公開日:2026年6月23日
情報セキュリティを学ぶなら【ReAlead】!
╲ 受講できる講座や料金についてご紹介しています ╱
この記事は12分で読了することができます。
このようなトラブルが起きたとき、証拠がなければ事実を証明する手段がありません。「否認防止」の仕組みが整っていない組織では、こうしたリスクが常に潜んでいます。
本記事では、情報セキュリティの重要概念である否認防止について、基本的な意味から実践的な対策、ISO/IEC 27001との関係まで、図解を交えてわかりやすく解説します。
否認防止(Non-repudiation) とは、「ある行為や出来事が起きたという事実を、当事者が後から否定(否認)できないようにすること」を指す情報セキュリティの概念です。「否認防止性」と表記されることもあります。
つまり、「やった・送った・受け取った、という事実を証明できる仕組みを整えること 」といえます。たとえば、下記の例が挙げられます。
これが否認防止の考え方です。
図解1:否認が起きる場面と防止の仕組み
なお、否認防止は単独の概念ではなく、以下の3つの概念と密接に関連しています。
この3つがそろって初めて、「誰が・いつ・何を」した事実の信頼性が完全に担保されます。
図解2:否認防止との関連性と具体例
「『Aさんが◯月◯日にこの文書を送った』という事実は後から否定できない」
「誰が・いつ・何を」した事実を否認できない状態にする
「この文書を送ったのは本当にAさんか?」
「誰が」送ったのかを証明できるか
「Aさんが送った文書が途中で改ざんされていないか?」
「何を」送ったかが改ざんされていないか
「Aさんが◯月◯日にこの操作をしたと追跡できるか?」
「誰が・いつ・何を」した事実を追跡できるか
否認防止への取り組みが不十分だと、企業は次のようなリスクにさらされます。
電子的なやり取りで契約や合意を行う際、否認防止の仕組みがなければ、後から「そんな合意をした覚えはない」「そのデータは受け取っていない」と主張されても反証できません。
特に電子署名や電子契約書では、正しい否認防止の仕組みがなければ、その法的有効性を争われるリスクがあります。
否認防止が機能していないシステムでは、内部関係者による不正操作を後から追跡することが難しくなります。たとえば、
こうした操作が後から否認された場合、証跡がなければ事実の立証が困難になります。
インシデントが発生したとき、「誰が、いつ、何をしたか」を証明できなければ、原因調査や再発防止策の立案が困難になります。結果として被害が拡大したり、取引先や監督官庁への説明ができなくなったりするリスクもあります。
外部とのやり取りで否認が起きると、取引先・顧客との信頼関係が損なわれます。証明できない主張は水掛け論になり、解決に多大な時間とコストがかかります。
また、否認のリスクは、特別な場面だけでなく日常業務の中にも潜んでいます。
こうした事態が起きたとき、証跡が残っていなければ事実を立証する手段がありません。そのため、否認防止の対策はトラブルが起きてから慌てて整備するのではなく、平時から仕組みとして組み込んでおくことが重要です。
では、否認防止を実現するために、何を取り組めばよいでしょうか?代表的な対策を7つご紹介します。
「誰が・いつ・何をしたか」を記録するログは、否認防止の基盤となる仕組みです。
デジタル署名は、「誰が作成・承認したか(真正性)」と「その後に内容が改ざんされていないか(完全性)」を暗号技術によって証明します。
・電子署名:チェックボックスのクリックや手書きサインのスキャンなど電子的な署名行為の総称で、デジタル署名より広い概念です。
・デジタル署名:公開鍵暗号方式(署名者を数学的に証明できる暗号技術)を用いた技術的に強い署名で、電子署名の一種です。否認防止の担保になるのはデジタル署名(公開鍵暗号方式)です。
タイムスタンプは、「ある時点においてそのデータが存在していたこと」を第三者機関が証明する仕組みです。
デジタル署名とタイムスタンプを組み合わせることで、「誰が・いつ・どのような内容の文書に署名したか」を証明でき、否認防止の効果が高まります。
多要素認証(MFA)は、「この操作は確かにこの本人が行った」ことを担保する認証強化の仕組みです。
なりすましによる「自分はやっていない」という否認を防ぐために有効です。特に重要システムや機密情報へのアクセス時には、多要素認証の適用を検討しましょう。
業務上のやり取り(メール・チャット・ファイル共有など)の記録を、改ざん不可能な形で保存・管理する仕組みを整えましょう。
「誰がアクセスできるか」を適切に管理することで、不正操作の機会を減らすとともに、操作者を特定しやすくします。
取得したログが実際に否認防止として機能しているかどうかを、定期的な内部監査やログレビューで確認することが重要です。
無料で内部監査チェックリストをダウンロード!
