2024 年 02 月 02 日
改定された電子署名法第3条
~ 電子署名法 新第 3 条Q&Aの内容と電子契約サービス事業者が対応すべき点とは? ~
電子署名法第 3 条の改定
2024 年 1 月 9 日に、事業者署名型の電子契約サービスを運営するにあたって非常に重要な 「利用者の指示に基づきサービス提供事業者自身の署名鍵により暗号化等を行う電子契約サービスに関するQ&A(電子署名法 第3条関係)」(以下、電子署名法 新第3条Q&A)が改定されました。初版のQ&Aが公開されてから既に 4 年半ほど経過しており、一般的に普及した事業者署名型の電子契約サービスを踏まえ、改定されたものと考えられます。
本記事では、この改定された電子署名法 新第3条Q&Aにおける変更点はどこなのか?また、その内容と電子契約サービス事業者にどのような影響があるのか解説します。
電子署名法 新第3条Q&A
電子署名法 新第3条Q&Aでは、電子契約サービスにおいて利用者とサービス提供者の間で行われる本人確認(身元確認、当人認証)等のレベルやあり方、電子署名法第3条に記載されている推定効に対する関係性について回答されています。
本改定では、以下の3点が追加、変更されています。
- [ 問 2] に要件を満たす本人確認の十分な水準の例を追記
- 新設問として「問 4. 電子契約サービスを利用した電子署名がされた電子文書について、実際の裁判において電子署名法第3条の推定効が認められるためには、サービス提供事業者による身元確認が必要なのか。」を追加
- 新設問として「問 6. 電子文書の成立の真正は、電子署名法第3条の推定効のみによって判断されるのか」を追加
身元確認とは:
本⼈確認書類を確認するなどにより、「実在性」を確認することで、⼀般的にはユーザー登録などが該当します。
当人認証とは:
あらかじめ登録されているパスワードや⽣体情報など⼿続を⾏う際に⼊⼒されたパスワードや⽣体情報などを照合することにより、「当⼈性」を確認することであり、⼀般的にはログインが該当します。
以下、各設問の内容について解説します。
[ 問 2] の要件を満たす本人確認の十分な水準の例を追記
本設問には、新たに本人確認の十分な水準の例として、具体例が追記されています。
前提として、電子署名法第3条の規定が適用されるためには、その前提となる第2条に記載されている以下の2点が満たされる必要があります。
- 電子文書に電子署名法 第3条に規定する電子署名が付されていること。
- 上記電子署名が本人(電子文書の作成名義人)の意思に基づき行われたものであること。
これらは、電子契約における固有性を証明するための要件であり、サービス提供事業者が、契約を締結する当事者の指示に基づいて電子署名を付与する事業者型電子契約サービスにおいては、十分な水準の固有性を満たしていると認められるために、(1) として利用者とサービス提供事業者の間で行われるプロセス、(2) として (1) における利用者の行為を受けてサービス提供事業者内部で行われるプロセスのいずれにおいても十分な水準の固有性が満たされていることが必要となります。
上記は、システムやサービス全体のセキュリティを評価して判断されることになると考えられており、(1)・(2) のいずれか一方のみが十分な水準の固有性を満たしていても全体として不十分な場合には、上記サービスが十分な水準の固有性を有しているとは認められなくなることに留意する必要があります。
今回の改定に伴って、上記の (1)・(2) のいずれも具体的な例が以下の通り示されました。
(1) で追記になった内容は以下の通りです。(電子署名法 新第3条Q&Aより抜粋)
(1) のプロセスについては、例えば以下の方法により2要素認証を行っている場合は電子文書が利用者の作成に係るものであることを示すのに十分な水準の固有性を満たすと評価され得ると考えられる。なお、十分な水準の固有性を満たすために2要素認証が必須ということではなく、他の方法によることを妨げるものではない。
- あらかじめ登録されたメールアドレス及びログインパスワードの入力並びにSMS送信又は手元にあるトークンの利用等当該メールアドレスの利用以外の手段により取得したワンタイム・パスワードの入力
- あらかじめ登録されたメールアドレスに配信された時限アクセス URL へのアクセス及び署名用のトークンアプリをインストールしたスマートフォンによる認証
- 利用者専用の電子契約システムログイン ID・パスワードを利用したアクセス及び利用者に対し配布されたトークンデバイスによる認証
(1) に対する変更点のポイントは、具体的に2要素認証を用いた認証について触れられている点です。2要素認証が必須ではないと記載されているものの、標的型攻撃などを用いてアカウントを乗っ取るような被害が起こっている事例もあり、電子契約時の固有性を担保するためには、ログイン ID/ パスワードのみを用いた認証方法では脆弱であると言えます。
昨今では、アイデンティティベース攻撃(ID ベース攻撃)が非常に危惧されており、アカウントの乗っ取り等のリスクも非常に高くなってきております。当人認証については、AAL1 では危険な状態となっており、2要素認証(AAL2)を騙るフィッシング詐欺(QR フィッシング)なども発生しています。
AAL とは:
Authenticator Assurance Level の略で、当人認証の保証レベルを定義するものです。この「保証レベル」は、 NIST SP 800-63-3 Digital Identity Guidelines において定義されています。
- AAL1:単一または複数の認証要素
- AAL2:複数の認証要素
- AAL3:複数の認証要素に加えて、耐タンパ性が確保されたハードウェアトークンなどの認証要素
サイバートラストが提供するサービスでは、利用者のアカウントを守るために、 USB トークン、PC、スマートフォンで利用可能なクライアント証明書を用いたクライアント認証やマイナンバーカードを用いた本人確認サービスで利用者用証明書によるログイン認証などを組み合わせることで、より強固な認証方法を実現することが可能です。
