受信者から署名と承認を取得するには、関連する文書に応じてさまざまなレベルの認証が必要になる場合があります。Adobe Acrobat Sign は、シンプルな 1 要素の電子メール確認から、政府発行文書に基づく高度な 2 要素認証まで、幅広い認証方法をサポートしています。
ID 認証
受信者の ID 認証は、法的署名を取得し、否認防止を強化するための Acrobat Sign システムの重要な要素です。
ただし、ビジネス目的によって ID 認証の要求は異なります。以下のトランザクションには、異なるレベルの ID 確認が必要となります。
- 職場での休暇願い
- 学校からの子供の成績表
- プライベートなイベント登録
- ジムでのメンバーシップ
- 医療記録へのアクセス
- CFR 21 パート 11 に準拠した文書
Acrobat Sign では、定義可能なデフォルト値を使って、アカウントレベルおよびグループレベルで認証タイプを定義できるコントロールセットが用意されています。これにより、送信者のエクスペリエンスを効率化し、会社の署名ポリシーにより確実に準拠することができます。
より堅固な認証方法では、署名プロセスの「手間」が増えることに留意して、管理者は最も一般的な認証要件を満たすようにアカウントまたはグループのデフォルトを設定し、可能な限り最も単純なオプションを選択して、一部のトランザクションでより複雑なソリューションが必要となる場合は、編集可能なオプションを許可する必要があります。
主な用語
内部受信者と外部受信者
認証コントロールは、内部および外部の 2 種類の受信者の認証方法を設定するための特定の機能を提供します。
- 内部受信者には、契約書の送信元と同じ Acrobat Sign アカウント内のすべてのアクティブなユーザー(電子メールアドレスで識別)が含まれます
- アカウント内のすべてのユーザーのリストは、内部ユーザー全員のリストです
- ユーザーが同じアカウント構造に属している限り、受信者が属しているグループは問われません
- 外部受信者には、内部ユーザーに関連付けられていないすべての受信者の電子メールアドレスが含まれます
- アカウントレベルのユーザーリストに含まれていないすべての電子メールアドレスは、外部ユーザーの電子メールアドレスです
このように受信者を明確にすることで、ワークフローで外部受信者の高レベル認証を活用しながら、内部ユーザーのコスト効率の高い認証をおこなうことができます。
1 つの会社(電子メールドメイン)は、複数の Acrobat Sign アカウントを持つことができます。
各個別アカウントに属するユーザーのみが、相互に内部的に存在します。外部アカウントには、あらゆるケースにおける外部受信者が属します。
受信者の 1 要素認証方法
電子メール認証
Acrobat Sign は、ESIGN Act に基づく法的な電子サインの要件を満たすデフォルトの 1 要素認証として電子メールを使用します。多くの顧客には、この方法で多くのニーズが満たされます。
電子メール確認では、受信者が次の操作を実行する必要があります。
- 電子メールボックスから契約書にアクセス
- 電子メールのリンクをクリックして、契約書ビューにアクセス
- 契約書で指定されているアクション(フォームフィールドへの入力、署名)を完了
- 最後に、「署名を送信」ボタンをクリックして、受信者のアクションを完了
電子メールリンクにアクセスした場合、すべての電子メールアドレスが一意であり、電子メールへのアクセスはパスワード認証されるため、合理的な識別手段が確立します。
受信者への電子メール通知をバイパスする統合またはアクションには、否認防止に適した 2 要素認証方法を含める必要があります。
Acrobat Sign 認証
Acrobat Sign 認証では、受信者は Acrobat Sign システムへの認証が求められます。
この方法は、各署名に対してログ/認証済みイベントを必要とする署名要件がある場合に、内部受信者に対する「簡易的な」副署オプションとして主に使用されます。
Acrobat Sign 認証を外部受信者に割り当てる前に、次の点に注意してください。
- Acrobat Sign 認証は 2 要素認証方法ではありません。
- 外部受信者は、アクティブな Acrobat Sign ユーザーを持つ場合と持たない場合があります。持っていない場合、認証前にユーザーの登録と確認が必要となります。
- 内部受信者は定義上、アクティブな Acrobat Sign ユーザーとして認識されているため、問題なく認証ができます。
受信者は、契約書の内容を表示できるようになる前に、Acrobat Sign への認証が求められます。
2 要素認証(2 FA)
