ドキュサインの信頼へのコミットメント ~セキュリティ、可用性、コンプライアンスについて~
日本でも電子署名サービスが当たり前になってくるにつれ、これらのサービスに対する信頼性の要求も高まってきます。いつでもどこでも安全に電子署名が行えるということは、サービス自体に高いセキュリティ、可用性、パフォーマンスなど金融機関や通信事業者のサービスと同等のレベルが要求されてきます。
世界中の企業は、最も機密性が高くタイムクリティカルなトランザクションのためにドキュサインのクラウドサービスを活用しています。そして、私たちは、お客様に信用してご利用いただくためのサービスを提供し続けることにコミットしています。実際、信頼は私たちのビジネスの中核であり、私たちが行うすべてに組み入れられています。ここではそのためのいくつかをご紹介したいと思います。
世界標準のセキュリティ
ドキュサインの製品は、厳格なポリシー、プロセス、およびトレーニングを実装しているとともに、世界中の最も厳しい認証に必要な厳格なプライバシー保護、セキュリティの要件を満たし、厳重なリスク管理のもとで運用されています。
ドキュサインではお客様の契約文書だけでなく、重要な個人情報も保護します。私たちはお客様に代わりに、指示に従ってのみお客様のデータを管理します。 サービスの実行に必要な範囲でのみ個人データにアクセスし、すべてのサードパーティも我々と同様のプライバシーポリシーに従います。見込み客、顧客、パートナーのプライバシー権を認識し、アメリカ・カルフォルニア州のCCPA、EUの一般データ保護規則(GDPR)を含むグローバルなプライバシー規制を順守しています。
我々はセキュリティと運用に多額の投資を行い、プラットフォーム、プロセス、および従業員全体で包括的かつ堅牢なサービスを提供し続けています。我々は高度なプラットフォームアーキテクチャとセキュリティ運用を採用し、もちろん保存時と通信時のデータは厳格な鍵の管理により暗号化され、外部侵入テストを含むそれぞれ厳格なセキュリティレビューを受けています。
我々は、企業全体でリスク管理手法を積極的に採用して、リスクを特定、管理、および軽減します。国際基準を満たす世界レベルのリスク管理の基準を設定、厳格なポリシーと実践を維持し、リスク管理に対する全体的で全社的なアプローチを採用しています。私たちは、ビジネスへ重要度影響度を鑑みて、主要な状態とイベントを継続的に、特定、評価、分析し、レビューと改善を行なっています。
高可用性
ドキュサインの電子署名(製品名:DocuSign eSignature)は、世界中でサービスを継続して提供するため、スケーラブルで高性能、高可用性のプラットフォームを維持しています。お客様は、当社のサービスを利用して、ほぼどこからでも、ほぼすべてのデバイスでビジネスを行うことができます。実際過去数年の実績稼働率は99.99%以上になります。
ドキュサインのサービスは、あらかじめ壊滅的なデータ損失がゼロになるような冗長構成で設計されています。 ほぼリアルタイムで、地理的に離れたデータセンターにお客様のデータを安全に複製しています。 すべての履歴データと文書データは、従来のバックアップに代わる独自の文書複製サービスを使用して同期されます。 また、災害(またはサービスの長期にわたる中断)が発生した場合に実施される災害復旧計画と、事業継続計画を策定しています。
我々はピーク時のトラフィックであっても、必要なときにいつでもサービスを利用できるようにし、将来に渡って拡張し続けられるように、堅牢なキャパシティプランニングを行っています。 DocuSign eSignatureプラットフォームは、現在全世界で56万社以上の有償顧客が利用し数億人の利用者が署名が快適に行えるように、エンドユーザーエクスペリンスも監視とレビューを行なっています。
加えてDocuSign eSignatureのサービスでは無停止でメンテナンスやアップグレードが行われ、世界中24時間365日サービスを利用し続けることができます。さらに、12か月間の稼働状況はリアルタイムで提供し続けています。セキュリティセンターには、サービスの中断とセキュリティの警告に関する情報も含まれており、システムの問題を報告する機能をお客様に提供しています。
コンプライアンス
DocuSign eSignature は現在180ヵ国以上で利用され、アメリカの電子署名法(ESIGN Act)および米国の統一電子取引法(UETA)や、EUのeIDAS規則など含めてそれぞれの規制や法律に基づいて、もちろん日本でも安全に利用することができます。またこのソリューションは、認証された署名者ID、署名の有効性、および裁判所の容認と否認防止をサポートするプライバシーおよびセキュリティ機能の強化を提供します。
認証済みで有効な強力なID認証を使用することで署名者の否認のリスクを低減できます。 DocuSign eSignatureを使用すると、複数の認証オプションを使用して署名者の身元を確認できます。 ドキュサインはデジタル署名もサポートし、eIDASで定義されたすべての署名タイプ(標準、高度、および認定)を提供し、あらゆる規模の企業がEUでもスピード感あるビジネスができるようサポートします。
DocuSign eSignatureは、すべての表示、印刷、送信、署名、または拒否の署名者の行為を正確な時刻情報含めて監査証跡を自動で記録および保持します。署名が全て完了すると、ドキュサインのクラウド上でロックされ暗号化されることで原本が安全に保持されます。完了した文書はダウンロードも可能です。この時ドキュサインは改ざん防止シールを行い文書と署名を保護します。同意契約時の一連の記録は、完了証明書として合わせて出力可能で、証拠としての効力も持ちます。
第三者機関の各種認定
これまでご紹介した信頼できる電子署名サービスとのしての仕組みや運用については、定期的に外部監査を受けて、以下を含む世界的に認められた認証と証明を維持しています。
SOC 1 Type 2およびSOC 2 Type 2
SOC 1 および SOC 2 の認定を受けた組織として、ドキュサインは毎年試験とテストを受けています。 結果として得られる外部監査レポートは、セキュリティ、可用性、処理の整合性、機密性など、ビジネス全体の内部統制の設計と運用の有効性を証明します。SOCはクラウドサービスの信頼性を客観的に評価する仕組みとして有効です。
ISO 27001:2013
現在入手可能な最高レベルのグローバル情報セキュリティ保証であるISO 27001は、ドキュサインがセキュリティに関する厳しい国際標準を満たしていることをお客様に保証します。なお、ISOを取得する意義やメリットをについては「ISO(国際標準化機構)とは?」で解説しています。
PCI DSS
ドキュサインは、PCI Data Security Standard(DSS)の最新バージョンへの準拠を維持し、クレジットカード所有者情報の安全で安全な処理を保証します。
これから電子署名サービスが普及するにつれて、ますますクラウドサービスとしての信頼性の要求が高まってきます。電子署名サービス選定には、セキュリティ、可用性、コンプライアンスといった要素もとても重要です。
導入前にこれらのポイントについてもじっくり比較、検討されることをお勧めします。ご質問及びご購入のご相談はお問い合わせフォームより承っております。なお、こちらから秘密保持契約(NDA)にご同意いただくことで、一連のセキュリティ対策の詳細を説明した第三者監査報告書を含む文書「Security & Trust Assuarance Packet(STAP:英文)」がダウンロードいただけます。
参考リンク
※本ブログはドキュサイン本社が提供しているホワイトペーパー「DocuSign Trust Brief」の抄訳です。