
文書情報マネジメントとは、業務の効率化、情報や知識の共有化、書類量の削減のほか、説明責任、法令遵守、訴訟対応、内部統制、事業継続(BCP)、情報セキュリティ、リスクマネジメント、権利確保(知財・先使用権確保)などを目的として、「情報ガバナンスの方針のもとに文書情報を組織的に取り扱うこと」を言います。
ここでの「マネジメント」は、「管理する」「ルールに従って統制する」という意味ではなく、品質マネジメントや環境マネジメントと同様に、「人、モノ、コトをうまく取扱う、うまく処理する」という意味のマネジメントです。文書情報マネジメントは、各々の組織が、効率的、効果的な文書情報の取扱いを計画し、実装し、運用することと言い換えることができます。
2. 文書の取り扱いに対する考え方
2.1 文書に求められる特性
文書は、企業にとって重要な情報資産です。業務やビジネスを進めるにあたっての情報の伝達及び共有、報告、結果の記録などに必須であり、また効率的に業務を進めていく上で、ナレッジとしての利活用は欠かせません。
文書は、法令やガイドラインによって若干の違いはありますが、概ね次の特性が要求されています。
a) 真正性 authenticity
その内容が作成者の意図に基づいて作成者自身により、その主張する日時に作成されたことを示す特性です。真正性の確保には、デジタル署名やタイムスタンプの付与、アクセス制御や操作履歴の記録が有効です。
b) 完全性 integrity
文書が適切にコントロールされ、完全であり、かつ変更されていないことを示す特性です。許可のない変更・削除(改ざん・隠滅)から保護し、保存期間中に改訂が必要な場合には、改訂の記録を取得することが必要です。完全性の確保には、文書のハッシュ値の管理、アクセス制限、変更履歴の記録が有効です。
c) 信頼性 Reliability
その内容が、処理、活動、事実の十分かつ正確な表現として信頼できることを示す特性です。信頼性の確保には、文書の取り扱い手順の標準化、責任者による確認や内容の精査、信頼できる情報源に基づいていることの検証、関連文書間の整合性確認が有効です。
d) 可読性 readability
文書やデータが人間や機械が読み取れることを示す特性で、人間を対象とした場合は見読性とも言います。電子文書は、画面に表示またはプリンタに印刷して読み取れないと人が扱うことができません。可読性の確保には、フォーマットの統一のほか、機器の劣化や技術の陳腐化に備えることが有効です。
e) 使用性 usability
文書が検索、参照され、内容を読み取ることができることを示す特性です。特に、保存期間中に求められる特性です。使用性の確保には、検索用メタデータの付与、使用性の評価と改善、長期保存時の適切なマイグレーション(移行)が有効です。
2.2 電子文書の法的証拠能力、原本性
電子文書の法的証拠能力及び許容性(書面以外の保存や提出が認められること)に関しては、前記の特性を満たしていれば、基本的に書面と変わるところはありません。
また、電子文書は、同一の文書が複数存在しても、当該文書が原本であったのかどうかを区別することに実益はないとされています。
組織によっては、制度上または実務上の必要性に基づき、原本とそれ以外の文書とを区別できるような運用を行うこともあります。
2.3 電子文書取り扱いのコントロール
電子文書を電子的に取り扱って管理するためには、見積り依頼、注文、請求などの業務に固有な部分と、文書の配付、受領、共有、保存などの業務に共通的な部分とにレイヤ化し、業務に共通的な部分を、文書に求められる特性を満たすようにコントロールします。
業務に共通的な部分は汎化することにより、サービスとして提供することが可能となり。既に請求書の発行や保管、メール添付に代わる文書の配付など、様々なクラウドサービスが始まっています。
2.4 文書の取り扱い過程と保存運用過程
これまでは、「文書の作成や取得、処理、保存から処分までの一連のプロセス」は文書のライフサイクルと言われてきました。
