電子署名管理規程の作り方—サンプル規程Wordファイル付き

投稿日:

企業で電子署名の利用を始めるにあたり、押印手続きに用いる印章管理同様に内部統制・リスクマネジメントを徹底するための、「電子署名管理規程」の作り方とそのポイントについて解説します。サンプル規程Wordファイルもダウンロードできます。

電子署名管理規程の必要性

テレワークが常態化し、店舗等現業部門を除く全社規模に広がっています。これに伴い、在宅勤務等の遠隔環境下でもスピーディに契約締結ができる電子署名が、押印に代わる契約締結手段となりつつあります。

そんな中、労働条件等のテレワーク規程の整備が進んでいる一方で、電子署名の管理ルールについては、印章管理規程や押印規程などの読み替えや例外運用として、なし崩し的に利用しはじめている企業も少なくない のではないでしょうか。

テレワーク規程だけでなく、電子署名の管理規程も作成が必要となる。Lukas / PIXTA(ピクスタ)

そこで今回は、電子署名と印章とを対比しながら、企業内における電子署名の管理ルールを明確化するための社内規程の作成方法と、その策定にあたってのポイントについて、検討してみたいと思います。

電子署名管理のための規程づくりで抑えておきたい印章管理規程との対比ポイント

電子署名を管理する規程の大まかな構造については、押印と印章管理に関するルールとして一般的に定められる「印章管理規程」と大きく変更する必要はないものと考えます。

具体的に規定すべき必要項目としては、

おおまかには、これらの条項で構成される規程となるはずです。

ただし、印章管理との違いで最も大きな違いでありポイントとなるのは、電子署名の場合、管理対象が印章・ハンコのような物理的もの(物体)ではない、という点です。

秘密鍵(署名鍵)とパスワード・2要素認証端末管理を明確化する

印章を管理する際は、管理責任者が金庫に鍵をかけてしまえば「管理をしている」と言える状態になります。これに対し電子署名の場合、物理的な管理対象が存在しません。そのため、「管理している」と言える状態をどう規程上で表現するかが問題となります。

電子署名の世界では、押印における印章に相当するものは「秘密鍵(署名鍵)」と呼ばれるデジタルな符号です。従来型の電子署名では、この秘密鍵をUSBメモリなどに格納していました。現在では、リモート環境のサーバー上で署名鍵を管理するタイプの電子署名(リモート署名・クラウド署名)が普及しています。

印章がそれを保管する金庫の鍵を開けなければ押印できないのと同じで、サーバー上で保管する秘密鍵を利用(活性化)するためには、その金庫のカギに当たるパスワードや2要素認証のための端末が必要となります。この 秘密鍵とパスワードおよびセキュリティを強化する2要素認証端末それぞれの管理責任について、規程に定めておくことがポイント になります。

この対応関係を表にまとめると、以下の通りです。

押印 電子署名
(1)意思表示を記録するツール 印章 秘密鍵
(2)1を保管する場所 金庫 USBメモリ/サーバー
(3)2に保管する1を利用するためのカギ 金庫の鍵 パスワード・2要素認証端末

事業者署名型(立会人型)電子署名の利用をどのように規程化すればよいか

電子署名を管理する規程を策定する際のもう一つのポイントが、クラウドを活用した事業者署名型(立会人型)電子署名を利用する場合についてです。

事業者署名型(立会人型)電子署名の場合、電子契約サービス事業者の秘密鍵を利用することになります。そして、これを保管する場所(上記表の(2))は、当該事業者のクラウドサーバー上となります。

この秘密鍵の管理は、必然的に管理代行者としての電子契約サービス事業者が行うことになるわけですが、この管理代行者がクラウドサーバー上で保管する秘密鍵を利用するために必要となるのが、クライアントごとに割り当てられたID、そしてパスワードおよび2要素認証端末です。

このように、事業者署名型(立会人型)電子署名を利用する場合は、自社の管理責任者(またはその委任を受けた代行者)が、電子契約サービス事業者が持つ秘密鍵を利用するためのカギを管理をする、という関係 になります。

今回定める電子署名管理規程上も、以下のような別表を作成し、クラウド事業者と自社の管理関係について規定しておくことが考えられます。

事業者署名型(立会人型)電子署名では、秘密鍵を電子契約事業者が持ち、その秘密鍵を利用するためのカギを自社が管理する

法人としての電子証明書の提出を求められるケースに備え商業登記電子署名を規定

ところで、従来実印を要していたような行政手続きや重要な契約締結の場面では、法人代表者が電子署名を行なったことを確認するために、電子証明書の提出を求められることがあります。この時、法人代表者としての資格証明付き電子証明書が発行できるのは、商業登記法に基づき、法務省の電子認証局のみ となります。

電子署名法に基づく民間のクラウド型の電子契約サービス(認定認証業務・特定認証業務)の中にも、認証局が本人名義の電子証明書を発行するタイプがあります。しかし、これは電子署名法が認める個人(自然人)としての身元確認と認証に基づくものであり、法人代表者として認証されたことを法的に認定できるものではないことに、注意が必要です。

この点、電子署名法施行規則6条8項において、利用者の役職名その他の利用者の属性等を記載する場合は、それらの記載が認定認証業務の認証範囲の対象外であることについて、サービスの利用者に誤認の無いように明記しなければならないとされています。これを知らずに、法人代表者印に代わるものとして利用されている例もあるようです。

第六条 法第六条第一項第三号の主務省令で定める基準は、次のとおりとする。
(略)
8 電子証明書に利用者の役職名その他の利用者の属性(利用者の氏名、住所及び生年月日を除く。)を記録する場合においては、利用者その他の者が当該属性についての証明を認定認証業務に係るものであると誤認することを防止するための適切な措置を講じていること。

以上より、押印において印鑑証明書の提出を求められるケースと同様、法人代表者の電子証明書の提出を求められる場合には、商業登記電子署名を施す必要が出てきます。これに対応すべく、商業登記電子署名の秘密鍵等の管理についても、電子署名管理規程に規定しておく 必要があるでしょう。

サンプル規程Wordファイルを無料ダウンロード

以上のポイントをふまえ、

  1. 押印
  2. 商業登記電子署名
  3. 事業者署名型(立会人型)電子署名

の管理ルールを定めた サンプル規程Wordファイル を参考資料として作成しました。

押印及び電子署名管理ルールについて定めたの印章等管理規程サンプル

社内規程の定め方は各社各様ですので、適宜修正等は必要となると思いますが、上記ポイントの解説とあわせてご参考いただければ幸いです。

サンプル規程Wordファイル無料ダウンロード申込みフォーム

(橋詰)

契約のデジタル化に関するお役立ち資料はこちら