これからの文書情報マネジメント 目次
はじめに
本ページの目的
本ページは、組織的なデジタル化を推進している方、日々業務で取扱っている文書(文書情報という。)の取扱いについて見直しを検討されている方を主な対象に、文書情報の作成及び取得、処理、保存から処分までの組織的な運用をどのようにマネジメントすればよいかを、入門書として、分かり易く解説することを目的としています。
以下、デジタル社会と文書の現状認識に続いて、第1章で、文書情報マネジメントに関わる主要概念を紹介し、第2章で、文書情報の基礎知識、第3章で、文書情報システムの実態、第4章で文書情報マネジメントの今後の方向性について説明します。後半の各論は、第5章で対象とする文書情報、第6章で、作成基準、保存期間、分類体系、アクセス権管理などの統制を、第7章では文書情報マネジメントの運用について概説します。
デジタル社会と文書
改正デジタル手続(デジタルファースト)法及びデジタル社会形成基本法が令和3年9月1日に施行され、コロナ禍によるニューノーマル意識の高まりもあり、官民上げて本格的なデジタル社会に舵を切り始めています。
e-文書法においても、令和3年度の改正で、取引情報に係る電磁的記録の保存を出力書面等の保存で代替できる措置が廃止となりました。
既に、業務上の文書はほぼ100%が電子的に作成され、インターネットの普及により郵便は電子メールなどの電子的な手段にとって代わられ、SNSの業務利用も始まっています。また、インターネットに“もの”が繋がりはじめ(IoT)、急速に増え続ける電子文書や電子データを活用するのみならずナレッジを蓄積し、更にはAIによる付加価値再生産が始まりつつあります。
その一方で、企業における文書の電子化推進については、令和2年度比で、全面的電子化推進が7ポイント増えたものの、令和3年度の調査でも、全面的または一部電子化推進が61%に留まっているという現実があります。
今や日本社会はグローバル化、オフィスの生産性、人材の流動性、働き方改革等、急激な変化が求められており、これらは電子文書の利用なくしては語れません。
1. 主要概念
1.1 文書
文書の概念としてよく引用されているのは明治43年の大審院判例で、この判例から次の3つが文書の要件であるとするのが定説とされてきました。
①文字やこれに代わる符号で記載されている。
②永続性のある状態で、ある物体の上に記載されている。
③意思を表示したものである。
今日では、文書の概念に、①の文字やこれに代わる符号に加え、写真やコンピュータデータなども含まれるようになっています。
また、②のある物体の上に記載されているという観点からは、それが紙であれば紙文書、電子媒体であれば電子文書(ESI: Electronically stored Informationとも言います。)となりますが、電子文書の場合は、単に情報が電子媒体に書込まれているだけではなく、必要な時にいつでも画面に表示または印刷でき、読んで理解できなければなりません。
1.2 文書情報
公益社団法人日本文書情報マネジメント協会(以下、JIIMAという)では、「組織において職務上作成または取得した文書」を「文書情報」と定義しています。従来の、書類、図面、伝票、資料はもとより、表データやイメージなどが対象となります。
文書情報には、印刷物、構造化データ、非構造化データ、スキャンされた紙やファックス、電子メール、音声、動画、アニメーションやイメージを含んだWebページなど様々な形式があります。
最近は、処理の自動化に向けて、Word文書に文の構造を示すタグを付けたり、PDF文書にXMLデータを埋め込むなど、人間が見て理解でき、かつコンピュータ処理が可能な形式へと変化が始まっています。
1.3 文書情報システム
文書情報システムは、業務上作成及び取得した文書情報を保存すると共に、文書情報のライフサイクルの各プロセス(2.2節)の実行や、文書情報に対する統制(6章)を支援するシステム(または)サービスです。
最近は、急速な業務のデジタル化の過渡期にあり、電子文書情報が、電子契約、電子請求書発行、電子決裁、経理、勤怠管理などさまざまな業務システムやサービスに分散保存されている状況が多々あり、これらを統括する文書情報マネジメントが非常に重要になります。
1.4 文書情報マネジメント
