電子署名法の「認証業務」とは—特定認証業務・認定認証業務との違いとその意義
電子署名法に定義される「認証業務」「特定認証業務」を正確に理解することは、電子契約サービスの比較や法的効力の検討にあたって重要なポイントとなります。わかりにくい条文をできるだけ丁寧に分解し、読み解いてみました。
目次
電子署名法の認証業務・特定認証業務・認定認証業務の定義を整理する
電子署名・電子契約サービスを理解するために電子署名法を初めて読んだ方から、「認証」「認証業務」の語が複数の条文に出現し、その違いや意義が分かりにくい という声を耳にします。
「認証」が、「一定の行為または文書が正当な手続・方式でなされたことを公の機関が証明すること / コンピューター・システムで、対象の信頼性・正当性を確認すること」(広辞苑第七版)の意味であることはわかっても、電子署名やその法的効果にどう関係があるのかが分かりにくいのです。
一例として、経済産業省の2020年4月17日付「オンラインサービスにおける身元確認手法の整理に関する検討報告書」では、オンラインサービスで行われる本人確認について、
- 身元確認:登録する氏名・住所・生年月日等が正しいことを証明/確認すること
- 当人認証:認証の3要素のいずれかの照合で、その人が作業していることを示すこと
に分解して捉える必要があるとの問題提起をしています。こうした取りまとめが今コストをかけて行われているのを見ても、認証という語の解釈が人によってブレがちであるということが分かります。
そこで本稿では、電子署名法における認証業務の位置付け・法的効果・メリット・課題 について、条文を丁寧になぞりながら解説していきます。
(1)認証業務とは
まず、電子署名法2条2項に定義されている「認証業務」から確認します。ここは以下すべての基礎となる部分ですので、慎重に条文を読み解いてみましょう。
この法律において「認証業務」とは、自らが行う電子署名についてその業務を利用する者(以下「利用者」という。)その他の者の求めに応じ、当該利用者が電子署名を行ったものであることを確認するために用いられる事項が当該利用者に係るものであることを証明する業務をいう。
「自らが行う電子署名についてその業務を利用する者(以下「利用者」という。)」、この部分は、電子署名サービスのユーザーを指します。
そこに「その他の者」という語句が続いています。これは電子署名の検証を行おうとする者、典型例としては、電子署名の入った契約書ファイルを受け取った契約相手方を指します。それ以外にも、その電子署名が本当に本人が施したものなのかを確認したい人(たとえば証拠として提出を受ける裁判所等)がいるだろうということで、「その他の者」と幅広く定義しています。
さて、次に出てくる「当該利用者が電子署名を行ったものであることを確認するために用いられる事項」という言い回しは、どなたにとっても分かりにくい部分ではないでしょうか。これは、現在一般的に使われる公開鍵暗号方式の電子署名でいえば、「公開鍵」と「暗号化に用いるアルゴリズム」を指します。それらが「当該利用者に係るものであることを証明する業務」つまりその利用者によって施された電子署名であることを証明するサービス、と読みます。
どうしてこのような抽象的な分かりにくい書きぶりになっているのか。それは、将来の新技術にも対応できるよう、あえて特定の技術の利用に限定しないように配慮したためです(技術的中立性を担保)。電子証明書を発行する公開鍵暗号方式に限定されません。たとえば、利便性はさておけばウェブサイトに公示する方法なども範囲に含まれることになります。
以上をまとめて、この電子署名法第2条2項の認証業務の定義をかんたんに言いなおせば、「ある電子署名について、特定の利用者が施したものであることを、利用者本人やその相手方等第三者からの要求に応じて証明するサービス」ということになります。
(2)特定認証業務とは
次に、電子署名法2条3項に定義される「特定認証業務」についてです。こちらは、上記の認証業務(1)を丁寧に理解しておきさえすれば、それほど難しくありません。
