1. 電子印鑑・決裁・署名のシヤチハタクラウド > コラム > 電子署名法とは?運営者が把握しておくべきポイントの解説

コラム

電子署名法とは?運営者が把握しておくべきポイントの解説

WRITER
木山 貴雄
シヤチハタ株式会社 システム開発部
大手PCメーカーのサポート業務や大手自動車メーカーでの社内SEを経験後、2005年シヤチハタに入社。シヤチハタフォントの開発・Web受注システムの開発を経て現在はソフトウェア開発部門に所属する。

電子署名は電子署名法に基づき、安全性と真正性が保たれています。普段あまり耳にすることのない電子署名法とはどんなものか、ご存知の方は少ないのではないでしょうか。重要な書類を扱うことも多いビジネスパーソンや企業は、電子署名法の意味と内容について把握することで、よりセキュアな環境での書類のやりとりが実現します。

電子署名とは

電子署名とは、紙に行う押印や記名のように、パソコン上で行う「本人証明のサイン」です。
主にPDF形式の書類に署名されることが多く、PDFビューアーで書類を開くと署名がなされていることを示す表示と、署名した人物の情報が記載されます。
電子署名は手軽に端末上から記名や捺印ができる反面、その手軽さからなりすましを許してしまう脆弱性が問題視されてきました。

例えば、署名が必要な書類をメールで送る際、間違えて本来送るべきでない人物に誤送信してしまったとします。メールを受信した人物に悪意があれば、適当な署名で返送をし、送信者と本来受信すべき人物に被害を与えることも可能です。
それとは逆に、送られてきた書類に署名があったとしても、本当にその人物が署名をしたのか疑わしい場合も考えられます。
これらの問題を解決するために、多くの企業では電子署名に電子証明書を用いて署名の真正性を明らかにし、セキュリティ強化に努めています。

電子証明書とは

電子署名を使用する上で、電子証明書の存在は欠かせません。電子署名が「実印」であるとすれば、電子証明書は「印鑑証明書」にあたる役割を果たします。署名と一緒に添付された電子証明書は署名が本物であること、書類が改ざんされていないことを示しています。ビジネスや公的なシーンで用いられる電子署名には、電子証明書がセットになっている場合が多く見受けられます。

電子署名を使って電子契約を成立させる仕組みを簡単にご説明すると、次のような流れとなります。

(1)「認証局」と呼ばれる機関が電子証明書の申請・発行を行う
(2)「認証局」で電子証明書と共に、秘密鍵と公開鍵を発行する
(3)発行された電子証明書・秘密鍵・公開鍵を自分のパソコンへインストールする
(4)電子文書を作成し、秘密鍵を使って電子署名を行い、相手方へ送付する
(5)文書を受け取った相手方で、公開鍵を使って電子署名の検証(正当性の確認)を行う


電子署名の仕組みや概念について詳しく知りたい方はこちら

認証局とは

認証局とは、電子証明書の申請・発行、秘密鍵・公開鍵を発行する機関で、電子契約を締結する際にその契約主体となる法人・個人の実在性や正当性を保証する役割を担っています。電子証明書を発行する場合、登記事項証明書や印鑑登録証明書を用いて、申請元の企業が実在しているかどうかを確認します。
また、電子証明書には有効期限があるため、失効の依頼を受けた電子証明書や、秘密鍵の漏えいが疑われる電子証明書の失効手続きなども行う機関です。

パブリック認証局とプライベート認証局

認証局にはパブリック認証局とプライベート認証局の2形態が存在しています。
パブリック認証局は、依頼を受けてSSLサーバ証明書などの電子証明書を発行・提供します。パブリック認証局が発行する電子証明書のルート証明書は、一般的なウェブブラウザやメールソフトウェアに予め組み込まれておりインストールが不要なため、外部の取引先とのやり取りを行う場合に便利な形となっています。
プライベート認証局が発行する電子証明書は、事業会社などが独自の基準を設けて自社内に構築するオンプレス型の認証局です。ルート証明書の設定に手間がかかるデメリットはありますが、自社で運用規定を決められるため、社内ネットワークのみでの利用であればプライベート認証局による電子証明書発行の方が利便性が高いといえます。

電子証明書の選び方

認証局は日本に多く存在しており、様々な種類の電子証明書が発行されています。いざ電子契約を導入するとなった場合、どの電子証明書を選択すればよいでしょうか。選定のポイントをご紹介します。

認証局が指定した電子証明書の用途

認証局では電子証明書を利用する目的を利用規約で規定しています。まずは認証局が公開している利用規約の内容を確認し、電子契約に用いるのであれば、電子契約での利用条件を満たしているかどうかを確認しましょう。証明書ポリシー(CP)や認証業務規程(CPS)も公開されているため、必要に応じてそれらも確認します。

