Q3-1 電子署名について我が国では電子署名法が定めていると聞きました。どのような法律なのでしょうか?
A3-1 正式には、「電子署名及び認証業務に関する法律」と言います。電子署名に関して真正な成立が推定される要件を定め、その円滑な利用の確保による情報の電磁的方式による流通や情報処理の促進を図ることを目的としています。
解説
電子署名及び認証業務に関する法律(以下「電子署名法」という。以下単に条文を引用した場合は同法の条文を指す。)は、電子署名の定義を明らかにするとともに、電磁的記録による場合であっても、紙の契約書に署名・押印を行った場合と同様にその成立の真正が推定される(A1-3)ための要件を定めた(詳細はQ3-2、Q3-4)。
また、真正な成立の推定を受けるためには、電子署名が本人だけが行うことができることとなるものに限られるが、その特定認証業務に関する認定の制度その他必要な事項を定めている。
特定認証業務は、電子署名及び認証業務に関する法律施行規則(以下単に「規則」という。)で定める基準に適合するものについて行われるが、これを行おうとする者は主務大臣の認定を受けることができ、一定の基準を満たして認定を受けた事業者は認定認証事業者となる。
認定認証事業者は、認定の基準(6条)に適合する必要があり、規則においてその詳細が定められている。業務設備(規4条)、利用者の真偽の確認(規5条。例えば戸籍謄本と印鑑登録証明書などによる本人確認。)の他、詳細な業務の方法(規6条各号)に関して基準が定められており、その結果、認定認証事業者による認定認証がされた電子署名による電磁的記録には、紙の契約書における実印と印鑑証明書の添付が行われた場合と類似するような、非常に高い証明力が与えられる。
また、真正な成立の推定を受けるためには、電子署名が本人だけが行うことができることとなるものに限られるが、その特定認証業務に関する認定の制度その他必要な事項を定めている。
特定認証業務は、電子署名及び認証業務に関する法律施行規則(以下単に「規則」という。)で定める基準に適合するものについて行われるが、これを行おうとする者は主務大臣の認定を受けることができ、一定の基準を満たして認定を受けた事業者は認定認証事業者となる。
認定認証事業者は、認定の基準(6条)に適合する必要があり、規則においてその詳細が定められている。業務設備(規4条)、利用者の真偽の確認(規5条。例えば戸籍謄本と印鑑登録証明書などによる本人確認。)の他、詳細な業務の方法(規6条各号)に関して基準が定められており、その結果、認定認証事業者による認定認証がされた電子署名による電磁的記録には、紙の契約書における実印と印鑑証明書の添付が行われた場合と類似するような、非常に高い証明力が与えられる。
Q3-2 電子署名とは何ですか?どのように定義されているのでしょうか?
A3-2 電磁的記録*に記録することができる情報について行われる措置であって、①当該情報が当該措置を行った者の作成に係るものであることを示すものであり、かつ②当該情報について改変が行われていないかを確認することができるものを言います(2条1項)。
※ 電磁的記録=電子的方式、磁気的方式その他人の知覚によっては認識することができない方式で作られる記録であって、電子計算機による情報処理の用に供されるもの。
解説
電子署名法上の電子署名は、電磁的記録の内容がある人の作成にかかるものであることを示し、改変されていないことを確認できるようにするための措置を言う。例えば、プリントアウトした文書の末尾に署名を施すことによって、その文書が署名者の作による原本であることを示すように、電磁的記録に対して行う措置が電子署名であり、デジタル庁のHPでは端的に「電磁的記録に記録された情報について作成者を示す目的で行う暗号化等の措置で、改変があれば検証可能な方法により行うもの」(※)と説明されている。
