「電子署名法第3条Q&A」の読み方とポイント—固有性要件はどのようにして生まれたか

投稿日:

クラウド型電子署名によっても、電子文書の真正な成立の推定効が及ぶとの公式見解が示されました。今回の3条Q&Aのポイントと、新たに明らかになった「固有性」要件について解説します。

電子署名法第3条Q&Aの要点

令和2年9月4日、総務省・法務省・経済産業省の連名で、「利用者の指示に基づきサービス提供事業者自身の署名鍵により暗号化等を行う電子契約サービスに関するQ&A (電子署名法第3条関係)」(以下「電子署名法第3条Q&A」)と題する文書が公表されました。

電子署名法第3条Q&A http://www.moj.go.jp/content/001327658.pdf 2020年9月7日最終アクセス

本文書により、事業者の署名鍵を用いて電子署名を施すクラウド型電子署名について、その電子署名プロセスに十分な水準の固有性が満たされていると認められる場合には、電子署名法3条により電子文書の真正な成立が推定されるという見解が、主務官庁から公式に示された ことになります。

あるサービスが電子署名法第3条に規定する電子署名に該当するか否かは、個別の事案における具体的な事情を踏まえた裁判所の判断に委ねられるべき事柄ではあるものの、一般論として、上記サービス【編集部注:クラウドサインのような「利用者の指示に基づき、利用者が作成した電子文書について、サービス提供事業者自身の署名鍵による暗号化等を行う電子契約サービス」を指す】は、①及び②のプロセスのいずれについても十分な水準の固有性が満たされていると認められる場合には、電子署名法第3条の電子署名に該当するものと認められることとなるものと考えられる。したがって、同条に規定する電子署名が本人すなわち電子文書の作成名義人の意思に基づき行われたと認められる場合には、電子署名法第3条の規定により、当該電子文書は真正に成立したものと推定されることとなると考えられる。

あわせて、「十分な水準の 固有性 が満たされる」ためには、

  1. 利用者とサービス提供事業者間の間での2要素認証
  2. サービス提供事業者内部で暗号の強度や利用者毎の個別性を担保する仕組み

がポイントとなることが、一般論として述べられています。

従来型の3条電子署名と新しい3条電子署名の違い

従来型の3条電子署名は、認証局による本人確認のもとユーザーに有償で発行・更新される電子証明書と、ICカードやサーバー等に格納した署名当事者の署名鍵を用い ていました。専門家や3省の間では、こうした方式のみが3条電子署名に該当すると考えられていたのです。

従来型の3条電子署名と異なり、新しい3条電子署名は認証局による本人確認が不要

しかし、今回の電子署名法第3条Q&Aはこうした見解を覆し、認証局の本人確認手続きを不要とし事業者の署名鍵を用いるクラウドサインのような新しい3条電子署名サービスであっても、固有性要件を満たすことで推定効が得られる と述べ、それを満たす 具体例として、2要素認証を経て署名当事者の指示に紐づけて電子署名を行うものを例示 しています。

「これを行うために必要な符号及び物件を適正に管理すること」の具体的内容については、個別のサービス内容により異なり得るが、例えば、サービス提供事業者の署名鍵及び利用者のパスワード(符号)並びにサーバー及び利用者の手元にある2要素認証用のスマートフォン又はトークン(物件) 等を適正に管理することが該当し得ると考えられる。

すでに本メディアでも述べてきたとおり、ここでいう固有性=一意性はメールアドレス認証によっても担保できると考えますが(関連記事:電子署名と二段の推定—メールアドレス認証によって電子署名法3条の推定効は及ぶか)、今回の電子署名法第3条Q&Aが踏み込んだのは、その確からしさを確保する具体的方法論として、2要素認証を例示した点でしょう。電子署名法3条カッコ書きにある「物件」の語に「所有“物“認証」を引っ掛けてきた、という感じもします。

なお、クラウドサインでは、すでにスタンダードプランをご利用のお客様にこの2要素認証機能を提供しています。さらに、この3条Q&Aの発表を受けフリープランユーザーにも提供することを意思決定しています(プレスリリース:「「利用者の指示に基づきサービス提供事業者自身の署名鍵により暗号化等を行う電子契約サービスに関するQ&A(電子署名法第3条関係)」におけるクラウドサインの推定効と今後の対応について)」)。

