電子文書原本性保存の 取組みについて 電子文書の原本性確保支援システム TrustyCabinetTM (株）リコー

国での検討の背景と問題の所在 共通課題研究会報告 行政情報化の理念 ○行政改革の手段 ○効率的で効果的な行政の実現 申請・届出等手続きを中心として、ネットワークを 利用したオンライン化を推進する上で解決を要する 共通的な課題について検討を行った。 計画目標 ○紙から電子化された情報の管理へ ○２１世紀に「電子政府」を実現 電子文書の原本性 ①電子文書の原本性の意味 ○「電子文書の原本性を確保する」とは、｛電子文書 について、紙文書と比較した場合の保存・管理上 の問題点が解決された状態にあるようにしておく こと」 ②検討対象とする電子文書 ○行政機関の職員が職務上作成し、又は取得した 電子文書であって、組織として保存・管理すべき もの」 目的 ○国民ｻｰﾋﾞｽの飛躍的向上 ○行政運営の質的向上 社会と行政の 接点の情報化 行政情報化推進 のための基盤整備 ○ﾈｯﾄﾜｰｸ等情報 通信基盤の整備 ○組織的・人的基盤 の強化 ○ﾈｯﾄﾜｰｸ、ﾃﾞｰﾀｺｰﾄﾞ その他の標準化 ○共通課題の解決等 行政内部の 情報化 電子文書の原本性確保要件 「完全性の確保」、「機密性確保」、「見読性の確保」 要件確保のための措置内容 ＜電子文書の原本性確保のための基準＞ 「組織体制」、「アクセス管理等」、「記録媒体及びバッ クアップ」、「ウイルス対策」、「見読対策」、「その他」 関連問題－電子文書の証明力－ ・自由心証主義：改ざん防止等の措置を的確に講ずる こと

情報化に関する政府対応と施策 ＜政府対応＞ ＜施策＞ １９９４年８月 高度情報通信社会推進本部 １９９５年２月 高度情報通信社会推進に向けた １９９４年８月 高度情報通信社会推進本部 １９９５年２月 高度情報通信社会推進に向けた 基本方針の策定：情報化に向けた 行動原理 １９９５年９月 制度見直し作業部会 →電子保存、申請・申告の電子化 の検討 １９９８年１１月基本方針の改定 →電子政府の実現を目指すと記述 １９９９年１１月共通課題研究会中間報告 ２０００年３月 共通課題研究会報告 ＜施策＞ ・３原則の明示 －民間主導、政府による環境整備、 国際的な調和－ ・電子印鑑の法的効力を認める必要あり →法務省、通産省、郵政省が環境整備 に着手 ・個人信用情報や医療情報等は法規制を 検討すべき →検討開始 ・不正アクセス防止法の成立 ・住民基本台帳改正法の成立 （本人確認手段） ・電子政府の実現

保存義務のある紙文書から電子文書への移行時の問題点を、 解決した状態を電子文書の「原本性の確保」と呼ぶ 電子化のアドバンテージと問題点 アドバンテージ　　　　　（今さら言うまでも無いが…） 事務作業の正確さの向上 大量処理が可能 事務作業の速度向上 問題点（行政情報化の為の共通課題　総務庁） それぞれ別々に問題 解決の為のテクノロジが 研究・開発されている。 （なりすましの問題） 　（手数料徴収の問題） 　保存義務のある「紙文書」から 「電子文書」への移行時に問題点がある。 保存義務のある紙文書から電子文書への移行時の問題点を、 解決した状態を電子文書の「原本性の確保」と呼ぶ どんな問題点があるのか？…

紙文書から電子文書への移行時の問題点 改竄・修正・すり替えが容易で、 痕跡が残らない 同一コピーが容易。 (唯一性が保てない。/本物として証明できない。) 時系列性が保てない。 (時間を偽る事ができる。) 漏えい、盗み見、コピーを取ることが出来る データが直接読めない。(不可視性) 特定のシステムでないと 見る事ができない。（見読性がない。） データの破棄した痕跡が残らない。 (データがなかった事になる。) 紙よりネット上では、 密かにアクセスし易い。 記録媒体が劣化する。(長期に保存できない。) 又は見る事が出来るドライブが無くなる ウイルス

原本性を確保できたら、 電子文書でも原本といえる 電子原本保存の実現方策 「真正性の確保」 「保存性の確保」 「見読性の確保」 原本性を確保できたら、 電子文書でも原本といえる 電子文書の原本性確保の為には、 ・　技術的方法　　・　組織的方法　　・　制度的方法 複数の方法を組み合せることが必要。

