ITとビジネスの専門家によるコラム。経営、業種・業界、さまざまな切り口で、現場に生きる情報をお届けします。
第41回 電子署名って何
2020年は、コロナ禍の影響でテレワーク社会となり、いきなりデジタル化へのギアアップのシフトチェンジをした一年でした。「脱ハンコ」で、これまでなかなか世の中に出てこなかった「電子署名」というワードが新聞をにぎわすように。今回は、この「脱ハンコ」の文脈で語られている「電子署名」を、できる限り分かりやすく解説をしたいと思います。
第41回 電子署名って何
これまで世間では、あまり馴染みのなかった「電子署名」ですが、「脱ハンコ」のおかげで、電子印鑑、電子サイン、デジタル署名、電子契約サービス(当事者型、事業者型)……など、いろいろな関連ワードと共に、一般的になりつつあります。
今回は、この機会に、これらのワードを正しく認識してもらいたく、筆者なりに解説したいと思います。
まず、署名とは何ぞや? からひも解いて、各ワードについて、整理してみましょう。
署名という行為とは
署名という行為は、文書や記録の中身である「情報」にマーキングすることですね。では、何のためにマーキングするのでしょうか?
それは、
- 情報を承認(approve)、同意(assent)、合意(agree)したことを示す。
- 情報の正確性を証明(certify)することを示す。
- 情報について肯定(affirm)することを示す。
- 情報にアクセスしたことや受領したことを認めた(acknowledge)ことを示す。
- 情報に他の人が署名したり、その他の行為をしたりしたことに立ち会った(witness)ことを示す。
- 情報の発出元であることを示す。(certifying the source)
などのためだと思います。
そう、将来に、何らかの関わりを証明するための行為が「署名」なのです。なので、これらの目的が充たされれば、特に方法は問われません。その手法は、文字でも、記号でも、画像でも、音声でも、そして匂いでも、何でも構わないのですね。
文書の推定効
では、将来に、何らかの関わりを証明するためには、何が必要でしょうか? ただ単に「署名」があれば済むのでしょうか?
我が国は、訴訟上の事実認定・証拠評価は、裁判官の自由な判断に委ねられます。このことを、「自由心証主義」(注1)といいます。
- (注1)民事訴訟法(自由心証主義) 第二百四十七条
裁判所は、判決をするに当たり、口頭弁論の全趣旨及び証拠調べの結果をしん酌して、自由な心証により、事実についての主張を真実と認めるべきか否かを判断する。
訴訟時に、裁判で取り上げられる証拠として、特に指定はありません。しかし、何でもOKとすると、その情報の疑義判断が大変な作業になることと、裁判官によってゆらいでしまうため、文書の成立について、民事訴訟法第228条(注2)で「真正に成立したものと推定する」として規定されています。
「真正に成立したものと推定する」という記載は、裁判官が判断するにあたり、法的に推定効があることを示しています。
- (注2)民事訴訟法(文書の成立) 第二百二十八条
文書は、その成立が真正であることを証明しなければならない。
2 文書は、その方式及び趣旨により公務員が職務上作成したものと認めるべきときは、真正に成立した公文書と推定する。
3 公文書の成立の真否について疑いがあるときは、裁判所は、職権で、当該官庁又は公署に照会をすることができる。
4 私文書は、本人又はその代理人の署名又は押印があるときは、真正に成立したものと推定する。
5 第二項及び第三項の規定は、外国の官庁又は公署の作成に係るものと認めるべき文書について準用する。
この条項において、公文書には、特に署名・押印は求められていません(2項、3項)。これが、今話題の「脱ハンコ」です。
ハンコがなくても公務員が職務上作成した文書は、推定効があるのです。しかし、責任の所在を明確にするため、ワークフロー時に、唯一無二のエビデンスである紙に「押印」することで“不正ができない環境つくり”の慣習として連綿と続いてきたのだと思います。
一方で、私文書の場合は、本人又は代理人の署名又は押印をもって推定効があると規定されています。このことは、「ええい、この証文が見えないか!」で培われた社会慣習から法文化されたのだと思います。訴訟時に備えるには、紙の私文書には、署名や押印の意味があるということになるのです。
電子署名及び認証業務に関する法律(以下、電子署名法)
では、署名対象が、自著もハンコも押せない、電子情報の場合は、どうしましょうか?
