証跡管理DXとその適合性
電子印鑑GMOサイン証跡管理DXと21 CFR Part 11
アメリカ連邦規約集 第21巻 第1章 サブチャプターA Part 11 (21 CFR Part 11)は、電子記録および電子署名(ER/ES)を規制しています。 特に Part 11 では、ER (Electronic Record)およびES (Electronic Signature)が紙媒体の記録と同等の信頼性・確実性を有すると判断するための基準が定められています。 ここでは、21 CFR Part 11の要求事項のうち、電子署名を電子印鑑GMOサイン証跡管理DXで実装することでどのように対応できるかを説明します。 電子印鑑GMOサイン証跡管理DXでは、管理要件として署名者の追加、認証、アクセス制限を行うアカウントオプションがあらかじめ設定されています。
21 CFR Part 11 サブセクション | 電子印鑑GMOサイン証跡管理DXの対応 |
---|---|
第11.10項(b) 署名された記録の正確かつ完全なコピーを、人間が読める形式と電子形式の両方で作成することを要求している。 |
電子印鑑GMOサイン証跡管理DXでは、署名者に署名された文書にアクセスするためのハイパーリンクをメールにて提供します。 送信者、およびアカウント管理者が指定したユーザーは、電子印鑑GMOサイン証跡管理DXにセキュアにログインした後、署名された文書をダウンロードすることができます。署名された文書は、PDF形式でダウンロード・閲覧することができます。電子印鑑GMOサイン証跡管理DXで電子署名された文書は、人間が読むことができ、改ざんができないPDFとして出力されます。 |
第11.10項(c) 記録は正確で、保存期間中は容易に入手可能であること。 |
署名された文書は、お客様が電子印鑑GMOサイン証跡管理DXのアカウントをお持ちである限り、管理者が定めたアクセス権を持つユーザーがすぐに取り出せるよう、電子印鑑GMOサイン証跡管理DX内で公開されます。 署名された文書がシステムから署名された文書が保管されているかの確認は、お客様の責任です。 |
第11.10項(d) システムは、許可された利用者のみにアクセスを提供する必要がある。 |
電子印鑑GMOサイン証跡管理DXの管理者は、システムにアクセスできるユーザーを定義することができます。管理者は、許可されたユーザーを登録し、ユーザーの役割と権限を指定することができます。 また、電子印鑑GMOサイン証跡管理DXにログインする際に、二要素認証を有効にすることができます。 |
第11.10項(e) システムは、記録の監査証跡を作成する必要がある。 |
電子印鑑GMOサイン証跡管理DXでは、権限のあるユーザーは、文書の詳細セクションに移動し、署名者の詳細や署名時刻など、署名された各記録を確認することができます。 |
第11.10項(g) システムは、権限のあるユーザが記録に署名していることを確実にチェックする必要がある。 権限のある個人のみがシステムを使用できることを保証するために、権限チェックを使用する。 電子的に記録に署名する、操作またはコンピュータシステムの入出力装置にアクセスする、記録を変更する、または手元の操作を実行することができることを保証するために、権限チェックを使用する。 |
組織は、権限のある者のみが署名を実行するために、どのようにシステムにアクセスし、利用するかについてポリシーを文書化する必要があります。 電子署名を行うには、ユーザーは、まず認証情報を用いて電子印鑑GMOサイン証跡管理DXにログインする必要があります。さらに、電子印鑑GMOサイン証跡管理DXにアクセスするためのログイン情報を受け取る前に、ユーザー(署名者/組織の従業員)の身元を確認する必要があります。これにより、認証された個人のみが電子署名を行うことができます。 |
第11.50項(a) このセクションでは、署名の必須表現について説明する。 すなわち、署名者がデジタル署名を完了すると、署名者の名前、署名の日付と時間、および署名の意味からなる署名の書式が必要である。 |
電子印鑑GMOサイン証跡管理DXでは、署名時刻、署名者情報を表示し、署名者が署名の理由を指定することができます。 電子印鑑GMOサイン証跡管理DXでは、これらの情報が記録され、署名画像と常に一緒に表示されます。 |