文書情報マネジメントとは、業務の効率化、情報や知識の共有化、書類量の削減のほか、説明責任、法令遵守、訴訟対応、内部統制、事業継続(BCP)、情報セキュリティ、リスクマネジメント、権利確保(知財・先使用権確保)などを目的とした、「文書情報を真正に作成及び取得、維持、保存、廃棄及び長期保存する組織的な運用」を言います。
ここでの「マネジメント」は、「管理する」「ルールに従って統制する」という意味ではなく、品質マネジメントや環境マネジメントと同様に、「人、モノ、コトをうまく取扱う、うまく処理する」という意味のマネジメントです。文書情報マネジメントは、各々の組織が、効率的、効果的な文書情報の取扱いを計画し、実装し、運用することと言い換えることができます。
2. 文書情報
2.1 文書情報の要件
文書情報は、企業にとって重要な情報資産です。業務やビジネスを進めるにあたっての情報の伝達及び共有、報告、結果の記録などに必須であり、また効率的に業務を進めていく上で、ナレッジとしての利活用は欠かせません。
文書情報は、法令やガイドラインによって若干の違いはありますが、概ね次の特性が要求されています。
①真正性(authenticity)
それが意図するものであり、作成または送信したとされる人物によって作成または送信され、意図された時刻に作成または送信されたことの証明が可能なこと。
②可読性(readability)
情報を読み取ることができること。見読性と言うこともあります。電子文書は、必要な時にいつでも画面上に表示またはプリンタに印字して情報を読み取ることができる必要があります。
③インテグリティ(integrity)
文書情報の滅失または棄損がなく、許可のない変更から保護されること。これまでの物理的な「完全性」に加えて、ルールとの整合性が取れていることが重要です。
記録媒体の経年劣化や、予期せぬシステム障害、停電、誤切断などへの対策を講じる必要があります。
また、保存義務期間に、利用者の誤操作や意図的な改ざんなどによる文書情報や関連情報の書換え、コンピュータウイルスや第三者による不正アクセスによる書換えへの対策を講じることも必要です。
文書情報の保存要件
一方、文書情報の保存要件は、上記①~③に加えて、次の特性が要求されています。
④機密性(confidentiality)
文書情報には、プライバシー情報や営業秘密等、公開になじまない性質のものもあり、許可されていないアクセスや漏洩に対する適切な措置を講じる必要があります。
⑤検索性(searchability)
容易に検索ができるよう、文書情報を体系化し、検索システムとの適切な連携がなされる措置を講じる必要があります。
法令やガイドラインでは、例えば、国税庁が示す保存要件は、可視性と真実性を要求していますが、概ね、可視性は可読性と検索性に、真実性は真正性とインテグリティに対応しています。
法的証拠能力
電子文書情報の法的証拠能力及び許容性(書面以外の保存や提出が認められること)に関しては、前記要件を満たしていれば、基本的に書面と変わるところはありません。
原本と複製の区別
電子的な文書情報は、同一の文書情報が複数存在しても、当該文書情報が原本であったのかどうかを区別することに実益はないとされています。
組織によっては、制度上または実務上の必要性に基づき、原本とそれ以外の文書とを区別できるような運用を行うこともあります。
2.2 文書情報のライフサイクルと寿命特性
文書情報のライフサイクルとは、「文書情報の作成及び取得、処理、保存から処分までの一連のプロセス」を言います。
一方、文書情報の寿命特性とは、文書情報を使う頻度が時間と共に変化することを言います。
また、文書情報の活用の度合いに応じて、日常的に参照することがある文書情報を現用文書、参照することがほぼなくなったものを非現用文書とし、その中間的な位置付けのものを半現用文書と言うこともあります。
文書情報のライフサイクルにおける各々のプロセスの概要は次の通りです。
①作成及び取得(creation、acquisition)
文書情報の作成及び取得プロセス
作成にはコンピュータからの発生を含みます。また、取得は組織外から文書情報を取り込みます。
②処理(processing)
文書情報の目的に応じた、編集、承認、送付、受領、回付、配付、配布などのプロセス
ここで、送付は特定の相手に送り届けること、回付は稟議書のように関係者に順に送ること、配付は特定多数、配布は不特定多数に広く配ることを言います。受領は、単に受取と言う場合もあります。