文書上の署名においては、原本が存在し、筆跡など特定の人物と署名の同一性を確認する手段が一定存在しているのに対し、単に電子データに氏名が記載されているにすぎない場合は、改変されているか否かが確認できないし、筆跡のような同一性を確認する手段も当然には存在していない。
電子署名法においては、利用者の求めに応じて、当該利用者が電子署名を行ったものであることを確認するために用いられる事項(例えば公開鍵暗号方式における公開鍵)が当該利用者に係るものであることを証明する業務(=「認証業務」)も規定されている(2条2項)が、この「認証がされた電子署名」においても、その利用者が電子署名を行っているという範囲での確認は行えるが、その利用者が特定の人物であることの身元の確認まで求められているわけではない。
そのため、これらの要件を満たす電子署名が行われていたとしても、紙の場合でいえば、どこにでも売っていて誰もが購入できる印の印影があるだけのようなもので、何もないよりは信用性は増すことになるものの、それだけでは、電子署名が行われた電磁的記録が、それに対応する特定の人物によって作成されたものであることまでを示すものとは、必ずしもならない。
従って、認証がされた電子署名であっても、直ちに電子署名が付された電磁的記録の真正な成立まで推定されるわけではなく、推定を受けるためには、さらに本人だけが行うことができることとなるなどの要件が必要となる(Q3-4)。
文書上の署名においては、原本が存在し、筆跡など特定の人物と署名の同一性を確認する手段が一定存在しているのに対し、単に電子データに氏名が記載されているにすぎない場合は、改変されているか否かが確認できないし、筆跡のような同一性を確認する手段も当然には存在していない。
電子署名法においては、利用者の求めに応じて、当該利用者が電子署名を行ったものであることを確認するために用いられる事項(例えば公開鍵暗号方式における公開鍵)が当該利用者に係るものであることを証明する業務(=「認証業務」)も規定されている(2条2項)が、この「認証がされた電子署名」においても、その利用者が電子署名を行っているという範囲での確認は行えるが、その利用者が特定の人物であることの身元の確認まで求められているわけではない。
そのため、これらの要件を満たす電子署名が行われていたとしても、紙の場合でいえば、どこにでも売っていて誰もが購入できる印の印影があるだけのようなもので、何もないよりは信用性は増すことになるものの、それだけでは、電子署名が行われた電磁的記録が、それに対応する特定の人物によって作成されたものであることまでを示すものとは、必ずしもならない。
従って、認証がされた電子署名であっても、直ちに電子署名が付された電磁的記録の真正な成立まで推定されるわけではなく、推定を受けるためには、さらに本人だけが行うことができることとなるなどの要件が必要となる(Q3-4)。
※ 利用者の指示に基づきサービス提供事業者自身の署名鍵により暗号化等を行う電子契約サービスに関するQ&A https://www.moj.go.jp/content/001323974.pdf
Q3-3 インターネット上の電子契約サービスを利用しようと考えています。そこでは、サービス提供者自身が署名鍵による暗号化を行うという仕組みと説明されていました。このような仕組みでも、私の電子署名を行ったことになるのでしょうか?