しかし、電子文書が中心になり、プロセスのエビデンスとして随時文書情報が保存されるようになると、図2-2のように、文書の取扱い過程のプロセスと保存運用過程のプロセスが並行して実施されるになってきました。
注記 文書情報マネジメントにおいては、一般用語としての文書の「取り扱い」と、文書の取扱い過程にコントロールされた「取扱い」を区別して使う場合があります。
2.5 経緯情報の記録・保存
文書の保存は、そのコンテンツ(内容)だけでなく、その文書が作成された所以、承認に至る手続き、送付や取得などの経緯情報を記録し保存することが求められるようになってきました。これらの情報は、コンテンツに対してコンテキスト情報と呼ばれています。
図2-3は、コンテンツとコンテキストの関係を表しています。ここで、作成、取得すべき文書とは、例えば、請求書や領収書などを指します。
3. 文書情報システム
文書情報システムには、EDM (Enterprise Document Management)、ECM (Enterprise Contents Management)などの専用のシステムのほか、さまざまな業務システムの中に文書情報システムとしての機能が組込まれ、外観上は業務システムとして提供されています。
実際には、多くの場合、さまざまな業務システムやサービスが混在することになり、文書情報システムとしての機能やインタフェースの整合を取るには、導入した専用の文書情報システムとの連携やカスタマイズによって対応することが考えられますが、技術的、コスト的な要因により、必ずしも整合が取れるとは限りません。
重要なことは、過不足や相違を正しく認識し、システムやサービスの構成を工夫し、また、人手による補完を運用手順に反映することが肝要です。
ファイルサーバでの代用について
日本は、欧米諸国と比べて、文書情報システムの導入が余り進んでいません。多くの組織が部門のファイルサーバで代用していると想定されます。
文書を電子的に作成したり取得しても、電子的にコントロールできなければ、デジタルで業務を完結することができません。人の手で運用的にカバーするのには限界があります。
4. これからの文書情報マネジメント
4.1 課題と解決に向けた方向性
これまでの文書情報マネジメントは、紙中心の文書から電子中心の文書への過渡期への対応であったと言えます。極論すれば、まだ業務はほぼそのままに、紙文書が電子文書に置き換わっただけとも言えます。
次のステップとして、これからは、業務のデジタル化やデジタルで完結する業務に向け、次のような課題を解決していくことになります。
① デジタル化の進展や変化に耐える柔軟な構造
② 非対面での文書の信頼性確保
③自動化への対応
(1) デジタル化の進展や変化に耐える柔軟な構造
前述のように、現在、電子契約、電子請求書発行、電子決裁、経理、勤怠管理など多くのサービスがクラウド上で提供され、文書情報が各々のサービスごとに分散保存されている現状ですが、これらのサービスは、業務改革のスピード以上に、今後も進化と変化が続くと考えられます。
このため、文書情報の取扱いにおいても、これらの進展や変化に耐える構造を持つことが必要です。
変化に強いグッドプラクティスとして挙げられている手法が、組織の業務を可能な限り独立したフラットな単位に細分化し(海外の事例では、事業内容や組織の規模にもよりますが200程度)、業務のフローを明確にし、業務で作成または取得すべき文書を紐付け、業務に組織を紐付け、システムや適用サービスを紐付ける方法です。
業務とフローの定義は内部統制の基本でもあります。
このような構造にすることにより、何処でどのような文書が取り扱われているかが把握でき、一部の業務を別のサービスに置換えても、他の業務の文書情報の管理への影響を最小限に抑えることができます。
(2)非対面での文書の信頼性確保
バーチャル空間での取引は、非対面であり相手の顔が見えません。どのように相手や受け取った文書を信頼するかは大きな課題です。
インターネットを介した取引は、成りすまし、不達、フォーマットの齟齬、コンテンツの信頼性が判断できないなど様々なリスクを伴います。