第11.50項(b) サイン・マニフェストは、適切な読みやすい形式でなければならず、文書内で容易に目に付くものでなければならない。 |
電子印鑑GMOサイン証跡管理DXのWebアプリケーションで文書を閲覧する際や、ダウンロードする際に、権限のある人であれば誰でも署名の内容を確認することができます。 また、署名画像と一緒に署名の情報が自動入力され、読みやすい書式で表示されます。(署名者氏名、署名理由、署名時刻が署名印影の右側に記録・表示されます。) |
第11.70項 電子記録に対する電子署名および手書き署名は、それぞれの電子記録にリンクされ、通常の方法で電子署名および手書き署名は、通常の方法では電子記録を改ざんするために署名を削除、複写、またはその他の方法で転送できないように、それぞれの電子記録とリンクされている必要がある。 |
電子印鑑GMOサイン証跡管理DXは、署名と文書間のリンクを維持します。 電子署名は、PKIベースの電子証明書を用いて適用され、署名を含む記録内容が改ざんされていないことを保証しています。(PKI:Public Key Infrastructure - 公開鍵暗号基盤) また、電子署名は、PDFの署名パネルに埋め込まれた署名のプロパティで、暗号機能などすべての関連機能を持つ文書とリンクしています。 |
第11.100項(a)および(b) 署名を個人に割り当てる前に、その身元が確認されなければならず、すべての署名は一意でなければならない。2人の署名者が署名を共有することはできない。 |
電子印鑑GMOサイン証跡管理DXでは、署名者は電子署名を行う前に、
固有のアカウントログイン情報を用いてシステムに認証され、実印タイプ(当事者型)電子署名ではPIN(Personal Identification Number) を入力する必要があり、契約印タイプ(立会人型)電子署名では署名申請者がアクセスコードを設定し、署名者はそのアクセスコードを入力する必要があります。 また、署名は電子印鑑GMOサイン証跡管理DXのシステム内で一意のIDを持ちます。これらによりすべての署名を一意にしています。 電子メールで電子署名の依頼を受けた場合、署名のためにシステムにアクセスするためのログイン認証情報(ログインID、パスワード)が必要です。 (a) 電子署名は、検証された本人(組織の場合はグローバルサインが RA (Registration Authority)、個人の場合は組織が LRA (Local Registration Authority)と暗号的に結びつけられます。 (b) 組織は通常の人事または契約プロセスを通じて個人を検証します。管理者は適切な本人確認プロセス(例:従業員バッジ、ディレクトリ、マネージャの確認など)に従い、システムアクセス用のユーザ名とパスワード、デジタル署名を適用するための PIN コードを作成します。 |
第11.200項 (a)及び(b)
署名適用時の署名者の認証のために、少なくとも2つのコンポーネントを採用する必要がある。 |
電子印鑑GMOサイン証跡管理DXは、ログインIDとパスワードで保護されており、さらにPIN(Personal Identification Number)もしくはアクセスコードが必要です。さらに、電子印鑑GMOサイン証跡管理DXでは、登録したメールにOTPを送信するなど、さまざまな追加認証が可能です。 |
第11.300項 (a)
システムは、各ユーザが署名を適用できるように一意のアクセス認証情報を持つことを保証しなければならない。 |
電子印鑑GMOサイン証跡管理DXでは、電子署名を行う前に、ユーザー固有のアカウントログインIDを用いた認証とPIN(Personal Identification Number)もしくはアクセスコードの入力が必要です。ログインIDは、電子印鑑GMOサイン証跡管理DXで利用するユーザーごとに異なります。2人のユーザーが同じ認証情報を持つことはできません。 |
第11.300項 (b)
システムは、クレデンシャルの固有の組み合わせが定期的にチェックされ、改訂されることを保証するものでなければならない。 |
電子印鑑GMOサイン証跡管理DXでは、パスワード設定ポリシー(有効期限)を設定し、ユーザーのパスワード再設定を促す頻度を定義することができます。 |
