電子契約の基礎知識

電子署名とは?必要性や仕組み・方法、電子署名法の解釈のポイントを解説

電子署名とは?—電子署名法2条・3条のポイント解説

この記事では、電子署名とは何かとその必要性や仕組み、種類そして電子署名を定義する電子署名法を解説します。電子署名を導入するにあたって基礎知識を押さえておきたい方はぜひご一読ください。また、電子署名法の条文について、企業法務のプロでも陥りがちな3つの誤解についても解説しますので法務を担当されている方も参考にしてみてください。

電子署名とは

電子署名の基本的な定義と役割

電子署名とは、「電磁的記録(電子ファイル)」に付与される電子的なデータであり、「紙の契約書」における印影や署名に相当する役割を果たすものをいいます(関連記事:電子契約入門—第4回:電子署名とは何か)。

電子の世界において現実世界でのハンコの印影や手書きの署名に代わる役割を果たさなければ電子署名は役に立ちません。そのためには、

  • 誰がその文書を作成し意思表示を行ったかが表示される「作成者表示機能」
  • 改変(改ざん・書き換え)されない形で証拠として残る「改変検知機能」

の2つの機能を兼ね備えている必要があります。電子署名に必要な「作成者表示機能」と「改変検知機能」の詳細については、本記事3.2以降で法律の条文とともに詳しく解説します。

電子署名の必要性

電子ファイルで契約を締結した後で電子ファイルの内容が偽造または改ざんされた場合には、裁判所からその証拠能力が疑われることになってしまいます。電子署名はそのような事態を回避し、電子ファイルが本物であることを確実に証明する役割を担っています。

電子署名の仕組み

電子署名は「公開鍵暗号方式」と呼ばれる仕組みによって成り立っています。この暗号技術により、電子署名を付与した電子ファイルの改ざん防止を実現しています。

公開鍵暗号方式では「暗号鍵(別名:秘密鍵、署名鍵)」と、それに対応した唯一の「復号鍵(別名:公開鍵)」の鍵のペアをつくります。暗号鍵は、平文(暗号化されていないデータ)を暗号化するために、復号鍵は暗号文を平文に復号しもとに戻すためにそれぞれ用います。

たとえば「暗号鍵A」と「復号鍵A」のペアをつくり、「復号鍵A」がある暗号文を平文に復号できたとします。その場合、その暗号文は「復号鍵A」に唯一対応する「暗号鍵A」で平文を暗号化したものと証明できます。

公開鍵暗号方式では「暗号鍵A」を平文を作成した本人だけが知るパスワードなどで管理した秘密鍵にします。こうすることで、公開鍵で復号できる暗号文は、その公開鍵と1対1で対応する秘密鍵の管理者が暗号化したものと推定できるため、誰がデータの送信者なのかを証明できます。

【公開鍵暗号方式の仕組みを表した図】

図のように、電子文書のハッシュ値を暗号鍵(秘密鍵)で暗号化したものが電子署名となり、受信者は、復号鍵(公開鍵)でハッシュ値に復号し、この2つを比較して一致するかを検証します。

電子署名の種類

電子署名を実現するには、電子署名の安全性を担保するための高度な「暗号技術」、その暗号技術を利用するために必要となる「ハードウェア(PC、サーバー、スマートフォン、ICカード等)」、そしてそれらを動かす「ソフトウェア」が必要です。

そして、現在日本で利用されている電子署名には、

  1. ローカル型電子署名(ローカル署名)
  2. リモート型電子署名(リモート署名)
  3. クラウド型電子署名(クラウド署名)

大きく分けて上記3つのタイプがありますが、もっともポピュラーで幅広いユーザーに利用されているのが、電子署名に必要なハードウェアをクラウド事業者が準備し、ユーザーに負担が発生しない「クラウド型電子署名」です。

当事者署名型と事業者署名型、ローカル署名・リモート署名・クラウド署名の違いを図解
当事者署名型と事業者署名型、ローカル署名・リモート署名・クラウド署名の違いを図解

電子署名の方法

電子ファイルに電子署名を付与する方法として、「電子契約サービスを利用する」「AcrobatやAcrobat Readerで電子署名する」「メールソフトで電子署名する」という方法が挙げられます。ここではそれぞれの電子署名を付与する方法をご紹介します。

電子契約サービスを利用する

民間企業が運営している電子契約サービスを利用することで電子ファイルに電子署名を付与できます。

電子契約サービスの種類はさまざまありますが、とくに在宅勤務の普及に伴い幅広いユーザーに利用されるようになったのが「クラウド型電子契約サービス」です。電子署名に必要なハードウェアをクラウド事業者が準備するため、ユーザーに準備の負担が発生しないという利点があります。