東京スタンダードでは、無料でISMSの内部監査チェックリストを配布しています。
簡単5項目入力ですぐダウンロードいただけます。
東京スタンダードでは、無料でISMSの内部監査チェックリストを配布しています。
簡単5項目入力ですぐダウンロードいただけます。
しかし、対策1〜7として紹介した技術(ログ取得システム・デジタル署名・多要素認証など)を導入しただけでは、否認防止は十分に機能しません。例えば、
このように、技術と運用の両輪が揃って初めて、否認防止の仕組みは機能します。
| 運用ルールの例 | 内容の例 |
|---|---|
| ログ管理ポリシー | 保存期間・保存場所・閲覧権限・定期レビューの頻度 |
| デジタル署名の適用範囲 | どの業務・文書に署名を義務づけるか |
| アクセス権限の管理手順 | 定期的な権限レビューと不要アカウントの削除手順 |
| インシデント対応手順 | 証跡収集・保全の具体的な手順と担当者 |
| 教育・訓練 | 担当者向けの記録管理の重要性に関する研修 |
これらを文書として整備し、組織全体に周知・実践する体制を作ることが、否認防止の実効性を高める鍵です。
そこで、上記のような技術的対策と運用ルールを体系的に整備・維持するための枠組みとして、 ISO/IEC 27001(ISMS) が有効です。
ISO(国際標準化機構)とIEC(国際電気標準会議)が共同で策定した、情報セキュリティマネジメントシステムに関する国際規格です。日本国内の認証取得件数は8,500件を超えており(ISMS-AC、2026年6月時点)、毎年増加しています。
▼ 詳しくは下記の記事をご覧ください
ISO/IEC27001(ISMS)とは何か知りたい方や取得を検討している方に向けて、ISO/IEC27001(ISMS)の仕組み、要求事項・管理策、認証取得のメリット・デメリットなどをわかりやすく解説。
ISO/IEC 27001では、組織が直面する情報セキュリティリスクを特定・評価し、適切な管理策を選定する「リスクアセスメント」のプロセスが中心にあります。
否認防止の欠如(ログが残らない、署名がない、証跡が改ざんされる等)は、このリスクアセスメントの中で評価・対処すべきリスク項目のひとつとして位置づけられます。
つまり、ISO/IEC 27001に取り組むことで、否認防止に関するリスクを組織として体系的に識別し、必要な技術的対策と運用ルールを計画的に整備する仕組みができます。
▼ ISO/IEC27001のリスクアセスメントについて、詳しくは下記の記事をご覧ください
ISMSリスクアセスメントの基本概念から5つの実施手順まで、初心者でも分かるよう詳しく解説。評価基準統一の方法や審査対応のコツも紹介。
ISO/IEC 27001:2022の附属書Aでは、否認防止に特に関連する管理策として、例えば以下のものが挙げられます。
情報セキュリティ関連記事等の配信を行っています。
情報収集の一環としてぜひご覧ください!