Acrobat Sign では、シンプルな電子メール確認よりも要求が厳しい、高価値のトランザクションに適した複数の 2 要素認証方法がサポートされています。
認証方法は通常、文書の種類または関係者の業界によって決まります。管理者は、内部署名ポリシーと適用される可能性のあるコンプライアンスの要求を理解する必要があります。
使用可能な 2 要素認証オプションの概要と、詳細な説明へのリンクを以下に示します。
署名者パスワード認証では、送信者はパスワードを(2 回)入力する必要があります。
- パスワードには英数字のみを使用できます。特殊文字は使用できません。
- 送信者は外部チャネルを通じて、受信者にパスワードを伝える必要があります。
- パスワードは、アプリケーション内にクリアテキスト形式では保存されません。パスワードが失われた場合、パスワードは復旧できないため、送信者はパスワードをリセットする必要があります。
受信者は、契約書の内容を表示できるようになる前に、パスワードの入力が求められます。
電話認証では、受信者に 6 桁のコードが配信され、契約書を表示するにはその番号を入力する必要があります。
- 受信者の電話番号は、送信者が契約書を作成する際に入力する必要があります。
- 受信者が署名を関係機関に委任した場合、新しい受信者に有効な電話番号を提供するよう求められます。正しい電話番号を提供しないと、認証は失敗します。
- 受信者は、テキストメッセージ(テキストメッセージを受信できるスマートフォン用)、またはボイスコール(テキストメッセージを使用できない場合)を選択できます。
- 認証コードの有効期限は配信後 10 分間です。
受信者はコードを要求し、契約内容を表示する前にコードを入力する必要があります。
ナレッジベース認証は、署名者の厳しい本人確認を求める金融機関などのシナリオで主に使用される高レベルの認証です。
受信者は個人情報を入力するよう求められます。これは、(パブリックデータベースを使用して)過去からのいくつかの重要な質問を収集するために使用されます。契約書にアクセスするには、各質問に正しく回答する必要があります。
KBA は、米国の受信者に対してのみ有効です。
Government ID 認証では、受信者は政府発行文書(運転免許証、パスポート)の画像と自分の顔写真を提供するよう指示され、強力な確認レコードを作成します。
受信者は、最初にスマートフォンに電話番号を入力するよう求められ、文書と自撮り画像のアップロードプロセスの実行方法が表示されます。
クラウドベースのデジタル署名では、署名者がデジタル署名を使用するために、サードパーティの ID プロバイダーに対して認証をおこなう必要があります。
Acrobat Sign は、複数の国で幅広い署名プロバイダーをサポートしています。管理者は、1 つまたは複数のプロバイダーからデジタル署名を受け入れるようにアカウント(または特定のグループ)を設定できます。
多くの場合、お客様は大量の署名に対応するために、ID プロバイダーと契約を結びます。Acrobat Sign は、デジタル署名を要求して提供するためのプラットフォームとしてのみ機能し、アドビによる追加コストは発生しません。VIP ライセンスを持つ アカウントでは、Adobe を通じて アドオンとして Aadhaar ID トランザクションを購入し、管理メニューでその消費を追跡できます。
「プレミアム」署名者認証方法
電話、KBA、Government ID、およびクラウドベースのデジタル署名が、「プレミアム」認証方法です。
プレミアム認証方法は従量制リソースであり、使用前に購入する必要があります。詳細については、サクセスマネージャーまたは販売代理店にお問い合わせください。
新規のエンタープライズおよびビジネスレベルのアカウントには、アカウントの起動時に 50 件の無料電話および KBA トランザクションが提供されます。
自動取り消しの閾値
すべての 2 要素認証方法には、受信者が許容されない回数の認証に失敗した場合に、契約書を取り消すための設定可能な閾値があります。
- 契約の所有者(送信者)には、契約書のキャンセルに関する通知が送信されます。
- 送信者のみに通知が送信されます。
- 取り消された契約書は、アクティブなステータスに戻すことはできません。新規契約書を作成する必要があります。
デジタル ID 検証
デジタル ID 検証は、Acrobat Sign サービスの外部でライセンスされる フェデレーション ID プロバイダー(IdP)を利用するため、契約書の作成時にアクセス可能になる前に設定する必要があります。
デジタル ID ソリューションの詳細については、こちら>を参照してください。