クラウド型電子契約サービスを利用して電子ファイルで契約締結する手順はサービスによっても異なりますが、pdf化した書類をアップロードした後で相手方のメールアドレスに送信し、受信したファイルの内容に相手方が同意すれば契約締結するという流れが一般的です。

AcrobatやAcrobat Readerで電子署名する

Adobe社のAcrobatやAcrobat Readerを利用することで、PDFファイルに電子署名を付与する方法もあります。その場合には、AcrobatやAcrobat Readerでデジタル ID を取得または作成する必要があります。

AcrobatやAcrobat Readerを利用したPDFファイルへの電子署名の方法についてはAdobe公式サイトの「PDF ファイルで電子署名を利用する方法 (Acrobat /Acrobat Reader)」を参考にしてみてください。

メールに電子署名する

「Microsoft Outlook」や「Microsoft Outlook Express」のようなメールソフトを利用してメールに電子署名を付与することも可能です。

メールに電子署名する際には、「S/MIME(エスマイム)」と呼ばれる公開鍵暗号を応用した電子メールを暗号化する技術に対応したメールソフトを導入する必要があります。S/MIME(エスマイム)を利用してメール本文を暗号化することで、なりすましを防ぐことができるため、電子メールのセキュリティを高めたい方は検討すると良いでしょう。

電子署名の法的な有効性について定める電子署名法とは

電子署名の有効性や証拠力を支える重要な法律の一つが、「電子署名法(電子署名及び認証業務に関する法律)」です。

電子署名法とは、電子文書に施される「電子署名」の定義、要件、効果およびその認証を行う事業を規律する法律 です。具体的には、以下のような法的効果や認証制度を整備した法律となっています。

  • 本人による一定の要件を満たす電子署名が行われた電子文書等は、真正に成立したもの(本人の意思に基づき作成されたもの)と推定される
  • 電子署名の認証を業として行う認証業務について、一定の基準を満たすものは、認定を受けることができる
  • 所管庁(2021年9月1日よりデジタル庁)が、認証業務に用いられる設備等を実地調査する業務を行う指定調査機関を指定

電子契約の普及にともなって、ますます電子署名法の精緻な理解が求められる時代になっていますが、この記事では、以下2条と3条を中心に詳しく解説していきます。

電子契約の普及にともない電子署名法の理解が欠かせない時代に
電子契約の普及にともない電子署名法の理解が欠かせない時代に

電子署名法を理解するためのポイント

電子署名法の全体構造

電子署名法は、以下のような章・条立てで構成されています。

第1章 総則 第1条・第2条
第2章 電磁的記録の真正な成立の推定 第3条
第3章 特定認証業務の認定等 第4条―第16条
第4章 指定調査機関等 第17条―第32条
第5章 雑則 第33条―第40条
第6章 罰則 第41条―第47条

これを見ると、どこか重要かは一目瞭然です。「電磁的記録(電子文書)の真正な成立の推定」をする、どうみても重要そうな第2章の中身が、3条というたった一つの条文しかありません。

電子署名法を理解するためのポイントは、ずばり、3条を正確に理解できるか にあります。

電子署名法2条が定める電子署名の要件

その3条を理解する前提として、先に 「電子署名」の要件を定義する電子署名法2条1項を確認 しておく必要があります。

第二条 この法律において「電子署名」とは、電磁的記録(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式で作られる記録であって、電子計算機による情報処理の用に供されるものをいう。以下同じ。)に記録することができる情報について行われる措置であって、次の要件のいずれにも該当するものをいう。
一 当該情報が当該措置を行った者の作成に係るものであることを示すためのものであること。
二 当該情報について改変が行われていないかどうかを確認することができるものであること。

本条を箇条書きで整理すると、

  1. 当該情報(電子データ)について行われる措置であること
  2. 当該情報(電子データ)が当該措置(電子署名)を行なった者が作成したものであることを表示する目的のもの
  3. 当該情報(電子データ)に改変がないことを確認できるもの

これらを全て満たすものが本法上の「電子署名」ということになりますが、極めて抽象的な要件です。そのため、クラウドサインのようなクラウド型電子署名がこの2条の要件に該当するかについては、議論がありました。

そこで、2020年7月17日に、当時の所管省であった総務省・法務省・経済産業省の連名による「利用者の指示に基づきサービス提供事業者自身の署名鍵により暗号化等を行う電子契約サービスに関するQ&A」が発出され、クラウド型電子署名についても電子署名法2条の電子署名の要件を満たしうるとの公式見解 が示されました(関連記事:「電子契約サービスに関するQ&A」三省連名発表の意義)。

