なぜPDFはビジネスで広く使われるのか?
PDF改ざんのリスクを説明する前に、まずなぜPDFがこれほどまでにビジネスシーンで普及したのか、その背景と特徴を振り返ってみましょう。
PDF(Portable Document Format)は、Adobe社によって「どんな環境でも同じように文書を閲覧・印刷できる」ことを目指して開発されました。現在、Webブラウザに標準でPDF表示機能が搭載されるなど、誰もが特別なツールなしにPDF文書を閲覧できる環境が整っています。この「環境依存性の低さ」こそが、PDFがビジネスにおける標準フォーマットとなった最大の理由です。
- デバイスやOSに依存しない:WindowsやMac、スマートフォンなど、どのデバイスで開いても作成時のレイアウトが崩れません。
- 検索性が高い:文書内のキーワード検索が容易なため、長文の資料でも必要な情報を素早く見つけられます。
- ファイルサイズを圧縮できる:高画質な画像を維持しつつもファイル容量を小さくできるため、メール添付やWebでの共有に適しています。
PDFのセキュリティに関するよくある誤解
PDFの利便性が広く認知される一方で、そのセキュリティに関しては誤解も少なくありません。
では、PDFのセキュリティに関するよくある誤解について見ていきましょう。
「PDFは書き換えられない」は誤り
「PDFは書き換えられない」という考えは、PDF文書に関する誤解のひとつです。Adobe Acrobat Proのような高機能なPDF編集ソフトを使えば、テキストの修正、画像の差し替え、ページの順序変更など、Word文書を編集するのとほぼ同じ感覚で内容を変更できてしまいます。
さらに、PDFをWord形式に一度変換し、内容を編集してから再度PDFとして保存すれば、元の文書との違いに気づくのは非常に困難です。
「テキストはコピーできない」は誤り
PDF上のテキストはコピーできない、あるいはパスワードで保護すればコピーを防げると考えている方もいますが、これも間違いです。PDF編集ツールを使えば、コピーガードを解除したり、OCR(光学的文字認識)機能を使って画像化された文字でさえテキストデータとして抽出したりすることが可能です。
これにより、機密情報や個人情報が意図せずコピーされ、外部に流出するリスクが常に存在します。
「署名・捺印していれば安全」は誤り
紙の書類と同じように、PDFにも署名や捺印が可能です。しかし、単に印影や署名などをスキャンした画像をPDFに貼り付けただけでは、第三者によるなりすましが容易であり、セキュリティ対策として十分とは言えません。
印影画像は簡単にコピーして悪用できるため、改ざんのリスクが非常に高い状態と言えます。PDF改ざん防止のためには、後述する「電子署名」や「タイムスタンプ」といった、よりセキュアな技術の利用が不可欠です。
PDFの改ざん防止・検知に役立つ技術とは?
PDF文書の改ざんリスクに対して、私たちはどのように対応すればよいのでしょうか。
ここでは、PDFの改ざん防止・検知のための基本的な対策からより高度な対策まで、その仕組みと有効性を詳しく解説します。
パスワードによる権限設定
もっとも手軽で基本的な対策が、PDFの標準機能であるパスワード設定です。これには2種類あり、目的に応じて使い分けます。
- 文書を開くパスワード(閲覧パスワード):ファイルを開く際に求められるパスワード。許可された人以外の閲覧を防ぎます。
- 権限パスワード(編集パスワード):閲覧は許可しつつ、「編集」「印刷」「コピー」といった特定の操作を制限するパスワード。改ざん防止が目的ならば、この権限パスワードで変更を許可しない設定が必須です。
なお、このパスワード設定には限界があります。専用の解析ツールを使えば、とくに単純なパスワードに関しては比較的容易に破られてしまう可能性があります。パスワードはあくまで基本的な防御策と捉え、重要文書には他の対策と組み合わせることが極めて重要です。
墨消しによる情報保護
契約書や公開文書の一部に、社外秘の情報や個人情報が含まれる場合、「墨消し」機能が有効です。これは、文書内の指定したテキストや画像を完全に削除し、黒い四角で塗りつぶす機能です。
注意すべきは、単に黒い図形を上から被せただけでは、その下にあるデータをコピーできてしまう場合がある点です。確実な情報保護のためには、専用のPDF編集ソフトが持つ、データを完全に削除する墨消し機能を使用する必要があります。
電子署名とタイムスタンプによる強固なセキュリティ担保
パスワード保護よりも高いセキュリティレベルを実現するのが、電子署名とタイムスタンプです。
電子署名は、高度な暗号技術(公開鍵暗号基盤:PKI)を利用し、「誰が」その文書を作成・承認したのか(本人性)、そして署名後に「改ざんされていない」こと(非改ざん性)を強力に証明します。
タイムスタンプは、信頼できる第三者機関である時刻認証局(TSA)が、「いつ」その文書が存在し(存在証明)、その時刻以降改ざんされていないことを証明します。
