電子契約における認証とは?デジタル社会を支える電子認証基盤の全体像を解説
この記事では、電子契約における認証と電子認証制度の全体像について、法律上の定義をベースに解説します。デジタル改革関連法案が可決成立し、いよいよデジタル庁による日本のDXがスタートしました。今後の日本のDX政策のカギを握るとともに、国民生活にも大きな影響を与えるマイナンバー制度を理解する前提知識ともなります。
1. 認証とは
1.1 認証の法律上の定義
認証とは、対象者が意図する本人であることを確認する行為のことです。
電子署名法2条2項には、この認証という行為を業務(サービス)として提供する「認証業務」が定義されています。
この法律において「認証業務」とは、自らが行う電子署名についてその業務を利用する者(以下「利用者」という。)その他の者の求めに応じ、当該利用者が電子署名を行ったものであることを確認するために用いられる事項が当該利用者に係るものであることを証明する業務をいう。
電子契約では、電子署名と電子証明書によって、誰がその契約書ファイルに電子署名を行ったか、取引の相手方やそのファイルを入手した第三者が確認することができます。その「誰が」を証明するのが認証業務であると、法律上定義されているわけです。
もう少し身近な例で、認証の事例を捉えてみましょう。
たとえば銀行や証券会社等、金融機関で取引口座を開く際、口座開設申込書を提出します。このとき、金融機関としては、それが本当に本人の意思による申込みなのかを確認する必要がでてきます。もし本人以外の申込みだったとすると、本人になりすました別人が本人を装って金融取引を行ったり、その口座が犯罪集団によって振り込め詐欺のような犯罪に利用されるおそれもあります。
そのようなことが発生しないよう、金融機関に対しては本人確認を行う義務が課せられています(本人確認法・犯罪収益移転防止法)。このようなプロセスも、ここでいう認証の一つです。
1.2 紙の時代の認証
官庁や企業に対する申請を紙で行っていた時代には、本人を認証する手段として、運転免許証やパスポート等、紙媒体による公的身分証明書を申込者に提示させる方法 がとられてきました。
申込者が提出する申込書等の書類に書かれた氏名・住所・生年月日等の情報と、その申込者が提示する公的身分証明書に記載された氏名・住所・生年月日等を目視で照合し、さらに必要に応じ提出者の顔と公的身分証明書の顔写真も照合します。
これらが合致することで、確かに本人からの申込みであったと認めることができるわけです。
1.3 電子認証の誕生と発展
こうした紙媒体ベースの従来型認証方法に対し、電子認証は、電子情報を利用して本人であることを確認する手段をいいます。
- ID・パスワード
- ICカード等に格納する電子証明書
- 顔・指紋・静脈・虹彩データ等の生体情報
このような情報を利用することで、オンライン上で本人であることを確認します。
近年では、スマートフォンにも指紋認証や顔認証機能が搭載されるなど、これまで多く使われてきたID・パスワードによらない電子認証の方法も普及しています。
1.4 マイナンバー制度をベースとした行政デジタル改革への活用
インターネットおよびこれにアクセスするための通信回線とスマートフォンが急速に普及したことに加え、2020年の新型コロナウイルス感染症拡大の影響により、民間の取引のみならず、行政手続きのほとんどがオンラインへと移行しはじめました。
2021年5月には、デジタル庁設置・押印の廃止・自治体の情報システムの標準化等を取り決めたデジタル改革関連法が国会で可決成立。同法により、新型コロナウイルス対応の10万円給付を滞らせたことを教訓に、マイナンバーと預貯金l口座の紐付けも認められました。
これらの制度が整備されたことにより、 マイナンバー制度を核にした日本のデジタル化が加速 することになります。
2. マイナンバーカードを利用した電子認証
2021年9月に発足したデジタル庁の政策を推進するにあたり、デジタル社会の電子認証の要となっているのが、マイナンバーカードです。