電子証明書の発行対象・記載事項

電子契約の場合、電子証明書を発行する対象は、契約を締結する法人ではなく、法人を代表する個人(役員など)である必要があります。また、その個人と法人の関係性は電子証明書に記載されていることが望ましいとされています。利用する電子証明書の発行対象が企業内個人で、かつその個人の所属する会社名が記載されるものかどうかは確認しておきましょう。

発行・失効・更新時の手続き

電子証明書には有効期限があり、失効の際には失効手続が必要となります。そのため電子証明書の発行時だけでなく、失効時、更新時、再発行時にどのような手続きが必要かを確認しましょう。たとえば住民票の写しや印鑑証明書など、本人確認のために提出すべき書類があるはずです。企業として個人情報保護の観点も踏まえ、本人に同意を得る仕組みを予め整えておくなどの準備が必要となるでしょう。

電子証明書運用の容易性

電子証明書はセキュリティ担保のために必要な仕組みではありますが、契約締結の実務上、運用しやすいかどうかも重要なポイントです。電子証明書の種類によっては、ICカードやUSBトークンにのみ秘密鍵を格納するタイプもあれば、ファイルとして管理するタイプもあります。実運用上の容易性も踏まえて検討しましょう。

電子署名法との関係理解

電子契約・電子署名は、電子署名法に基づいて定められている仕組みです。電子契約の目的や内容に即して電子署名法との関係を理解し、証明書の選択を検討しましょう。 電子署名法の内容については、次の段落で詳しくご説明していきます。

電子署名法とは

電子署名の真正性は、電子署名法に基づいて定められています。電子署名法とは、電子文書に付与される電子署名のセキュリティを強化するために、2001年4月1日に施行された法律です(管轄は総務省)。近年の電子契約の普及に伴い、本法律の内容を理解する重要性が高まっています。

電子署名法の中身は、大きく分けて
1.「電磁的記録の真正な成立の推定」
2.「認証業務に関する任意的認定制度の導入」
3.「その他の必要な事項」
の3つで構成されています。

これまで脆弱性ばかり指摘されてきた電子署名ですが、今後の生活におけるますますの電子化から電子署名は国全体で拡大していくツールであるべき、と政府は判断しました。
使用拡大を目指すのであれば法整備は必須事項であり、電子署名法は電子署名を活用する全ての人への安全性を担保する内容を主軸としています。

電子署名法の背景

これまで、電子署名は不正改ざんや悪用が弱点とされてきました。セキュリティ上に穴がある以上一般への浸透は難しく、企業でも悪用を懸念される場合が多かったのが事実です。しかしペーパーレス化の推進といった次世代的取り組みと並行して考えると、電子文書や電子署名は今後普及すべき事柄です。法整備によって電子署名が安心して使用できれば、電子商取引や一般生活においても活用しやすくなります。
つまり電子署名法は、「電磁的記録が公正に行われ電子商取引やネットワーク利用を円滑化することにより、国民のQOLも向上させるのが目的の法律」として立法されたといえます。

電子署名法の理解しておきたいポイント

“電子署名法は
1.「電磁的記録の真正な成立の推定」
2.「認証業務に関する任意的認定制度の導入」
3.「その他の必要な事項」
の3つの骨子の中に、下記の6つの章と47条の内容で構成されています。

第1章 総則 第1条・第2条
第2章 電磁的記録の真正な成立の推定 第3条
第3章 特定認証業務の認定等 第4条―第16条
第4章 指定調査機関等 第17条―第32条
第5章 雑則 第33条―第40条
第6章 罰則 第41条―第47条


引用:電子政府の総合窓口e-Gov
https://elaws.e-gov.go.jp/search/elawsSearch/elaws_search/lsg0500/detail?lawId=412AC0000000102#B

この中で企業や一般利用者が特に理解しておきたいのは第3条、次いで第2条です。
ここでは、細かい内容についてわかりやすくご紹介します。

第3条

第2章 第3条は下記の内容が記されています。

“二章 電磁的記録の真正な成立の推定

第三条 電磁的記録であって情報を表すために作成されたもの(公務員が職務上作成したものを除く。)は、当該電磁的記録に記録された情報について本人による電子署名(これを行うために必要な符号及び物件を適正に管理することにより、本人だけが行うことができることとなるものに限る。)が行われているときは、真正に成立したものと推定する。”


引用:電子政府の総合窓口e-Gov
https://elaws.e-gov.go.jp/search/elawsSearch/elaws_search/lsg0500/detail?lawId=412AC0000000102#B

難しい言葉で書かれているように思えますが、簡単にいえば「電子文書の署名が紛れもない本物であれば、文書に書かれている契約は成立されたものとする」という意味です。
非常に簡潔な内容ですが、着目すべきは「電子署名(これを行うために必要な符号及び物件を適正に管理することにより、本人だけが行うことができることとなるものに限る。)」の部分です。
「必要な符号」とは電子証明書、「適正に管理」とは電子証明書の適正な管理を意味しており、署名が紛れもない本物であると証明するには、電子証明書の発行が必要だと示していると考えられます。