A3-3 技術的・機能的に見て、サービス提供事業者の意思が介在する余地がなく、利用者の意思のみに基づいて機械的に暗号化されたものであることが担保されているもので、かつサービス提供事業者が電子文書に行った措置について付随情報を含めて全体を一つの措置と捉え直すことによって、当該措置が利用者の意思に基づいていると認められる場合には、電子署名に該当すると考えられます。※
※利用者の指示に基づきサービス提供事業者自身の署名鍵により暗号化等を行う電子契約サービスに関するQ&A
解説
電子署名法における電子署名の定義はA3-2のとおりであり、その規定ぶりからすると、電磁的記録に対する措置を行う者と、電磁的記録の作成者は同一であり、作成者自身が認定認証事業者による認定認証を利用して電子署名を行う型を典型として想定し、より簡易的な方法としての特定認証あるいは認証された電子署名を想定していたように思われる。
しかし、実際にインターネット上で行われている電子契約サービスは、利便性の観点から多種多様な仕組みのものが展開されており、電子文書を作成するのはサービスの利用者であるが、署名鍵による暗号化を行うのはサービス提供事業者であるといったもの(A1-4にいう事業者署名型)も多く見受けられる。
その場合、これを利用者の電子署名ということができるのかが問題とされ、2条1項1号の「当該措置を行った者」がサービス提供事業者であるとすれば、利用者の電子署名には該当しないのではないかとの疑問もあった。
これに対し、法務省等はこのような「物理的にはAが当該措置を行った場合であっても、Bの意思のみに基づきAの意思が介在することなく当該措置が行われたものと認められる場合であれば、『当該措置を行った者』はBであると評価することができる」との見解を示し、電子契約サービス提供事業者が機械的に暗号化しているにすぎない場合については、利用者の電子署名とみることができるとの見解を示した(※)。
このことは電子契約サービスとしての利用をさらに普及させるものとなっているが、前記のとおり各サービスにおける暗号化等の仕組みは様々であり、なりすまし防止の対策等がとられているのかも様々であることから、契約の性質や、当該サービスの仕組みを踏まえて、利用を検討することが必要である。
しかし、実際にインターネット上で行われている電子契約サービスは、利便性の観点から多種多様な仕組みのものが展開されており、電子文書を作成するのはサービスの利用者であるが、署名鍵による暗号化を行うのはサービス提供事業者であるといったもの(A1-4にいう事業者署名型)も多く見受けられる。
その場合、これを利用者の電子署名ということができるのかが問題とされ、2条1項1号の「当該措置を行った者」がサービス提供事業者であるとすれば、利用者の電子署名には該当しないのではないかとの疑問もあった。
これに対し、法務省等はこのような「物理的にはAが当該措置を行った場合であっても、Bの意思のみに基づきAの意思が介在することなく当該措置が行われたものと認められる場合であれば、『当該措置を行った者』はBであると評価することができる」との見解を示し、電子契約サービス提供事業者が機械的に暗号化しているにすぎない場合については、利用者の電子署名とみることができるとの見解を示した(※)。
このことは電子契約サービスとしての利用をさらに普及させるものとなっているが、前記のとおり各サービスにおける暗号化等の仕組みは様々であり、なりすまし防止の対策等がとられているのかも様々であることから、契約の性質や、当該サービスの仕組みを踏まえて、利用を検討することが必要である。
※ 利用者の指示に基づきサービス提供事業者自身の署名鍵により暗号化等を行う電子契約サービスに関するQ&A https://www.moj.go.jp/content/001323974.pdf
Q3-4 情報を表すために作成された電磁的記録について、真正に成立したものと推定されるためには、どのような措置(電子署名)が行われている必要がありますか?
A3-4 電子署名(A3-2)が行われていることに加え、その電子署名が、①これを行うために必要な符号及び物件を適正に管理することにより、本人だけが行うことができることとなるものであり、かつ②本人の意思に基づき行われたものであることが要件となります(3条)。
解説
A3-2に述べたように、電子署名が行われているとしても、それを特定の本人が行ったものであるかが担保されているわけではないため、その電磁的な記録が特定の本人によって真正に成立したものであるとの推定を受けるためには、まず①の要件として、暗号化等の措置を行うための符号について、他人が容易に同一のものを作成することができないと認められること(「固有性の要件」)が必要とされる。これを満たすためには、十分な暗号強度を有し、他人が容易に同一の鍵を作成できないものであることが必要である。
また、②の要件として、電子署名が本人すなわち電子文書の作成名義人の意思に基づき行われたものであることが要求される。
①の要件に関しては、電子署名のうち、その方式に応じて本人だけが行うことができることとなるものに関して、規則2条が定める基準に適合する電子署名について行われる認証業務として「特定認証業務」(2条3項)が用意されている。そして一定の認定基準を満たすものとして認定された特定認証業務を行う事業者(認定認証事業者)によって認定認証された電子署名については、より高い証明力が与えられる事になる点は、A3-1にも述べたとおりである。
また、②の要件として、電子署名が本人すなわち電子文書の作成名義人の意思に基づき行われたものであることが要求される。
①の要件に関しては、電子署名のうち、その方式に応じて本人だけが行うことができることとなるものに関して、規則2条が定める基準に適合する電子署名について行われる認証業務として「特定認証業務」(2条3項)が用意されている。そして一定の認定基準を満たすものとして認定された特定認証業務を行う事業者(認定認証事業者)によって認定認証された電子署名については、より高い証明力が与えられる事になる点は、A3-1にも述べたとおりである。
Q3-5 インターネットを利用した電子契約サービスを利用しています。私の操作に従って、サービス提供者による署名鍵で暗号化されているのですが、このような方式で締結された契約について、真正な成立の推定を受けることはできるのでしょうか?
