ドキュサインの電子署名における本人認証
ドキュサインでは「認証」と「署名」の2つを明確に区別しており、署名者を識別するための認証プロセス完了後に署名行為を行うことで、電子署名が成立し同意契約文書に合意したと見なされます。ネットワーク経由では、アクセスコード認証、SMS/電話認証、公的な身分証明書を使用したID Verificationなどがあります。
電子署名の方式と認証の違い
前回の記事では、電子署名における一般的な本人認証の考え方について解説しました。今回はドキュサインの電子署名における本人認証についてお話ししますが、まず前提として電子署名と認証は別物ということが重要になります。ドキュサインでは、認証と署名の二つをはっきり区別していて、電子署名を誰かが行うということに対して、その署名者を識別するための認証プロセスが発生します。認証プロセスが成功したからといって、それだけで電子署名が成立し、同意契約文書に合意したとは見なされません。つまり認証後に明確に署名行為を行う必要があります。
ドキュサインは二つの電子署名のシナリオがあります。署名者がインターネット経由の遠隔地にいる場合と、署名者が****対面で目の前にいる場合です。
それぞれに、前回お話した、事前・事後認証方式の両方の認証オプションが利用できます。
署名者がインターネット経由の遠隔地にいる場合
ドキュサインでは、リモートで電子署名をする場合がもっとも典型的な利用方法です。この場合、署名者に署名する文書が電子メールで送られます。このリモート署名プロセスでは、最低限、電子メールでの認証となり、送信者がより機密性の高い取引を行う場合は認証プロセスを追加することができます。
また、埋め込み署名と呼ばれる方式もあります。これは、署名プロセスが別のポータルまたはWebサイトに埋め込まれている場合、そのポータルの認証を、署名の開始時に渡して、認証プロセスとして使用します。また、ドキュサインが提供する認証ツールを追加で利用することもできます。
遠隔地からの署名を行う場合は、必然的にネットワーク経由で認証を行う必要があります。ネットワーク経由で認証を行う場合は、通常、アクセスを許可する前にユーザーを識別する事前認証を行う必要があります。その場合の認証方法は以下の3つに分類されます。
何を知っているか: パスワードやトークン値など。
何を持っているか: アクセスカード、携帯電話、またはキーフォブなど。
何をするか: 指紋・網膜スキャン、または音声パターンなど。
認証保証のレベルを上げるために、企業は、複数カテゴリからの認証を提供する必要があります。これは二要素認証と呼ばれます。パスワードとアクセスカードの使用は、二要素認証の例です。 二つのパスワードを使用することは、二要素認証とはならず、多段の認証といえます。このような多段の認証を使用するよりも、二要素認証を使用して認証保証を高める方が効果的です。
ネットワーク経由ではドキュサインでは以下のような認証方法があります。
Docusign Identify の一部として、
**メールアドレス:**署名者のみが該当電子メールアドレスにアクセスできるという前提で認証します。
**アクセスコード:**通常、署名者は、電話でドキュサインの通知経路外で共有される送信者生成コードを提供する必要があります。署名者は、文書を開くためにコードを入力する必要があります。
**SMS/電話:**署名者がSMSテキストメッセージを介して署名者の携帯電話に送信、もしくは電話の自動音声で文書を開くランダムに生成されたワンタイムパスコードを提供することを要求する二要素ソリューションです。
**ID Verification:**各国が発行する公的な身分証明書を使って認証を行います。(日本では未対応)
その他の方法として、
**ドキュサイン****資格情報:**ユーザ名とパスワードに関連付けられた受信者の既存のドキュサインアカウントを検証します。この場合二要素認証やアイデンティティプロバイダーを使ったシングルサインオン認証も可能です。
**3rdパーティとのインテグレーション:**例えばAuthentify社によるサービスは、電話番号と所定のアクセスコードへの署名者のアクセスを検証します。署名者の発声された名前は、バイオメトリックプリントとして記録されます。
ドキュサインの同席署名を行う場合
ドキュサインを使用すると、受信者の種類を「同席する署名者」として選択して、直接サインインすることができます。 この場合、署名ホストして受信者に指定された人は、署名者の認証をビジネス上定義されたプロセスで行うことになります。 例えば、運転免許証を署名ホストに提示してもらうなどです。
ドキュサインの同席署名では、署名ホストが証人として、署名者の認証情報を確認します。 署名者が署名ホストによって認証されると、署名ホストが持っているデバイスから電子署名が可能になります。 署名完了後に署名ホストは署名者が署名していたということを再確認します。署名者にアクセスコードなどの追加の認証を要求することもできます。 同席署名での認証は事前でも事後での利用することになります。
ドキュサインの署名記録
これら従来の認証ツールに加えて、ドキュサインはすべてのユーザーのIPアドレスを収集し、すべてのアクティビティを認証結果と共に監査証跡に時刻タイムスタンプを記録します。
署名者の認証は、同席、遠隔地、埋め込みのどの方式で署名されたかに関わらず、ドキュサインの監査ログと完了証明書に記録されます。監査ログと完了証明書は暗号化され、改ざんされないよう安全に保存されます。
まとめ
署名者の認証方式を検討する際は、現在のプロセスとリスクを評価することが重要です。その後、紙ベースのプロセスを電子的なプロセスに移行させることによって、存在する可能性があるリスクの増加または減少を検討します。これらを理解した上で、電子契約実行システムで使用するポリシーと認証手順を確立していくことが望ましいでしょう。
参考ページ:
受信者の追加(アクセスコードや追加の認証の設定方法について)
受信者に提供するアクセスコード(アクセスコードの設定方法について)
セキュリティ設定(署名者のログイン要件の設定方法について)
関連記事