③保存(preservation)
文書情報を文書管理規程等で定めた所定の期間管理された状態で保存するプロセス
記録媒体に格納する場合も「保存」を使います。
保存管理された状態を維持するという意味で、保存の代わりに「保管」を使う場合もあります。また、紙文書のファイリングにおいては、執務室に置いておく間は「保管」、書庫などに移した後は「保存」と呼んでいます。
④処分(最終判断)(disposition)
文書管理規程等で定められた保存期間が終了した後、規定に基づいて文書情報を処分するプロセス
廃棄(電子文書情報に対しては消去)するか、保存期間を延長して保存を続けるか、永久保存の対象として公文書館、史料室(企業の場合など)などに移管するかを判断します。
記録としての文書情報の保存
文書情報の保存は、案件やプロジェクトの開始から終了までの間(ライン業務においては期の間)とその後の記録としての保存の2つの期間に分けられます。(図2-2参照)
記録としての保存期間中は、証拠保全のため、書換えや消去が禁止されます。また、記録としての保存を専門の部署が行うこともあります。
2.3 経緯情報の記録・保存
文書情報の保存は、そのコンテンツ(内容)だけでなく、その文書情報が作成された所以、承認に至る手続き、送付や取得などの経緯情報を記録し保存することが求められるようになってきました。これらの情報は、コンテンツに対してコンテキスト情報と呼ばれています。
図2-3は、コンテンツとコンテキストの関係を表しています。ここで、作成、取得すべき文書情報の種類とは、例えば、請求書や領収書などを指します。
3. 文書情報システム
文書情報システムには、EDM (Enterprise Document Management)、ECM (Enterprise Contents Management)などの専用のシステムのほか、さまざまな業務システムの中に文書情報システムとしての機能が組込まれ、外観上は業務システムとして提供されています。
文書情報システムは、一般に、次のような機能を持っています。
①分類、ID付与
②保存、処分
③検索、閲覧
④編集、変更(版管理)、マスク処理(reduction)
⑤権限設定、アクセス制御
⑥ワークフロー連携(承認連携など)
⑦モニタリング、報告、監査
実際には、多くの場合、さまざまな業務システムやサービスが混在することになり、文書情報システムとしての機能やインタフェースの整合を取るには、導入した専用の文書情報システムとの連携やカスタマイズによって対応することが考えられますが、技術的、コスト的な要因により、必ずしも整合が取れるとは限りません。
重要なことは、過不足や相違を正しく認識し、システムやサービスの構成を工夫し、また、人手による補完を運用手順に反映することが肝要です。
ファイルサーバでの代用
日本は、欧米諸国と比べて、文書情報システムの導入が余り進んでいません。多くの組織がファイルサーバで代用していると想定されます。
同じ文書やデータファイルが複数保存されていたり、版管理などの整理方法が統一されていないと、適切なファイルを操作できない恐れがあります。
また、統一的に保存されていない文書やデータの活用は困難であり、迅速に探し出せないだけでなく、存在そのものが知られていないことにより、一から作り直す必要に迫られることで対応が遅れるなど、重要な情報資産が有効に活用さない恐れもあります。
文書情報システムをファイルサーバで代用する場合、ファイルサーバは、前述の文書情報システムとしての機能を備えていないため、これらを運用でカバーする必要があります。
4. 文書情報マネジメント
4.1 レコードマネジメントとの関係
文書情報マネジメントは、文書情報の作成及び取得段階から、処理、保存、廃棄までの一連のライフサイクルを対象としますが、記録として保存する段階では、図4-1に示すように、レコードマネジメントの一部を取り込んでいます。(図2-2も参照)
レコードマネジメントの概念については、これまでにISO等で議論が尽くされてきており、JIS X 0902-1として規格化されています。
4.2 これからの文書情報マネジメント
これまでの文書情報マネジメントは、紙中心の文書情報から電子中心の文書情報への過渡期への対応であったと言えます。極論すれば、まだ業務はほぼそのままに、紙文書が電子文書に置き換わっただけとも言えます。
