電子契約のメール認証と無権代理リスク対策

クラウド型電子契約で用いられる本人認証の仕組み

クラウドベースの新しい電子契約サービスの最大のメリットは、昔ながらの本人認証用のICカード等の設備を送信者・受信者双方が用意する負担なく、いつでも・どこからでも・どんなデバイスでも電子署名（デジタル署名）を用いた契約が締結できるという点にあります。

ここで問題になるのが、ICカード等の「モノ要素による認証」を用いずに、その契約書にアクセスし電子署名を施したのが本人であることをどう担保するか、という点です。

現在普及がすすむクラウド型電子契約では、一般的に、

• 送信者が契約書ファイルをサーバーにアップロードし、契約相手方のメールアドレスを入力
• 電子契約プラットフォームがそのメールアドレス宛てに専用のアクセスURLを自動生成し送信
• 受信者がそのURLをクリックし契約当事者として契約書ファイルにアクセスし同意

する、いわゆる メール認証と呼ばれる方法を採用 しています。

一般的なクラウド型電子契約ではメール認証を採用

送信者から受信者へメールで送信される自動生成URLは、非常に長く複雑な文字列から成るユニークなもので、総当たり攻撃を仕掛けたとしてもヒットするまで何万年もかかり、かつURLには有効期限も設定されているため、第三者からの不正アクセスは極めて困難となります。

こうした仕組みで発行された専用URLにアクセスできる人物は、認証用メールへのアクセス権を有するメールアドレス所有者である。そうした前提での本人認証が行われているわけです。

メール認証方式のリスクと電子署名法第3条の推定効

さて、こうしたメール認証方式のクラウド契約の仕組みに対して、企業の法務担当者からは、大きく分けて以下2つの懸念が寄せられます。

1. なりすましリスク（技術的懸念）：第三者が受信者のメールアカウントを乗っ取り、本人になりすまして同意するリスクです。これに対しては、クラウドサインの「2要素認証」や、アクセスコードを別ルートで通知する機能を活用することで、技術的にリスクを最小化できます
2. 無権代理リスク（権限的懸念）

ここでは「無権代理」を詳しくご紹介します。

【解説】無権代理とは

本来は契約を結ぶ正当な権限（代理権）を持っていない人が、勝手に「会社の代理人」として振る舞い、契約を締結してしまうことをいいます。無権代理によって結ばれた契約は、原則として会社（本人）に対して効力を持たず、後から「契約は無効である」と主張されるリスクが生じます。

実は、このリスクは電子契約特有のものではありません。紙の契約書でも「認め印を勝手に持ち出された」「印影をスキャンして偽造された」といったトラブルは起こり得ます。

むしろ電子契約においては、システム上に「いつ・どのメールアドレスから・どのIPアドレスで同意されたか」という強固なログ（合意締結証明書など）が残るため、紙の契約書における印影の立証よりも客観的な証拠が保全されやすいという利点があります。

また、2020年に法務省・総務省・経済産業省より公表された見解（Q&A）により、メール認証に加えて2要素認証などを適切に組み合わせた事業者署名型（立会人型）電子契約は、電子署名法第2条の「電子署名」に該当し、同法第3条に基づく「真正な成立の推定」が働き得ることが明確化されています。したがって、過度な不安を抱く必要はありません。

※参考資料
利用者の指示に基づきサービス提供事業者自身の署名鍵により暗号化等を行う電子契約サービスに関するＱ＆Ａ （電子署名法第３条関係）
電子署名法第３条に関するＱ＆Ａについて
電子署名法の概要と認定制度について

ユーザー企業が採用するメール認証リスクの低減策

では、前記2のような無権代理リスクを排除するために、どのような対策を取ればよいでしょうか。

ここからは、クラウドサインのユーザー企業が実際に採用されている対策のいくつかをご紹介したいと思います。

（1）書面あるいは事前の電子合意による確認

いきなり相手方企業に契約締結依頼メールを送信するのではなく、当該メールアドレスの所有者が契約締結権限者であることを、事前に確認しておく という方法です。紙の書面と印鑑の信頼性を重視する法務部門から、最も納得を得やすいオーソドックスな対策だと思います。

確認方法としては、以下2つのパターンが考えられます。

• 「電子契約用メールアドレス確認書」を事前に相手方に提出していただく
• 基本契約書により個別契約を電子契約で締結する旨（および特定のメールアドレスを用いる旨）を合意しておく

さらに委任関係を確実に担保したければ、これらの書面に実印を押させた上で印鑑証明書を提出させることも一考です。

なお、後者の方法については、ビジネス法務2020年4月号の特集「電子契約のしくみと導入プロセス」P37にてLINE株式会社も採用されている旨が紹介されています。

（2）事前登録フォーム運用により中央集権管理を徹底

上記（1）よりも簡便に、Webフォーム等を用いて以下情報を相手方に登録させる方法 を採用するユーザー企業様があります。

• 会社名
• 契約締結権限者の役職および氏名
• 契約締結用メールアドレス
• 当社側の契約締結担当部署／担当者名

この フォームの受付先を法務・総務部門とし、契約相手方ごとに登録されたメールアドレスを一元管理する中央集権スタイル を採用するユーザー様もいらっしゃいます。

クラウドサインのビジネスプランでは、自社ドメインのメールアドレスを勝手に従業員に登録できないようにするアカウント登録制限機能や、管理部門のメールアドレス認証を通さなければクラウドサイン上での契約に同意できないようにする承認（ゲートキーパー）機能も提供しており、こうした中央集権型管理が容易となっています。

