電子契約サービスを比較する際の3つのポイント

投稿日: 最終更新日:

政府による電子署名法の公式解釈が明らかになったことを受けて、移行を決意した企業が増えています。そこで、多数の電子署名・電子契約サービスの中から採用候補を比較検討する際のポイントをまとめました。

電子契約サービスを比較する際のポイントとは

2020年9月4日付3省Q&Aにより、クラウド上で電子署名を施す事業者型電子契約サービスであっても、電子署名法に定められた法的効果が生じることが明らかとなりました。

電子署名、法的懸念を解消(日本経済新聞 2020年9月21日朝刊)

現在普及している電子署名サービスは当事者同士の合意成立を、当事者ではなく第三者の電子署名で裏付ける「事業者型」といわれる仕組みが一般的だ。簡便だが、条文にある「本人による電子署名」といえるのか疑問が残っていた。
政府見解では「他人が容易に同一のものを作成することができないと認められる」という「固有性の要件」を満たせば、事業者型の電子署名サービスも法的に有効であるとした。固有性を満たす一例として、本人認証の際にスマートフォンなどに送信したワンタイムパスワードの入力を求める2要素認証を挙げた。

これを受けて、いよいよ本格的な検討をはじめてくださったお客様もぐっと増え、クラウドサインと他社サービスとを比較するためのご質問をたくさんいただくようになりました。

どのような観点で電子契約サービスを比較すれば、後悔や失敗のない選択ができるか?

そこで今回は、電子署名・電子契約サービスを比較する際に必ず確認しておきたいポイント について、整理してみたいと思います。乱立するたくさんのサービスの中から、より安全で持続可能性の高いサービスを選択するために、事業者に何をどう質問すればよいかが分かるようになります。

電子契約サービス3つの必須条件

電子契約サービスには、大きく分けて 当事者署名型事業者署名型 の2つ があります。さらに細かく分類すると以下 3つの署名タイプ に分類することができます。

  1. ローカル署名
  2. リモート署名
  3. クラウド署名

それぞれ特徴は異なりますが、いずれの署名タイプの電子契約サービスを選ぶにせよ、抑えるべき3つの必須ポイント があります。

当事者署名型と事業者署名型、ローカル署名・リモート署名・クラウド署名の違い

(1)2条電子署名の要件を満たすか

確認ポイント: その電子署名・電子契約サービスが電子署名法2条に定義される「電子署名」の要件を満たせるものかの確認からスタートします。

2条1項2号の改変検知要件で求められる、検討対象のサービスが公開鍵と秘密鍵のキーペアからなる 公開鍵暗号方式によるデジタル署名を利用しているか 否かを確認します。電子署名及び認証業務に関する法律施行規則の要件を満たす「鍵長2048bit以上のRSA暗号鍵」を採用していれば、これを満たしたサービスとなります。

これに加えて、2条1項1号の作成者明示要件、すなわち電子文書の作成者がPDF署名パネルにおいて明示されるか も確認します。当事者型は作成者の電子証明書の名義人が署名パネル上に記録されるか、事業者型は署名パネル上の「署名の詳細」欄等に作成者を記録できるものかを確認します。

商業登記のオンライン申請に用いることができる電子署名については、この作成者明示要件を満たしているものと考えて差し支えないでしょう(関連記事:法務省が商業登記に利用可能な電子署名サービスにクラウドサインを指定)。

比較の際の注意点: 電子契約サービスによっては、電子ファイルにタイムスタンプだけを付与し、当事者・事業者いずれの電子署名も付与しないものがある点は、注意が必要です。

タイムスタンプだけでは、改変は検知できても、2条1項1号の作成者明示要件を満たせないこととなるためです。

2条電子署名の要件に照らした電子契約サービスのタイプ別分類

(2)3条電子署名も可能か

確認ポイント: 先の日経新聞報道にもあったとおり、政府見解では以下2つの観点から 「十分な水準の固有性」を持つ電子署名であれば、電子署名法3条に定める推定効が及ぶ との見解が示されました。

  1. 利用者とサービス提供事業者間の間での当人認証
  2. サービス提供事業者内部で暗号の強度や利用者毎の個別性を担保する仕組み

2020年9月4日付3条Q&Aの問3で、上記1については、事業者型であっても2要素認証等を用いることでこれを満たすものと示されています(関連記事:「電子署名法第3条Q&A」の読み方とポイント—固有性要件はどのようにして生まれたか)。手段を2要素認証に限定するものではありませんが、これがあればなおクリアになるものと考えられます。

