電子契約に2要素認証・2段階認証は必須か?

投稿日:

契約は、当事者さえ合意していれば、内容も形式も基本的に自由。そうはいうものの、電子契約の場合、「当事者が」合意していることをどの程度確認しておくべきでしょうか。

電子契約を法的に有効なものとするために、特に2要素認証や2段階認証といった手段は必須なのかについて、考えてみます。

電子署名の推定効が認められる要件とは—電子署名法3条を図解する

ハンコの場合、実務上は「誰が押印したか」は重要視しません。実際、代表取締役社長が自ら押印作業をするケースは少ないはずですが、それによるトラブルは聞きません。

では、電子契約の場合はどうでしょうか?

電子契約の場合、押印に代わる措置は電子署名を施すことです。本人の意思で電子署名がされていれば、電子契約は有効に成立 したといえますし、そうでなければ電子契約の成立は否定されてしまいます。

そうはいっても、契約の相手方が電子署名するところを目視で確認することは容易ではありません。そこで、電子署名法3条は、電子契約の有効な成立を推定する要件を次のように定めています。

第三条 電磁的記録であって情報を表すために作成されたもの(公務員が職務上作成したものを除く。)は、当該電磁的記録に記録された情報について本人による電子署名(これを行うために必要な符号及び物件を適正に管理することにより、本人だけが行うことができることとなるものに限る。)が行われているときは、真正に成立したものと推定する。

この記事では、この長く分かりにくい一文について、次のように要件を図解したうえで、「本人だけが行うことができることとなるものに限る」の部分(図の★部分)について、詳細に分析 します。

電子署名の推定効が認められる要件を定めた電子署名法3条の図解

政府が示した電子署名の「固有性」要件

電子署名には、いわゆる「当事者署名型」と「事業者署名型」があり、「当事者署名型」はさらに「ローカル型」と「リモート型」に分類されます。

このうち、先ほどみた電子署名法3条が適用され推定効が認められるのは「ローカル型」だけと、2020年以前は考えられていました。

弁護士にご意見を乞うても、「事業者署名型は、『本人による電子署名』といえず、押印では判例により認められている二段の推定が働かない可能性がある。そのリスクを踏まえてサービスを選定すべき」という回答を受けることが度々ありました。

電子署名法にはない「十分な水準の固有性」という要件

そんな中、2020年9月に政府(総務省・法務省・経済産業省)が、「利用者の指示に基づきサービス提供事業者自身の署名鍵により暗号化等を行う電子契約サービスに関するQ&A(電子署名法3条に関するQ&A)」(「3条Q&A」)を公表しました(参考:「電子署名法第3条Q&A」の読み方とポイント—固有性要件と身元確認・2要素認証の要否)。

この文書で、「事業者署名型」の電子契約サービスにも電子署名法3条の適用があると示された ことは、記憶に新しいところです。

そしてこの3条Q&Aは、「事業者署名型」の電子契約サービスが電子署名法3条を満たすには、「十分な水準の固有性を満たしていること」が必要だといいます。

「固有性」とは、暗号化等の措置を行うための符号について、他人が容易に同一のものを作成することができないと認められること をいいます。電子署名法には明記されていませんが、「本人だけが行うことができる」という要件から導かれるものです。

電子契約の2つのプロセスと固有性の関係

では、何について「十分な水準の固有性」が確保されていなければならないのか。

3条Q&Aは、「事業者署名型」の電子契約サービスの場合、2つのプロセスで確保することを求めています。

  1. 利用者とサービス提供事業者の間で行われるプロセス
  2. 上記1における利用者の行為を受けてサービス提供事業者内部で行われるプロセス

私たち利用者が直接関係するのは上記1のプロセスです。3条Q&Aによれば、2要素認証をクリアしないと電子署名できない仕組みになっていれば、「十分な水準の固有性」を満たすと認められる といいます。

3条Q&Aは、「事業者署名型」の電子契約サービスのみ取り上げているので直接の記述はありませんが、「リモート署名」でも同様の要件が必要 のはずです。「事業者署名型」と「リモート署名」は、電子署名に必要な署名鍵が事業者のサーバに保管されているところは同じで、「誰の署名鍵で電子署名するか」の違いであり、「誰が電子署名したか」は同様に問題になり得るからです。

「2要素認証」とは

ところで、みなさんは「2要素認証」とは何か説明できるでしょうか。恥ずかしながら、筆者はこの3条Q&Aが公表されるまで、「2要素認証」をあまり理解していませんでした。

IPA(独立行政法人情報処理推進機構)では、2要素認証を次のとおり説明します。

認証するための要素を大別すると3つの要素があり、これらを認証の3要素としています。
それぞれ、「記憶」、「所持」、「生体情報」を指します。そしてこれらの3つの要素のうち、2つの要素で認証することを二要素認証、2つ以上の要素で認証することを多要素認証といいます。
(IPAセキュリティセンター「情報セキュリティ10大脅威知っておきたい用語や仕組み」(2021年3月)14頁)

