電子証明書とは—有効期間終了・失効後の電子署名の法的有効性

投稿日: 最終更新日:

電子署名やマイナンバーカードに用いられている「電子証明書」。電子契約に施される電子署名の安全性を正しく評価するために知っておきたい電子証明書の基礎知識と、電子証明書の有効期間終了・失効後の法的有効性についてまとめました。

電子証明書とは

電子証明書とは、公開鍵暗号システムを用いたデジタル署名を行うにあたり、署名の検証に用いる公開鍵(検証鍵)が本人のものであることを証明するために、認証機関等が発行する電子的な証明書 です。

電子証明書に記録される情報

電子契約に利用される 電子証明書には、通常以下のような情報が電磁的に記録 されています。

電子署名法施行規則が定める電子証明書の法的要件

電子署名法施行規則6条4項から8項では、認定認証事業者が発行する電子証明書の要件 を、以下のとおり定めています。

四 電子証明書の有効期間は、五年を超えないものであること。
五 電子証明書には、次の事項が記録されていること。
 イ 当該電子証明書の発行者の名称及び発行番号
 ロ 当該電子証明書の発行日及び有効期間の満了日
 ハ 当該電子証明書の利用者の氏名
 ニ 当該電子証明書に係る利用者署名検証符号及び当該利用者署名検証符号に係るアルゴリズムの識別子
六 電子証明書には、その発行者を確認するための措置であって第二条の基準に適合するものが講じられていること。
七 認証業務に関し、利用者その他の者が認定認証業務と他の業務を誤認することを防止するための適切な措置を講じていること。
八 電子証明書に利用者の役職名その他の利用者の属性(利用者の氏名、住所及び生年月日を除く。)を記録する場合においては、利用者その他の者が当該属性についての証明を認定認証業務に係るものであると誤認することを防止するための適切な措置を講じていること。

通常、電子認証・電子契約サービスで提供される電子証明書は、これらの要件を満たしているものがほとんどです。ただし、一部のサービスでは、許認可を受けた認定認証業務でないにもかかわらず、認定認証業務による実印相当の認証を提供しているかのような紛らわしい広告表現(施行規則6条7項違反)を行っているケースがありますので、注意が必要です。

電子証明書の記録内容を確認する方法

PDFファイルに署名するPAdES長期署名の場合、電子証明書の記録の内容は、「署名パネル」「証明書ビューア」より確認が可能 です。

クラウドサインの「署名パネル」「証明書ビューア」

マイナンバーカードに格納された2つの電子証明書

電子証明書は、法人間の取引や行政手続きで利用されるケースが多かったのですが、近年、一般個人の方にとっても身近なものとなりつつあります。それは、いま急速に国民に普及が進みつつある、マイナンバーカードにも使われているからです。

マイナンバーカードのICチップには、以下2つの電子証明書が格納 されています。

  1. 署名用電子証明書
  2. 利用者証明用電子証明書

以下、そのそれぞれの機能について解説します。

署名用電子証明書

インターネット等で、電子文書を作成・送信する際に利用する電子証明書です。

などに用いられ、作成・送信した電子文書が、本人が作成した真正なものであり、本人が送信したものであることを証明 することができます。

利用者証明用電子証明書

インターネットサイトやキオスク端末等にログイン等をする際に利用する電子証明書です。

などに用いられ、ログイン等した者が、本人であることを証明 することができます。

マイナンバーカードには、署名用電子証明書と利用者証明用電子証明書の2つが格納されている

電子証明書と電子署名の有効性の検証

電子契約の場合、電子ファイル送信者の電子証明書を入手した受信者は、以下の手続きで 電子証明書の有効性を検証し、受信した契約ファイルが送信者によって作成されたことを確認 します。

  1. 公開鍵を用い、ハッシュ値の照合により電子証明書のデジタル署名を検証
  2. 電子証明書に記載されている利用者の名称を確認
  3. 電子証明書の有効期間を確認
  4. 電子署名後に電子ファイルが改変されていないかを確認
  5. 認証機関によって証明の失効が行われていないかを確認

こうした電子署名の検証作業の多くは、Adobe Acrobat Readerに代表されるアプリケーションが自動で行ない、わかりやすく表示してくれます。

ただし、以下述べる電子署名の仕様により、ユーザー側で検証のための準備作業が必要なものとそうでないものに分かれます。

AATLに対応していな電子署名は検証が面倒

電子署名を付与した契約書をAdobe Acrobat Readerで閲覧した際に、

「署名に問題があります」
「署名の完全性は不明です」
「検証が必要な署名があります」

等、電子署名と証明書の検証に失敗したことを示すエラーメッセージが表示される場合があります

検証画面で利用者の作業が必要となる電子署名に表示されるエラーメッセージの例

これらが表示される原因として、認証局が認証局自身を証明するために発行するルート証明書(自己署名証明書)を、PDFファイルを閲覧するためのアプリケーションが参照できないことが原因のほとんどです。

この場合、端末に認証局のルート証明書をユーザー自身で追加する作業が必要 となります(作業後は、エラーメッセージが表示されなくなります)。追加するルート証明書が本当に信頼できるものかどうかは、利用者自身が検証しなければなりません。