次のステップとして、これからは、業務のデジタル化やデジタルで完結する業務に向け、次のような課題を解決していくことになります。
①デジタル化の進展や変化に耐える柔軟な構造
②非対面での文書情報の信頼性確保
③AI/RPA(Robotic Process Automation)への対応
注記 ②の信頼性は、所謂機器の信頼性ではなく、文書情報の内容が処理、活動、事実の十分かつ正確な表現として信頼できることを意味している。
(1) デジタル化の進展や変化に耐える柔軟な構造
前述のように、現在、電子契約、電子請求書発行、電子決裁、経理、勤怠管理など多くのサービスがクラウド上で提供され、文書情報が各々のサービスごとに分散保存されている現状ですが、これらのサービスは、業務改革のスピード以上に、今後も進化と変化が続くと考えられます。
このため、文書情報の取扱いにおいても、これらの進展や変化に耐える構造を持つことが必要です。
変化に強いグッドプラクティスとして挙げられている手法が、組織の業務を可能な限り独立したフラットな単位に細分化し(海外の事例では、事業内容や組織の規模にもよりますが200程度)、業務のフローを明確にし、業務で作成または取得すべき文書情報を紐付け、業務に組織を紐付け、システムや適用サービスを紐付ける方法です。
業務とフローの定義は内部統制の基本でもあります。
このような構造にすることにより、何処でどのような文書情報が扱われているかが把握でき、一部の業務を別のサービスに置換えても、他の業務の文書情報の管理への影響を最小限に抑えることができます。
(2)非対面での文書情報の信頼性確保
バーチャル空間での取引は、非対面であり相手の顔が見えません。どのように相手や受け取った文書情報を信頼するかは大きな課題です。
インターネットを介した取引は、成りすまし、不達、フォーマットの齟齬、コンテンツの信頼性が判断できないなど様々なリスクを伴います。
相手や受け取った文書情報の信頼性は、トラストサービス基盤の利用(eシールにより、確かに当該組織から発行されたことが確認できます。)、事前のやり取りや契約、過去の取引実績、仲介するサービスプロバイダの質、第三者認証の取得などに依存するため、要件を整理し、信頼の度合い(trustworthiness)を提示することにより、適切な確認方法を選択できるようになることが期待されます。
(3) AI/RPA(Robotic Process Automation)への対応
データ入力に関しては、電子文書や電子データで受け取っているにもかかわらず、一旦印刷して、あるいは画面に表示させて、台帳(データベースやエクセル表)に転記しているのが現状です。人には理解できても機械が理解できないと自動化ができません。
取得した文書情報から機械的にデータを抽出することができれば、データベースに書込むことができ、即時に処理は完了し、転記ミスも発生しません。
取得した文書情報から機械的にデータを抽出したりAIを活用するためには、
①何処にデータが埋め込まれているかをコンテンツ内にタグ付けしておく
②XMLのように、人も機会も読める形で記載しておく
③人が読むための本文とは別に機械が読むための表データを添付(例えば、PDFにXMLを埋め込むなど)しておく。この場合、本文の内容と表データの内容に齟齬がないことを説明できなければならない。
などの対応が必要になります。
なお、紙面で受け取った文書情報を、AI-OCRによりデータを機械的に抽出する方法が既に実用化されています。
5. 対象とする文書情報
文書情報マネジメントが対象とする文書情報には次のようなものがあります。
① 法定保存文書
② マネジメントシステム文書
③ 営業秘密に係る文書
④ 説明責任のための文書
⑤ 自衛のための文書
5.1 法定保存文書
法律で保存が義務付けられている文書情報のことで、保存期間が定められています。
表5-1のように、どの組織にも関係するもの以外にも、業種によって規制される法律が異なるため、保存しなければならない文書はさまざまな種類に及びます。
また、法律の改正などで新たに保存対象文書が指定される可能性があり注意が必要です。
表5-1 法定保存文書の例 (共通文書)
| 業務 | 文書の種類 | 法令名 |
