デジタル トランスフォーメーションという言葉が使われるようになって久しい現在、企業はユーザーが快適に操作できる体験を提供しつつ、何らかの裁判に発展した場合に備えてしっかりとした適法性とセキュリティ対策を行うというバランスに苦慮しています。
この記事で取り上げるような、詳細な監査証跡や徹底した認証、強固なコンプライアンス プロトコルを備えたソフトウェア プラットフォームで電子署名の収集を行うようにすれば、顧客と社員の双方に骨の折れる複雑なワークフローを強制することなく、オンライン トランザクションの適法性とセキュリティを最大限に高めることができます。
電子署名には本当に法的拘束力があるか?
まずは基本的なポイントをおさらいしましょう。電子的に署名されたドキュメントには、従来どおりの紙とペンを使った署名と同等の法的承認があります。
これは、2000 年に米国で成立した、国際および国内商取引における電子署名に関する法律(通称 ESIGN 法)によるところが大きいと言えます。ESIGN 法では基本的に、電子的に署名された合意書、契約書、取引、その他のドキュメントは、物理的な紙の書類が存在しないというだけの理由でその法的効力を否定すべきではないと規定しています。
電子署名のセキュリティについて詳しくは、HelloSign のトラスト センターをご覧ください。
電子署名ソフトウェアを使用して適法性とセキュリティを最大限に高める 4 つの方策
独自の電子署名プラットフォームを開発する場合でも(この場合、極めて優秀な技術チームが必要です)、電子署名に特化したプロバイダと契約する場合でも、大切な顧客とトランザクションを守るために適法性とセキュリティに関する強力な対策を施せるソリューションが不可欠です。ちなみに、HelloSign は数年にわたって連続で最も導入しやすい電子署名ツールに選ばれています。
セキュリティ
HelloSign では、すべての通信内容がトランスポート レイヤ セキュリティ(TLS)を使用して暗号化されます。各ドキュメントはファイアウォールの内側に保存され、リクエストのたびに送信者のセッションに対して認証を行います。ドキュメント自体も一意のキーで暗号化されます。暗号化に使用されたキーもまた、定期的に入れ替わるマスター キーで暗号化されます。そのため、もし何者かが物理的なセキュリティ対策を突破できたとしても、データを復号化することはできません。
物理的なセキュリティに関しては、当社のデータは SOC 1 Type II、SOC 2 Type I、および ISO 27001 の認定を受けたデータ センターに保存されています。これらのデータ センターは厳重な警備で守られています。監視カメラを配置し、複数のステップで構成される認証手順と最新の侵入防止検知システムが導入されています。
詳細な監査証跡
監査証跡は、電子ドキュメントに対して行われたすべてのアクションを記録し、タイムスタンプを付加して、徹底的に追跡できるようにするものです。また、何者かが勝手に内容を変更または改ざんしていないかどうかを確認する目的でも使用できます。
HelloSign では、署名当事者の間で編集できない包括的なトランザクション証跡を作成して、すべての電子署名とデジタル ドキュメントに監査証跡を関連付けます。
トランザクション履歴が確認できるよう、IP アドレスや UserAgent 情報をはじめとするさまざまな情報を追跡し、タイムスタンプ情報を付加しています。情報の追跡とタイムスタンプの付加は、ドキュメントが署名依頼のために送信された時点から、実際に署名されてドキュメントが完成するまでのすべての期間にわたって行われます。トランザクション ログの改ざんがあった場合に確実に検出できるよう、各トランザクションはハッシュ技術を使用して処理されます。つまり、ドキュメントのバージョンごとに「コピー」を生成し、不審なバージョンが見つかった場合に比較できるようにしています。
詳細な監査証跡を作成するために HelloSign が追跡するイベントの全リストはこちらで確認できます。
また、詳細な監査証跡に認証を組み合わせています(これについては次のセクションでお話しします)。これにより、誰かがドキュメントにアクセスしたり、表示したり、署名したりするたびに記録が残るようにしています。
徹底した認証
適法性とセキュリティの両方を確保するため、電子署名プラットフォームではドキュメントへの署名はもちろん、単なるアクセスであっても、事前にユーザーが本人であることを認証するための確実な手順を実施する必要があります。
一般的には、ユーザーの IP アドレスを取得して、そのユーザーが特定のメール アカウントや電話番号を使用できることを確認するだけで、電子署名の作成時に使用されていたパソコンやソフトウェアにそのユーザーを紐付けてよいと考えられます。
HelloSign では、ドキュメントに署名をする人物は HelloSign のログイン情報を持っているか、メールで署名依頼を受け取っている必要があります。許可なく HelloSign アカウントに他者がアクセスし、不正な署名やドキュメントの署名依頼が行われないようにするため、ユーザー名とパスワードをはじめとするユーザー情報のすべてが暗号化されています。他にも、セッションに有効期限を設定したり、お使いのアカウントでドキュメントを送信、受領、署名するたびにメールで通知したりすることで、第三者がアカウントにアクセスしたり、アカウントを使用したりできないようにしています。
さらに、2 段階認証の設定も可能にしています。ユーザー名とパスワードに加えて、モバイル デバイスに送信した一意のコードを入力することで認証する方法です。また、ドキュメントの表示や署名を行う際に署名者に入力を求める 4~12 桁のコードを設定することもできます。ユーザーが HelloSign に提供する認証データはすべて暗号化され、適応型のハッシュ アルゴリズムがパスワードをハッシュ化およびソルト化します。
強固なコンプライアンス対策
関連するコンプライアンス規制を遵守しないと、高額な罰金、起訴、さらには懲役刑に至るまで、さまざまな結果に直面する可能性があります。情報セキュリティの基準をおろそかにして、セキュリティ、収益、さらにはビジネスの将来までを危険にさらすべきではありません。
HelloSign では、お客様のビジネスに適用され得る基準を当社の電子署名プラットフォームで確実に遵守するためのプロセスを導入し、お客様を保護しています。
HelloSign では、以下の基準に準拠しています。
- SOC 2 Type II
- ISO 27001 および ISO 27018
- HIPAA
- 2000 年の米国 ESIGN 法
- 1999 年の統一電子トランザクション法(UETA)
- 欧州経済共同体/1999/93 指令に代わり導入された 2016 年の新 EU eIDAS 規則(EU 規則 910/2014)
- プライバシー シールド
- 一般データ保護規則(GDPR)
ご不明な点があれば、お気軽にお問い合わせください。HelloSign がお客様のセキュリティと法的なニーズに合った適切な電子署名プラットフォームかどうかを判断するお手伝いをいたします。
HelloSign で適法性、強固なセキュリティ、優れたユーザー エクスペリエンスを実現
HelloSign では、企業が使いやすくセキュリティに優れた電子署名ソリューションを見つけられるようお手伝いしています。使用する人のことを考えたユーザビリティはもちろん大切ですが、セキュリティ、監査、認証、コンプライアンスの対策についても慎重に検討することが、オンラインで展開するビジネスの適法性を確保するうえで重要になります。
HelloSign の登場で、ユーザビリティ、セキュリティ、適法性のすべてを成り立たせることが可能になりました。スモール ビジネスから大企業まで幅広いニーズに対応できる、定評ある HelloSign を導入すれば、快適なユーザー エクスペリエンスと適法性やセキュリティの強固な機能の両方が手に入ります。
免責事項:このサイトに記載している情報は、一般的な情報提供のみを目的としており、法的助言を意図したものではありません。法的な質問については、法律顧問にご相談ください。