このような負担を不要にする仕組みとして、AATL(Adobe Aproved Trusted List) と呼ばれる仕組みがあります。

AATL対応済み電子署名ならファイルを開くだけで検証完了

AATLに対応した電子署名付き契約書ファイルを開いた場合、 Acrobat および Readerが自動的にWeb ページをチェックし、信頼された「ルート」デジタル証明書のリストを定期的にダウンロードするようにプログラムされています。よって、ルート証明書をユーザー自身で追加する必要がありません。電子署名済みファイルを開くだけで、ユーザーはなんらの作業を求められることもなく、検証がスムーズに完了 します。

クラウドサインの電子署名はこのAATLに対応しており、上記のような面倒な作業を受信者に発生させません。

電子署名されたファイルを受け取った相手方や第三者は何を確認すればよいか?

一方で、法務省が発行する商業登記電子証明書による電子署名や、クラウドサインではない電子契約サービスを利用した場合など、AATLに対応していない電子署名を用いると、複雑な署名検証プロセスを自分で実施しなければならないことがあります。

このような場合、電子署名されたファイルを受け取った相手方や第三者は何をどのように確認すればよいか。その詳しい署名検証の方法やプロセスについては、クラウドサインも共著者として参加している『会社議事録・契約書・登記添付書面のデジタル作成実務Q&A―電子署名・クラウドサインの活用法』の313ページ以降でも詳しく解説していますので、必要に応じご参照ください。

書籍情報

会社議事録・契約書・登記添付書面のデジタル作成実務Q&A―電子署名・クラウドサインの活用法
  • 著者:土井万二/編集 尾方宏行/著 新保さゆり/著 内藤卓/著 大塚至正/著 重松学/著 橋詰卓司/著
  • 出版社:日本加除出版
  • 出版年月:20210408

電子証明書の発行

利用者は、電子証明書の発行を受けようとするときは、認証局(認証機関)に対し申請を行います。

この 発効手続きについて、当事者署名型と事業者署名型の電子契約サービスそれぞれに大きな違い が生じます。

当事者署名型の場合—第三者による本人確認

当事者署名型電子契約サービスの場合、第三者である民間認証局が個人(自然人)を認証します。利用者は、本人による申請であることを証明する文書(住民票等)を提出するなどし、本人確認(身元確認)が行われることになります。

当事者署名型では、送信者のみならず、受信者となる利用者も全員認証局による認証を受ける必要があり ます。電子証明書の発行手数料負担はもちろん、本人確認にかかる時間的手間が、契約書を締結する前に全員分発生することとなります。

なお、この本人確認については、住民票やパスポート等の公的な身分証明手段によらず、

に依存した簡易な方法で行なっている認証局も存在します。よって、電子証明書が当事者名義であっても、その発行プロセスに対する信頼性は、利用者自身が認証局ごとに評価をすることが必要 となります。

事業者署名型の場合—契約当事者による本人確認

事業者署名型の場合、利用者は、契約当事者同士での本人確認のもと、電子契約サービス事業者の電子証明書を用いて電子署名 を行います。例えばクラウドサインの場合、サイバートラスト株式会社が認証局となり発行される電子証明書を利用しています。

事業者署名型の場合、当事者署名型のように、サービスの利用者それぞれが認証局から認証を受ける必要がありません。これにより、契約に合意する当事者が3人以上の複数人になったとしても、コストも手続きも最小限にスピーディな電子署名が可能となります。

こうした利便性のメリットと引き換えに、当事者署名型のように認証局が第三者として身元確認を行わないことによるリスクもあります。事業者署名型においては、このリスクを低減させ、かつ利用者相互による本人確認を行いやすくするために、

など、締結する契約の重要度に応じた安全な電子契約締結のためのオプション を複数提供しています。

クラウドサインでは、ID/PW、メールアドレス認証のほかにアプリによる2要素認証やIdP認証機能を提供

電子証明書の有効期間と失効

電子証明書には有効期間があります。また有効期間途中でも失効するケースもあります。これらと契約の有効性について、整理してみましょう。

電子証明書の有効期間

電子証明書には、通常1〜3年の有効期間 が定められています。さらに認定認証事業の場合、電子署名法施行規則により5年を超えることはできません

これは、公開鍵暗号システムに用いられる暗号技術のアルゴリズムが破られる(危殆化する)リスクを勘案したものです。

電子証明書の有効期間切れと電子署名の真正推定効

契約ファイルに電子署名をした後、電子証明書の有効期間を経過した電子署名による契約は、無効となる(推定効が働かなくなる)のでしょうか

これは電子契約サービス事業者によっても見解が異なる点でもありますが、この問題について具体的に言及した文献として、髙野・藤原『電子署名と認証制度』(第一法規, 2001)P64があり、以下の見解が述べられています。