| 経理 | 取引に関する帳簿書類(見積書、納品書、請求書、契約書、領収書など) | 法人税法 126 条 1 項 |
| 人事 | 雇入、解雇、災害補償、賃金その他労働関係に関する重要な書類(出勤簿、給与台帳等) | 労働基準法 109 条 |
| 総務 | 株主総会議事録・総会議事録の謄本 | 会社法 318 条 2、3 項 |
このほか、各種の業務を行っていく上で守らなければならないものに、政府などから発表されるガイドラインや通達があります。これらのガイドラインでは、保存が必要な文書を指定したり、法定保存文書の作成方法や保存方法を規定しています。
5.2 マネジメントシステム文書
ISO 9001(JIS Q 9001:品質マネジメントシステム)を始めとするマネジメントシステムは、認証取得により社会的信用を高める効果が認められ、多くの企業に導入されています。
マネジメントシステムでは、文書化された情報(documented information)として、管理体制や活動実績などの保存を義務付けています。
5.3 営業秘密に係る文書
秘密情報の漏えいは、自社の競争力低下、法令違反や他社との契約違反による社会的信用の低下、他社との信頼関係を棄損させることになり、厳重な管理が求められます。
営業秘密には表5-2のようなものがあります。
表5-2営業秘密の類型
| 情報資産分類 | 情報資産分類に該当する主な情報の例 |
| 経営戦略に関する情報資産 | 経営計画、目標、戦略、新規事業計画、M&A 計画など |
| 顧客に関する情報資産 | 顧客個人情報、顧客ニーズなど |
| 営業に関する情報資産 | 販売協力先情報、営業ターゲット情報、セールス・マーケティングノウハウ、仕入価格情報、仕入先情報など |
| 技術(製造含む。)に関する情報資産 | 共同研究情報、研究者情報、素材情報、図面情報、製造技術情報、技術ノウハウなど |
| 管理(人事・経理など) に関する情報資産 | 社内システム情報(ID、パスワード)、システム構築情報、セキュリティ情報、従業者個人情報、人事評価データなど |
| その他の情報資産 | 上記以外の情報資産 |
「営業秘密管理の考え方-営業秘密管理のための手順-」経済産業省、平成25年8月
5.4 説明責任のための文書
説明責任(アカウンタビリティ)を果たすために、内部統制が機能し、組織が正しく運営されていることを説明する文書を保存します。
内部統制に関わる作成文書の保存範囲、保存期間は各企業での判断に任されていますが、概ね5年を目途に、関連する証拠書類と合わせて保存します。
5.5 自衛のための文書
法律その他で保存が義務付けられたものではなく、通常は使用しない文書であっても、裁判などで訴えられた時の事実の証明や、災害が発生した時の対応など、何かあったときのために保存しておく文書です。
① 製造物責任(PL)法に関わる文書
PL(ProductLiability)法では、製造業者等が自ら製造、加工、輸入または一定の表示をし、引き渡した製造物(動産)の欠陥により他人の生命、身体または財産を侵害したときは、過失の有無にかかわらず、これによって生じた損害を賠償する責任があることを定めています。時効に合わせて製品の製造・加工・出荷・販売の記録や、品質管理データなどの保存が必要となります。
② バイタルレコード
非常事態に遭遇した時に、組織の継続と生き残るために必要な情報はバイタルレコードと呼ばれています。BCP(BusinessContinuityPlan:事業継続計画)とも関連しますが、事業形態によって必要とする情報は異なり、企業独自にリスク分析を行う必要があります。
事業内容や環境の変化に伴って、対象となる情報も変わってくることから、定期的な見直しを行うことが大切です。
また、非常事態ではコンピュータが使えないことも想定し、電子文書だけでなく紙の書類として、身近な所に保管することも大切です。
注記 詳細は「JIIMA危機管理を目的とした文書・記録管理ガイドライン」を参照
③ 技能の伝承、退職者の知識、ナレッジ・マネジメントに関わる文書
ノウハウ、カンに頼っていた熟練技術者の製造技術を伝承するために、暗黙知(カンや直感、個人的洞察、経験に基づくノウハウ)を、形式知(言葉や文章、数式、図表、写真、動画などによって表出することが可能な客観的・理性的な知識)に変えて記録として残すことが急務となっています。
④ 特許関係の文書
