TOP
>
情報セキュリティ
> 情報の保管など
企業の社会的責任に必要な情報セキュリティマネジメント
第6回:情報資産のライフサイクル上のセキュリティ管理(前編)
著者:
みずほ情報総研 牛尾 浩平
2006/7/27
前のページ
1
2
3
次のページ
情報の保管など
以降からは情報資産の保管管理に関する法による要求事項として、電子文書保管の際の要件を定めるe-文書法などを説明する。また、情報の保管に関連する特に重要な情報セキュリティ対策としてアクセス制御やバックアップ対策の基本的な考え方について説明する。
法による要求事項
電子文書化された帳票などの保存に関する規則を定めた法律として、2005年4月に施行されたe-文書法や、1998年に施行されてe-文書法の成立に伴い2004年12月に改正された電子帳簿保存法がある。
e-文書法とは、「民間事業者等が行う書面の保存等における情報通信の技術の利用に関する法律」および「民間事業者等が行う書面の保存等における情報通信の技術の利用に関する法律の施行に伴う関係法律の整備等に関する法律」の2つの法律をあわせたものを意味する。
上記の法律により、民間に保存が義務付けられている財務関係書類や税務関係書類などの文書・帳票のうち、電子的な保存が認められていないものについて、文書・帳票の内容、性格に応じた真実性・可視性などを確保しつつ、原則としてこれらの文書・帳票の電子保存が可能となった。
電子帳簿保存法は、国税の納税の適切な実施を確保しながら、納税者などの国税関係帳簿書類の保存にかかる負担を軽減するためなどの目的で定められた法律である。従来は、システム(電子計算機)による一貫した作成・管理がなされる帳票類に限定して電子保存を認めていたが、改正により、原本が紙の資料についても一定の要件の下でスキャナを使用して作成した電子データによる保存が可能となった。
e-文書法や電子帳簿保存法に対応するためには、真実性および可視性を確保した状態で、税法や商法、労働法などの各種法令により定められる期間の間、電子文書を保管する必要がある。また、2008年度に施行予定の日本版SOX法への対応においても、真実性の確保には留意する必要がある。
真実性
電子化された帳票などに変更や改ざんがされていないことを保証できること。
可視性
電子化された帳票類を目的に応じて容易に検索可能であることや、ディスプレイやプリンタなどの出力装置により必要な際は容易に画面上や紙面で閲覧できること。
表2:真実性と可視性の意味
真実性を確保するために、紙文書を電子文書化する際に電子署名やタイムスタンプを付与し、文書・帳票の保管時や参照時の改竄を防止する。電子署名とは、電子データの作成者と電子データが変更されていないことを証明する技術である。タイムスタンプとは、電子データがある時刻に存在したこととそれ以降に変更されていないことを証明する技術である。
真実性を確保するためのもう1つの要件として、電子文書の変更を行う際には、変更の履歴を適切に管理するためのバージョン管理などを行う必要がある。
なお、電子署名の法的効力と電子認証業務の認定制度について定める法律である電子署名法(正式名称は「電子署名及び認証業務に関する法律」)の指針には、認められる署名のアルゴリズムや暗号鍵の長さが具体的に定められている。
以上、e-文書法や電子帳簿保存法にそって説明したが、組織に関連するこのような法令などを遵守するために、また組織が自ら定めた規程などに従って運用するために、組織の重要な記録は、消失/破壊/改竄などから保護するための対策を実施する必要がある。
前のページ
1
2
3
次のページ
著者プロフィール
みずほ情報総研株式会社 システムコンサルティング部
コンサルタント 牛尾 浩平
2002年、東京大学大学院工学系研究科修了、富士総合研究所(現みずほ情報総研)に入社。次世代情報システム基盤に関するコンサルティング、ナレッジマネジメントパッケージソフト開発など様々なプロジェクトに参加した後、2003年より情報セキュリティ管理に関連するコンサルティング、監査、セキュリティポリシーの策定支援などの業務を主に実施。システム監査技術者。
INDEX
第6回:情報資産のライフサイクル上のセキュリティ管理(前編)
はじめに
情報の保管など
アクセス制御