トピックス 2021.04.28 重要書類は紙で保管するのがベスト?それとも電子書類で保管するのがベスト?それぞれのメリット・デメリットとは?
ペーパーレス化が叫ばれ始めて随分年月が経ちました。
進みの遅かったペーパーレス化も、政府が推進しようとしているDX化の波を受けてますますその動きに拍車がかかりました。押印も廃止などといわれている今日、いよいよペーパーレス化は待ったなしとなった感があります。
そうはいっても、どうしても紙でないと都合の悪い書類も相変わらず存在します。証明能力や法的効力を持つ重要書類の類などがそうです。こうした書類はペーパーレス化が進んできた昨今、どのようにして保管しておくのがベストなのでしょうか。
この記事ではセキュリティ上の観点から、重要書類を紙の状態で保管した場合と電子化した場合のそれぞれについて、メリット・デメリットを、また、ベネフィットとリスクについて考えてみました。
ペーパーレス化の本質を振り返る
ペーパーレス化は、大量の紙書類の保管場所確保と書類さがしや整理の手間から解放され、情報の共有を飛躍的にやりやすくしてチームの生産性を上げ、働き方改革に大いに寄与するはずのものです。
ペーパーレスが化進む背景
令和元年5月「デジタル手続法」(情報通信技術を活用した行政の推進等に関する法律(デジタル手続法。平成14年法律第151号)が公布されました。
これはデジタル技術を活用して、行政手続等の利便性の向上や行政運営の簡素化・効率化を図るための法律で、令和元年12月より施行されています。
行政手続きはオンライン化実施を原則とし、行政機関間の連携によって入手参照できる添付書類については添付を不要とする規定を整備したものです。
「行政手続き、調査のとき必要だから」という理由で書類を大量に作ってさらにその控えといってコピーもとってきましたが、それも不要になっていくでしょう。
持続可能なビジネスが求められている(SDGs)
「SDGs」とは2030年までに達成しようという17の目標と169の具体的内容(ターゲット)のことです。この中にもペーパーレス化がそれにあたると考えられる目標が2つあります。
目標9:産業と技術革新の基盤をつくろう
目標15:陸の森の豊かさも守ろう
すなわち技術革新によって、紙を使わない社会を作り森林資源を保全しようというわけです。
今やSDGsに同調しない企業には投資家が投資しない傾向にあり、ほとんどの企業はペーパーレス化に、より取り組むようになるでしょう。
ペーパーレス化のメリット
ペーパーレス化のメリットには次のようなものがあげられます。
1. 検索できるようになるので探さなくてよくなるため時間短縮できる。
2. 紙代、印刷代、保管スペースなど物理的なものに要する費用が削減される。
3. 環境にも良いと考えられる。
総じてペーパーレス化は生産性を上げると言われています。
ペーパーレス化のデメリット
逆にデメリットとして次のようなものが考えらえます。
1. 手書きメモができない。
2. ITに不慣れな人には使いづらい。
3. ディスプレイの画面の大きさによるため見にくいことがある。
4. 全体を眺めたり裏返したりといった一覧性に欠ける。
なかなか紙の資料が減らないのもこういう理由なのかもしれません。
ペーパーレス化のベネフィットとリスク
ペーパーレス化は、業務処理のスピードアップになり生産性が上がる一方、次のようなリスクが伴います。
● ハードウェアのトラブルによるデータの大量喪失
● サイバーアタック、USBメモリの持ち出しなどによる情報漏洩
こういうリスクが不安感につながり、なかなか紙から離れられない現象を生んでいるのだとも言えます。
セキュリティの観点から見るペーパーレス化
避けられない世の中の進化である「ペーパーレス化」に伴う「消失と漏洩のリスク」とどう向き合うか。その知恵とノウハウがこれからの時代には必要となってきます。電子媒体と紙媒体でのセキュリティ対策についてそれぞれ考えてみました。
電子媒体で書類を保管する場合のセキュリティ対策