営業秘密(5.3参照)は、あえて特許を出願せず、ノウハウとして秘匿する場合があります。製造方法などが他社に知られることはない反面、他社が独自に技術開発を行い、その内容を特許として出願する可能性があります。たとえ特許出願されても、発明内容を用いて事業を開始またはその準備をしていれば、先使用権(特許法79条)を主張することができるので、技術関連書類(研究ノート、技術成果報告、設計図、製品仕様書)や事業関連書類(事業計画書、事業開始決定書、見積書、納品書、工場の作業日誌、商品カタログ)などを証拠として保存しておくことが重要です。
6. 文書情報の統制
以下の統制は、文書情報マネジメントの一元的な運用を可能にします。
6.1 作成基準
どのような記録を作成・取得し、どれだけの期間を保存するか、予め方針や基準を設定しておきます。
この基準に従って、業務活動を評価するプロセスをアプレイザル(appraisal)と言い、業務の性質、法的要件、資源の準備状況、技術的環境の理解とともに、リスク評価によってどのような文書を作成し(或いは廃棄し)、どのように管理するかを決定します。
アプレイザルは次のような場合に行います。
① 新しい組織の立ち上げ
② 業務や活動の喪失、獲得
③ 業務の手法やニーズの変化規制環境の変化新システムの導入やシステムのアップグレード
④ リスクや優先順位の認識の変化
6.2 保存期間
文書情報は日々増加しており、活用度の低下した文書情報をそのまま保存しておけば、物理的な資源の圧迫を招くだけでなく、不必要に長く保存することで生じるリスクもあり、適切な保存期間を定め、定期的に廃棄する必要があります。基準を決めないと、いつまでも廃棄できないばかりか、必要な書類を捨ててしまうことにもなりかねません。
一般的に、企業や行政の文書または文書データの保存期間は、法律や各企業の文書管理規程で定められており、規程に沿って保存や処分のスケジュール管理(リテンション管理とも呼ばれます)が行われます。
法定保存文書の保存期間の例を表6-1に示します。
表6-1法律で定められている文書の保存期間例
| 文書の種類 | 保存期間 | 法律 |
| 株主総会議事録、商業帳簿 | 10年 | 会社法 |
| 仕訳帳、総勘定元帳等の帳簿、棚卸表、貸借対照表、損益計算書、注文書、見積書、契約書の控え | 7年 | 所得税法、法人税法 |
| 財産形成非課税貯蓄申込書、異動申請書 | 5年 | 所得税法 |
| 雇用保険被保険者に関する書類 | 4年 | 雇用保険法 |
| 労働者名簿、雇入、解雇、退職に関する書類 | 3年 | 労働基準法 |
| 健康保険の被保険者資格取得確認通知書 | 2年 | 健康保険法 |
注記 法人税法で帳簿書類の保存は7年間であるが、平成28年度の税制改正で欠損金が生じた事業年度に係るものは10年間に延長された。
一方、法律で保存期間が決まっていない場合は、社内規程などにより自主的に保存期間を定めることになります。
6.3 分類体系
分類体系は、文書情報をその作成コンテキスト(2.3参照)と結び付けるための手段になると共に、以下を可能にします。
① 業務アプリケーション及び関連文書情報に対する、適切なアクセス及び認可のルールの適用
② 適切な処分のルールの実行
③ 組織再編に伴う特定業務の機能または活動に関わる文書情報の新しい環境への移行
業務分類体系は、組織変化への弾力性を維持するために、組織構造に基づくよりもむしろ業務機能や活動に基づくことが望ましいとされています。
6.4 アクセス権管理
アクセス権管理は、アクセス者(個人またはグループ)毎の、ファイルやフォルダに対するアクセス権限(読取のみ、編集可など)を管理します。
アクセス権の付与(authorization)は、業務遂行者に過不足なく行われることが基本となりますが、法的な条件や契約上の条件も考慮する必要があります。(図6-1)
また、アクセス権限は、法規制環境、要員の交代を含む業務活動の変化に応じて見直す必要があり、日常的に監視し更新することが推奨されます。
6.5 メタデータ
メタデータは、プロパティまたは属性情報と呼ばれることがあります。文書情報マネジメントを確実に実施するために、個々の文書情報に、タイトル、分類、キーワード、作成者、作成日、保存期限、原本の所在などのメタデータを紐付けます。メタデータは、文書情報の中に埋め込まれたり、文書情報とは独立に管理され、検索や保存期間の管理に利用されます。通常、作成フェーズで文書情報を管理するための基本的なメタデータが生成され、その後の処理、保存、廃棄の各フェーズで適時情報が追加されていきます。
