法的に長期保管を義務付けられた文書をデジタル管理するのは,現状では非常に難しい。デジタル証明書の失効を考慮したシステム化が必要だからだ。法的な裏付けのない時刻情報の真正を推定させる仕掛けも考案する必要がある。NECは標準仕様を参考に独自仕様を作り,真正を推定させることにした。
まだ全社導入ではなく,ネットワーク関連製品を扱う部署だけで試験導入している段階である。それでも,紙やマイクロフィルムで原本管理してきた従来と比べると,「年間換算で2億円のコスト削減は達成できそう」(IT戦略部 マネージャの庄司 朋由氏)。
製造業における生命線
NECは従来,技術文書の原本を「紙」と決めていた。紙の文書に設計プロジェクトの責任者がサインと日付を手書きし,初めて原本と見なした。紙に印刷するのが難しい大きな図面などはマイクロフィルムに記録。それをアパチャーカードに格納し,やはりサインを記入させた。これらの原本は,会社創設以来,東北地方にある倉庫で永年保管する決まりになっていた。
ここで言う技術文書とは,設計図面,仕様書,改版履歴など,製品開発時の関連文書全般である。製造物責任法で,これらの文書は10年間の保管が義務付けられている。
もっとも,義務がなくとも,製造業者にとって,技術文書は「捨てられない宝」(庄司氏)。例えば,特許紛争に巻き込まれたときに,証拠に採用できるからだ。他社に先駆けて開発していたことを客観的な文書で証明できれば,自社特許の有効性の論拠を補強できる。逆に,他社特許の無効を主張する論拠にもなり得る。
顧客サポートでも,技術文書は重要な役割を果たしてきた。現に「2000年問題」では,自社製品での影響を調査し,顧客の問題を解消するために,技術文書が大いに役立った。
倉庫の手狭など課題があらわに
技術文書は,年間で数万点は新規に作られる。増える文書を永年保管するには,場所を確保し続ける必要があった(図1[拡大表示])。創業以来の文書を格納した倉庫は,すでに手狭な状態になりつつあった。厳重な防災/防犯対策が求められるため,倉庫の管理料はNEC全社で年間3億円は下らない。倉庫を増やして,これ以上のコストをかけることは避けたかった。
また,必要な技術文書をすぐに入手/参照できないという非効率が,社内で問題視されるようになった。倉庫から文書を取り出すには,所定の手続きに従わなければならなかった。
さらに,紙やマイクロフィルムを原本とすることが,設計/開発の現実にそぐわなくなりつつあった。設計図面の大半は,CADシステムでデジタル文書として作られるため,いちいち紙やマイクロフィルムにするのは,手間と費用の無駄になっていたのだ。
そこで2002年7月には,技術文書のデジタル化を検討し始めた。
NECは当時,ネットワーク関連製品を扱う部署に,設計・開発・製造を効率化する目的で「製品情報管理システム」を導入済みだった。技術文書の大半は,このシステムに入力する業務手順になっていた。原本管理だけが,例外的にこのシステムの流れから外れていたのである(図2[拡大表示])。そこで,このシステムを拡張し,原本のデジタル化と管理を実現することにした。
具体的には,責任者が技術文書の内容を承認した時点で,自動的に技術文書をデジタル化するようにした。
デジタル文書に署名を追加
実現するには,解決しなければならない課題があった。手書きのサインと日付を記した紙の文書に劣らない長期にわたる法的な証拠能力を,デジタル文書に付与する必要があったのだ。
デジタル文書は一般的に,複製・改ざん・偽造が容易である。そのままでは,法的な証拠能力を期待できない。CD-Rなどの読み込み専用メディアに記録することで証拠性を高めることはできるが,十分とはいえない。
そこでまず,デジタル署名により,文書の真正を確かめられるようにした。デジタル署名については,2001年4月に「電子署名及び認証業務に関する法律(電子署名法)」が施行済み。法的な裏付けがあった。
すでにNECは,電子署名法における特定認証局である日本認証サービス(JCSI)に,自社向けの認証局の運営を委託していた。社員には秘密鍵を格納したICカードを社員証として配布しており,デジタル署名を利用する環境は整っていた。
責任者は,技術文書の承認時に,“手書きのサイン”の代わりに,デジタル署名を付加する(写真1)。署名検証用のツールも用意した(写真2)。
長期保存の壁が立ちふさがる
だが,長期保存を前提とする場合,デジタル署名だけでは問題が残る。署名に使ったデジタル証明書の有効期間を過ぎると,文書の真正を検証できなくなるからだ。デジタル証明書の失効管理を考慮した仕組みが必要になる。
ここで重要な役割を担うのが,文書が作成/存在した時間を証明するためのタイムスタンプ(時刻証明書)だ。
まず,デジタル証明書の失効前に,タイムスタンプ局からタイムスタンプを取得し,署名付き文書に付加する。次に,タイムスタンプ局がタイムスタンプの生成に使ったデジタル証明書が失効する前に,新たなデジタル証明書に基づくタイムスタンプを取得する。この処理を繰り返せば,最後のタイムスタンプの正当性を検証するだけで,失効したデジタル署名付きの文書まで,真正であると判定できる。
この仕組みは,長期間有効なデジタル署名の形式として,RFC3126で規定されている。この仕様に従えば,技術的には長期にわたり文書の真正を証明可能だ。だが,日本にはまだ,タイムスタンプに関する法律がない。信頼に足るタイムスタンプ業者を,国が認定する制度も未整備だ。技術的な裏付けはあっても,法的な裏付けはない。
しかも,タイムスタンプ局のデジタル証明書が失効するたびにタイムスタンプを取得する必要がある。「運用負担と費用がかかりすぎる」(IT基盤システム開発事業部 セキュリティ技術センター コンサルティングマネージャーの小松 文子氏)。
運用費抑えた独自形式を考案
NECは,デジタル文書の長期的な真正を,現行法の範囲内で推定できるようにする仕組みを考えた(図3[拡大表示])。「弁護士に何度も相談してお墨付きを得て仕様を固めた」(小松氏)。
具体的には,RFC3126などの標準仕様を参考に,独自のファイル形式を定めた。ポイントは,PKI技術に基づくタイムスタンプ(RFC3161)を利用しなかったこと。代わりに,NTTデータが提供する電子公証サービス「SecureSeal」を採用した。
SecureSealは,文書が特定時刻に存在していたことと,文書がそれ以降に変更されていないことを証明するサービス。文書のダイジェスト(ハッシュ)を送ると,受け付け時刻を含んだ公称記録を返送してくれる。機能はタイムスタンプ局に似ているが,証明の有効期限がないという利点がある。
公称記録には,同時に受信したほかのハッシュ群から生成したハッシュを含む。1週間の累積ハッシュ群から,さらにハッシュを生成し,NTTデータが新聞紙面に掲載し,証拠を残す。これらの仕組みで,不正がないことを推定させる。