電子署名
2019年6月19日
電子署名と電磁的記録の永続的なリンクとは?
Part 11[1]とER/ES指針[2]はどちらも電磁的記録と電子署名のリンクを求めています。ただ、ベンダも含め多くの人が、この要件を単なる「リンク」だと解釈しているようです。
ER/ES指針条文
まずER/ES指針 4. 電子署名利用のための要件(4)を見てみましょう。ちなみに、これはPart 11.70とほぼ同じです。
「電磁的記録に付された電子署名は、不正使用を防止するため、通常の方法では削除・コピー等ができないように、対応する各々の電磁的記録とリンクしていること。」
多くの人たちが「不正使用を防止するため、通常の方法では削除・コピー等ができないように」の部分を忘れているように思えます。
リンクの例
では、この永続的リンクが無い例を考えてみましょう。
Wordで文書を作って、その署名欄に意味と日付と名前を入れます。これ、よくやってませんか?これが電子署名と見なされないのはなぜでしょう?
もちろん、電子署名の要素も使っていないし、本当に本人が署名したかどうかが分からない、ということもありますが、リンクの説明なので、そこは突っ込まないように。
リンクの観点では、名前や日付を誰でも書き換えられるというところが決定的によくないですね。これが規制要件で言うところの「通常の方法では削除・コピー等ができる」状態です。
では、(電子署名の要素も使っていないし、本当に本人が署名したかどうかが分からないという問題は脇に置いておいて)本人が名前を記入した後、PDFにすれば大丈夫でしょうか?PDFの機能が向上し、編集ができてしまうことを考えると、これも微妙ですね。ちなみに、2014年にWHOがインドのCROに対して査察を行った際に、品質保証部門でAdobe Acrobat Editor がインストールされていたことが(他の問題も相まって)指摘事項[3]になっています。
では、Acrobatのセキュリティ設定を行い、そのパスワードを個人のみが分かるように管理されていればどうでしょうか?これなら、いけるかもしれません。(ただし、本当にこの方法を電子署名として使うためには、先ほど脇に置いておいた 電子署名の要素も使っておらず、本当に本人が署名したかどうかが分からないという問題を解決しなければなりません。)
リンクの手段
リンクを確保するための手段は、特に規定されていません。
Preamble #113では、「記録の改ざんを防止するために電子署名と電子記録を紐付けさせる方法について、適切であれば、いかなる方法でも使用できるという最大限の柔軟性を各人に与える所存である。デジタル署名もそのような方法の1つであり、ソフトウェアによるロックを用いて署名を表すコード部分のコピーまたは削除を防止する方法もある。これは開発途上の技術分野であるため、新しい紐付けの手法が今後台頭してくるものと思われる」としています。
その他にも、よく見かける例としては、
- 電磁的記録に対して電子署名した、という監査証跡を以てリンクとする
- データベース上でのリレーションを以てリンクとする
等があります。
[1] United States Code of Federal Regulations Title 21, Part 11 “Electronic Records; Electronic Signatures”, 1997【和訳】(A)
[2] 医薬品等の承認又は許可等に係る申請等における電磁的記録及び電子署名の利用について, 平成17年4月1日, 薬食発第0401022号【英訳】(A)
[3]指摘事項:https://extranet.who.int/prequal/sites/default/files/documents/NOC_Quest30June2015.pdf
【注】
(A) : アズビル株式会社様が翻訳したものです。
アズビル株式会社様には、本サイトで掲載することをご承諾いただいております。