相手や受け取った文書の信頼性は、トラストサービス基盤の利用(eシールにより、確かに当該組織から発行されたことが確認できます。)、事前のやり取りや契約、過去の取引実績、仲介するサービスプロバイダの質、第三者認証の取得などに依存するため、要件を整理し、信頼の度合い(trustworthiness)を提示することにより、適切な確認方法を選択できるようになることが期待されます。
(3) 自動化への対応
データ入力に関しては、電子文書や電子データで受け取っているにもかかわらず、一旦印刷して、あるいは画面に表示させて、台帳(データベースやエクセル表)に転記していないでしょうか。人には理解できても機械が理解できないと自動化ができません。
取得した文書から機械的にデータを抽出することができれば、データベースに書込むことができ、即時に処理は完了し、転記ミスも発生しません。
取得した文書から機械的にデータを抽出したりAIを活用するためには、
① 何処にデータが埋め込まれているかをコンテンツ内にタグ付けしておく
② XMLのように、人も機会も読める形で記載しておく
③ 人が読むための本文とは別に機械が読むための表データを添付(例えば、PDFにXMLを埋め込むなど)しておく。この場合、本文の内容と表データの内容に齟齬がないことを説明できなければならない。
などの対応が必要になります。
なお、紙面で受け取った文書を、AI-OCRによりデータを機械的に抽出する方法が既に実用化されています。
4.2 レコードマネジメントとの関係
文書情報マネジメントは、文書の作成、取得などの取扱い過程と、保存、廃棄などの保存運用過程を対象としますが、記録として保存する過程は、図4-1に示すように、レコードマネジメントの一部を取り込んでいます。
レコードマネジメントの概念については、これまでにISO等で議論が尽くされてきており、JIS X 0902-1として規格化されています。
5. 対象とする文書
文書情報マネジメントが対象とする文書には次のようなものがあります。
① 法定保存文書
② マネジメントシステム文書
③ 営業秘密に係る文書
④ 説明責任のための文書
⑤ 自衛のための文書
5.1 法定保存文書
法律で保存が義務付けられている文書のことで、保存期間が定められています。
表5-1のように、どの組織にも関係するもの以外にも、業種によって規制される法律が異なるため、保存しなければならない文書はさまざまな種類に及びます。
また、法律の改正などで新たに保存対象文書が指定される可能性があり注意が必要です。
表5-1 法定保存文書の例 (共通文書)
| 業務 | 文書の種類 | 法令名 |
|---|---|---|
| 経理 | 取引に関する帳簿書類 (見積書、納品書、請求書、契約書、領収書など) | 法人税法 126 条 1 項 |
| 人事 | 雇入、解雇、災害補償、賃金その他労働関係に関する重要な書類 (出勤簿、給与台帳等) | 労働基準法 109 条 |
| 総務 | 株主総会議事録・総会議事録の謄本 | 会社法 318 条 2、3 項 |
このほか、各種の業務を行っていく上で守らなければならないものに、政府などから発表されるガイドラインや通達があります。これらのガイドラインでは、保存が必要な文書を指定したり、法定保存文書の作成方法や保存方法を規定しています。
5.2 マネジメントシステム文書
ISO 9001(JIS Q 9001:品質マネジメントシステム)を始めとするマネジメントシステムは、認証取得により社会的信用を高める効果が認められ、多くの企業に導入されています。
マネジメントシステムでは、文書化された情報(documented information)として、管理体制や活動実績などの保存を義務付けています。
5.3 営業秘密に係る文書
秘密情報の漏えいは、自社の競争力低下、法令違反や他社との契約違反による社会的信用の低下、他社との信頼関係を棄損させることになり、厳重な管理が求められます。