原本性保証電子保存システムの 実証実験と原理 平成9年度　原本性保証電子保存システムの開発と実証実験 平成9年度、情報処理振興事業協会が実施した 「創造的ソフトウェア育成事業」の一環として、 (財)ﾆｭｰﾒﾃﾞｨｱ開発協会がとりまとめ、 リコーおよび数社を中心に開発が進め、東工大が評価実験を担当。 電子的に保存する情報への 物理的不正アクセス・ 論理的不正アクセスに対して、 電子保存システムをパッケージ化する 出入口が ひとつ 管理人 (CPU) 電子原本はこの保存装置の 中にのみ存在する。 デジタルデータ

TrustyCabinet サーバプログラム 原本性確保支援システムの概要 アーキテクチャの基本的考え方 ●基本的アーキテクチャ 　 　・サーバ内に保存された電子文書に、外部から 　　　直接のアクセスを不可能にしたもの。 　　・電子原本はサーバ内のみ有効である。 ●外部より保存データにアクセスするためには １．サーバ内のTrustyCabinetサーバプログラムに対して 　　　特別なアクセス要求を発行する方法だけが許される。 　　　（不正アクセス禁止） ２．全てのアクセスにログが記録する。（不正アクセスの抑止） ３．保存文書やそのアクセス履歴、属性情報などに対して 　　改ざん検知処理を施す（不正操作禁止） ４．アクセスは直接ユーザーが 　　行うものでなく、業務サーバが行う。 ユーザ 業務サーバ 業務アプリケーション TrustyCabinetドライバ ＴＣＰ／ＩＰ TrustyCabinet サーバプログラム 物理的パッケージ化 論理的パッケージ化

原本性確保支援システム TrustyCabinetTM ユーザ 業務アプリケーション TrustyCabinetドライバ 申請や文書管理などの 業務サーバ 用意されたＡＰＩにて アクセス インターネット／イントラネット ・ワークフローで稟議決裁済み　文書の保存。 ・電子申請・電子調達での 　申請文書の保存など。 ご提供物件 （ソフトウェアのみ） ＜イメージ＞ (財)ﾆｭｰﾒﾃﾞｨｱ開発協会の「原本性保証電子保存システムの実証実験」から さらに実用性、拡張性を加えた製品。 ＴｒｕｓｔｙＣａｂｉｎｅｔは、汎用ＰＣサーバ上で、ソフトウェアによって実現される 電子原本保存管理サーバシステムである。

TrustyCabinetの機能 業務サーバーで ウィルスチェック 業務サーバーで暗号化 業務アプリケーションが ＡＰＩを使ってアクセス エンドユーザＩＤを 属性としてアクセス 原本に改ざん検知 処理が施される 更新が行われると 版が自動的に上がる ・エンドユーザー認証は 業務サーバが行う 原本へのアクセスは全て ログに記録される ログ自身に改ざん検知 処理が施される エンドユーザーのアクセス 制御は業務サーバが行う 原本を読み出したら、 署名を付ける為 改ざん検知可能 時間的順序が混乱しない タイマ設定を変更したら、 ログに残る TrustyCabinetｻｰﾊﾞﾌﾟﾛｸﾞﾗﾑ 原本をバックアップ可能 保管期限設定で、 期限以内は削除不可能 外部メディアに格納可能 電子文書の中味に 触れないので ウィルスに感染しない TrustyCabinet サーバ 外部記憶媒体は運用で 正しく保管

ＴｒｕｓｔｙＣａｂｉｎｅｔの動作環境と 業務サーバとの連携 業務システムの開発者は ＴＣＡＢ－ＡＰＩ(Java、VB、Notes）を使用して、 ＴＣＡＢへの電子文書の原本アクセス*の機能を、 業務サーバシステムに組込む。 （ *原本アクセス：原本登録・参照・削除等） エンドユーザは、 業務サーバーを経由して、 電子原本にアクセス。 業務アプリケーション TrustyCabinetドライバ ネットワーク ＲＡＩＤ対応で 外部接続もあり TrustyCabinet ｻｰﾊﾞﾌﾟﾛｸﾞﾗﾑ メモリ 原本 データ 原本 データ ＣＰＵ TCAB コア 原本データ CD-R、ＤＶＤ等 ＤＡＴ チェンジャー対応で 外部接続もあり ＵＰＳ WindowsNT4.0