IPA(独立行政法人情報処理推進機構)のセキュリティセンターから公開されている「情報セキュリティ重大脅威2020」によると、最近の重大脅威にランキングがついて公開されています。
書類をPDF等電子データにして保管するのは主に企業等の組織だと思いますので、組織体に対する情報セキュリティの重大脅威ベスト10をご紹介しましょう。
1. 標的型攻撃による機密情報の窃取
2. 内部不正による情報漏洩
3. ビジネスメール詐欺による金銭被害
4. サプライチェーンの弱点を悪用した攻撃
5. ランサムウェアによる被害
6. 予期せぬ IT 基盤の障害に伴う業務停止
7. 不注意による情報漏洩
8. インターネット上のサービスからの個人情報の窃取
9. IoT 機器の不正利用
10. サービス妨害攻撃によるサービスの停止
このうち、電子媒体で書類を保管する際に直面すると思われる脅威は、太字の2.6.7.10.といったところでしょう。
では、これら脅威についての解説と対策を解説していきます。
2.内部不正による情報漏洩とその対策
電子媒体になったとは言え、USBやプリンターに対し出力が簡単出来てしまう環境であれば媒体を持ち出すことも可能になります。
また、廃棄予定のハードディスクを転売していたという事例もありました。盗む意図のあるなしに関わらず持ち出したデータを外部に置き忘れるなどしたり、自宅のPCにコピーなどした場合、それは情報漏洩となりえます。
<対策>
● 組織での情報セキュリティに対する基本方針を徹底する。
● 記憶媒体の管理や保管場所への入退室管理を厳格にする。
● コンプライアンス教育など情報モラルの向上を図る。離職者に対しては秘密保持契約を締結すること。
● 被害を発見した後の対応をマニュアル化しておく。
この問題は個人のモラルに頼るところが大きく、どこまで行っても無くなることはないでしょう。
ただ、組織で上記のような措置をとっていたかいなかったかが、事故を起こした場合の責任の重さの差になって表れてきます。
6.予期せぬ IT 基盤の障害に伴う業務停止
自社内の情報機器は目に見える範囲で把握できますが、インターネット上のシステムやクラウドサービスの予期せぬ障害で事業に支障をきたすことはないでしょうか。
実際7秒間の停電で一部のサーバーが停止しただけで、クレジットカードなどのサービスに数日間影響が出た例があります。
紙の電子化データをクラウドに保管する場合もありうるわけでこのリスクも考えておく必要がありそうです。
<対策>
この類の障害はほぼ自然災害と同等に考える必要があります。多くの組織では災害時の事業継続計画(BCP)の策定を行っていると思いますがそれに則った対応が求められます。
7.不注意による情報漏洩
最もよくある事例では個人情報が入ったPCを置き忘れてきたとか、メールを配信する際に宛先を間違えてしまったとか、顧客情報を含む資料がインターネット上で誰でも見える状態になっていたとかということです。
「ヒューマンエラー」は完全に防止できませんが以下のような対策が考えられます。
<対策>
● 情報リテラシーやモラルの向上
● 端末の持ち出し手続きの厳格化
● 問題発生時の早期検知
● 被害を受けた後の対応もマニュアル化しておく
メールアドレスの誤りによる誤送信に対しては、送信ボタンを押したとき一回送信トレーに入るので、それを確認後、送信トレーから再度送信した時に初めて最終的に送信できる等の設定が可能です。
確認する機会を強制的に1回増やすことで誤送信のリスクを減らすことになります。
10.サービス妨害攻撃によるサービスの停止
DDOS攻撃と呼ばれる、アクセス数を異常に増やして相手サーバーを停止に追い込む手法の攻撃を受ける可能性があります。
この攻撃を受けたWebサーバーは極端に遅くなったり停止したりしますので、大規模な通信障害につながります。
<対策>
● DDOS攻撃対策をしっかりとっているISPを選択する。
● WAFの導入(Web application Firewall)
● ネットワーク構成の冗長化(被害を防ぐための外堀を設けて置く)