A3-5 電子署名(A3-3)の要件を満たした上で、当該サービスが十分な水準の固有性を満たしている場合には、真正な成立の推定を受けることは可能とされています。
解説
電子署名の要件についてはA3-3に解説したとおりであるが、真正な成立が推定されるためにはその要件が加重されている趣旨に照らし、そこで要求されていた固有性の要件を十分な水準で満たしていることが必要とされている(※)。
ここで「十分な水準で満たしている」と言えるためには、①利用者とサービス提供事業者の間で行われるプロセスと、②①における利用者の行為を受けてサービス提供事業者内部で行われるプロセスのいずれにおいても十分な水準の固有性が満たされている必要がある、と説明される。
より具体的に言えば、①のプロセスでは2要素(パスワードの他、別の手段により取得するワンタイムパスワードの入力など)による認証を受けなければならない仕組みなどがこれにあたるとされ、②のプロセスにおいては、暗号強度や利用者毎の個別性を担保する仕組みなどに照らして評価されるとされている。これらの評価の参考になる文書もQ&A*に挙げられているので参考にできる。
ただし、すでに市場において展開されている種々の電子契約サービスについて、これらの要件を満たしているのかを判断することは容易なこととは思われない。前記Q&A(※)においても、あるサービスが電子署名法3条に規定する電子署名に該当するかは、個別事案における裁判所の判断に委ねられる、などとされており、一見明瞭な基準もなく、基準をクリアしていることの明示もないまま、様々な仕組みのサービス利用が先行している実情がある。そのため、利用にあたっては、契約の内容や重要性、すでに取引実績のあるクローズド型の契約であるかなど慎重に考慮の上、適切なサービスの選択を検討する必要があろう。
ここで「十分な水準で満たしている」と言えるためには、①利用者とサービス提供事業者の間で行われるプロセスと、②①における利用者の行為を受けてサービス提供事業者内部で行われるプロセスのいずれにおいても十分な水準の固有性が満たされている必要がある、と説明される。
より具体的に言えば、①のプロセスでは2要素(パスワードの他、別の手段により取得するワンタイムパスワードの入力など)による認証を受けなければならない仕組みなどがこれにあたるとされ、②のプロセスにおいては、暗号強度や利用者毎の個別性を担保する仕組みなどに照らして評価されるとされている。これらの評価の参考になる文書もQ&A*に挙げられているので参考にできる。
ただし、すでに市場において展開されている種々の電子契約サービスについて、これらの要件を満たしているのかを判断することは容易なこととは思われない。前記Q&A(※)においても、あるサービスが電子署名法3条に規定する電子署名に該当するかは、個別事案における裁判所の判断に委ねられる、などとされており、一見明瞭な基準もなく、基準をクリアしていることの明示もないまま、様々な仕組みのサービス利用が先行している実情がある。そのため、利用にあたっては、契約の内容や重要性、すでに取引実績のあるクローズド型の契約であるかなど慎重に考慮の上、適切なサービスの選択を検討する必要があろう。
※ 利用者の指示に基づきサービス提供事業者自身の署名鍵により暗号化等を行う電子契約サービスに関するQ&A(電子署名法第3条関係) https://www.moj.go.jp/content/001327658.pdf