ということで、満を持して20世紀の最後の年、平成12年(2000年)に制定された「電子署名法」の登場です。この法律第二条で、電子署名の定義(注3)がされています。
- (注3)電子署名法(定義) 第二条
この法律において「電子署名」とは、電磁的記録(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式で作られる記録であって、電子計算機による情報処理の用に供されるものをいう。以下同じ。)に記録することができる情報について行われる措置であって、次の要件のいずれにも該当するものをいう。
一 当該情報が当該措置を行った者の作成に係るものであることを示すためのものであること。
二 当該情報について改変が行われていないかどうかを確認することができるものであること。
しかし、単なる電子署名では、法的な推定効はありません。
そのため、同法第三条(注4)に、私文書の推定効についての規定が書かれています。
- (注4)電子署名法(電磁的記録の真正な成立の推定)
第三条 電磁的記録であって情報を表すために作成されたもの(公務員が職務上作成したものを除く。)は、当該電磁的記録に記録された情報について本人による電子署名(これを行うために必要な符号及び物件を適正に管理することにより、本人だけが行うことができることとなるものに限る。)が行われているときは、真正に成立したものと推定する。
ここで、()で囲われている箇所が重要です。
(これを行うために必要な符号及び物件を適正に管理することにより、本人だけが行うことができることとなるものに限る。)
すなわち、
「署名時に、署名に利用した符号(署名鍵)と物件(署名鍵が保管されている装置)が適正に管理されていて、本人によってその署名が行われたことを将来証明することとなる場合」に限って、推定効が働きますよ、ということです。
くどいようですが、方法は何でもよいのです。
電子署名法第三条(推定効)
今般のコロナ禍の影響で、主務3省により整理されて、事業者の電子署名による電子契約サービスの場合の電子署名法に関する解釈として、利用者の指示に基づきサービス提供事業者自身の署名鍵により暗号化等を行う電子契約サービスに関するQ&Aが公開されています。
利用者の指示に基づきサービス提供事業者自身の署名鍵により 暗号化等を行う電子契約サービスに関するQ&A(総務省・PDF)
利用者の指示に基づきサービス提供事業者自身の署名鍵により 暗号化等を行う電子契約サービスに関するQ&A(電子署名法第3条関係)(総務省・PDF)
その中で、暗号化等の措置を行うための符号(署名鍵)について、他人が容易に同一のものを作成することができないと認められることが必要として、推定効を得るための要件を「十分な水準の固有性」というコトバで整理しています。
法的に価値のある署名になるための5要件
ここで、黒船に登場してもらいましょう。アメリカには、電子署名関連法として3つの法律があります。
Government Paperwork Elimination Act :GPEA
その名も行政におけるペーパーレス法
Electronic Signatures in Global and National Commerce Act :E-SIGN
まさに電子署名法
Uniform Electronic Transactions Act :UETA
電子取引にかかる全米統一法
これらの3法において、電子署名で法的拘束力を持つには以下の5要件が求められています。
- 利用可能な電子形式の署名であること。
- 署名者を特定でき、認証する手段が存在しなければならない。
- 署名された記録の完全性を維持する手段がなければならない。
- 署名する意図のある者が実行または採用しなければならない。
- 電子で付与される署名は、対象情報にひも付けされなければならない。
1は当然なこととして、我が国の電子署名法には記載がありませんが、2は、電子署名法第二条1項第一号、3は、同第二号、4、5が、第三条に該当しますね。