7. 文書情報マネジメントの運用
7.1 マネジメントシステムとの連携
マネジメントシステムとは、方針及び目標を定め、その目標を達成するために組織を適切に指揮・管理するための仕組みです。
5.2で述べたような、ISO9000、14000、27000などさまざまなマネジメントシステムの土台にあるのが、規程、マニュアル、業務結果などの文書情報の管理です。
文書情報マネジメントはこれらのマネジメントシステムの「文書化した情報」の要求を満たしていることから、文書情報マネジメントを実施することによって、さまざまなマネジメントシステムの文書情報マネジメントのコアとしての運用が可能になります。
7.2 リスクマネジメント
7.2.1 文書情報マネジメントで考慮すべきリスク
リスクマネジメントとは、まだ発生していないリスクを探し、これを回避する方法や、被害を最小限にするために、どのようにすればいいのかを決めることを言います。文書情報マネジメントにおいては、事業リスクとして次のようなリスクを考慮する必要があります。
また、リスクは環境によっても変化するため、時々見直しが必要です。
①情報セキュリティリスク
②コンプライアンスリスク
③災害リスク
④評判リスク
注記 リスクマネジメントに対して、危機管理は、起こってしまった事故や事件に、どの様に対応するかを決めることを言います。
電子文書情報は、情報技術基盤の上に成り立っており、また、ネットワークを介してやり取りされるため、情報セキュリティリスクへの対応は欠かせません。
情報資産に対するリスクは、表7-1に示すように、大きく分けて物理的、技術的、人的脅威があります。
表7-1 脅威の例
| 脅威 | 例 |
| 物理的脅威 | 侵入、破壊、故障、停電、災害等 |
| 技術的脅威 | 不正アクセス、盗聴、マルウェア、改ざん・消去、DoS攻撃、なりすまし等 |
| 人的脅威 | 誤操作、持ち出し、不正行為、パスワードの不適切管理等 |
一方、コンプライアンスリスクには、個人情報の不適切な扱いや漏洩、法定保存文書の滅失、権利の侵害などがあります。災害リスクは、地震、台風などの自然災害などですが、想定外とすることはできません。また、企業活動に対する評判リスクも考慮する必要があります。
7.2.2 リスク対策
文書情報の消失等の物理的、技術的な脅威に対しては、原則、バックアップによる回避策を講じます。それ以外の脅威については、重要度とコストとの見合いで、リスクの受容も含め適切な対策を講じます。リスクが無視できず、どのように対策をとっても対応できない場合は、前提となる方式を変更する必要があります。
表7-2に電子文書に対する脅威と対策例を示します。
表7-2電子文書情報に対する脅威と対策例
| 脅威 | 防止対策例 |
| 盗難、漏洩 | 暗号化、アクセス制御、版管理/履歴管理 |
| 改ざん、修正、すり替え | 電子署名・タイムスタンプ、版管理/履歴管理 |
| 否認 | 電子署名 |
| 時刻の否認 | タイムスタンプ |
| なりすまし | 電子署名 |
| 削除、消失 | 文書管理、版管理/履歴管理 |
| 紛失 | 検索機能 |
| 見読性の喪失 | ビューワーとデータ形式の標準化など |
| 証明力の喪失 | 長期署名による延長処理、またはセキュアな保存方式(版管理/履歴管理含む)など |
マルウェアに関しては、ソフトウェアの更新プログラムが配布された時には、可能な限り迅速に更新プログラムを適用することに留意する必要があります。
なお、マルウェア対策ソフトは、100%検知できる訳ではないので、出所の不明確なファイルは開かないようにするなどの注意が必要です。
情報セキュリティインシデント
情報セキュリティインシデントとは、事業運営に影響を与えるような、情報セキュリティを脅かす事件や事故のことをいいます。危機管理の一環として、予め対応手順を決めて文書化し、即時に対応できるようにしておく必要があります。
自然災害に対しても、事業継続計画の一環として、バイタルレコードを確保すると共に、対応手順を文書化し、状況に応じて対応できるようにしておく必要があります。
(おわり)