電子署名法における認証業務・特定認証業務・認定認証業務の違い

投稿日:

さまざまな電子契約サービスを比較しどれを利用するかを判断するにあたって、電子署名法に定義された「特定認証業務」の意義を正確に理解できるかは重要なポイントとなります。わかりにくい条文をできるだけ丁寧に分解し、読み解いてみました。

電子署名法を読みにくくしている「特定認証業務」の存在

電子契約を支える法律の一つである電子署名法を理解するためのポイントが同法第3条にあることは、本メディア記事「電子署名法とは?電子契約時代を支える電子署名法の基礎知識と条文の読み方」で解説しました。

また、法第4条以下は、特定認証業務の認定とその特定認証業務を認定・監督する指定調査機関についての条文であり、一般ユーザーが電子契約の法的有効性を検討する場面ではあまり重要ではないという点も、同記事で述べたとおりです。

とはいえ、よくわからない語が出てくると気になる・理解したくなるというのが人情です。とくに「特定認証業務」がどのようなものを含み、どのようなものを含まないのかを正確に理解しようとすると、意外に奥深いものであることがわかります。

そこでこの記事では、この特定認証業務とは何か、そしてそれを理解するための認証業務や認定認証業務との違いについて、条文を丁寧に追ってみたいと思います。

電子署名法の条文から認証業務・特定認証業務・認定認証業務の定義を整理する

(1)認証業務とは

前提として「認証業務」について理解する必要があります。これは、電子署名法第2条2項に定義されています。

自らが行う電子署名についてその業務を利用する者(以下「利用者」という。)その他の者の求めに応じ、当該利用者が電子署名を行ったものであることを確認するために用いられる事項が当該利用者に係るものであることを証明する業務

まず、文末の「業務」は「サービス」と同義と捉えて差し支えないでしょう。

一方、特にこの条文を読みにくくしているのが、「当該利用者が電子署名を行ったものであることを確認するために用いられる事項」というわかりにくい言い回しです。これは例えば公開鍵暗号方式の電子署名における公開鍵のようなものを指しています。なお、公開鍵はあくまで例であって、この法第2条2項の条文上は公開鍵暗号方式に限定しているものではありません。

よって、これをかんたんに言いなおせば、「電子署名が当該利用者に係るものであることを証明するサービス」という程度の定義です。

(2)特定認証業務とは

つぎに、問題の「特定認証業務」についてです。法律上は、上記の「認証業務」の定義を踏まえたかたちで法第2条3項に定義されています。

電子署名のうち、その方式に応じて本人だけが行うことができるものとして主務省令で定める基準に適合するものについて行われる認証業務

「その方式に応じて本人だけが行うことができるものとして主務省令で定める基準」は、電子署名法施行規則第2条に定められています。現時点では、公開鍵と秘密鍵のキーペアからなる公開鍵暗号方式によるデジタル署名を念頭においた基準が定められています。

第二条 法第二条第三項の主務省令で定める基準は、電子署名の安全性が次のいずれかの有する困難性に基づくものであることとする。
一 ほぼ同じ大きさの二つの素数の積である千二十四ビット以上の整数の素因数分解
二 大きさ千二十四ビット以上の有限体の乗法群における離散対数の計算
三 楕円曲線上の点がなす大きさ百六十ビット以上の群における離散対数の計算
四 前三号に掲げるものに相当する困難性を有するものとして主務大臣が認めるもの

これらの定義を踏まえ、一文で「特定認証業務」を定義すると、「認証業務のうち、主務大臣が定める技術的安全性を備えたデジタル署名を利用したサービス」となります。

(3)主務大臣の認定を受けた特定認証業務(認定認証業務)とは

しかし、それでもなお分かりにくいのは、事業者が特定認証業務を提供するためには、主務大臣の認定を得る必要は必ずしもない、という点です。少なくとも、私はしばらくこの点で混乱していました。

なぜ混乱したかというと、電子署名法第4条1項に

特定認証業務を行おうとする者は、主務大臣の認定を受けることができる。

という規定があるからです。しかしよく読むと「認定を受けなければならない」ではなく「認定を受けることができる」となっています。つまり、特定認証業務を名乗るにあたって、必ずしも主務大臣の認定を受けることは義務とはなっておらず、

① 主務大臣の認定を受けた特定認証業務
② 主務大臣の認定を受けない特定認証業務

がそれぞれ存在する、というわけです(ここがわかりにくい!)。そして、このうちの①を提供する事業者を特に「認定認証事業者」と呼ぶことが法第8条に定められていることから、①の俗称として「認定認証業務」を使う ことがあります。ただし、認定認証業務という言葉は、条文上は定義されていません。

(4)「主務大臣の認定をあえて受けない特定認証業務」が存在するのはなぜか?

では、特定認証業務を提供するのに、なぜあえて主務大臣の認定を受けない事業者が存在するのでしょうか?

その理由はさまざまですが、

  1. 認定にかかるコストが高い(400〜500万円/年間の維持審査費用がかかる)ため
  2. 認定制度自体の認知度が低く、コストに対し得られるサービス信頼度の向上メリットが低いため
  3. 認定を受けた特定認証業務によらなくても、法第3条が定める真正の推定効が認められているため

などが挙げられます。

本メディア記事「電子署名法とは?電子契約時代を支える電子署名法の基礎知識と条文の読み方」でも述べた通り、やはり法第3条による真正の推定効が働くか否かがこの主務大臣の認定と無関係であることが、認定を受けようとするインセンティブが働かない理由となっていることは否定できないところでしょう。

(5)認定認証業務のリスト

認定認証業務のリストは

により公示されています。

2018年11月10日時点で計10サービスがリストされており、ここにリストされていない電子契約サービスは、基本的には②に該当することとなります。

まとめ—認証業務・特定認証業務・認定認証業務の関係図

以上をまとめ、関係を図に表すと、以下のとおりとなります。

このように整理することで、さまざまな電子契約サービスの特徴や違いが理解できるようになります。

主務大臣に認定された特定認証業務としてリストアップされた電子契約サービスを選択することで得られる安心感は、とくに企業の法務部門にとっては捨て難いものがあります。ただし、当然にコストや契約の相手型に求める負担等の導入障壁は高くなる傾向にあります。これに対し、多くのクラウド型電子契約サービスは認定認証業務ではありませんが、その分、導入障壁も低いものがほとんどです。

さまざまな電子契約サービスが出てきている中、メリットとデメリットを比較検討しどのサービスを利用するかの選択をするにあたって、このような違いも理解した上で、自社の方針に沿った選択をしていただくとよいと思います。

(橋詰)