ABA『デジタル署名ガイドライン』などでは信頼が合理的ではないとしており(略)、それゆえ、真正に成立したとの推定効が否定されるという立場をとっています。
これに対して、電子署名・認証法あるいは電子署名・認証法施行規則では電子証明書の有効期間の効果について何も触れていないのですから、電子署名書の有効期間過後の高度電子署名であるがゆえに電子署名・認証法3条の高度電子署名ではないという解釈をとることは困難でしょう。しかし、本人のものとされる電子署名の存在ゆえに、直ちに本人の意思に基づく電子署名が存在すると推定を働かせることは避けるべきでしょう。(略)本人が電子署名を行なったことをうかがわせる状況などで補充されれば、本人が電子署名を行ったとの事実上の推定は十分可能でしょう。

また、夏井高人『電子署名法』(リックテレコム, 2001)P322は、以下のとおり述べています。

電子証明書の有効期限が切れた後の電子署名、または、5年を超える有効期限が設定されている電子証明書がある場合に、電子証明書が発効してから5年経過後の電子署名については、電子署名法3条の適用はないと考えられています。
しかし、この場合もまた、問題の本質は「本人の電子署名だということ」が証明できるかどうかだけにかかかっています。というのは、電子証明書が有効期限内の電子署名であっても、秘密鍵が盗まれるなどして本人の電子署名だとはいえなくなったということが何らかの証拠によって証明されれば(反証)、電子署名法3条の推定は、簡単に覆るからです。
(略)結局、他の問題と同様に、証明の難易の問題はあっても、証明不可能な事柄だというわけではないのです。

電子証明書のもともとの存在意義からすれば、推定効は失われると考えるのが自然ではあるものの、日本の電子署名法では電子証明書の有効期間終了後の電子署名の法的有効性について言及がないため、結局は 裁判所の事実認定に左右される、ということになります。

電子証明書の失効

有効期間にかかわらず、利用者が署名鍵(秘密鍵)を漏えいする等の事故により、電子署名を本人以外が利用できてしまう状態になることも考えられます。

この場合、電子署名の悪用を防ぐために、認証局が電子証明書の失効手続きを取ります。

電子署名は電子証明書の失効後も有効か

では、電子署名後にこれに対応する 電子証明書が失効となった場合、その電子署名による契約も無効となるのでしょうか

この問題についても、髙野・藤原『電子署名と認証制度』(第一法規, 2001)P66が以下のとおり述べています。

ところで、認証書の失効手続きがとられたとき、電子署名の効力にどのような影響が出るのでしょうか。ABA『デジタル署名ガイドライン』でや一部の外国の法制度では、電子署名が真正なものと主張する相手方当事者が停止や撤回の事実を認識していたり認識しうる状態のときには、登録している本人が電子署名を行なったことを推定しないという取扱いをしています。
しかし、電子署名・認証法にはそもそも電子署名を本人のものとする規定がないのですから、同様に考えることはできません。認定認証事業者の電子証明書で証明される公開鍵で検証される電子署名は登録者とされる者が行なった電子署名であるとの事実上の推定が覆る事情が存在するかどうかの問題と考えるべきでしょう。

有効期間終了時と同様、法律上明確な整理はなされておらず、事実上の推定の問題と結論 付けられています。

書籍情報

電子署名と認証制度
  • 著者:高野真人・藤原宏髙/編著
  • 出版社:第一法規
  • 出版年月:20010910

書籍情報

電子署名法 電子文書の認証と運用のしくみ
  • 著者:夏井高人著
  • 出版社:リックテレコム
  • 出版年月:20011210

電子証明書は電子署名の本人性や有効性の立証をサポートするツールに過ぎない

当事者署名型と事業者署名型それぞれの電子契約サービスを比較すると、「当事者署名型は、事業者署名型と違い認証局が当事者双方を身元確認し発行される電子証明書があるため、安全だ」と言われます。

もちろん、各当事者が認証局から適切な電子証明書の発行を受ければ、それがない状態よりも安全性は高まると考えられます。しかし、電子証明書だけを根拠に契約相手方の電子署名の真正性・安全性確認を依存してよいかは別問題 です。

例えば、認証局から電子証明書と署名鍵(およびこれを利用するためのPIN/パスワード)の発行を受けた後、これらを本人以外の複数人で共有することが、企業の実務において行われています。このような行為は、押印業務を複数人で行うために実印にアクセスできる従業員を複数置くケースのように、実際にその実印を書類に押印したのが誰かはわからなくなり、印鑑証明書をもってしても本人が押印したことを立証しづらくなるのと同じリスクを孕みます。

本記事で紹介したように、電話のみで身元確認を行なったこととしている認証局が存在する実態や、電子証明書の有効期間満了・失効についての法的見解が定まっていないことを見てもわかるとおり、電子署名は、ハンコ(実印・認印)に代わって電子ファイルに「意思表示のしるし」を残すためのツールに過ぎず、それさえあれば法的に絶対安全というものではありません。

当事者署名型・事業者署名型のどちらを選択するにせよ、

こうした視点からも、当事者同士が相互に相手方の電子署名の運用状況を確認した上で利用することが重要 となります。

(橋詰)

契約のデジタル化に関するお役立ち資料はこちら