● 停止時の代替サーバーの用意
● 公開するサーバーの見直し
これらは、ネットワーク上でシステム設計的、ソフトウェア的に解決できる問題です。
組織としては自社のシステム構成がDDOS攻撃に対応しているかどうか再度点検する必要があります。
紙媒体で書類を保管する場合のセキュリティ対策
電子媒体でのデータ保管にかかるリスクを考えると、すべてをデジタル化せず「原本保管」というような考え方をすること、すなわち紙媒体での書類保管も悪くはないように思われてきます。
紙書類保管の王道 鍵のかかる保管庫
契約書や議事録などがそうですが、法的に効力を持つ有印文書など重要な書類は「原本」という概念に意味を持ちます。
こうした書類は金庫やカギのかかる書庫に保管することとなります。鍵を持った人にしか取り出すことができず、ハードウェアの故障による消失やコンピュータウイルスなどとも無縁で、一見完璧なセキュリティですが、場所をとることや情報共有や生産性の観点からいうと時代遅れと言わざるを得ません。
適宜の廃棄処分
紙媒体は不要になった場合処分が困難です。個人情報などになると、シュレッダー処理になりますが量が多い場合時間がかかりすぎ、現実的に自社での処分が不可能になる場合も考えられます。
そこで業者に依頼して、大型の機械で裁断処分したうえで溶解処理するようなことになりますが、費用が掛かってしまいます。この点、電子媒体は削除するだけで済みます。
複写対策
秘密の情報が印刷された紙を、多数の人に配り会議をする必要が生じた場合どうするかということが問題です。
番号を打ち、会議が終わったあとで回収するといった措置をとることもありますが、必要に応じて無制限にコピーしていると失敗プリントや置忘れなどが生じ、その後の追跡が困難となります。紙の場合、計画のない複写は漏洩そのものです。
終わりに
重要書類は紙媒体で保管するのがベストなのか、それとも電子書類で保管するのがベストなのでしょうか。
印鑑が大きな意味を持つもの、もしくは手書きのサインが意味を持つ書類などは紙で保管しておくしかないでしょう。
しかしながら、こうした重要書類を多くの人が参照する必要がある場合は、電子媒体に記録して共有し検索できるようにしたほうがよいに決まっています。
どちらか一方に限るということではなく、それぞれの良い点を生かして、セキュリティ面では紙媒体の原本を金庫に保管し、利活用するためにはPDF化してネットワークに掲載するなどするのがよいと思われます。
また、個人情報を共有して仕事をする必要のあるところでは、外部から切り離された環境にすることが重要です。他の部署に見せる場合、権限の設定とダウンロードはできないようにすることが必要になるでしょう。
紙媒体、電子媒体ともにそのセキュリティ上の取扱いで注意するべきなのは「コピー」という行為です。コピーができるようになってから情報社会は飛躍的に進歩しましたが、それは情報漏洩のリスクとの諸刃の剣でした。
紙であろうと電子データであろうと、我々は便利さゆえに気軽にコピーしてしまいますが、本当にそれで大丈夫なのでしょうか。
紙媒体でのセキュリティと電子データでのセキュリティについて、「コピー」という観点から今一度考えなおしてみる必要性がありそうです。
【関連リンク】
政策会議 デジタル手続法(首相官邸)
http://www.kantei.go.jp/jp/singi/it2/hourei/digital.html
SDGsとは?(外務省)
https://www.mofa.go.jp/mofaj/gaiko/oda/sdgs/about/index.html
情報セキュリティ10 大脅威 2020(独立行政法人情報処理推進機構)
https://www.ipa.go.jp/files/000080871.pdf
ペーパーレス化は本当に必要? 事例から学ぶメリット・デメリット(ホームズクラウド)
https://www.holmescloud.com/useful/2241/
TEXT:セキュリティ通信 編集部
PHOTO:iStock