営業秘密には表5-2のようなものがあります。
表5-2 営業秘密の類型
| 情報資産分類 | 情報資産分類に該当する主な情報の例 |
|---|---|
| 経営戦略に関する情報資産 | 経営計画、目標、戦略、新規事業計画、M&A 計画など |
| 顧客に関する情報資産 | 顧客個人情報、顧客ニーズなど |
| 営業に関する情報資産 | 販売協力先情報、営業ターゲット情報、セールス・マーケティングノウハウ、仕入価格情報、仕入先情報など |
| 技術(製造含む。)に関する情報資産 | 共同研究情報、研究者情報、素材情報、図面情報、製造技術情報、技術ノウハウなど |
| 管理(人事・経理など) に関する情報資産 | 社内システム情報(ID、パスワード)、システム構築情報、セキュリティ情報、従業者個人情報、人事評価データなど |
| その他の情報資産 | 上記以外の情報資産 |
「営業秘密管理の考え方-営業秘密管理のための手順-」経済産業省、平成25年8月
5.4 説明責任のための文書
説明責任(アカウンタビリティ)を果たすために、内部統制が機能し、組織が正しく運営されていることを説明する文書を保存します。
内部統制に関わる作成文書の保存範囲、保存期間は各企業での判断に任されていますが、概ね5年を目途に、関連する証拠書類と合わせて保存します。
5.5 自衛のための文書
法律その他で保存が義務付けられたものではなく、通常は使用しない文書であっても、裁判などで訴えられた時の事実の証明や、災害が発生した時の対応など、何かあったときのために保存しておく文書です。
① 製造物責任(PL)法に関わる文書
PL(Product Liability)法では、製造業者等が自ら製造、加工、輸入または一定の表示をし、引き渡した製造物(動産)の欠陥により他人の生命、身体または財産を侵害したときは、過失の有無にかかわらず、これによって生じた損害を賠償する責任があることを定めています。時効に合わせて製品の製造・加工・出荷・販売の記録や、品質管理データなどの保存が必要となります。
② バイタルレコード
非常事態に遭遇した時に、組織の継続と生き残るために必要な情報はバイタルレコードと呼ばれています。BCP(Business Continuity Plan:事業継続計画)とも関連しますが、事業形態によって必要とする情報は異なり、企業独自にリスク分析を行う必要があります。
事業内容や環境の変化に伴って、対象となる情報も変わってくることから、定期的な見直しを行うことが大切です。
また、非常事態ではコンピュータが使えないことも想定し、電子文書だけでなく紙の書類として、身近な所に保管することも大切です。
注記 詳細は「JIIMA危機管理を目的とした文書・記録管理ガイドライン」を参照
③ 技能の伝承、退職者の知識、ナレッジ・マネジメントに関わる文書
ノウハウ、カンに頼っていた熟練技術者の製造技術を伝承するために、暗黙知(カンや直感、個人的洞察、経験に基づくノウハウ)を、形式知(言葉や文章、数式、図表、写真、動画などによって表出することが可能な客観的・理性的な知識)に変えて記録として残すことが急務となっています。
④ 特許関係の文書
営業秘密(5.3参照)は、あえて特許を出願せず、ノウハウとして秘匿する場合があります。製造方法などが他社に知られることはない反面、他社が独自に技術開発を行い、その内容を特許として出願する可能性があります。たとえ特許出願されても、発明内容を用いて事業を開始またはその準備をしていれば、先使用権(特許法79条)を主張することができるので、技術関連書類(研究ノート、技術成果報告、設計図、製品仕様書)や事業関連書類(事業計画書、事業開始決定書、見積書、納品書、工場の作業日誌、商品カタログ)などを証拠として保存しておくことが重要です。
6. 文書のコントロール
以下の統制は、文書情報マネジメントの一元的な運用を可能にします。
6.1 作成基準
どのような記録を作成・取得し、どれだけの期間を保存するか、予め方針や基準を設定しておきます。
