電子契約の運用ノウハウ

クラウド型電子署名となりすましリスクの分析—業界団体によるホワイトペーパー公開

2022.05.06更新

電子契約のなりすましリスクに関し、業界団体である「クラウド型電子署名サービス協議会」がホワイトペーパーを公開しました。電子契約の場面で想定されるなりすましの典型的パターンを整理し、電子契約と単なる電子メールとの違いを正しく理解することで、リスクに対し冷静に対処できるようになります。

1. 電子契約の利用となりすましリスク
2. 業界団体「クラウド型電子署名サービス協議会」がなりすましリスクを整理したホワイトペーパーを公開
3. ユーザーアンケート結果でも「実際には電子契約でなりすましトラブルは発生していない」

1. 電子契約の利用となりすましリスク

電子契約サービスの活用を検討する際、利用者のみなさんが心配されるリスクの一つに、「なりすまし」リスクがあります。そもそも、なりすましとはどんなもので、それがなぜ電子契約におけるリスクとして恐れられているのか、以下確認します。

電子契約の利用となりすましリスク

1. 1　なりすましとは？

なりすましとは、他の利用者のふりをすることまたは、中間者(Man-in-the-Middle) 攻撃など他の利用者のふりをして行う不正行為のことを指します（総務省「国民のための情報セキュリティサイト」より）。

電子署名とは、それを行った者が契約内容を記録した電子ファイル（電子契約書）に書かれた内容どおりの意思があったことを後に証明できるよう、対象の電子ファイル（電子契約書）に電磁的に記録したデータのことを言います。しかし、この電子署名を行った者が、実際にはその契約当事者ではなかった場合、電子契約書全体がその存在意義を失ってしまうことになります。

それだけに、電子署名を行う際になりすましが発生しないかどうかは、多くの電子契約ユーザーの関心事となっています。

1.2 電子契約導入検討における悩み—“なりすまし”リスクに対する恐怖

企業として電子契約を導入しようとする際、さまざまな視点から導入の是非を検討することになります。そうした検討プロセスにおいて、特に導入企業のご担当者が懸念するポイントとして、以下3点が挙げられます。

法的な有効性
利用にかかるコスト
導入によって新たに発生する手間やリスク

電子契約サービス事業者の営業担当者も、上記のようなお客様からよくご質問いただく点について、FAQとして模範回答を用意しているはずです。

しかし、そうした営業担当者のセールストークによっても実はなかなか払拭できていないのが、電子契約サービスに関する“なりすまし”のリスクに対する恐れがあります。

2. 業界団体「クラウド型電子署名サービス協議会」がなりすましリスクを整理したホワイトペーパーを公開

電子契約の業界団体である「クラウド型電子署名サービス協議会」では、電子契約のなりすましリスクに対する恐れが正しく解消される環境作りも、普及促進に向けた業界課題と捉えています。

そこで今回、クラウド型電子署名の利用シーンに当てはめながら、その代表的パターンと実際のリスクを分析し、文書だけでなく図表も用いながら整理をしたホワイトペーパー「クラウド型電子署名のなりすましリスクに関する見解」を公表しました。

業界団体「クラウド型電子署名サービス協議会」がなりすましリスクを整理したホワイトペーパーを公開

2.1 典型的な「なりすまし」の類型を3つに分類

まず最初に、本ホワイトペーパーでは、「なりすまし」の典型的パターンとして、以下3つを挙げて解説します。

1. 無関係の第三者が契約当事者になりすますパターン
2. 自社の関係者が相手方になります（自作自演する）パターン
3. 無権限者が権限者になりすますパターン

これ以外にも、電子契約を発信した送信者自体が特定できない「フィッシングメール」のような類型も理論上は想定できますが、以下述べる理由から発生可能性は低い類型であることから対象外とし、上記の典型例3つに特化した解説を行っています。

2.2 メールアドレスそのものの信頼と電子契約固有のリスクとの峻別が重要

電子契約のリスクを捉える上でポイントとなるのは、電子契約が「送信者」と「受信者」という複数当事者が関係することによって成り立つものである点です。

電子契約のなりすましリスクを恐れるユーザーは、「メールアドレスが（フリーメール等で一時的に作成されるなど）本人のものでない可能性を排除できないものであることが怖い」と考えているケースがほとんどです。しかし、契約を締結する場面において、送信者・受信者となる契約当事者が電子契約に用いるメールアドレスを交換する場面では、両当事者はすでに見ず知らずの相手ではありません。

自身が「今回の契約の相手方」と認識している者とメールアドレスを交換する際に、そもそもその者が本当に「契約の相手方（当人）」であるかが問題なのであって、メールアドレスは、その者をオンラインの世界で特定し、通信するための符号に過ぎません。

2.3 電子契約のなりすましリスクを「発生確率」と「影響度」の二軸でリスク評価

このことを踏まえた上で、ホワイトペーパーでは、実際に本人による電子署名が行われない、すなわち電子契約におけるなりすましが成功する発生確率と影響度について、各類型ごとに分解して評価します。

電子契約のなりすましリスクを「発生確率」と「影響度」の二軸でリスク評価

企業活動におけるリーガルリスクを検討する際、そのリスクすべてを0（ゼロ）にすることを目指すのは、多くの場合コストに見合いません。

スピードや効率性を重視する場面では、ある程度のリスクは許容しつつ、重要な局面ではそれらを犠牲にして慎重な対応に切り替えることで、リスクを正しくコントロールすることが重要です。

2.4 なりすまし対策として各電子契約サービスが提供するリスクコントロール手段を活用する

そして、各電子契約サービスは、様々なセキュリティ機能をオプションとして提供することで、このリスクコントロールを実現する手段を提供しています。

もちろん、すべての電子契約場面でそうしたリスクコントロール手段のすべてを使う必要はありません。

ビジネスを効果的・効率的に進めるためには、

初めて取引をする相手であれば慎重な手段を選択する
長年にわたり取引をし信頼関係が構築されているお得意様であれば簡易な手段を選択する

といった使い分けが重要となります。

なりすまし対策として各電子契約サービスが提供するリスクコントロール手段を活用する

3. ユーザーアンケート結果でも「実際には電子契約でなりすましトラブルは発生していない」

本ホワイトペーパーを作成するにあたっての事前調査として、実際に電子契約サービスを利用されているユーザー様約120社超にご協力いただき、実際になりすましリスクが発生しているか、7社共同でのアンケートも実施しました。

電子契約サービスを提供しユーザーの皆様からフィードバックをいただいている立場として、そうしたトラブルは極めて少ないことは実感をしていましたが、この共同アンケートの結果によっても、ヒヤリハットな事象への遭遇経験はあっても、実際に損害が発生するようななりすましトラブルには、ほとんどのお客様が遭遇されていないことを確認しています。

ユーザーアンケート結果でも「電子契約においてなりすましは実際にはほとんど発生していない」