「電子契約サービスを導入したいけれど、セキュリティリスクが心配」
「電子契約サービスのセキュリティのチェックポイントは?」
と疑問に感じていませんか。
書面契約の場合、文書の紛失などセキュリティリスクがありますが、電子契約の場合、ある程度セキュリティリスクを低減できます。
ただし、セキュリティリスクを削減できるわけではないため、適切なセキュリティ対策が備わったサービスを選ぶことが重要です。
当記事では、書面契約と比較した電子契約のセキュリティ対策、各リスクの概要とサービスのチェックポイント、おすすめの電子契約サービスまでご紹介します。
電子契約のセキュリティリスクとは?
書面契約と比較し、電子契約であるとセキュリティリスクを低減できます。ただし、システム固有のセキュリティリスクがあるため、対策が必要です。
書面契約でもセキュリティ対策が必要
書面契約の場合、書面の紛失や盗難、コピー、社外への持ち出しに課題があります。昨今でも契約書や他重要書類を紛失することで、企業価値を損なう報道が多数なされています。したがって、企業価値の棄損回避のために書面のセキュリティ対策は必須といえるでしょう。
書面契約のセキュリティ対策としては、契約書を鍵付きの部屋や書庫に格納し、閲覧履歴を書面で残すなどの方法が考えられますが、管理コストがかさむ点も課題です。
しかし、書面契約を継続する限り、料金を多額に費やしてもセキュリティリスクが存在し続ける点に留意しましょう。
電子契約のメリット:セキュリティ対策が容易
電子契約であれば書面契約が抱えるセキュリティリスクを大きく低減できます。
書面契約で課題である紛失や盗難、コピー、社外への持ち出しの課題に対して、電子契約であればフォルダ別のアクセス制御、アクセスログの監視、バージョン管理機能などを活用することで、工数をかけずセキュリティ対策を実施できるでしょう。
一方で、システム固有のセキュリティリスクが発生する点に注意が必要です。代表的なセキュリティリスクは以下の通りです。
- 文書改ざんのリスク
- 情報漏洩のリスク
- 災害のリスク
- サイバー攻撃のリスク など
以降では各リスクの概要とシステムでの対策を説明します。
文書の真正性のリスク
電子契約サービス上に格納した文書がなりすましによる署名を実施されたり、改ざんされたりすることで、意図しない内容で契約締結がなされるセキュリティリスクです。訴訟時に契約書は証拠になる場合がありますので、なりすましや改ざんを防ぐ必要があります。
真正性担保が課題
電子契約が確実に本人により署名され、署名後に電子契約が改ざんされていないことを証明する点に課題があります。
サービス選びのポイント
上記の課題に対する電子契約サービスの選定ポイントは以下の通りです。
- 確実に本人により署名されていること(本人性)を証明する
電子契約では電子署名を利用することで、本人性を証明します。ただし、電子署名には係争時の信頼性により、立会人型電子署名と当事者型電子署名がありますので、契約書に求める係争時の信頼性により電子契約サービスを選ぶ必要があります。
立会人型電子署名は負荷を少なく導入できますが、係争時の信頼性は弱いです。一方で、当事者型電子署名は係争時の信頼性が強いですが、導入時に電子証明書の発行が必要になるため、コストと時間がかかる点に特徴があります。
電子契約サービスの中には、立会人型電子署名と当事者型電子署名を組み合わせたハイブリッド電子署名を実施できるサービスもありますので、サービス選びのポイントになるでしょう。 - 文書が改ざんされていないこと(非改ざん性)を証明する
電子署名でも非改ざん性を証明できますが、「いつ」署名されたものなのか時刻の非改ざん性を証明できません。したがって、公的機関により認定されたタイムスタンプを付与する必要があります。
電子契約サービスの中にはタイムスタンプを付与できないサービスもありますので注意が必要です。
タイムスタンプは電子帳簿保存法電子取引要件に求められる1つの要件であるため、法対応の意味でもタイムスタンプ機能の有無はサービス選びのポイントになるでしょう。
情報漏洩のリスク
アクセス権を持つ人が契約書の閲覧、改ざん、コピー、持ち出しをすることで情報が外部に漏洩するセキュリティリスクです。漏洩したデータが悪用された場合、企業価値を棄損することが懸念されます。
データの機密性が課題
電子契約ごとに閲覧可能な人間を制御する点が課題です。閲覧可能な人間を制御することでデータの機密性を確保します。
サービス選びのポイント
上記の課題に対する電子契約サービスの選定ポイントは以下の通りです。