この法律において「特定認証業務」とは、電子署名のうち、その方式に応じて本人だけが行うことができるものとして主務省令で定める基準に適合するものについて行われる認証業務をいう。
「その方式に応じて本人だけが行うことができるものとして主務省令で定める基準」は、現時点では、公開鍵と秘密鍵のキーペアからなる公開鍵暗号方式によるデジタル署名を念頭に、技術的安全性の観点から下位法令の電子署名法施行規則第2条によって以下のとおり定められています。
第二条 法第二条第三項の主務省令で定める基準は、電子署名の安全性が次のいずれかの有する困難性に基づくものであることとする。
一 ほぼ同じ大きさの二つの素数の積である二千四十八ビット以上の整数の素因数分解
二 大きさ二千四十八ビット以上の有限体の乗法群における離散対数の計算
三 楕円曲線上の点がなす大きさ二百二十四ビット以上の群における離散対数の計算
四 前三号に掲げるものに相当する困難性を有するものとして主務大臣が認めるもの
電子署名が「本人だけが行うことができるもの(3条)」となるよう、第三者がかんたんに同じ電子署名を作成できない、解読が困難で安全な暗号技術を用いた認証業務であるべきと定めているわけです。
これらの定義を踏まえ、一文で「特定認証業務」を定義すると、「認証業務のうち、主務大臣が認めた技術的安全性を備えたデジタル署名を利用したサービス」ということになります。
(3)認定認証業務とは
さて、特定認証業務の応用編として、最後にもう一つ抑えておきたいのが、「主務大臣の認定を受けた特定認証業務」の存在です。
電子署名法第4条1項に、
特定認証業務を行おうとする者は、主務大臣の認定を受けることができる。
との規定があります。これをよく読むと、興味深いことに 「認定を受けなければならない」ではなく「認定を受けることができる」と書いてあるのがわかります。特定認証業務を名乗るにあたっては、主務大臣の認定を受けることが義務のように見えますが、実は必ずしも義務ではなく、任意の制度なのです。
したがって、特定認証業務には、以下2種類の特定認証業務が存在することになります。
① 主務大臣の認定を受けた特定認証業務
② 主務大臣の認定を受けない特定認証業務
そして、条文上定義された言葉ではないものの、このうちの①を提供する事業者を特に「認定認証事業者」と呼ぶことが法第8条に定められていることから、 ①の俗称として「認定認証業務」と呼ばれます。
繰り返しますがあくまで この特定認証事業の認定制度は任意の認定制度であり、事業者が特定認証業務を提供するに当たって、主務大臣の認定を得る必要は必ずしもありません。同じように(「特定」のつかない)認証業務を行う際も、認定は不要です。この点が誤解しがちなポイントであり、認証業務・特定認証業務・認定認証業務のそれぞれを分かりにくしている原因でもあります。
(4)認定認証業務のリスト
認定認証業務のリストは
により公示されています。
2018年11月10日時点が最終更新日となっており、計10サービスがリストされています。
電子署名法が施行されて間もない平成16年1月時点の記録に遡ると、当時は合計19サービスが認定認証業務として記録されていました。時を経てだんだんと減っている現状 です。
認証業務と電子署名法3条推定効の因果関係
ここまでで、電子署名法において、
- 電子署名が本人のものであるか、その確からしさを高めるのが、認証業務・特定認証業務・認定認証業務の存在意義であること
- 技術的基準として「特定認証業務」が定められ、主務大臣による認定制度も用意されており、認定認証業務のリストも公開されていること
- 認定を受けなくても、認証業務は提供できること
ということがわかりました。ハンコの世界に置き換えると、個人の本人確認(身元確認・当人認証)を行って、実印の印鑑証明書を発行する市町村役場の役割に代わる民間事業者が、認証業務ということになります。
さて、みなさんの関心事は、この 認証業務から電子署名の認証を受けることでどのような効果が得られるのか、という点ではないでしょうか?