（3）契約締結権限の表明・保証条項で真正性を補充

上記（1）（2）による事前の手続き的確認に加えて、契約書において当該メールアドレス所有者の代理権限を表明させ保証を入れさせるという方法もあります。

※ただし、無権代理人が勝手に表明保証を行っても会社には効力が及ばないため、本条項は主に無権代理人個人に対する損害賠償請求を容易にするための補完的な手段となります。

第○条　本契約にメール認証による電子署名をもって署名する各個人は、相手方に対し、本契約を締結し各条項の規定を履行する正当な権利および能力を有していること、本契約を締結するについて何人からの何らの異議申立てがなされないこと、ならびにかかる事態が生じた場合第三者からの一切の要求に対し自己の責任と負担においてこれに対処し、相手方に何らの迷惑および損害を与えないことを保証する。

英文契約の実務では、代表取締役ではない立場の者による契約締結の場面で、契約締結権限の表明・保証条項を入れるケースは多く見られます。上記サンプル条項は、これにメール認証の電子署名の真正性保証を加えたものになります。

（4）一定の役職者以上のメールアドレスのみ使用を認め名刺情報と照合

そこまで大々的な仕組み化をせずとも、ルールベースでリスクを回避する方法はないでしょうか。

実務的にも取り組みやすい方法としては、「部長」「課長」職以上の役職者のメール認証による締結をルールとし、名刺を証憑として管理しておく という手が考えられます（参考記事：代表者以外の従業員による押印・電子署名の有効性）。裁判上、一定の役職者による行為は、会社に効果が帰属するという「信頼」を保護する一要素となり得ます。

なお、人事異動等により役職者が交代するリスクもあるため、定期的に名刺情報に変更がないかのクリーニングをするサイクルを設けるとなおよいでしょう。

（5）代表取締役のメールアドレス以外での締結を禁止

ルールベースではシンプルかつもっとも強力な方法が、送信先を必ず代表取締役宛てと徹底する というものです。

メールアドレスの所有者そのものが社長のなりすましでない限り、当然に無権代理の問題は発生しなくなります（会社法349条4項）。

ただし、受信者側の代表者にその負担を求めるということは、返す刀で送信者についても代表者からの送信を求められる可能性は高まるであろうことに注意が必要です。

メール認証が問題視される本当の理由—押印権限を現場に移譲しない日本の商習慣

さて、メール認証のリスクを特に重くみるユーザーに共通するのが、電子契約移行前の「紙と印鑑」時代に どんな契約書についても法務部を通し、代表取締役印で押印している企業 であるという特徴が挙げられます。

このような企業のために、クラウドサインのビジネスプランでは、ゲートキーパー役の権限者を通さない限りクラウドサインでの契約締結ができなくなる機能もご提供しています。

しかし、企業の代表取締役や押印代理をする法務部が契約書の内容をすべて把握しているかというと、そんなはずはありません。社内の権限規程・稟議規程にのっとり、担当部門の決裁範囲で行われている取引がほとんどだからです。

本来、そうした日常の商取引については、それを担当する現場責任者に押印権限自体も委任すべきですが、なぜそうならないのでしょうか？

それは、押印の真正性を証明する「印鑑証明書」が代表者のものしか発行されないという事情にも原因があります。代表者以外の部長印等で契約した場合、その意思表示の真正性を相手方に示すとなると、代表者の印鑑証明書に加えて「委任状」も発行し示さなければならなくなってしまいます。そんな面倒な書類を増やすぐらいならと、法務・総務担当者が代表者印を代理で押印するという「方便」が使われ続けているのが、日本の押印実務です。

翻ってみれば、国内企業との取引ではこれだけ印鑑や本人認証にこだわる日本企業が、外国企業との契約となると案件を主導するVice President（日本でいう本部長・部長クラス）の手書きサインだけで応諾し、サイン証明も取らないという実態もあります（参考記事：印鑑証明書を確認する私たちがサイン証明書を確認しないのはなぜか）。

紙の契約書でも代表者印・印鑑証明書まで求めなかった取引があるように、これを機にさまざまな取引と押印に関する実務を見直し、その契約のリスクに応じた権限移譲と本人確認手段を選ぶことこそが重要です。

契約当事者欄にメールアドレスを併記する時代へ

さて、話を元に戻して、こうしたメール認証による電子契約が普及するにつれて起こるであろう契約実務の変化の一つとして考えられるのが、契約当事者欄の表記についてです。

紙の契約書では、同一商号（社名）や同姓同名の者が存在しうることから、契約当事者を一意に特定する目的で①住所・②商号・③契約締結権限者名の氏名を記載する実務が定着しています。

今後電子契約が普及するにつれて、契約当事者欄には上記①〜③に加えて ④メールアドレス を表記することが新しい商習慣として定着していく ものと考えます（なお住所表記不要論については参考記事：電子契約の当事者表示に住所の記載は必要か）。

民法改正を機に、各社契約書のひな形の見直しを終えられたころかと思います。電子署名を利用しない契約であっても、途中の契約上の意思表示において、インターネット上の住所とも言うべきドメイン・メールアドレスの重みはますます上昇しています。

きたる電子契約の時代への備えも兼ねて、契約当事者欄でのメールアドレス併記も検討されてはいかがでしょうか。

画像：metamorworks / PIXTA（ピクスタ）, CG-BOX / PIXTA（ピクスタ）, kikuo / PIXTA（ピクスタ）, sasaki106 / PIXTA（ピクスタ）, metamorworks / PIXTA（ピクスタ）

（橋詰）