TrustyCabinet ＋ システム全体 ＋ 運用 → 原本性を確保 ＴｒｕｓｔｙＣａｂｉｎｅｔを用いた システム全体での電子文書の原本性の確保 電子文書は TrustyCabinet内で原本性確保できる。（技術的方法） TrustyCabinet　＋　システム全体　＋　運用　→　原本性を確保 ｺﾝｻﾙﾀﾝﾄ 原本性の確保には、 すべてのフェーズで、 全体に対する原本性 確保技術を付加する 必要がある。 電子文書の原本性確保 運用 システム TrustyCabinet 設計 開発 設置・環境設定 TrustyCabinet以外にも その技術を提供します。 運用 ネットワーク／システム セキュリティ 保守

ワークフロー自身による 電子文書の原本性の確保 ＴｒｕｓｔｙＣａｂｉｎｅｔを用いた システム全体での 電子文書の原本性の確保 ワークフロー自身による 電子文書の原本性の確保 サーバー 申請を 受付 サーバー Internet 媒体管理や人の出入り 物理的パッケージ化による 電子文書の原本性確保 ＣＰＵ メモリ 実際の キャビネット 論理的パッケージ化による 電子文書の原本性確保 運用による 電子文書の 原本性確保

ＴｒｕｓｔｙＣａｂｉｎｅｔの概念図 Internet 例えば、電子申請を例に取ると… 申請受付サーバー 業務サーバー 原本ＩＤを伝達 申請 原本を閲覧 謄本を利用 Internet 原本を保存 エンドユーザから申請サーバーへ申請依頼。 申請サーバーは申請受付後、TrustyCabinetへ登録依頼。 TrustyCabinetは原本を保存後、申請サーバーへ原本IDを返す。 申請サーバーは業務サーバーへ原本ＩＤを伝達。 業務サーバーは原本ＩＤを利用してTrustyCabinetから原本を閲覧し、承認等に利用する。 ＜イメージ＞

電子文書ワークフロー上での TrustyCabinet ワークフロー ワークフロー 電子原本の移動及び 謄本の作成 稟議書などを起票（作成） グループウェアで 審査・承認を行う ワークフロー及び文書管理サーバー ワークフロー及び文書管理サーバー ワークフロー ワークフロー 承認された 稟議書は原本として TrustyCabinetへ保管 電子原本の移動及び 謄本の作成

TrustyCabinetによる原本の保存処理 について簡単な説明 1.        業務サーバからTrustyCabinetに原本として保存したい電子文書をネットワーク経由で送信する。 　　（業務サーバにTrustyCabinet ＡＰＩを使って組み込むことになります） 2.        TrustyCabinetサーバプログラムが電子文書を受け取る。 3.        TrustyCabinetサーバプログラムは受け取った電子文書の属性情報（作成者、日時、ファイル構成等）をXML　　　で記述、作成する。 4.        作成した属性情報と電子文書を原本ファイルとしてTrustyCabinetの内部ハードディスクに保存する。 5.        TrustyCabinetサーバプログラムは、原本ファイルと、原本リスト（原本の台帳に相当）に対して公開鍵暗号 　　　方式による電子署名を自動的に付与する。 6.        電子署名の計算に使用する秘密の署名鍵はTrustyCabinetサーバプログラムがTrustyCabinet内部に安全に保持 　　　しており、TrustyCabinetサーバプログラムのみが正しい電子署名を算出することができる。 7.        （紙原本の場合に後から修正が可能なように、）保存された電子原本に対しても修正が可能である。ただし、 　　　原本の修正要求を受け取ると、TrustyCabinetサーバプログラムは修正した原本のコンテンツファイルを原本の 　　　新しい版として記録する。つまり、自動的に版管理を行い、原本に対する修正履歴がすべて改ざんできない状 　　　態で記録される。これにより、紙の原本と同等な証明力（真正性）を確保している。 8.        最終的には、例えば年度の切り替わり時期などに前年度の原本を全てハードディスクからCD-Rなどの光ディス 　　　クに書き出す機能を持っており、長期保存性を確保している。 9.        TrustyCabinet自身と原本へのアクセスはTrustyCabinet内部で自動的にログを記録する。この際自動的に改ざ 　　　ん検知コードを付与する。 　　※  このシステムで重要なことは、保存された原本やそれを管理するデータをすべて電子署名技術で保護している 　　　ことにより、原本への様々な処理が、すべてTrustyCabinetサーバプログラムを介してしか実行できない技術的 　　　な仕組みにしていることである。TrustyCabinetサーバプログラムを介さずに原本に対して直接的に不正な改ざ 　　　んが行われた場合でも、公開鍵を用いた電子署名の検証に失敗するため、その改ざんが判明する。また、原本 　　　のリストに付与している電子署名を検証することにより、万が一原本のすり替えや削除が行われても検出その 　　　改ざんが判明する。  