- IPアドレス制御
特定のIPアドレスのみアクセスを許可する設定があります。この機能を利用することで、登録のないIPアドレスからの不正アクセスを防げますので、サービス選びのポイントとなるでしょう。 - 二要素認証
電子契約サービスにログイン時、ID/パスワードを設定している場合が多いですが、ID/パスワードが流出した場合になりすましにあう可能性があります。
二要素認証機能があれば、メールやSMSを利用して本人性を担保できますので、サービス選びのポイントになります。 - 文書別のアクセス制御
文書別にアクセス権(閲覧、編集権限など)を設定することで、文書に関係しない人間のアクセスを防止できます。
また、同時にアクセスログを取得することで、仮に文書が削除やコピーされた場合であっても、実施した人物を特定できますので、早期に対応できるメリットがあります。 - 認証資格
認証セキュリティマネジメントについて国際標準規格「ISO 27001(ISMS)」を取得しているか確認しましょう。
ISO 27001を取得していれば、データの機密性、完全性、可用性への対策は一定水準で実施されていると判断できます。 - 暗号化通信
電子契約を利用時の通信が暗号化(SSL/TLSなど)されていることを確認しましょう。通信における盗聴や傍受、改ざんやなりすましを防止するために暗号化通信が必要です。 - 保管ファイルの暗号化
電子契約サービスにアップロードした文書が暗号化されて保存されるか確認しましょう。第三者によるデータの読取、持ち出し対策をするために保存ファイルの暗号化が必要です。 - 機密保持ポリシー
利用予定の電子契約サービスにおける機密情報の扱いを確認しましょう。事業者の担当者とはいえ、アップロードした文書情報を自由に閲覧可能である場合セキュリティ上リスクがあります。
災害のリスク
日本は地震や台風などの自然災害が多いため、自然災害がリスクになります。自然災害のセキュリティリスクに備えてデータの可用性を確保するための機能の保持が必要です。
データの可用性などが課題
自然災害が発生し、データを保存しているサーバーが故障したとしても問題なく業務を遂行できるだけの可用性をいかに確保するかが課題です。
サービス選びのポイント
- SLA
SLAを確認し、サーバーの可用性の水準を確認しましょう。水準をクリアんできない場合の払い戻しなど、SLA上で不明点がある場合は事業者に確認してください。 - バックアップ
サーバーに保存されたデータがどの頻度でバックアップを取られているか確認しましょう。日次なのか月次なのかによって可用性は変わります。 - サーバーの冗長化構成
サーバーの構成がホットスタンバイ形式なのかコールドスタンバイなのか等、冗長化構成が取られているか確認しましょう。
セキュリティが万全な電子契約サービス
当記事ではセキュリティが万全な電子契約サービスとしてDocuSignを推奨しています。
DocuSignは世界180か国以上で利用され7割弱の世界シェアを誇る電子契約サービスです。DocuSignは現状入手可能な最高レベルのグローバル情報セキュリティ保証であるISO 27001を取得しており、セキュリティ面で安心してご利用いただけます。
他、セキュリティ、可用性、処理の整合性、機密性など、ビジネス全体の内部統制の設計と運用の有効性を証明するSOC 1 Type 2およびSOC 2 Type 2を取得していることからもセキュリティについて堅牢であるといえます。
個人情報の秘匿の側面でいっても、EUの一般データ保護規則(GDPR)を含むグローバルなプライバシー規則に準拠しているため、導入予定企業のセキュリティ要件は満たす場合が多いです。
また、世界No1シェアを誇るだけあり、電子契約に求められる機能を網羅的に搭載しています。以下、機能例です。
- モバイルアプリ
- テンプレート機能
- ワークフロー機能
- リアルタイム監査証跡
- dropboxやグーグルドライブなどのクラウド製品との統合
- 多言語対応
- リマインダー通知
- コメント機能 など
まとめ セキュリティが十分な電子契約を導入しよう!
書面契約の場合、文書の紛失などセキュリティリスクがありますが、電子契約の場合、ある程度セキュリティリスクを低減できます。ただし、システム固有のセキュリティリスクがありますので、リスクに対応できる電子契約サービス選びが重要です。
ISO 27001の取得がセキュリティリスクに対応している1つの基準となりますので、電子契約サービスの選定の際に参考にしてください。