受信者エクスペリエンスの詳細は、送信者が使用する ID プロバイダーによって異なります。上位レベルでは、ID 検証がフェデレーション IdP によって解決されることが受信者に通知されます。このとき、「ID 検証」ボタンを使用して検証プロセスを開始します。
送信者が認証方法を選択する方法
契約書の設定時に、送信者は受信者の電子メールアドレスの右にあるドロップダウンメニューから、認証方法を選択することができます。
ほとんどの認証方法は、選択したデフォルト値に設定することで送信プロセスを簡素化できます。デジタル ID オプションのみ、デフォルトの認証値として設定することはできません。
受信者エクスペリエンス
通常、受信者は対応が必要な契約書に関して、最初に電子メールで通知を受け取ります。
- 電子メール認証のみを使用して契約書を送信する場合は、電子メールの「確認して署名」ボタンをクリックすると契約書が表示され、操作を実行できます。
- 契約書に追加の認証方法が設定されている場合は、電子メールの「確認して署名」ボタンをクリックすると、その認証チャレンジページが開きます。
- 認証チャレンジが満たされると、契約書が表示され、操作を実行できます。
- 認証チャレンジが満たされると、契約書が表示され、操作を実行できます。
監査レポートイベント
それぞれの 2 要素認証方法では、使用される方法を識別する明示的な成功メッセージが表示されます。
電子メール認証では、文書に署名がされたことのみが示されます。
設定可能なオプションとデフォルト
管理者コントロール
アカウントレベルの設定にアクセスするには、Adobe Acrobat Sign のアカウントレベルの管理者としてログインし、アカウント設定/送信設定/署名者 ID オプション
に移動します。
すべてのコントロールはグループレベルでも設定できます。次の点に注意してください。
- すべてのグループは、デフォルトでアカウントレベル設定を継承します。
- グループレベルの設定は、アカウントレベルの設定を上書きします。
- 「送信」ページで使用可能なすべてのオプションは、契約書の送信元グループの設定から取得されます。
コントロールは、次の 2 つのセクションに分かれています。
- 署名者 ID オプション:ID 認証設定の主要なセット。これらの値は、次の例外を除き、送信グループで作成されたすべての契約書の全員の受信者に適用されます。
- 送信者のオプション(統合、ワークフロー、カスタムアプリケーション)を制限できる API ベースのプロセス。
- 「内部受信者に対して異なる ID 認証方法を有効化」が有効になっている場合(以下を参照)。
- 送信者のオプション(統合、ワークフロー、カスタムアプリケーション)を制限できる API ベースのプロセス。
- 内部受信者用 ID 認証 - この設定のサブセットを使用すると、グループは内部受信者に対して異なる ID 認証方法のセットを定義できます。これには、次のような利点があります。
- 社内署名者のストレスの軽減。
- 署名プロセスを簡単にすることで、多くの契約書に副署する必要がある署名者は、署名を短時間でおこなうことが可能。
- 内部受信者に対して、プレミアム認証のコストを省略することが可能。
ID 認証方法
プライマリ認証コントロールには、次の設定があります。
- 送信者に有効な認証方法のいずれかを指定するよう要求する - 有効にすると、デフォルトの認証方法として 2 要素方式を選択する必要があります。電子メールは選択できません。
- 各認証チャレンジの署名者電子メールアドレスの自動入力を許可する - この設定は、Acrobat Sign 認証方法にのみ適用されます。有効にすると、受信者の電子メールアドレスが認証に必要な場所に自動的に挿入されます。
- 署名者が既に Acrobat Sign にログイン済みの場合は再認証を要求しない - この設定は、Acrobat Sign 認証方法にのみ適用されます。有効にすると、署名者が既に Acrobat Sign にログイン済みの場合は、再認証の要求を受けません。
- 送信者が契約書の署名者 ID レポートをダウンロードすることを許可 - 署名者 ID レポート(SIR)は、Government ID および デジタル ID 認証方法で使用できます。この設定を有効にすると、契約書の送信者は「管理」ページから SIR をダウンロードできるようになります。
- 次の ID 認証方法を有効にする - これは、送信者が使用できる 2 要素認証オプションのリストの前に表示されます。 セキュリティ/コンプライアンスのニーズに応じて 1 つ以上を選択します。
- デフォルトで次の方法を使用する - 新規契約書に受信者が追加されたときに挿入される、デフォルトの認証方法が指定されます。