渡部「電子署名法の再興」論文が解き明かす「固有性」要件に秘められた背景

ところで、今回の3条Q&Aで示された「固有性」とは、どういった性質をさすのでしょうか

本文書では、固有性とは「暗号化等の措置を行うための符号について、他人が容易に同一のものを作成することができないと認められること」であると説明しますが、必ずしもわかりやすいとは言えない説明です。電子署名法の3条を見ても、3省が言う「固有性」を直接表現したような記載は見当たりません。

第三条 電磁的記録であって情報を表すために作成されたもの(公務員が職務上作成したものを除く。)は、当該電磁的記録に記録された情報について本人による電子署名(これを行うために必要な符号及び物件を適正に管理することにより、本人だけが行うことができることとなるものに限る。)が行われているときは、真正に成立したものと推定する。

では、3条Q&Aがいう「固有性」の要件は、いったいどこから導きだされたのでしょうか?

この真相を解き明かしている論文 が実は存在します。それが、ビジネスロー・ジャーナル2020年10月号に掲載された渡部友一郎「電子署名法の再興 20年前の立法者意思とクラウド技術を活用した電子認証サービスの接合」 です。

立法担当者は、電子署名についても、「デジタル署名の場合、鍵の管理の問題を別とすれば、十分な暗号強度(一定の鍵長等)を有し、他人が容易に同一の鍵を作成できないものであれば署名や実印と同等の固有性を満たしていると考えられる……このような観点から……電磁的記録の真正成立の推定規定……においても「本人でなければ使用することができない方法によるものであること(十分な暗号強度を有すること)」を要件の一つとしているところである」と解説する。(P41)

渡部先生は、これまで電子署名の専門家らが精緻に分析していなかった郵政省電気通信局電気通信事業部データ通信課=通商産業省機械情報産業局電子政策課 第四部=法務省民事局第四課「内閣法制局御説明資料(電子署名及び認証業務に関する法律案)第四部長御説明用資料」および用例集(2000年2月25日付)を精緻に読み解き、立法担当者が3条電子署名と2条電子署名との差分として一定の暗号強度の確保等の技術的な措置を「固有性」の要件として課すことを企図していた ことを明らかにしています。

その上で、

新行政解釈の「一定の要件」とは、クラウド型電子署名に係る電子署名の暗号の強度(アルゴリズム、鍵長)が十分であることを意味し、「利用者の真偽の確認」は必ずしも要件にはならないと考える(利用者真偽確認不要説)。(中略)立法的・政策的な観点から、クラウド型電子署名の3条該当性を肯定する要件として加重的に「利用者の真偽の確認」(例えば、SMSによるメールアドレスの二段階認証)を求めるという政策判断もあり得るだろう(利用者真偽確認加重説)。(P46)

と、法律上は求められていないものの 政策的に利用者の真偽確認の必要性を求める可能性について、具体的に言及 しています。今回の3条Q&Aの内容を予言していたかのような卓見です。

渡部友一郎「電子署名法の再興 20年前の立法者意思とクラウド技術を活用した電子認証サービスの接合」(ビジネスロー・ジャーナル 2020年10月号P38)

3条Q&Aの問4にある身元確認付きサービスに関する言及ぶりにも見られるように、これまで政策として認定認証事業者へのお墨付きを与えてきたこととのバランスから、この加重要件を今回のQ&Aにおいても強調したものと考えられます。

クラウド型電子署名の商慣習化に向けて

以上から、これまでの電子署名法の解釈とそれに基づく政策によって政府が認証事業者らに対して与えてきたさまざまな影響にも配慮し、落としどころとして「固有性」要件を2要素認証の例示という形で示したという背景が明らかになりました。

いずれにせよ、クラウド型電子署名サービスの提供者としては歓迎すべき見解ですが、Q&Aの中でも述べられているように最終的には「個別の事案における具体的な事情を踏まえた裁判所の判断に委ねられるべき事柄」でもあります。この見解にのみ依存することなく、押印が商慣習として信頼を得てきたように着実にご利用実績に基づく信頼を積み重ねていくことが重要と考えます。

クラウドサインでは、よりユーザーにとっての安全性と利便性の高い優れたサービスの実現に向けて、電子契約のリーガルデザインをこれからも追求してまいります。

(橋詰)

契約のデジタル化に関するお役立ち資料はこちら