第11.300項 (c)
識別コードまたはパスワードの作成に使用されるデバイスの認証を解除する手順。 |
電子印鑑GMOサイン証跡管理DXでは、デバイスやトークンによる認証は行っておりませんので、この限りではありません。 |
第11.300項 (d)
システムは、パスワードまたは識別コードの不正使用を防止するための保護手段を備えていなければならない。 |
電子印鑑GMOサイン証跡管理DXは、電子署名を行うための認証情報を保護するために適切な措置を講じています。 •ログイン情報(パスワード等)を変更する際には、多要素認証が必要です。 •実印タイプ(当事者型)の電子署名の申請には、PIN(Personal Identification Number)の入力が必要です。 •契約印タイプ(立会人型)の電子署名の申請にはアクセスコードを設定します。 •ユーザーがPINを変更する必要がある場合、ユーザーはログインパスワードを入力する必要があります。 •さらに、ユーザーのPINを変更しようとすると、管理者とユーザーに電子メール通知が送られ、PINの不正な変更を防止することができます。 •ユーザーアカウントは、連続5回不正なパスワードを入力するとロックされます。 |
第11.300項 (e)
識別符号を付す又は生成する装置の定期的な試験。 |
電子印鑑GMOサイン証跡管理DXユーザーでは、デバイスやトークンによる認証は行っておりませんので、この限りではありません。 |
第11.10項(b) | 署名された記録の正確かつ完全なコピーを、人間が読める形式と電子形式の両方で作成することを要求している。 |
第11.10項(c) | 記録は正確で、保存期間中は容易に入手可能であること。 |
第11.10項(d) | システムは、許可された利用者のみにアクセスを提供する必要がある。 |
第11.10項(e) | システムは、記録の監査証跡を作成する必要がある。 |
第11.10項(g) | システムは、権限のあるユーザが記録に署名していることを確実にチェックする必要がある。 権限のある個人のみがシステムを使用できることを保証するために、権限チェックを使用する。 電子的に記録に署名する、操作またはコンピュータシステムの入出力装置にアクセスする、記録を変更する、または手元の操作を実行することができることを保証するために、権限チェックを使用する。 |
第11.50項(a) | このセクションでは、署名の必須表現について説明する。 すなわち、署名者がデジタル署名を完了すると、署名者の名前、署名の日付と時間、および署名の意味からなる署名の書式が必要である。 |
第11.50項(b) | サイン・マニフェストは、適切な読みやすい形式でなければならず、文書内で容易に目に付くものでなければならない。 |
第11.70項 | 電子記録に対する電子署名および手書き署名は、それぞれの電子記録にリンクされ、通常の方法で電子署名および手書き署名は、通常の方法では電子記録を改ざんするために署名を削除、複写、またはその他の方法で転送できないように、それぞれの電子記録とリンクされている必要がある。 |
第11.100項(a)および(b) | 署名を個人に割り当てる前に、その身元が確認されなければならず、すべての署名は一意でなければならない。2人の署名者が署名を共有することはできない。 |
第11.200項 (a)及び(b) | 署名適用時の署名者の認証のために、少なくとも2つのコンポーネントを採用する必要がある。 |
第11.300項 (a) | システムは、各ユーザが署名を適用できるように一意のアクセス認証情報を持つことを保証しなければならない。 |
第11.300項 (b) | システムは、クレデンシャルの固有の組み合わせが定期的にチェックされ、改訂されることを保証するものでなければならない。 |
第11.300項 (c) | 識別コードまたはパスワードの作成に使用されるデバイスの認証を解除する手順。 |
第11.300項 (d) | システムは、パスワードまたは識別コードの不正使用を防止するための保護手段を備えていなければならない。 |
第11.300項 (e) | 識別符号を付す又は生成する装置の定期的な試験。 |