比較の際の注意点: 両当事者を身元確認し両者に電子証明書を付与するタイプの当事者型サービスは、固有性の評価において事業者型より優位です。他方で、受信者側に大きな負担を強いることになるため、受け入れを拒否され紙契約への退行を発生させがちな点で注意が必要です。自社にとっての取引先である契約相手方がコスト負担なく、3条電子署名を付与することが可能かも配慮すべきでしょう。

なお、一見すると電子ファイル上は当事者の電子証明書を付与しているように見えるものの、自己申告のみで本人名義の電子証明書を発行してしまう自己署名証明書型サービスもあるようです。この方式の場合、(2条電子署名の要件は外形的に満たせても)3条Q&Aの要件は満たさない可能性があります。

政府の3条Q&Aでは「十分な水準の固有性」を満たすための手段として2要素認証を例示

(3)国際標準規格のPAdESに準拠しているか

確認ポイント: ISO32000に定める 標準規格「PAdES(PDF Advanced Electronic Signatures)」に準拠した長期署名フォーマットか を確認します。

これは最長5年で証明書の期限を迎える電子署名の課題を克服するため、認証された時刻を刻むタイムスタンプに加えてその暗号が危殆化しないよう新しい暗号で1年ごとに約10年間自動更新する方式です。この方式で署名をすることで、PDFファイルだけで署名の検証が可能となり、電子契約サービス事業者のクラウド上での電子ファイル管理に依存しなくなります。

複数の電子契約サービスを利用することとなった場合でも、標準規格であるPAdESに準拠したファイルが出力可能なサービスを選んでおけば、別システムへの移行や統合管理も容易となります。

比較の際の注意点: 当事者型の電子契約サービスの中には、PAdESに準拠せず、署名後2年程度で証明書の期限を迎えるサービスが少なくありません。この場合は契約当事者がしめしあわせてタイムスタンプを別途付与する等の措置が必要となります。

また事業者型であってもPAdESを採用せず(長期署名化せず)、事業者自身のサーバーセキュリティをもって長期保管を保証するものもあります。この場合、クラウドサービス上から電子ファイルをダウンロードし数年経過すると、そのファイル単独では(電子証明書の有効期限が切れるために)署名検証ができず、サービスの乗り換えも困難な状態となるデメリットがあります。

当初の電子署名に使われた暗号アルゴリズムが危殆化する前に、その時点での最新の暗号技術を用いたタイムスタンプを付与し暗号を掛け直すことで、電子署名の効果を延長する長期署名(PAdES)

3つの必須条件を確認するための電子契約事業者への確認方法

以上をまとめると、電子契約サービス事業者に以下の3つの質問をし、その回答を確認することで、必須条件を満たしているかが分かります。

(1) 作成者をPDF署名パネルに明示するデジタル署名(鍵長2048bit以上のRSA暗号鍵)であるか?
(2) 固有性を担保するための2要素認証等には対応可能か?
(3) PAdESに準拠した長期署名フォーマットを採用しているか?

法令上の電子署名の要件がクリアになったことで、今後電子契約サービスもますます乱立し、価格・機能・連携サービスの比較も複雑になっていくことが予想されます。

「合意を電磁的に証拠化する」という最も基礎的で重要な部分をおろそかにしたサービスを選択してしまうと、いざという時に必要な契約書電子ファイルが手に入らない、ファイルは手元にあっても署名検証が正常にできず証拠として使えない、結果法的効力が認められないといった事態にもなりかねません。

信頼できる機関が作成した電子契約サービスの比較一覧表も参考にする

この3つのポイント以外にも、ニーズに応じたさまざまな比較の観点があると思います。「電子契約 比較」といったキーワードでGoogle検索をすると、各社の電子契約サービスを比較したウェブサイトがいくつかヒットしますが、事業者が広告費を得て運営する比較サイトも多数存在するため、その内容の中立性には注意する必要があります。

この点、クラウドサービス情報開示認定機関である一般社団法人 ASP・SaaS・AI・IoTクラウド産業協会(略称:ASPIC)が運営する法人向けクラウドサービス紹介サイト「アスピック」の比較表などは、参考になるでしょう。

ASPICによる電子契約比較一覧表 https://www.aspicjapan.org/asu/article/1035 2020年11月12日最終アクセス

この比較表において、クラウドサインはすべての考慮要素を満たす電子契約サービスとして認定 をいただいています。

安全性はもちろん、契約相手方にとっての使い勝手とのバランスも見極めながら、必要な電子署名・電子契約サービスを選択することが求められる時代になりつつあります。

(橋詰)

契約のデジタル化に関するお役立ち資料はこちら