【和訳】PIC/Sのデータインテグリティガイダンス【第19回】

4. Electronic signatures used in the place of handwritten signatures should have appropriate controls to ensure their authenticity and traceability to the specific person who electronically signed the record(s).
手書き署名の代わりに使用される電子署名については、その真正性と電子署名を行った特定の人物へのトレーサビリティを確保するための適切な管理を行うべきである。

Electronic signatures should be permanently linked to their respective record, i.e. if a later change is made to a signed record; the record should indicate the amendment and appear as unsigned. 
電子署名は、恒久的に個々の記録と関連づけられていなければならない。すなわち、署名された記録に後から変更が加えられた場合、その記録には変更内容が表示され、署名なしと表示されるものとする。

Where used, electronic signature functionality should automatically log the date and time when a signature was applied.
電子署名を用いる場合、電子署名の機能により、署名が適用された日時が自動的に登録されるようにすべきである。

The use of advanced forms of electronic signatures is becoming more common (e.g. the use of biometrics is becoming more prevalent by firms). The use of advanced forms of electronic signatures should be encouraged.
高度な形式の電子署名の使用が一般的になってきている(例:生体認証の使用が企業に浸透してきている)。高度な形式の電子署名の使用を奨励すべきである。

Potential risk of not meeting expectations/items to be checked
期待を満たさないことによる潜在的なリスク/チェックすべき項目
・Check that electronic signatures are appropriately validated, their issue to staff is controlled and that at all times, electronic signatures are readily attributable to an individual.
電子署名が適切に検証されていること、従業員への発行が管理されていること、および電子署名が常に個人に容易に帰属することを確認すること。
・Any changes to data after an electronic signature has been assigned should invalidate the signature until the data has been reviewed again and re-signed.
電子署名が付与された後にデータに変更があった場合、データを再度確認して再署名するまで署名は無効となる。

5. Restrictions on use of USB devices/USBデバイスの使用制限について
For reasons of system security, computerized systems should be configured to prevent vulnerabilities from the use of USB memory sticks and storage devices on computer clients and servers hosting GMP/GDP critical data. If necessary, ports should only be opened for approved purposes and all USB devices should be properly scanned before use.
システムセキュリティの観点から、GMP/GDPに関わる重要なデータが保存されているクライアントやサーバーにおいて、USBメモリや記憶装置が使用されても脆弱性が生じないようにコンピュータ化システムを設定すべきである。必要があれば、ポートを承認された目的のためにのみ開放し、すべてのUSBデバイスを使用前に適切にスキャンするようにすべきである。

The use of private USB devices (flash drives, cameras, smartphones, keyboards, etc.) on company computer clients and servers hosting GMP/GDP data, or the use of company USB devices on private computers, should be controlled in order to prevent security breaches.
GMP/GDPに関わるデータを保管する会社のコンピュータのクライアントおよびサーバーにおける私用のUSBデバイス(フラッシュドライブ、カメラ、スマートフォン、キーボードなど)の使用や私用のコンピュータにおける社用のUSBデバイスの使用は、セキュリティ違反防止のために取り締まるべきである。

Potential risk of not meeting expectations/items to be checked
期待を満たさないことによる潜在的なリスク/チェックすべき項目
・This is especially important where operating system vulnerabilities are known that allow USB devices to trick the computer, by pretending to be another external device, e.g. keyboard, and can contain and start executable code.
これは、USBデバイスがキーボードなどの他の外部デバイスのふりをしてコンピュータを騙し、実行可能コードを含んで起動することができるというオペレーティングシステムの脆弱性が知られている場合には特に重要である。
・Controls should be in place to restrict the use of such devices to authorized users and measures to screen USB devices before use should be in place.
このようなデバイスの使用を許可されたユーザーに限定するような管理手段を実施し、使用前にUSBデバイスをスクリーニングする措置を行う必要がある。

執筆者について

経歴 ※このプロフィールは掲載記事執筆時点での内容となります

連載記事

コメント

コメント

投稿者名必須

投稿者名を入力してください

コメント必須

コメントを入力してください

セミナー

eラーニング

書籍

CM Plusサービス一覧

※CM Plusホームページにリンクされます

関連サイト

※関連サイトにリンクされます