ＴｒｕｓｔｙＣａｂｉｎｅｔを用いた 電子文書の登録 文書作成 文書名と原本ＩＤを サーバーで管理 登録完了 サーバーからＡＰＩで アクセス サーバーが アクセス権を制御 登録依頼 エンドユーザ 原本ＩＤ ログアウト ログイン コネクト 属性設定 コンテンツ登録 永続化 ディスコネクト 業務サーバー ログ ログ ログ ログ ログ 全てのアクセスを ログに記録 ＴｒｕｓｔｙＣａｂｉｎｅｔ ログ ログ

ＴｒｕｓｔｙＣａｂｉｎｅｔを用いた 電子文書の更新 電子署名付きで 改ざん検知 文書名で検索 文書を更新 検索要求 原本参照 更新しても上書きされない バージョン管理 エンドユーザ 更新要求 サーバーが アクセス権を 制御 サーバーで 文書名から 原本ＩＤを検索 原本参照 原本ＩＤ ディスコネクト ログアウト ログイン コネクト 原本参照要求 属性更新 コンテンツ更新 永続化 業務サーバー ログ ログ ログ ログ ログ 更新すると バージョンが自動的に上がる ＴｒｕｓｔｙＣａｂｉｎｅｔ 原本リストを検索 することもできる ログ ログ ログ ログ

ＴｒｕｓｔｙＣａｂｉｎｅｔを用いた 電子文書の承認 電子署名付きで 改ざん検知 文書名で検索 文書を承認 検索要求 原本参照 承認 エンドユーザ 承認 サーバーが アクセス権を 制御 サーバーで 文書名から 原本ＩＤを検索 原本参照 原本ＩＤ ディスコネクト ログアウト ログイン コネクト 原本参照要求 属性更新 永続化 サーバー 承認 ログ ログ ログ ログ ログ 承認 属性領域に承認欄を 複数設けることが可能 ＴｒｕｓｔｙＣａｂｉｎｅｔ 原本リストを検索 することもできる ログ ログ ログ

ＴｒｕｓｔｙＣａｂｉｎｅｔを用いた 電子文書の移動 文書名で検索 文書を移動 処理結果 検索要求 移動要求 エンドユーザ ディスコネクト ログアウト 移動要求 ログイン コネクト リスト検索 原本ＩＤ 処理結果 サーバー ログ ログ ログ ログ ログ ログ ログイン コネクト 原本移動 ＴｒｕｓｔｙＣａｂｉｎｅｔ－Ａ ディスコネクト ログアウト ログ ログ ログ ログ ログ ＴｒｕｓｔｙＣａｂｉｎｅｔ－Ｂ ログ

TrustyCabinetの商品構成 TrustyCabinetTMの商品構成 ●TrsutyCabinetサーバ側：TrsutyCabinetサーバプログラム ●TrsutyCabinetクライアント側：TrsutyCabinetドライバ 　　　　　　　　　　　　　　　　　　　：TrsutyCabinetAPI ●梱包形態 　　TrsutyCabinetソフト（ＣＤ－Ｒ） 　　＋サンプルプログラム 　　＋マニュアル ＊当製品は、ソフトウェアとして提供されます。 ＊ＮＴサーバが搭載されたＰＣサーバ上にインストールします。 ＊業務サーバからは、同梱のTrustyCabiet API を使用して、 TrustyCabinetサーバへアクセスします。

TrustyCabinetの動作環境 TrustyCabinetTMサーバの動作環境 ・業務サーバ側では、Java1.2が動く環境が必要。　 ・ TrustyCabinetTMドライバをインストールして、TrustyCabinetTM　API 　　（Ｊａｖａ）により、TrustyCabinetTMサーバへアクセスします。

今後の展開 ●業務サーバの対応OSが現在WindowsNTサーバですが、 UNIX（Solaris）にも対応する予定です。 　またTrustyCabietサーバプログラムのUNIX（Solaris） 　　対応も予定しています。 ●現在、財団法人ニューメディア開発協会を中心として「原本性保証　電子保存システム」に求められるセキュリティ要件を、国際的な情　報技術セキュリティ評価基準ISO/IEC 15408に準拠した形で定義す　る活動が行われています。 　リコーもその活動に参画しており、TrustyCabinetが認証を受けら　れるように活動していく予定です。 　原本性を確保した形で電子文書保存を行っていることが、国際標準　に準拠した形で公的に認証されれば、利用者は更に安心して　　　　TrustyCabinetを電子原本の保存のために利用することができるよ　うになるでしょう。

ありがとうございました．．． まとめ TrustyCabinet＋システム＋運用で電子データの原本性を確保する 　NMDAで原本性保存装置の認証制度の整備を検討し始めているが、 　そこでもTrustyCabinetは、参加する予定。 ありがとうございました．．．