1. HOME
  2. ブログ
  3. ここだけは押さえたい! 安全な電子契約に求められるセキュリティ対策のツボ

ここだけは押さえたい! 安全な電子契約に求められるセキュリティ対策のツボ

コロナ禍で、ますます増加する非対面取引とデジタル化

新型コロナウイルス感染症の拡大を受け、多くの組織・企業がテレワークを実施している。東京商工会議所が2020年11月に公表した「テレワークの実施状況に関するアンケート」によると、「テレワークを現在実施している」、もしくは「一時実施していたが現在は取りやめた」と回答した組織・企業の合計は75.2%となり、大半がテレワークを経験しているという結果となった。

非対面という点では、テレワークのほかにも、オンラインでのEC利用も増えている。コロナ禍で実店舗に訪れる機会が減少したからだろう。たとえば、今春、各社携帯電話会社が新サービスの提供を開始するが、この申込み契約は実店舗ではなく、オンラインのみで行う必要があり、非対面での取引となる。

こういった非対面取引では、セキュリティを十分に注意する必要がある。昨年、キャッシュレス決済サービスにおいて、不正引き出しの事案が発生し大きなニュースとなった。過去には、個人間のカーシェアリングサービスで、貸主と借主の間で運転免許証の原本確認をするように定められていたが、加害者は運転免許証を偽造していた疑いがあり、貸し出した外国車が売却され、返却されない事案が発生している。

従来の対面による取引では、本人確認は問題なく行えていたが、本件のようなオンラインでの非対面取引では、より厳格な本人確認が必要になる。

テレワーク実施上の課題としてクローズアップされる「押印業務」

東京商工会議所の調査結果では、社内のコミュニケーション、PCなどの機器やネットワークの整備、情報セキュリティ体制などに課題があった。昨年ニュースでもクローズアップされた「押印業務」という日本特有のハンコ文化も課題の上位に挙げられている。

(出典)2020年11月:東京商工会議所「テレワークの実施状況に関するアンケート」

書面の電子化にあたっては「電子署名法」などの各種法制度があり、これら法制度の改正が進んでいる。各種法制度と政府の動向についてはサイバートラストのBLOGを参考にしていただきたい。

取引のデジタル化に伴い、法案改正も急ピッチで進む

政府は、デジタル改革関連法案の改正案を通常国会に提出することを閣議決定し、押印・書面の交付等を求める手続の見直し(48法律の改正)を進める。2021年9月1日に施行される予定で、改正案の概要は以下となっている。

【押印業務の廃止】

【書面化義務の緩和】

取引のデジタル化に欠かせないセキュリティのメリット

押印や書面のデジタル化が進むことによって、利用者にも事業者にもメリットがある。たとえば、アパートやマンションなどの賃貸契約では、スマートフォンを活用したバーチャル内見、重要事項説明書も、ウェブ会議などを活用して非対面が増えている。しかし、最後の契約については、書面(紙)の契約書を双方が押印、署名しなければならなかった。今後、法改正が行われることで、実店舗に来店せず、内見~契約~入居までのすべてをデジタルで完結できる。

賃貸物件を提供する不動産会社は、マイナンバーカードなどの身分証明書によって厳格に本人確認を実施したうえで、ウェブ会議などオンラインでの重要事項説明と電子契約サービスを活用することによって、すべての手続きを非対面で完結できて利便性が高まるだろう。

【非対面取引における本人確認業務の厳格化】

これにより、事業者は契約書面の作成、印刷、郵送などといった業務の効率化だけではなく、コスト削減にもつながる。

事業者間の取引においても、秘密保持契約書や業務委託契約書といった契約書面の締結においても、電子契約サービスを活用するなどデジタル化のメリットは大きい。電子署名された電子文書は、署名者本人により作成されたことと、署名後に文書が改ざんされていないことが保証されているため、信頼性を確保できる。

さらに契約を電子化により、膨大な数の契約書を容易に検索・閲覧・共有できるため、契約進捗管理、契約文書管理におけるコンプライアンスの強化が可能になる。今後は「日本版eシール」という法制度の施行によって、注文書、請求書といった書面をデジタル化する動きもあり、書面による取引から電子データによる取引が加速していくだろう。

単一要素認証では不十分、多要素認証の実装がサービスの要件に!

とはいえ、すべてをデジタル完結するには、やはりセキュリティ対策が万全に施されることが重要だ。これまでオンライン上のサービスを利用する際は、IDとパスワードのみによる認証が大半だった。

米国立標準技術研究所(NIST)の認証に関するガイドライン「Electronic Authentication Guideline(電子的認証に関するガイドライン)」第 3 版(NIST SP 800-63-3)には、参考にすべき内容が定義されている。特に重要インフラにおいて認証情報の漏えいや危殆化(きたいか)した場合、システムの破壊や停止などの社会的影響を考慮すべきだ。認証にあたっては、単一要素認証では不十分であり、多要素認証を要件としている。

(参考情報)NIST Special Publication 800-63 Digital Identity Guidelines ( 翻訳版 )  デジタル完結による商取引は、時代の流れとともに標準的な手段となっていくことは間違いない。そこで最も忘れてはならないのは、セキュリティ対策を万全に期すことだ。事業者はサービス提供にあたり、ID/パスワード以外に、前述のような多要素認証の実装を検討することが必要で、利用者もサービスを利用する際は、そのサービスのセキュリティ対策が万全なのかを理解したうえで使うことが重要だ。

田上 利博 (Toshihiro Tagami)
サイバートラスト株式会社 マーケティング本部 プロダクトマーケティング部

20年以上にわたりセキュリティベンダーで営業、プロダクトマーケティングに
携わる。現在はサイバートラストで、認証・セキュリティ事業のプロダクト
マーケティング全般を担当。フィッシング詐欺、IoT、ドローン、スマートフォンなど幅広い分野のセキュリティ課題に取り組んでいる。
https://www.cybertrust.co.jp/

関連記事