ISO/IEC27001・情報セキュリティ をもっと学びたい方へ
東京スタンダードのアカデミーサービスでは、ISO/IEC 27001の要求事項や情報セキュリティを学べるコースを多数ご用意しています。受講者の管理等の機能もございますので、社員教育にもおすすめです。
A. ・CIA:情報セキュリティの3大要素
・否認防止:情報セキュリティの7つの要素の1つ
情報セキュリティには、CIAという広く知られている3大要素がありますが、さらに「真正性」「否認防止」「責任追跡性」「信頼性」等の要素があります。CIAとは補完的な関係にある要素で、否認防止は「行為の事実を後から否定できないようにすること」を指す情報セキュリティの概念です。
A. 自社の特性やリスクに応じて変わりますが、多くの場合必要です。
ISO/IEC 27001の取得にあたっては、リスクアセスメントを通じて自社に必要な管理策を選定する必要があります。否認防止に関連する管理策(ログ取得・暗号利用・記録保護など)は多くの組織で適用対象となりますが、自社のビジネス特性・リスクに応じて判断します。
A. ログ管理やタイムスタンプ等も必要です。
デジタル署名が付与された文書については、「自分は作成・送信していない」という否認が技術的に困難となります。また、日本では「電子署名法」によってデジタル署名の法的効力が認められており、契約上の証拠としても有効です。
ただし「受け取っていない」という否認を防ぐには、送受信ログや配信確認の記録が別途必要です。「いつ署名したか」の証明にはタイムスタンプも必要となるため、デジタル署名+ログ管理+タイムスタンプの3点セットが否認防止の基本構成とお考えください。
A. はい、規模を問わず必要です。
特に電子契約・電子取引を行っている企業や、顧客の重要情報を扱う企業では、否認防止の対策が不十分だと法的トラブルや信頼失墜につながるリスクがあります。まずはログの取得・保全と多要素認証の導入から始めることをおすすめします。
A. 内部監査によるログレビューや、ISO/IEC 27001の外部審査が有効です。
特にISOなど、外部の認証機関による審査では、客観的な視点から管理策の有効性を確認することができます。
ISO認証審査に関する資料を無料でダウンロードいただけます
本記事では、情報セキュリティの重要概念である「否認防止」について解説しました。
否認防止への取り組みは、法的リスクの低減・内部不正の抑止・インシデント対応力の強化につながります。
「まず何から手をつければいいかわからない」という方は、ぜひ東京スタンダードにご相談ください。
-1.jpg "記事バナー問い合わせ)-1")
ISO27001取得をご検討中の企業様へ!
東京スタンダードなら、月額¥17,000〜でISO認証審査が可能です。中小企業様に取り組んでいただきやすいISO教育ツールもご提供しています。
【参考・出典】
・ IAF CertSearch「ISO Survey 2024」:https://www.iafcertsearch.org/services/iso-survey
・公益財団法人日本適合性認定協会(JAB):https://www.jab.or.jp
\ ISOや情報セキュリティに関する情報を配信! /
ISOご担当者様・ご興味がある企業様は、情報収集の一環としてぜひご覧ください!
| 特性 | 意味 |
|---|---|
| 機密性(Confidentiality) | 許可されていない個人・エンティティに情報を開示・使用させない |
| 完全性(Integrity) | 情報が正確で完全であり、改ざんされていない |
| 可用性(Availability) | 許可された者が必要なときに情報を利用できる |
| 真正性(Authenticity) | 情報やエンティティが主張通り本物であると確認できる |
| 否認防止(Non-repudiation)この記事のテーマ | 行為や出来事の発生、およびそれを引き起こしたエンティティを後から否定できない |
| 説明責任(Accountability) | あるエンティティの動作を、そのエンティティまで一意に追跡できる |
| 信頼性(Reliability) | 意図する行動と結果が一貫している |
2023年東京スタンダード設立。エイエスアール株式会社、アームスタンダード株式会社、アフノールジャパン株式会社、QAICジャパン株式会社をグループ会社として持ち、ISO認証登録件数グループ合計5,500件以上の実績を持つ。長年の経験とノウハウを活かして、ISOをより活かすことができるお役立ち情報を発信。
記事の監修者
東京スタンダード編集部
こちらのフォームにご入力後、弊社サービスやISOに関する資料がダウンロードできます。