各要素の代表例は、

です。ユーザーが実際にそのサービスを利用していることを確認する(当人認証)ために用いられるものです。

2要素認証の具体例

3条Q&Aでは、2要素認証の組合せとして、次の例を挙げています。

ほかにも、指紋等の生体情報を利用することも考えられますが、現在、電子契約サービスで一般に提供されている2要素認証は「記憶(知識)」×「所持」 で、メールアドレス / スマートフォンへのコード送信またはワンタイムパスワード生成の組合せがよく用いられています。

2要素認証と2段階認証との違い

2要素認証と似た用語に、「2段階認証」があります。2段階認証とは、文字どおり認証を2段階に分けて行うことで(前掲・IPA14頁)、単一の要素を2回行う場合を含みます。単一の要素を2回行う代表例は、パスワードと「秘密の質問」の併用です(「記憶(知識)」の要素を2回)。

3条Q&Aは、あえて「2要素認証」を求め、「2段階認証」では不十分と考えている ようです。電子署名法3条の条文に定められた「符号及び物件」の要件のうち、「物件」の要素を求めているものと考えられます。

物件要素を含む2要素認証を実現するには、スマートフォン等のデバイスが必要ですが、現実には従業員にスマートフォンを貸与していない企業も多いです。「事業者署名型」で電子署名法3条の適用を受けるにはスマートフォンが必要と言われると、押印担当者にスマートフォンを貸与する必要が出てきます。

2要素認証は例示であって電子契約の成立に必須ではないー貸与携帯なしでもOK

さて、こうして3条Q&Aだけ読むと、あたかも2要素認証はマストのように読めますが、そうではありません。2要素認証は例示にすぎないことが政府により明らかにされており、以下の記事でもその点が説明されています。(参考:「電子署名法第3条Q&A」の読み方とポイント—固有性要件と身元確認・2要素認証の要否

筆者の所属先では社員全員にスマートフォンを貸与していませんし、貸与している場合でもアプリのインストールは制限されているので、2要素認証が必須でないのは助かります。しかし、ではどうすれば固有性を満たすことができるのでしょうか。振り出しに戻った気分です。

上記記事でも紹介されている渡部先生の論文(渡部友一郎「電子署名法の再興 20年前の立法者意思とクラウド技術を活用した電子認証サービスの接合」(ビジネスロー・ジャーナル2020年10月号38頁以下))では、電子署名法2条1項の電子署名(普通の電子署名)と電子署名法3条の電子署名の違いである「固有性」は、暗号強度の確保等の技術的措置を企図したものであり、電子署名法上は、利用者の真偽確認は求められていない、と整理されています。

政府見解でも、利用者の身元確認(実際にその行為を行うユーザーが実在する特定の存在であることを確認すること)を行っているかどうかは、電子署名法3条の要件ではないことが確認されています。

少し混乱しますがつまるところ、電子署名法3条を満たすのに、「本人が自らの意思で電子署名していること」は必要であるが、「それを確認することまでは不要」と整理 できそうです。印鑑証明書は出させたとしても、本当に代表取締役社長本人が自らの意思で押しているかどうかまでは確認していない、ハンコの現実と同じ です。

結局「どんな関係の人とどんな契約を締結するか」の問題

「『当事者が』合意したことをどの程度確認すればよいか」を「電子署名法3条の要件を満たすにはどうすればよいか」に置き換えて考えてきました。

暗号強度といった技術的な面は電子契約サービス事業者にお任せするとして、オペレーションの部分でユーザーが過剰な装備をする必要はないのではないか、というのが筆者の考えです。

意図した相手が電子署名していなければ、本人が自らの意思で電子署名したとはいえないので、十分な信頼関係が構築されているとは言い難いBtoCの契約では、2要素認証など一定の本人確認プロセスを経る必要があるでしょう。

しかし、BtoBの場合は、少なくとも担当者の身元確認は可能なはずで、その担当者を信用できないなら契約関係に入ることはできません。「相手がなりすましかもしれない」などと疑い始めると、ビジネスが進みません。商談を経た上で、「氏名+企業ドメイン」のメールアドレスが確認できれば、2要素認証は不要ではないでしょうか

現在電子契約サービスで導入されている2要素認証は、メールの受信者が自らアプリをダウンロードし、そこに送られるワンタイムパスワードを入力してログインする方法なので、結局メールアドレスが肝です。

より重要な契約であれば、アクセスコードをつけて別ルートで共有したり、リアルタイムで画面共有したりしながら電子契約を締結することも考えられます。結局は、「どんな関係の人とどんな契約を締結するか」という、紙とハンコの世界と同じ話ではないでしょうか。

(イラスト・文 いとう)

契約のデジタル化に関するお役立ち資料はこちら