この基準に従って、業務活動を評価するプロセスをアプレイザル(appraisal)と言い、業務の性質、法的要件、資源の準備状況、技術的環境の理解とともに、リスク評価によってどのような文書を作成し(或いは廃棄し)、どのように管理するかを決定します。
アプレイザルは次のような場合に行います。
① 新しい組織の立ち上げ、業務や活動の獲得、喪失
② 業務の手法やニーズの変化、規制環境の変化、新システムの導入や更新
③ リスクや優先順位の認識の変化
6.2 保存期間
文書は日々増加しており、活用度の低下した文書をそのまま保存しておけば、物理的な資源の圧迫を招くだけでなく、不必要に長く保存することで生じるリスクもあり、適切な保存期間を定め、定期的に廃棄する必要があります。基準を決めないと、いつまでも廃棄できないばかりか、必要な書類を捨ててしまうことにもなりかねません。
一般的に、企業や行政の文書または文書データの保存期間は、法律や各企業の文書管理規程で定められており、規程に沿って保存や処分のスケジュール管理(リテンション管理とも呼ばれます)が行われます。
保存は、保存運用過程に移行したときから始まり、「保存期間起算日」から、所定の「保存期間」を経過した時点が、「保存期間満了日」となります。
法定保存文書の保存期間の例を表6-1に示します。
表6-1法律で定められている文書の保存期間例
| 文書の種類 | 保存期間 | 法律 |
|---|---|---|
| 株主総会議事録、商業帳簿 | 10年 | 会社法 |
| 仕訳帳、総勘定元帳等の帳簿、棚卸表、貸借対照表、損益計算書、注文書、見積書、契約書の控え | 7年 (注) | 所得税法、法人税法 |
| 財産形成非課税貯蓄申込書、異動申請書 | 5年 | 所得税法 |
| 雇用保険被保険者に関する書類 | 4年 | 雇用保険法 |
| 労働者名簿、雇入、解雇、退職に関する書類 | 3年 | 労働基準法 |
| 健康保険の被保険者資格取得確認通知書 | 3年 | 健康保険法 |
注 欠損金が生じた事業年度に係るものは10年
6.3 分類体系
文書情報マネジメントに係る主な分類体系は2つあります。
(1)業務分類:文書とそのコンテキスト(2.3参照)と結び付け、以下を可能にします。
① 業務アプリケーション及び関連文書に対する適切なアクセス及び認可ルールの適用
② 適切な処分のルールの実行
③ 組織再編に伴う特定業務の機能または活動に関わる文書の新しい環境への移行
業務分類体系は、組織変化への弾力性を維持するために、組織構造に基づくよりもむしろ業務機能や活動に基づくことが望ましいとされています。
(2)機密分類:極秘や内部秘など、機密度に応じてマークを付け(マル秘マークなど)、機密度に応じた取扱いのコントロールを行います。
6.4 アクセス権管理
アクセス権管理は、アクセス者(個人またはグループ)毎の、ファイルやフォルダに対するアクセス権限(読取のみ、編集可など)を管理します。(図6-2)
アクセス権の付与(authorization)は、業務遂行者に過不足なく行われることが基本となりますが、法的な条件や契約上の条件も考慮する必要があります。(図6-2)
また、アクセス権限は、法規制環境、要員の交代を含む業務活動の変化に応じて見直す必要があり、日常的に監視し更新することが推奨されます。
6.5 メタデータ
メタデータは、プロパティまたは属性情報と呼ばれることがあります。文書情報マネジメントを確実に実施するために、個々の文書に、タイトル、分類、キーワード、作成者、作成日、保存期限、原本の所在などのメタデータを紐付けます。メタデータは、文書の中に埋め込まれたり、文書とは独立に管理され、検索や保存期間の管理に利用されます。通常、作成フェーズで文書を管理するための基本的なメタデータが生成され、その後の処理、保存、廃棄の各フェーズで適時情報が追加されていきます。
7. 文書情報マネジメントの運用
7.1 マネジメントシステムとの連携
マネジメントシステムとは、方針及び目標を定め、その目標を達成するために組織を適切に指揮・管理するための仕組みです。