- 送信者にデフォルトの認証方法の変更を許可する - 有効にすると、送信元のグループに対して有効にする方法を選択するオプションが送信者に表示されます。
- 無効化した場合は、デフォルトの認証方式のみを使用できます。
内部受信者用 ID 認証
内部受信者の各コントロールでは、内部受信者に適用するオプションを設定できます。
- 内部受信者に対して異なる ID 認証方法を有効にする - 有効にすると、内部受信者はプライマリ認証ルールの例外として扱われ、代わりに「内部受信者用 ID 認証」セクションで定義されているデフォルト値/認証オプションが表示されます。
- 次の ID 認証方法を有効にする - これは、内部受信者認証に使用できるオプションのリストの前に表示されます。 セキュリティ/コンプライアンスのニーズに応じて 1 つ以上を選択します。
- Adobe Sign 認証は、送信者が副署名者でもある場合に低コスト/簡易的な認証方法を提供します。
- Adobe Sign 認証は、送信者が副署名者でもある場合に低コスト/簡易的な認証方法を提供します。
- デフォルトで次の方法を使用する - 新規契約書の作成時に内部受信者用に挿入される、デフォルトの方法が指定されます。
- 送信者がデフォルトの認証方法を変更することを許可 - これにより、送信者がデフォルトの認証方式を、管理者が有効化している別のオプションに変更することが許可されます。
ID 認証に対する web フォームの例外
Web フォームは多くの独自の事例で採用されており、多くの場合、厳格な ID 認証の実施に対する需要は減少しています。
Web フォームの署名を認証する必要がないアカウントまたはグループの場合、電子メール確認を無効にするオプションは次の方法で設定できます。
- アカウント設定/グローバル設定/Web フォームに移動します(アカウントレベル設定の場合)。
- グループ:{Group Name}/グループ設定/Web フォームを編集します(グループレベル設定の場合)。
- 確認せずに web フォーム署名に同意するには、「署名者に電子メールアドレスの確認を要求」オプションをオフにします。
- Web フォーム署名を確認する要件を削除しても、署名者が電子メールアドレスを提供するための要件は削除されません。
ベストプラクティスと考慮事項
- すべての認証方法およびオプションは、アカウントレベルやグループレベルで設定できます。
- すべてのグループで、アカウントレベルの設定からデフォルトのプロパティ値が継承されます。自動プロパティ継承を最大限に活用するためにアカウントレベルの設定をおこない、後で実行するグループ設定を最小限に抑えます。
- 契約書では、契約書の送信元グループから認証オプションを取得します。予測していたオプションが表示されない場合は、グループレベルの設定を確認してください。
- 送信する文書の種類に対して ID 認証要件を評価して、コンプライアンス規制の対象になっているかどうかを確認してください。「プレミアム」認証が必要な場合は、予想されるトラフィックに対して十分なボリュームが購入されていることを確認します。
- Government ID 認証:(i)規制対象の対応や、高価値の電子署名ワークフローやユースケースを意図していない。(ii)すべての詐欺的または「偽」の身元確認文書を特定できるわけではない。(iii)人間による確認の必要性に置き換えられるものではない。
- 次のような 2 要素認証を必要とする署名フローがあるかどうかを確認します。
- ホストされている署名
- 電子メール通知を抑制するカスタムソリューション(Workday など)
- 同じ(共有)電子メールアドレスを使用して複数の受信者から法的署名を取得する署名フロー
- 内部受信者に対して異なる認証基準があるかどうか、およびその基準がある場所を確認します.
- カスタムワークフローへのアクセス権を持つアカウントでは、それぞれの署名フローに対して非常に正確な認証方法を定義できるため、重要な署名プロセスのコンプライアンスを確保しながら手間を減らす(および高ボリュームの)デフォルト値を設定できます。
- 個々の認証方法は、他のサービスで使用できるようになる前に有効にする必要があることに注意してください。特定の方法を有効にすると、次のような機能が表示されるようになります。
- 2 要素認証方法のセキュリティ設定などのその他の管理コントロール
- 標準の送信プロセス中にユーザーが選択
- ワークフローデザイナーで構築されたカスタムワークフロー
- API 駆動の送信イベント
- 統合アクセス(Dynamics、Salesforce)
- 2 要素認証方法のセキュリティ設定などのその他の管理コントロール