第3条は電子署名において、電子証明書の重要性を記した内容だと受け取れます。
ただし、最近の政府見解の公表により、解釈は変わってきています(詳細は後述)。

第2条

第2条は下記の内容が記されています。

“第二条 この法律において「電子署名」とは、電磁的記録(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式で作られる記録であって、電子計算機による情報処理の用に供されるものをいう。以下同じ。)に記録することができる情報について行われる措置であって、次の要件のいずれにも該当するものをいう。

一 当該情報が当該措置を行った者の作成に係るものであることを示すためのものであること。
二 当該情報について改変が行われていないかどうかを確認することができるものであること。”


引用:電子政府の総合窓口e-Gov
https://elaws.e-gov.go.jp/search/elawsSearch/elaws_search/lsg0500/detail?lawId=412AC0000000102#B

第2条は、「電子署名とは、電子文書をはじめとする電磁的記録に使用できる措置」という説明文から始まります。
さらに、一の項目では「電子署名は署名をした者が書類の内容に関わっている証明である」とし、二の項目では「電子署名は書類が改ざんされていないかを確認した証である」としています。

主に電子署名とは何かについて触れた内容であり、上記に当てはまらない場合は電子署名としては認められないという意味を指します。
第3条と第2条を交えて考えると、電子証明書の発行とそれに伴う電子署名の効力について説明しているようです。この2つを把握しておくことで、電子署名におけるトラブルが起きた際も対処がしやすくなります。

第4条以下

第4条以下は一般ユーザー向けの内容ではなく、指定調査機関・認証機関へ向けた内容が色濃く書かれています。
電子署名を使用する側が把握する必要はほとんどなく、電子署名を扱う上で抑えておくポイントも少ない印象です。

電子署名の浸透は未だ一般化されていない

電子署名の一般化を目指すために作成された電子署名法ですが、電子署名自体はビジネスでは一般化してきているもの、未だ日常生活まで浸透しているとは言い難い状況です。

携帯電話契約や荷物の受け取りで、タブレットに直接記名をした経験がある方は、「電子署名を日常的に使用している」と感じるかもしれません。しかし、当該の電子署名には、本当に本人なのか証明する後ろ盾は何もありません。
このように公的証明のない電子署名を、「電子サイン」と区別する場合もあります。

例えるなら電子サインは三文判、電子署名は国に登録してある実印のような役割を果たしています。
荷物の受け取りに、その都度電子証明書を添付する手間が一般的に受け入れられるようになるには、時間がかかるかもしれません。電子証明書の改善や電子署名法の見直しは、今後、国にとって大きな課題となるでしょう。

電子署名の最新の法的解釈について

契約締結の在り方については、昨今の新型コロナウイルスの感染拡大を機に、改めて見直しが図られる運びとなりました。不要な出社や他者との接触回数を減らすことが求められるなか、紙書類のやり取りや押印のために出社を余儀なくされる事態を避けるべきとの考えに基づき、政府は民間事業者間での手続きが可能な限り電磁的手法で行われるように、電子署名に関する見解を発表しています。


令和2年7月17日に総務省・法務省・経済産業省より公表された「電子署名法2条1項に関するQ&A」によると、電子署名の真正性について、「必ずしも物理的に措置を自ら行う必要はなく、利用者の意思に基づいていることが明らかであるならば、契約の真正性が保たれる」という内容が記載されています。つまり、電子証明書のない電子署名であっても有効とみなす見解が示されているのです。

参考:https://www.meti.go.jp/covid-19/denshishomei_qa.html

電子証明書はこれまでご説明してきた通り、本人確認の手段としては有効とされてきました。しかし、電子証明書は発行に数週間かかるなどのデメリットもあり、迅速な手続きには不向きです。電子証明書に代わり、たとえば企業間の契約締結の真正性を証明するサービスを提供する第三者の事業者が、契約当事者の指示を受けて電子署名を行う「立会人型」方式のクラウドサービスを活用すれば、迅速に手続きを進めることができるようになります。

これまでの解釈では電子署名の法的有効性が曖昧であり、紙書類の押印や、電子証明書を伴う電子署名でなければ、たとえば訴訟が起きた際の証明として弱いのではないかという懸念がありましたが、今回の発表でそうした懸念を払拭し、民間企業における利用拡大を推進する狙いがあります。契約のオンライン化は今後さらに加速していくとみられます。

まとめ

電子署名は適切な環境下で執り行うことで公的効力を発します。セキュリティ面では特に気をつけたい措置なため、必要な手順を踏んで正しく活用してください。