ここで、1、3、5は技術的要件ですが、2、4は、運用に起因する、固有性を証明しなくてはならない内容です。まさに、主務3省Q&A記載の「十分な水準の固有性」で示している要件と同じですね。
デジタル署名と電子署名
電子署名は、電子情報へマーキングすることで、将来に、何らかの関わりを証明するための行為で、その方法は、さまざまありうると整理しました。 その方法の1つとして、デジタル署名を利用した方法があります。
デジタル署名は、公開鍵暗号基盤という、デジタルならではの暗号技術を利用した数学的な署名技術です。
その効能は、
- 電子署名
- 電子認証
- 記録の完全性担保
です。
そうなのです、デジタル署名にとって、電子署名は、3つの効能のうちの1つに過ぎないのですね。
このデジタル署名を利用したサービスは、さまざまあるのです。例えば、タイムスタンプサービス、電子契約サービス、Web認証サービス、S/MIME、コードサイン……。
デジタル署名はデジタル情報の発出元と完全性を証明する技術なので、流通するデジタル情報に信頼性を付与するには、なくてはならないもので、電子署名に留まらず、さまざまな用途で利用されている基盤技術なのです。
各ワードの整理
アメリカ3法の5要件に照らし合わせて、世間をにぎわしている各ワードについて、整理したいと思います。
電子印鑑:印影画像を文書に貼付する方法
電子サイン:タブレットなどの電子機器上で、自著サインをして画像として貼付する方法
デジタル署名:公開鍵暗号方式を用いて、対象情報の署名者と完全性を保証する方法
電子契約サービス:クラウド上で電子的に契約を実施するサービス
- 当事者型:契約の電子署名を署名者本人のデジタル署名を利用するサービス
- 事業者型:契約当事者の意図をデジタル署名とは別の方法で電子契約サービスを提供する事業者が保証しデジタル署名をするサービス
表 いろいろな電子署名と推定効要件
電子印鑑 | 電子サイン | デジタル署名 | 電子契約サービス | ||
---|---|---|---|---|---|
当事者型 | 事業者型 | ||||
1.利用可能な電子形式の署名であること。 | ○ | ○ | ○ | ○ | ○ |
2.署名者を特定でき、認証する手段が存在しなければならない。 | × | △ | ○ | ○ | △ |
3.署名された記録の完全性を維持する手段がなければならない。 | × | × | ○ | ○ | ○ |
4.署名する意図のある者が実行または採用しなければならない。 | △ | △ | ○ | ○ | △ |
5.電子で付与される署名は、対象情報に紐づけされなければならない。 | × | × | ○ | ○ | ○ |
どれでも、電子署名です。しかし、これら5点の要件で、疑義が生じた場合に、
- 正しいことを簡単に説明できるものを「○」
- いろいろと別の情報を持ってくるなどして何とか証明できるもの「△」
- 全くできないもの「×」
として整理してみました。
署名行為は、あくまでも、当事者間の信用ですので、署名対象の情報の中身によって、利便性やコストのバランスを利用者が正しく認識して手法を選択するものだと思います。
デジタルの場合は、その情報に、何ら措置をしていないと、本人の意思とは無関係に、痕跡もなく複製、瞬時に世界中に広報、将来にわたって記録されてしまいます。電子署名は、その検証において、署名時の処理が将来確認されることになります。
主務3省が公表したQ&Aからのメッセージは、
署名のプロセスにおいて十分な水準の固有性を満たしているかについては、システムやサービス全体のセキュリティを評価して判断されることになると考えられる。
そして
各サービスの利用に当たっては、当該サービスを利用して締結する契約等の性質や、利用者間で必要とする本人確認レベルに応じて、適切なサービスを選択することが適当と考えられる。
です。
×なのに△、△なのに○という誤解によって、「後の祭り」とならないよう、見合ったサービスを利用することが重要だと思います。
前の記事を読む
次の記事を読む