・サービス提供事業者自身の署名鍵により暗号化を行うこと等によって当該文書の成立の真正性及びその後の非改変性を担保しようとするサービスであっても、技術的・機能的に見て、サービス提供事業者の意思が介在する余地がなく、利用者の意思のみに基づいて機械的に暗号化されたものであることが担保されていると認められる場合であれば、「当該措置を行った者」はサービス提供事業者ではなく、その利用者であると評価し得るものと考えられる。
・そして、上記サービスにおいて、例えば、サービス提供事業者に対して電子文書の送信を行った利用者やその日時等の情報を付随情報として確認することができるものになっているなど、当該電子文書に付された当該情報を含めての全体を1つの措置と捉え直すことよって、電子文書について行われた当該措置が利用者の意思に基づいていることが明らかになる場合には,これらを全体として1つの措置と捉え直すことにより、「当該措置を行った者(=当該利用者)の作成に係るものであることを示すためのものであること」という要件(電子署名法第2条第1項第1号)を満たす ことになるものと考えられる。

電子署名法2条が電子署名の要件をあえて抽象的に定めた理由

ところで、インターネットで「電子署名」を検索すると、「公開鍵暗号方式」を用いたデジタル署名が電子署名だと具体的に説明されます。それにもかかわらず、電子署名法2条において、こうした公開鍵暗号方式を採用していることを要件とせずに抽象的な定義にとどめたのは、なぜなのでしょうか?

この点について、立法当時の経緯を、情報法の専門家である岡村久道先生が自身のウェブサイトにまとめてくださっています。

従来における電子署名技術の中心は、前述のとおり公開鍵暗号技術であった。しかし今回の法律では、今後の技術発展により新たな技術が実用化された場合でも、これを「電子署名」として法律上で扱えるよう、公開鍵暗号技術に限定しないという見地から、「技術的中立性(technological neutrality)」を保って電子署名が果たすべき機能という観点から定義されている。したがって、指紋などを利用したバイオメトリックス技術に基づく電子署名も、この法律にいう電子署名に該当しうる。

電子署名法制定後に、電磁的な意思表示の証としての固有性や非改ざん性を証明するよりよい方法が将来発見・発明される可能性を踏まえ、あえて条文をあいまいにし、技術的中立性に配慮 したというわけです。

電子署名法3条が定める推定効発生の要件

では、いよいよ 最重要条文である電子署名法3条 をみてみましょう。

第三条 電磁的記録であって情報を表すために作成されたもの(公務員が職務上作成したものを除く。)は、当該電磁的記録に記録された情報について本人による電子署名(これを行うために必要な符号及び物件を適正に管理することにより、本人だけが行うことができることとなるものに限る。)が行われているときは、真正に成立したものと推定する。

箇条書きにしてみると、

  • 電子文書に対して
  • 本人だけが行うことができる電子署名が本人により行われていれば
  • 真正に成立したものと推定する

本条文が述べているのはたったこれだけのことですが、「本人だけが行うことができる」の要件について、クラウド型電子署名がこれを満たすかが論点となりました。

この点についても、デジタル庁・法務省の連名文書「利用者の指示に基づきサービス提供事業者自身の署名鍵により暗号化等を行う電子契約サービスに関するQ&A (電子署名法第3条関係)」が発出され、クラウド型電子署名も電子署名法3条の推定効が発生しうるとの公式見解 が示されています(関連記事:「電子署名法第3条Q&A」の読み方とポイント—固有性要件と身元確認・2要素認証の要否

あるサービスが電子署名法第3条に規定する電子署名に該当するか否かは、個別の事案における具体的な事情を踏まえた裁判所の判断に委ねられるべき事柄ではあるものの、一般論として、上記サービス【編集部注:クラウドサインのような「利用者の指示に基づき、利用者が作成した電子文書について、サービス提供事業者自身の署名鍵による暗号化等を行う電子契約サービス」を指す】は、①及び②のプロセスのいずれについても十分な水準の固有性が満たされていると認められる場合には、電子署名法第3条の電子署名に該当するものと認められることとなるものと考えられる。したがって、同条に規定する電子署名が本人すなわち電子文書の作成名義人の意思に基づき行われたと認められる場合には、電子署名法第3条の規定により、当該電子文書は真正に成立したものと推定されることとなると考えられる。

