DocuSignからの通知メールが転送された場合

問題

送信したエンベロープの正規の署名者が、DocuSignの通知メールをほかのユーザーに転送した場合、そのユーザーがエンベロープにアクセスして文書に署名できてしまいます。この問題を避けるには、正規の署名者本人のみがエンベロープに署名できるように、セキュリティ対策を講じる必要があります。

一般的に、DocuSignで文書への署名を依頼する場合、DocuSignから署名者に通知メールが送信されます。各署名者は、自分が受信したメール上のリンクをクリックしてエンベロープにアクセスし、文書に署名します。このメールをほかのユーザーに転送したり何らかの方法でリンクを公開したりすると、第三者がエンベロープにアクセスして署名してしまう場合があります。

また、PowerFormを使用する場合、メールによる本人確認や受信者認証が無効な「ダイレクトPowerForm」では、そのPowerFormへのリンクにアクセスするときに名前とメールアドレスを入力しますが、そのメールアドレスの所有者であることを検証することはできません。これらの問題を避けるため、いくつかのセキュリティ機能が用意されています。

DocuSign APIを使用すると、エンベロープを自分のWebサイト内に埋め込むことができます。埋め込まれたエンベロープの署名者は、「組み込み型署名者(Captive Recipient)」とも呼ばれます。この場合、ダイレクトPowerFormでは署名者の本人確認が行われません。DocuSign APIで埋め込まれたエンベロープでは、アクセスする署名者の本人確認を行うことをお勧めします。

解決方法

署名者への指示

DocuSignから署名者に送信される通知メールには、以下の警告メッセージが記載されています。

 
このメールを共有しないでください
このメールにはDocuSignへの安全なリンクが記述されています。このメール、リンク、およびアクセスコードを他人と共有しないでください。差出人は、署名者への通知メールにカスタムのメッセージを追加することができます。このメッセージで、通知メールの厳密な管理を指示したり、ほかのユーザーがエンベロープにアクセスしなければならない場合に差出人に連絡するように依頼したりできます。

 

エンベロープの修正  
エンベロープの修正機能を使用すると、署名プロセスが完了していないエンベロープの内容をそのエンベロープの差出人が編集することができます。この機能を使用して、まだ処理を完了していない受信者の名前やメールアドレスを修正したり、受信者をエンベロープから削除したり、新しい受信者を追加したりできます。詳しくは、このトピックを参照してください。

別の署名者への再割り当て  
DocuSignでは、署名者が受け取ったエンベロープを別の署名者に再割当てすることができます。受信者がエンベロープの内容を確認して、より適切な署名者にそれを割り当てるには、[その他のアクション]の[別の署名者に割り当てる]オプションを選択し、新しい署名者の名前とメールアドレスを指定します。別の署名者に再割当てされたエンベロープでは、元の署名者の情報が新しい署名者のものに変更され、新しい招待メールが新しいメールアドレス宛てに送信されます。また、元の署名者はこのエンベロープにアクセスできなくなります。署名者が使用できるオプションについては、このトピックを参照してください。別の署名者への再割り当て機能については、各署名者にその手順を通知しておくことをお勧めします。

PowerFormでのメールによる本人確認
PowerFormを設定するときに、[メールでの検証を必須にする]オプションを選択できます。これにより、アクセスコードが記載されたメールが署名者に送信されます。署名者は、このアクセスコードを入力しないとPowerFormにアクセスできません。PowerFormの設定について詳しくは、このトピックを参照してください。

アクセスコード
エンベロープの差出人は、各受信者にアクセスコードを設定できます。設定したアクセスコードは、DocuSignから送信される通知メールとは別の手段で各受信者に通知しておく必要があります。各受信者は、自分のアクセスコードを入力してエンベロープにアクセスします。この機能について詳しくは、このトピックを参照してください。

サードパーティの認証ツール
DocuSignと提携しているいくつかのサードパーティ認証サービスを使用して、受信者の本人確認を行うこともできます。これらのサービスを使用するには、DocuSignアカウントでそのサービスが有効になっている必要があり、使用時に料金が発生します。詳しくは、このトピックを参照してください。

組み込み型署名者でのベストプラクティス
一般的に、インテグレーション環境では固有のシステムIDとそのほかのメタデータを受信者の役割に追加できます。これらのデータは、エンベロープにアクセスするための要件として設定できます。リモートのシステムでユーザーが認証されると、このコードがDocuSignに送信され、クライアントシステムにより検証されたIDとして監査証跡に記録されます。DocuSign APIについて詳しくは、DocuSignデベロッパーセンターを参照してください。

詳細

ベストプラクティス - DocuSignのメールをほかのユーザーに転送しないでください


Keywords:  転送, メール, 通知, 署名, 署名者, 不正な署名者, 不正な名前