DocuSignからの通知メールが転送された場合

問題

署名者宛てに送信したエンベロープで、 その署名者が通知メールを他人に転送したため、不適切なアクセスが発生しました。 この問題を避けるには、正規の署名者本人のみがエンベロープに署名できるように、セキュリティ対策を講じる必要があります。

いくつかの解決方法があります。 通知メールによる署名の依頼は、最も一般的な方法です。この通知メールはDocuSignシステムにより各署名者に送信され、エンベロープにアクセスするためのリンクが記載されています。 この通知メールの受信者が他人にそのメールを転送したりエンベロープへのリンクを公開したりすると、意図しないユーザーがエンベロープにアクセスして文書に署名できてしまう可能性があります。

また、PowerFormを使用する場合、メールによる本人確認や受信者認証が無効な「ダイレクトPowerForm」では、 そのPowerFormへのリンクにアクセスするときに名前とメールアドレスを入力しますが、 そのメールアドレスの所有者であることを検証することはできません。 これらの問題を避けるため、いくつかのセキュリティ機能が用意されています。

DocuSign APIを使用すると、エンベロープを自分のWebサイト内に埋め込むことができます。 埋め込まれたエンベロープの署名者は、「組み込み型署名者(Captive Recipient)」とも呼ばれます。 この場合、ダイレクトPowerFormでは署名者の本人確認が行われません。 DocuSign APIで埋め込まれたエンベロープでは、アクセスする署名者の本人確認を行うことをお勧めします。

解決方法

署名者への指示
DocuSignから署名者に送信される通知メールには、以下の警告メッセージが記載されています。
このメールを共有しないでください
このメールにはDocuSignへの安全なリンクが記述されています。このメール、リンク、およびアクセスコードを他人と共有しないでください。 差出人は、署名者への通知メールにカスタムのメッセージを追加することができます。 このメッセージで、通知メールの厳密な管理を指示したり、ほかのユーザーがエンベロープにアクセスしなければならない場合に差出人に連絡するように依頼したりできます。

エンベロープの修正
エンベロープの差出人は、未完了のエンベロープを修正することができます。 この機能を使用して、まだ処理を完了していない受信者の名前やメールアドレスを修正したり、受信者をエンベロープから削除したり、新しい受信者を追加したりできます。 詳しくは、このトピックを参照してください。

別の署名者への再割り当て
DocuSignでは、署名者が受け取ったエンベロープを別の署名者に再割当てすることができます。 受信者がエンベロープの内容を確認して、より適切な署名者にそれを割り当てるには、[その他のアクション]の[別の署名者に割り当てる]オプションを選択し、新しい署名者の名前とメールアドレスを指定します。 別の署名者に再割当てされたエンベロープでは、元の署名者の情報が新しい署名者のものに変更され、新しい招待メールが新しいメールアドレス宛てに送信されます。 また、元の署名者はこのエンベロープにアクセスできなくなります。 署名者が使用できるオプションについては、このトピックを参照してください。別の署名者への再割り当て機能については、各署名者にその手順を通知しておくことをお勧めします。

PowerFormでのメールによる本人確認
PowerFormを設定するときに、[メールでの検証を必須にする]オプションを選択します。 これにより、アクセスコードが記載されたメールが署名者に送信されます。署名者は、このアクセスコードを入力しないとPowerFormにアクセスできません。 PowerFormの設定について詳しくは、このトピックを参照してください。

アクセスコード
エンベロープの差出人は、各受信者にアクセスコードを設定できます。 設定したアクセスコードは、DocuSignから送信される通知メールとは別の手段で各受信者に通知しておく必要があります。 各受信者は、自分のアクセスコードを入力してエンベロープにアクセスします。 この機能について詳しくは、このトピックを参照してください。

サードパーティの認証ツール
DocuSignと提携しているいくつかのサードパーティ認証サービスを使用して、受信者の本人確認を行うこともできます。 これらのサービスを使用するには、DocuSignアカウントでそのサービスが有効になっている必要があり、使用時に料金が発生します。 詳しくは、このトピックを参照してください。

組み込み型署名者でのベストプラクティス
一般的に、インテグレーション環境では固有のシステムIDとそのほかのメタデータを受信者の役割に追加できます。これらのデータは、エンベロープにアクセスするための要件として設定できます。リモートのシステムでユーザーが認証されると、このコードがDocuSignに送信され、クライアントシステムにより検証されたIDとして監査証跡に記録されます。 DocuSign APIについて詳しくは、DocuSignデベロッパーセンターを参照してください。

詳細情報

ベストプラクティス - DocuSignのメールをほかのユーザーに転送しないでください


キーワード: 転送, メール, 署名, 署名者, eメール, 不正な署名者, 不正な名前