民事訴訟法228条4項と電子署名法3条の比較

このように、複雑な解釈論が展開されてきた電子署名に対し、物理的な実印や認印の押印についてそうした議論が起きないのはなぜでしょうか。

紙文書に対する押印の効力を規定する民事訴訟法228条4項と、電磁的記録に対する電子署名の効力を規定する電子署名法3条(および電子署名を定義する2条1項)を並べて比較してみたのが、以下の図です。

民事訴訟法228条4項と電子署名法3条の比較
民事訴訟法228条4項と電子署名法3条の比較

こうして見ると、押印の推定効の発生条件はきわめてシンプルで、本人が押した印さえあれば、推定効を認める 条文になっています。それに対し、電子署名の推定効の発生条件は、2条電子署名の要件を満たした上で、さらに括弧書きの条件を満たした3条電子署名を措置することを要求 しています。

このように、押印よりも電子署名に過度に厳しい要件を課すべきかについて疑問もありますが、現行の法令がそうなっている以上、注意が必要です。

一般ユーザーは電子署名法4条以下を読む必要なし

なお、4条以下は、「特定認証業務の認定」とその特定認証業務を認定・監督する「指定調査機関」についての条文になっています。

「特定認証業務」という言葉は、聞きなれないと思います。前提となる「認証業務」の定義とともに、2条2項および3項にその定義があります。

第二条 (略)
2 この法律において「認証業務」とは、自らが行う電子署名についてその業務を利用する者(以下「利用者」という。)その他の者の求めに応じ、当該利用者が電子署名を行ったものであることを確認するために用いられる事項が当該利用者に係るものであることを証明する業務をいう。
3 この法律において「特定認証業務」とは、電子署名のうち、その方式に応じて本人だけが行うことができるものとして主務省令で定める基準に適合するものについて行われる認証業務をいう。

つまり、電子署名の利用者を認証することを商売とする、民間の認証機関が行う業務のことを指します。電子署名法では、民間が電子署名の利用者を認証業務を行うことを認め、その業務の認定要件を4条から47条まで長々と定めたわけです。

ただし、これらの条文は、電子署名法4条以下は、電子認証機関を営もうとする人以外には関係がない、つまり一般ユーザーは読む必要がない条文 です。

電子署名法の解釈における注意点

法務のプロでも陥りがちな電子署名法3つの誤解

電子署名法は2001年に施行された古い法律ですが、この20年間にわたり電子署名自体が普及しなかったこともあり、その解釈や法適用について争われることは多くありませんでした。

そのため、条文解釈を誤った文献も少なくなく、法務のプロフェッショナルでも誤解に陥りがちです。

ここでは、そうした電子署名法に関して頻発している3つの誤解について、解説してみたいと思います。

法律のプロでも誤読しがちな電子署名法
法律のプロでも誤読しがちな電子署名法

【誤解その1】2条1項の電子署名は署名者特定機能を要件としている

まずよくある誤解の一つに、第2条1項に定義される「電子署名」とは、その署名者の本人性を特定する機能を備えていることが要件なのでは?というものがあります。

結論としては、第2条1項の電子署名は、署名者特定機能を要件としていません。以下、この点について述べた高野真人・藤原宏髙『電子署名と認証制度』(第一法規,2001)P28から引用します。

書籍情報

電子署名と認証制度

 

  • 著者:高野真人・藤原宏髙/編著
  • 出版社:第一法規
  • 出版年月:20010910

 

電子署名制度の必要性は、電子署名・認証法成立以前から説かれていました。その場合に、電子署名の持つ機能として、電子データに付された電子署名から署名者が誰であるかを特定する機能、すなわち「署名者特定機能」を持つ必要性があるとされていました。なぜ契約書作成の場合に署名・押印が求められてきたかというと、署名・ 押印の存在によりその文章を誰が作成したかを判別できるからです。
ところが、電子署名・認証法2条1項の定義は、その点には何も触れていません。同項では電子署名の要件として(ウ)【編集部注:2条1項2号】の改変防止機能を要求しているのですから、このような高度な機能を持つ以上、本来は「署名者特定機能」を有するものであることが予想されることではあります。しかし、法律の構造上は、このような機能は「電子署名」であることの要件となっていません。

印章に代わる道具として電子署名システムを捉えた場合、道具を入手する時点で署名者を特定するプロセスを設けるのがナンセンスであることは、理解できると思います。

「民事訴訟法228条4項と電子署名法3条の比較」の項でも述べたとおり、押印には求めていなかった改変防止機能を電子署名法2条1項2号がなぜ要求しているのかも論点ではありますが、2条1項1号「当該情報が当該措置を行った者の作成に係るものであることを示すためのものであること」を丁寧に読めば、誰が対象電子文書に記載の意思表示をしようとしたかを示す、作成者表示機能を求めているに過ぎないことがわかります。