マイナンバーカードにはICチップが搭載され、その中に、行政手続き等でオンラインの電子認証を可能にするための電子証明書が格納されています。以下、その機能や役割の違いについて解説します。
2.1 署名用電子証明書
インターネット等で電子文書を作成・送信する際に利用する電子証明書です。
マイナンバーカードと6~16桁の英数字のパスワードによる認証を行うことで、オンライン上で「作成・送信した電子文書が、利用者が作成した真正なものであり、利用者が送信したものであること」を証明することができます。
e-Tax等の電子申請等に利用されています。
2.2 利用者証明用電子証明書
インターネットのウェブサイトや、実店舗に設置されたキオスク端末等にログインする際に利用する電子証明書です。
マイナンバーカードと4桁の数字のパスワードによる認証を行うことで、オンライン上で「ログインした者が、利用者本人であること」を証明することができます。
マイナポータルへのログイン、コンビニでの公的な証明書の交付に用いられます。
2.3 マイナンバーカードの更新はなぜ窓口で行われるか
マイナンバーカードが評判があまりよくない、面倒なものと捉えられている理由として、以下2点が挙げられます。
- 5年毎に更新手続きが必要
- 手続きにあたり地方自治体の窓口に必ず足を運ぶことが必要
このうち、1については、電子証明書の保護に用いられる暗号技術が危殆化する(暗号が破られやすくなってしまう)ことを避ける意味があり、技術が進歩する以上は止むを得ない措置と言えます。一方で2の窓口での更新は、なぜ必要とされているのでしょうか。
これは、カードのセキュリティを守るために、パスワードや住所だけでなく、窓口で地方自治体職員による顔認証が必要とされているためです。以下、公的個人認証サービス(JPKI)総合ポータルサイトより引用します。
電子証明書の発行やパスワードの再設定の際は、市区町村の窓口において、職員が、顔写真とパスワードの2つの要素でカードの所有者本人であることを確認し、住民データを検索して住所や氏名に変更がないこと(当該市区町村の住民であること)の確認を行います。
なりすましが可能な余地があるというだけで、カード自体の信頼性が損なわれることになるからです。
マイナンバーカードが国家制度に関わる認証基盤を支える重要な要素である以上、「電子認証」といえども、電子証明書と生身の人間との紐付けには、こうした慎重な確認が必要になるというわけです。
3. 日本における電子認証基盤の全体像
こうして電子認証を行うための技術環境が整う中、日本においては法制度面と技術面の双方から、デジタル社会を支えるインフラとしての電子認証基盤 が長い年数をかけて整備・構築されてきました。
この電子認証基盤には、官公庁が運営するものと、民間事業者が運営するものがそれぞれ存在します。その全体像を表にまとめると、以下のとおりです。
| 認証基盤名 | 認証をする者(電子証明書発行者) | 利用者 |
|---|---|---|
| 政府認証基盤(GPKI) | 各府省 | 政府官職 |
| 地方公共団体組織認証基盤(LGPKI) | 都道府県認証局 | 地方官職 |
| 公的個人認証サービス共通基盤(JPKI) | 都道府県知事 | 住民 |
| 商業登記法に基づく電子認証 | 法務省 | 法人代表者 |
| 保健医療福祉分野の公開鍵基盤(HPKI) | 厚労省から認定を受けた認証局 | 医療従事者 |
| 電子署名法に基づく電子認証 | 民間事業者(任意の認定制度有) | 自然人 |
4. 公的認証基盤と各認証局の仕組み
では、これらの電子認証基盤のうち、公的な認証基盤とその認証局との関係を図示した上で、それぞれを個別に解説します。
4.1 政府認証基盤(GPKI)
政府認証基盤(GPKI:Government Public Key Infrastructure)とは、行政機関の処分権者と申請者間の各種手続きを、インターネット上で実現するための仕組み です。
以下2つの認証局により構成されます。
- 官職認証局:各府省の職責者から地方公共団体および国民・企業向け公文書への電子署名を認証