この2つを組み合わせることで、「誰が、いつ、何を記した文書で、それ以降改ざんされていない」という、極めて強固な証拠能力を担保できます。とくに、電子帳簿保存法への対応で求められる「真実性の確保」においても中心的な役割を果たす技術です。
企業として取り組むべきPDF改ざん防止策
個別の技術対策だけでなく、組織全体でPDFの改ざん対策に取り組むことで、セキュリティレベルを高めることができます。
次は、企業として取り組むべきPDF改ざん防止策を見ていきましょう。
1.文書の重要度に応じた対策のレベル分け
社内で扱うすべてのPDFに、最高レベルのセキュリティを施すのは現実的ではありません。コストや業務効率を考慮し、文書の重要度に応じて対策を使い分けるルールを策定しましょう。
たとえば、機密情報を含まない社内回覧や通知などに関しては、高度なセキュリティ対策を施す必要性は低いと言えます。必要に応じてパスワードを設定し、閲覧や編集を制限しましょう。
見積書や請求書、契約書などの対外的な文書に関しては、より高度なセキュリティ対策が必要になります。権限パスワードの設定を前提としつつ、タイムスタンプや電子署名による対策も検討する必要があります。
このように、文書の重要度別に対応をルール化することで、従業員が迷うことなく適切なセキュリティ対策を講じられるようになります。
2.専用サービスの導入検討
より本格的にPDF改ざん防止に取り組むのであれば、電子契約や電子取引に特化した専用のシステム・サービスの導入を検討しましょう。これらを利用することで、以下のようなメリットが得られます。
とくに、電子帳簿保存法への対応を目的としている場合、専用システム・サービスを利用することで、スムーズな法対応を実現できます。なかでも、公益社団法人 日本文書情報マネジメント協会が管理する「JIIMA認証」を取得しているサービスは、電子帳簿保存法で求められる要件を満たしているので、電帳法対応を目的としている場合には有力な選択肢となります。
3.社内ルールの整備とリテラシー教育
どのような優れたシステム・サービスを導入しても、それを使う従業員のセキュリティ意識が低ければその効果は低減してしまいます。
たとえば、以下のような取り組みを進めることで、組織全体のリテラシー向上が期待でき、PDFの改ざん防止を含むセキュリティ強化につなげることができるでしょう。
- PDFの取り扱いに関する社内ガイドラインを策定する。
- 受け取ったPDFの署名確認を義務付ける。
- 定期的にセキュリティに関する研修会を実施し、最新の脅威や対策について情報共有を行う。
PDFの改ざん防止に有効なソリューションは?
ここまでは、PDF文書の改ざんリスクやその対策について解説してきました。
次は、PDFの改ざん防止に有効なソリューションとして、ウイングアークが提供するデジタル帳票基盤をご紹介します。
ウイングアークのデジタル帳票基盤は、「SVF Cloud」と「invoiceAgent」シリーズで構成されるソリューション群で、PDF文書などのデジタル帳票の設計・出力や紙文書のデータ化、法令に基づく一元管理、企業間での配信・受領まで一気通貫で実現します。
では、デジタル帳票基盤を構成する各ソリューションについて見ていきましょう。
PDF文書の設計・出力なら「SVF Cloud」
「SVF Cloud(エスブイエフ クラウド)」は、あらゆるデジタル帳票の設計・出力を実現するソリューションです。
ノーコードの帳票設計ツールを搭載しているので、既存の帳票フォーマットを再現するのも、新たに自社独自の帳票フォーマットを設計するのも、直感的な操作で簡単に行えます。
さらに、各種アプリケーションとの連携・マッピングにより、効率的に帳票作成することが可能です。
また、作成した帳票は社内プリンターでの印刷はもちろん、PDF形式での出力にも対応。その他、メールやFAXでの配信にも対応するなど、自社の業務プロセスに応じて柔軟に出力形式を選択することが可能です。
PDFなどの電子文書の一元管理なら「invoiceAgent 文書管理」
「invoiceAgent 文書管理(インボイスエージェント 文書管理)」は、PDFをはじめとした電子文書の一元管理を実現するソリューションです。
「SVF Cloud」や「invoiceAgent」で作成・データ化した文書はもちろん、他システムで出力した文書データもまとめて取り込み、自動で仕分け・保存を実行します。
保存したデータはさまざまな条件で検索・参照することができ、タイムスタンプ機能も搭載しているので、電子帳簿保存法で求められる要件に対応可能です。
また、文書の保存期間に応じた自動削除機能や、改ざんなどの不正防止・検知に役立つ証跡管理機能も備えているので、電子文書のライフサイクルを安全かつ効率的に管理することができます。