【誤解その2】3条の推定効は認定認証を要件としている

もう一つ重要な点であり誤解されがちな点として、電子署名法3条に定める電子文書の真正な成立の推定効を獲得するためには、必ずしも第4条以下に定める電子認証機関(認証局)による認証が必要とされているわけではない、という事実です。

電子認証機関(認証局)は、身元確認を行った上で署名鍵と対となる電子証明書を発行する機能を持ち、電子署名法4条以下では、その認定基準等が定められています。しかし、それを利用した電子署名を用いるかはユーザーの任意であり、こうした機関を利用する電子署名かどうかは、電子署名の有効性や推定効の有無とは別問題です。

そのことを論じている文献の一つに、『新版注釈民法(13)債権(4)補訂版』(有斐閣、2006年)P322に、松本恒雄先生による以下の解説があります。

書籍情報

注釈民法 13 債権. 4(契約総則)

 

  • 著者:五十嵐清/著 川島武宜/編集 於保不二雄/編集 谷口知平/編集
  • 出版社:有斐閣
  • 出版年月:2006-12

 

ここで注意すべきは、特定認証業務の認定を受けた電子認証機関によって認証された電子署名が、自動的に同法3条による真正な成立の推定を受ける電子署名であるとの直接的な連動はないことである。

あくまでより高い信頼性があることをコストをかけて担保したい利用者のための制度です。認定されたサービスを利用しなくとも、2条1項および3条の要件を満たすことで、電子署名は法的な有効性を有します。

【誤解その3】3条の推定効は署名者の身元確認を要件としている

誤解その1で述べた2条1項の署名者特定機能に関する誤解とも重なりますが、「電子契約サービスの利用者(署名者)の身元確認がなされることが、電子署名法3条の要件である」と述べる一部の電子契約サービス事業者・一部の専門家が存在します。これも誤りです。

デジタル庁・法務省の連名文書「利用者の指示に基づきサービス提供事業者自身の署名鍵により暗号化等を行う電子契約サービスに関するQ&A (電子署名法第3条関係)」では、身元確認必要説をとなえた事業者・専門家の見解を否定 しています。

サービス提供事業者が電子契約サービスの利用者と電子文 書の作成名義人の同一性を確認する(いわゆる利用者の身元確認を行う)ことは、電子署名法第3条の推定効の要件として 必ず求められているものではないものの、電子契約サービス の利用者と電子文書の作成名義人が同一であることの有効な立証手段の一つとなり得る。

クラウド型電子契約サービスを法的に評価・分析するにあたっては、民法や民事訴訟法に加え、電子署名法に関するこうした知識を正確に把握した上で行う必要があります。

なお、クラウドサインではサービスの利用をご検討いただく皆様に、クラウド契約に関する「適法性」「証拠力」「税務対応」の3点について法律知識を整理した「クラウド契約法律ガイド」を用意しております。無料でダウンロードできますので、クラウドサインを利用する上で法律の観点を確認したい方が以下のリンクからご入手ください。

まとめ—三行でまとめる「電子署名とは?」

  • 電子署名とは、電磁的記録(電子ファイル)に付与される電子的なデータ。「紙の契約書」における印影や署名に相当する役割を果たす。
  • 電子署名法とは、電子文書に施される「電子署名」の定義、要件、効果およびその認証を行う事業を規律する法律。同法では、クラウドサインのような事業者署名型も有効であると定めている。
  • 電子署名法を正しく理解するためには、電子署名法において、署名者特定機能や身元確認が求められていると誤解しないことがポイント。
契約のデジタル化に関するお役立ち資料はこちら

この記事を書いたライター

Avatar photo

弁護士ドットコムクラウドサイン事業本部リーガルデザインチーム 橋詰卓司

弁護士ドットコムクラウドサイン事業本部マーケティング部および政策企画室所属。電気通信業、人材サービス業、Webサービス業ベンチャー、スマホエンターテインメントサービス業など上場・非上場問わず大小様々な企業で法務を担当。主要な著書として、『会社議事録・契約書・登記添付書面のデジタル作成実務Q&A』(日本加除出版、2021)、『良いウェブサービスを支える 「利用規約」の作り方』(技術評論社、2019年)などがある。

こちらも合わせて読む

電子契約の国内標準
クラウドサイン

日本の法律に特化した弁護士監修の電子契約サービスです。
さまざまな外部サービスと連携でき、取引先も使いやすく、多くの企業や自治体に活用されています。