2016年04月
2016年04月18日
こんにちは
さて、本日のテーマは、電子記録・電子署名の「見読性」です。
「見読性」とは、
「人が見て理解できる形式で出力(画面表示、印刷、ファイル出力)できること」です。
見読性についても、真正性と同じように視点を変えて、人が見て理解できない電子記録の弊害を考えてみたいと思います。
パソコンやサーバやDVDなどに保存されているデータを、
- 古いソフトで見たら表示できないかもしれない
- 印刷したら文字化けしてしまうかもしれない
- 印刷したら画像が粗くて正しい評価ができないかもしれない
- 査察時に査察官の求めに応じてデータを提出できないかもしれない
せっかくデータを保存していても、見て理解できる状態でなければまったく意味がありません。
画面に表示されることや印刷できることはシステムにとっては当たり前のことかもしれませんが、CSVのユーザ要求仕様書作成時やPQテストでは意識的に確認しいただきたいと思います。
業務に必要なリストは特に意識しなくても印刷できるようになっているかと思いますが、監査証跡については見落とされがちなので、システムを選定する際はそんなところにも注目していただければと思います。
次回は、電子記録・電子署名の「保存性」について見ていきたいと思います。
つづく
2016年04月04日
こんにちは
つい先日までは街中で袴姿をちらほら見かけていたのに、4月に入った今では、キリッとリクルートスーツできめた姿を目にするようになりました。
この時期は、環境が劇的に変わる人が多い季節ですね。
学生の頃は「変化」に耐性があったのか、どちらかというとワクワクした気持ちが大半を占めていたような気もしますが、最後の卒業式が遠い昔となった今では、「変化」に弱くなってきてしまったように感じます。
「変化」を積極的に受け入れることにより、新しいことにも挑戦でき、いろいろ成長していけるだろうとも思っていますので、CSVブログでもどんどん「変化」して良い方向に成長していきたいと思います。
さて、今日は前回持越しの電子記録・電子署名の「真正性」を保証する方法です。
復習となりますが、 「真正性」とは、
「電子記録・電子署名が本物であること」です。
厚生労働省のERES指針では、「真正性」を確保するための要件として、以下を要求しています。
(1)セキュリティ
(2)監査証跡
(3)バックアップ
もう少し詳しく説明してみます。
(1)セキュリティ
ログインで利用者を特定することによって、誰が入力したデータなのかを記録することができます。
パスワードなどや指紋認証などを利用することによって、本人であることを保証できます。
アクセス権で操作できることを制限することによって、権限のない者による変更や承認を防ぐことができます。
(2)監査証跡
データの作成、変更、削除の実施者、実施日、変更内容を記録することにより、紙記録作成時と同等の痕跡を残すことができます。
ユーザ管理の監査証跡を確認することにより、不正アクセスの試行やなりすましの有無を確認することができます。
データの監査証跡を確認することにより、不正な改ざんの有無を確認することができます。
監査証跡を自動的に取得することにより、客観的にデータの信頼性を証明することができます。
(3)バックアップ
データの真正性を保証する監査証跡の消失を防ぐことができます。
以上で挙げた要件は、システムに機能を実装することによって対応することが可能です。
しかし、例えログイン機能でユーザを管理できたとしても、パスワードを他の人に漏らしてしまえばデータの真正性を保証することはできません。
そのため、ERES指針では、(1)、(2)、(3)の共通要件として、規則や手順を確立し、適切に実施されることが求められています。すべてをシステム任せにすることはできないということですね。
つづく