小形 茂氏 財団法人日本情報処理開発協会 電子署名・認証利用パートナーシップ事務局長 特定非営利活動法人ITC－METRO専務理事 中小企業診断士・ITコーディネータ

　企業が文書の電磁的保存等によって期待される効果を最大限追求するためには、文書管理、アーカイブのための新たな情報システムの導入に加え、関係する業務フローの改革や人的資源の配分の見直しなど、IT技術の活用はもとより、内部組織・規定の充実、人材育成など、企業等における情報管理の仕組み自体の改革、業務・システムの全体最適化が必要となる。

　また、同時に、電磁的保存等によって別途生じるIT固有の方法による情報漏洩等のリスクなど、電子文書の特性に考慮した形で、利用状況や用途に応じた適切な措置を講じることも必要となる。

　このため、技術的に信頼性のあるシステムの導入を検討することはもとより、情報セキュリティ監査の実施、ISMSの認証取得など、組織的な管理の側面からも適切な情報セキュリティ対策を導入することが必要と考える。

【参考：文書の電磁的保存の努力基準一覧】

1.ログ
◇情報システムには、データの保存及び更新時に保存及び更新の日時並びに実施者を記録する「ログデータ」の保存機能を設けること。
◇取得した「ログデータ」は安全な場所に保管し、保存方法等に係る運用管理規定を定めること。

2.アクセス
◇情報システムには、個人別のID、パスワード等の利用者登録、管理及び認証機能を設けること。
◇情報システムのうち、データの保管を行う機器に直接接続されたコンピュータが、公衆回線とのオンラインによって接続される場合には、アクセスするユーザ等の正当性を識別し認証する機能を設けること。
◇個人別のIDは、複数者で共用しないこと。
◇情報システムには、情報やシステムの機密度を区分しアクセス権限を制御する機能を設けること。
◇情報システムは、IDを付与された関係者以外の者が操作をしないよう周知徹底する等　の措置をとること。
◇人事異動等で使わなくなったID及びパスワードは、直ちに無効化すること。

3.バックアップ
◇情報システムの保守、点検、改造等は、あらかじめ計画を設けた上で行い、バックアップ等当該行為の期間のデータ保護措置を講じること。
◇データを収蔵したデータ記録媒体は、当該媒体以外にバックアップを行い、当該媒体と異なる保管場所に保管すること。
◇データを収蔵したデータの記録媒体及びバックアップは、定期的に保管状況の点検を実施すること。

4.セキュリティ対策等
◇外部から入手したソフトウェア、使用済記録媒体等はウイルス検査後に利用すること。
◇情報システムには、データのエラーの検出機能を設けること。
◇情報システムには、システムへの不正なアクセス及びデータの不正な変更を発見するソフトウェア機能を設けること。