電子契約サービス事業者のセールストークや広告において、そのメリットが語られるとき、「当社サービスは電子署名法の特定認証業務にあたるため、当社の電子署名サービスを利用すれば、法人実印と同等の推定効が得られます」と述べているものがあります。これが本当ならば確かにメリットと言えそうですが、実はこれには2つの点で誤解があります。
(1)電子署名法3条の推定効の発生には認証業務による認証は要件とされていない
まず第一に、認証業務によって認証された電子署名であるか否かは、電子署名法3条の推定効発生とは関係がない、という点です。
電子署名法3条の条文を見ても認定事業に関する言及が一切ないことからも明らかなのですが、認証事業者のセールストークや広告に引きずられ、法務担当者でもしばしば誤解しがちなポイントです。このことについて具体的に言及した文献として、以下2つが挙げられます。
「認証がされた電子署名であっても、電子署名法3条の推定効を受けるための「必要な符号及び物件を適正に管理することにより、本人だけが行うことができることとなっている」かを満たしているかは別問題であって、認証がされていても必ずしも電子署名法3条の推定効を受けるとは限らない。逆に、電子署名法3条の推定効を受けるために、電子署名が認証事業者によって認証されていることは必要とされていない。」
—高林淳=商事法務編『電子契約導入ガイドブック』(商事法務,2020)98頁「また、電子署名が認証機関に登録されているものであることも要求されていません(したがって、認証機関という第三者機関を前提にしないPGP方式(Ⅲ-6参照)のような電子署名も電子署名・認証法の定める電子署名に該当する可能性があります)。電子署名・認証法2条1項および3条の求める機能があるとされれば、あとは本人が電子署名を行ったことが立証されるかどうかで電子署名・認証法3条の推定規定が適用されるかどうかが決まります。」
—高野真人・藤原宏髙『電子署名と認証制度』(第一法規, 2001)29頁
電子署名法によって認証業務が設けられてはいるものの、認証を受けることは法的に有効な電子署名を実施するために必須というわけではありません。
(2)認定認証業務であっても法人の利用者の属性情報の証明は認定の対象外である
そしてもう一点、電子署名法の認証業務は、「自然人」である利用者が電子署名を行なったことを証明する業務であり、法人代表者としての電子署名を証明する業務ではない という点です。
利用者が属する法人の名称・利用者の肩書(取締役・営業部長)等の属性情報の証明は、特定認証業務の認定制度の対象外であり、これを誤認させるような表示を行ってはならないとされています。以下、竹田御眞木「電子署名法の概要と動向について」登記研究675平成16年4月号より引用します。
利用者の肩書き等の属性情報については、認定認証業務において発行される電子証明書に記録すること自体は電子署名法上は禁止されていないが、当該情報を記録した場合には、電子証明書を受け取った相手方が、利用者の肩書き等属性情報の記録についても、主務大臣の認定を受け、主務省令の定める基準に従った確認がなされたものと誤認して取引関係等に入ることが考えられ、その結果、電子証明書の記録内容を信頼した相手方が不測の自体を被ることがあり得るため、これらの属性情報の記録については認定の対象外である旨を明らかにしておくことが認定の基準とされている。
法人代表者として法的な認証を得た電子署名を行いたい場合は、電子署名法の認証業務ではなく、商業登記法に基づく法務局の認証を受けた電子署名による必要があります。(参考:「商業登記に基づく電子認証制度」の解説—法人代表者の実印と同等の法的効力を持つ電子署名を実施する方法)
主務大臣の認定をあえて受けない特定認証業務が存在するのはなぜか
特定認証業務を提供するのに、あえて主務大臣の認定を受けない事業者は少なくありません。実際、クラウド型電子契約サービスで利用される電子署名のほとんどが、認定を受けていない特定認証業務の枠組みの中で提供されています。その理由はさまざまですが、
- 認定を受けた特定認証業務によらなくても、法第3条が定める真正の推定効が認められているため
- 認定制度自体の認知度が低く、コストに対し得られる電子署名信頼度の向上メリットが薄いため
- 認定にかかるコストが高い(400〜500万円/年間の維持審査費用がかかる)ため
などが挙げられます。
上述の通り、主な利用者である法人にとっては、電子署名法第3条による推定効が働くか否かがこの主務大臣の認定と直接的な関係にないことが、認定を受けようとするインセンティブが働かない理由 となっていることは否定できないところでしょう。
認証業務・特定認証業務・認定認証業務と電子署名との関係図
以上をまとめ、各認証業務と電子署名法3条推定効との関係を図に表すと、以下のとおりとなります。ポイントは、認証業務の種別・利用の有無にかかわらず、電子署名法3条の「本人による電子署名」の実施は可能である、という点です。
このように整理することで、さまざまな電子署名と電子契約サービスの特徴や違いが理解できるようになります。
認定認証業務(主務大臣に認定された特定認証業務)に認証された電子署名が、一定の品質基準を満たしていることは間違いありません。また、それを選択することで得られる安心感は、企業の法務部門にとって捨て難いものがあります。しかしながら、双方に認証を求めることは、契約の相手方にもコストや電子証明書等の準備負担をかけることにより、導入障壁は高くなり、スピードは犠牲になります。
さまざまな電子契約サービスの中から、どれを利用するか選択する際のメリット・デメリットを比較検討するにあたっては、このような法律上の定義を正確に理解した上で、自社の方針に沿った選択をしていただくとよいでしょう。
(橋詰)