- ブリッジ認証局:官職認証曲、地方公共団体組織認証基盤(LGPKI)と公的個人認証サービス基盤(JPKI)とを相互認証
4.2 地方公共団体組織認証基盤(LGPKI)
地方公共団体組織認証基盤(LGPKI:Local Government Public Key Infrastructure)は、地方公共団体が住民や企業からの各種申請・届出、地方公共団体どうしの文書のやりとりを行う際に、その真正性を担保するための仕組み です。
以下3つの認証局により構成されます。
- 組織認証局:地方公共団体の首長や管理職等に職責証明書を、総合行政ネットワーク(LGWAN)利用者に利用者証明書を、それぞれ発行
- アプリケーション認証局:地方公共団体が住民や企業などにサービスを提供する際に、ウェブサーバー証明書やメール用証明書等を発行
- ブリッジ認証局:政府認証基盤(GPKI)と公的個人認証サービス共通基盤(JPKI)とを相互認証
4.3 公的個人認証サービス共通基盤(JPKI)
公的個人認証サービス共通基盤(JPKI:Japanese Public Key Infrastructure)とは、住民がインターネット上で行政手続き等を行う際に、その真正性を担保するための仕組み です。
以下2つの認証局により構成されます。
- 各都道府県認証局:市区町村民に対して公的個人認証サービスの電子証明書を、JPKIのブリッジ認証局に対して認証局証明書を発行
- ブリッジ認証局:都道府県認証局との相互認証、政府認証基盤(GPKI)と地方公共団体認証基盤(LGPKI)とを相互認証
マイナンバーカードに格納された電子証明書を用いた認証の仕組みを直接支えているのが、このJPKI となります。
4.4 商業登記法に基づく電子認証
商業登記法に基づく電子認証とは、会社の代表者の電子証明書を用いて認証を行う仕組み です。受付は管轄登記所が行い、電子証明書の発行と認証は電子認証登記所がこれを担います。
商業登記に基づく電子認証制度を運営する電子認証登記所は,政府認証基盤に属するものではありません。しかし、政府認証基盤との連携を図るため、ブリッジ認証局と相互認証を行っています。これにより、オンライン申請・届出を行う法人代表者とこれを受け付ける行政機関とは、それぞれが使用する申請・届出用システムによって、お互いの本人確認が可能になります。
商業登記に基づく電子認証で使われる電子証明書には、
- 会社代表者氏名
- 商号
- 本店所在地
- 資格
が法人登記と紐づく形で記載され、これを用いた電子署名は、会社の代表者が届出印(実印)で押印を行うことと同じ法的効果 を有します。
5. マイナンバー制度を核に広がる電子認証
このように、マイナンバー制度は、JPKIとGPKI・LGP KIを相互に接続することにより、複数の機関に存在する特定の個人の情報が同一人の情報であるということを確認するための基盤 として構築されました。
当初は、社会保障・税制度の効率性・透明性を高め、国民にとって利便性の高い公平・公正な社会を実現するインフラとなることが主な目的とされましたが、2013年に公的個人認証法(電子署名に係る地方公共団体の認証業務に関する法律)が改正され、公的機関に限られていた電子証明書の利用が民間にも一部開放 されています。
これにより、
- 新規証券口座開設
- 住宅ローン契約手続
- 不動産取引
- 携帯電話購入
など、マイナンバーカードに格納された電子証明書を用いた電子認証による、今後の民間サービスへの活用の広がりが期待されています。
この記事を書いたライター
弁護士ドットコムクラウドサイン事業本部リーガルデザインチーム 橋詰卓司
弁護士ドットコムクラウドサイン事業本部マーケティング部および政策企画室所属。電気通信業、人材サービス業、Webサービス業ベンチャー、スマホエンターテインメントサービス業など上場・非上場問わず大小様々な企業で法務を担当。主要な著書として、『会社議事録・契約書・登記添付書面のデジタル作成実務Q&A』(日本加除出版、2021)、『良いウェブサービスを支える 「利用規約」の作り方』(技術評論社、2019年)などがある。