PDF文書の配信・受領なら「invoiceAgent 電子取引」
「invoiceAgent 電子取引(インボイスエージェント 電子取引)」は、PDF文書のWeb配信・受領を叶えるソリューションです。
PDFファイルをアップロードするだけで取引先に配信することができ、取引先が発行する関連帳票も「invoiceAgent」を介して受領することが可能。JIIMA認証を取得しているので、電子帳簿保存法に対応する形で取引の電子化を図ることができます。
また、デジタルインボイスの規格である「Peppol」に準拠したデータ送受信に対応しているほか、受領する的確請求書のデータ化や適格請求書発行事業者の登録確認も行えるため、インボイス制度に対応する体制整備にも効果的です。
契約業務の電子化なら「invoiceAgent 電子契約」
「invoiceAgent 電子契約(インボイスエージェント 電子契約)」は、契約業務の電子化や契約書のPDF化を実現するソリューションです。
契約書の作成から契約内容の確認・承認、双方による電子署名という一連の流れをクラウド上で完結。ウイングアークが立会人となって電子署名とタイムスタンプを付与し、完了証明書を発行することにより、書面の契約書と同等の法的証拠力を担保します。
帳票発行時のタイムスタンプ付与に「Trustee」
「Trustee(トラスティ)」は、帳票領域で長年の実績と信頼を培ってきたウイングアークが提供するデジタルトラストサービス。
帳票発行時の付与を考慮したタイムスタンプの高速処理、高可用性、低コストでの運用が特徴です。秒間1,000文書を超えるタイムスタンプの高速処理に対応しているので、大量の帳票発行に対してもリアルタイムでタイムスタンプを付与が可能です。
ウイングアーク製品でセキュリティ強化を実現した事例
次に、ウイングアーク製品を活用してPDFの改ざん防止の仕組み構築や法対応を推進した事例をご紹介します。
タイムスタンプ付与で電帳法対応の仕組みを構築(ロジクエスト)
株式会社ロジクエストは、電子帳簿保存法への対応を目的に「invoiceAgent」を導入し、委託ドライバーから受領する月報兼請求書の電子化を実現しました。
全国に5,500以上の契約ドライバーや協力会社を抱える同社は従来、毎月約7,000件の月報兼請求書を紙ベースで受領しており、管理方法や検索性の面で課題を感じていました。
そこで同社は、文書の電子保管によるペーパーレス推進に着手。製品選定の結果、JIIMA認証製品である点や、導入しやすいクラウド型である点、使いやすさなどを評価し、「invoiceAgent」の導入を決めました。
導入後、受領した月報兼請求書を「invoiceAgent」でデータ化し、タイムスタンプを付与して保管する仕組みが完成。電帳法対応としてタイムスタンプを利用することで、改ざんのないことを証明できる安心感があると評価しています。また、コピー用紙の発注量が減少したほか、過去の日報に関する確認依頼の際、速やかに検索できるようになるなど、ペーパーレス化の効果を実感されています。
▼事例詳細はこちら
株式会社ロジクエストのinvoiceAgent導入事例をもっと見る
偽造・改ざん防止のための厳格なアクセスコントロールを実現(合同製鐵)
合同製鐵株式会社は、「SVF」と「invoiceAgent」の組み合わせにより膨大な量の紙帳票を電子化しました。
同社では従来、顧客に送付するミルシート(鋼材検査証明書)などを複写式の連続帳票に印刷して運用していました。しかし、この運用方法では、連続紙を一通ずつ切り離して仕分けしたり、控えを保存したりといった煩雑な手作業が発生。また、発行したミルシートは各工場で保存していたため、顧客から問い合わせがあった際、回答までに多くの時間を要している状況でした。
そこで同社は、手作業による工数削減と、問い合わせ対応の迅速化によるサービス向上を図り、「SVF」と「invoiceAgent 文書管理」を活用した帳票の電子化に着手。印刷した帳票の切り離しや控えを取る、仕分けするといった作業が削減され、月間50時間という大幅な工数削減が実現しました。さらに、セキュリティやコンプライアンス面も大きく改善。「invoiceAgent」は詳細かつ柔軟な権限設定が可能であり、偽造や改ざん防止のための厳格なアクセスコントロールを実現しています。
▼事例詳細はこちら
合同製鐵株式会社のinvoiceAgent導入をもっと見る
まとめ
今回は、PDFの改ざんリスクや防止するための技術・対策について紹介しました。
ビジネスシーンのさまざまなシチュエーションで用いられているPDF文書ですが、セキュリティの観点で完璧なものではありません。今回ご紹介したような対策を施し、改ざんなどのリスクを低減することが非常に重要だと言えます。
PDF文書の改ざんなどを防止し、安全なやり取りを実現したいと考えている方は、記事内でご紹介したウイングアーク製品の活用を検討してみてはいかがでしょうか。