5.2で述べたような、ISO9000、14000、27000などさまざまなマネジメントシステムの土台にあるのが、規程、マニアル、業務結果などの文書の管理です。
文書情報マネジメントはこれらのマネジメントシステムの「文書化した情報」の要求を満たしていることから、文書情報マネジメントを実施することによって、さまざまなマネジメントシステムの文書情報マネジメントのコアとしての運用が可能になります。
7.2 リスクマネジメント
7.2.1 文書情報マネジメントで考慮すべきリスク
リスクマネジメントとは、まだ発生していないリスクを探し、これを回避する方法や、被害を最小限にするために、どのようにすればいいのかを決めることを言います。文書情報マネジメントにおいては、事業リスクとして次のようなリスクを考慮する必要があります。
また、リスクは環境によっても変化するため、時々見直しが必要です。
①情報セキュリティリスク
②コンプライアンスリスク
③災害リスク
④評判リスク
注記 リスクマネジメントに対して、危機管理は、起こってしまった事故や事件に、どの様に対応するかを決めることを言います。
電子文書は、情報技術基盤の上に成り立っており、また、ネットワークを介してやり取りされるため、情報セキュリティリスクへの対応は欠かせません。
情報資産に対するリスクは、表7-1に示すように、大きく分けて物理的、技術的、人的脅威があります。
表7-1 脅威の例
| 脅威 | 例 |
|---|---|
| 物理的脅威 | 侵入、破壊、故障、停電、災害等 |
| 技術的脅威 | 不正アクセス、盗聴、マルウェア、改ざん・消去、DoS攻撃、なりすまし等 |
| 人的脅威 | 誤操作、持ち出し、不正行為、パスワードの不適切管理等 |
一方、コンプライアンスリスクには、個人情報の不適切な扱いや漏洩、法定保存文書の滅失、権利の侵害などがあります。災害リスクは、地震、台風などの自然災害などですが、想定外とすることはできません。また、企業活動に対する評判リスクも考慮する必要があります。
7.2.2 リスク対策
文書の消失等の物理的、技術的な脅威に対しては、原則、バックアップによる回避策を講じます。それ以外の脅威については、重要度とコストとの見合いで、リスクの受容も含め適切な対策を講じます。リスクが無視できず、どのように対策をとっても対応できない場合は、前提となる方式を変更する必要があります。
表7-2に電子文書に対する脅威と対策例を示します。
表7-2 電子文書情報に対する脅威と対策例
| 脅威 | 防止対策例 |
|---|---|
| 盗難、漏洩 | 暗号化、アクセス制御、版管理/履歴管理 |
| 改ざん、修正、すり替え | 電子署名・タイムスタンプ、版管理/履歴管理 |
| 否認 | 電子署名 |
| 時刻の否認 | タイムスタンプ |
| なりすまし | 電子署名 |
| 削除、消失 | 文書管理、版管理/履歴管理 |
| 紛失 | 検索機能 |
| 見読性の喪失 | ビューワーとデータ形式の標準化など |
| 証明力の喪失 | 長期署名による延長処理、またはセキュアな保存方式(版管理/履歴管理含む)など |
マルウェアに関しては、ソフトウェアの更新プログラムが配布された時には、可能な限り迅速に更新プログラムを適用することに留意する必要があります。
なお、マルウェア対策ソフトは、100%検知できる訳ではないので、出所の不明確なファイルは開かないようにするなどの注意が必要です。
情報セキュリティインシデント
情報セキュリティインシデントとは、事業運営に影響を与えるような、情報セキュリティを脅かす事件や事故のことをいいます。危機管理の一環として、予め対応手順を決めて文書化し、即時に対応できるようにしておく必要があります。
自然災害に対しても、事業継続計画の一環として、バイタルレコードを確保すると共に、対応手順を文書化し、状況に応じて対応できるようにしておく必要があります。
(おわり)
参考文献
文書情報マネジメント 発行:公益社団法人日本文書情報マネジメント協会