また、(2) で追記になった内容は、以下の通りです。(電子署名法 新第3条Q&Aより抜粋)
(2) のプロセスについては、サービス提供事業者内部で行われる措置について、例えば以下の方法により十分な暗号の強度、適切な鍵の管理、利用者毎の個別性を担保する適切な仕組み(例えばシステム処理が当該利用者に紐付いて行われること)が備わっていれば、電子文書が利用者の作成に係るものであることを示すために十分な水準の固有性を満たしていると評価され得ると考えられる。
- アクセスや操作ログ等が正しく適切に記録され、かつ、改ざんや削除ができない仕様とされていること
- 運用担当者による不正ができないシステム設計、運用設計がされていること
- 正しく適切に運用されていることが監査等で確認するとされていること
- 必要に応じてログや監査等の記録やシステム仕様書等が提出できるよう十分な期間保存するとされていること
こちらは、従来から各社が実装していたサービス内部での固有性を担保するための設計、運用について記載されています。固有性を担保するためには、改めてログや監査記録が十分に備わっていることが言及されています。
実装は各社によるところであるのは引き続き変わりませんが、最終的に事業者型の電子契約サービスが電子署名法第3条に規定する電子署名に該当するか否かについては、個別の事例を踏まえて、裁判所の判断に委ねられるべき事柄となるため、慎重にサービスを設計、運用する必要があります。
サイバートラストが提供する「iTrust リモート署名サービス 」においては、署名履歴をログによって追跡可能なサービスとなっており、電子契約サービスを始めるにあたって必要な固有性を実現することが可能です。
新設問として「問 4. 電子契約サービスを利用した電子署名がされた電子文書について、実際の裁判において電子署名法第3条の推定効が認められるためにはサービス提供事業者による身元確認が必要なのか。」を追加
本設問では、電子契約サービス事業者における本人確認、特に身元確認について言及されています。
以下の内容が新たに追加されました。(電子署名法 新第3条Q&Aより抜粋)
問 4. 電子契約サービスを利用した電子署名がされた電子文書について、実際の裁判において電子署名法第3条の推定効が認められるためにはサービス提供事業者による身元確認が必要なのか
回答 .
実際の裁判において、電子契約サービスを利用した電子署名がされた電子文書について、その成立の真正が争われた場合には、電子署名法第3条の推定効が認められるかが論点となる。この場合に、同条の推定効の主張が認められるためには、当該電子署名が本人(電子文書の作成名義人)の意思に基づき行われたものであることが必要であるところ、挙証者が、電子文書の作成名義人本人による電子署名が行われていること、すなわち電子契約サービスの利用者と電子文書の作成名義人が同一であることを立証する必要がある。サービス提供事業者が電子契約サービスの利用者と電子文書の作成名義人の同一性を確認する(いわゆる利用者の身元確認を行う)ことは、電子署名法第3条の推定効の要件として必ず求められているものではないものの、電子契約サービスの利用者と電子文書の作成名義人が同一であることの有効な立証手段の一つとなり得る。なお、取引の当事者同士で身元確認を行なっている場合はもとより、サービス提供事業者が利用者の身元確認を代行する作業を附帯サービスとして提供している場合も同様に、電子契約サービスの利用者と電子文書の作成名義人が同一であることの有効な立証手段の一つとなり得る。
本設問における重要なポイントは、「電子契約サービス利用者と電子文書の作成名義人が同一性をどのように示すのか」となります。回答からは、電子契約サービス事業者における身元確認は電子署名法第3条の推定効の要件として必ず求められているものではないものの、同一性を示すための有効な立証手段の一つとなり得ると位置付けられています。
したがって、電子契約サービスにおける身元確認は、今後付加価値としてより厳密な契約が求められる領域において、必要となると考えられます。またデジタル社会における電子データと当人を結びつけるためには、やはりアカウントのみではなく、デジタル的な方法を用いた本人確認が必要となります。
サイバートラストが提供する「iTrust 本人確認サービス 」により、マイナンバーカードなどを用いたデジタル的な方法による本人確認を実現し、厳格な身元確認が可能です。また、当事者署名において「iTrust 本人確認サービス」と「iTrust リモート署名サービス 」と連携し、マイナンバーカードを用いて審査し、個人向け証明書を発行する「iTrust 電子署名用証明書 」を活用することで、電子契約サービスにおける身元確認を容易に実現可能です。
新設問として「問 6. 電子文書の成立の真正は、電子署名法第3条の推定効のみによって判断されるのか」を追加
本設問では、最終的に係争となった場合における、電子署名法第3条の推定効との関連性について言及されています。
以下の内容が新たに追加されました。(電子署名法 新第3条Q&Aより抜粋)
問 6. 電子文書の成立の真正は、電子署名法 第3条の推定効のみによって判断されるのか
回答 .
電子文書の成立の真正は、電子署名法第3条の推定効のみによって判断されるものではなく、口頭弁論の全趣旨及び証拠調べの結果をしん酌して、自由な心証により裁判所に判断される(民事訴訟法第247条)ものである。したがって、身元確認が取引開始時点において高い水準で行われていなかった場合であっても、契約当事者間における当該電子文書の成立過程を裏付ける証拠等が提出できれば、それらも電子文書の成立の真正の有効な立証手段となり得る。文書の成立の真正を証明する手段を確保する方法については、令和2年6月19日、内閣府・法務省・経済産業省「押印についてのQ&A」でもその例を公表している。
上記は、従来も一般的な判断の基準として他のQ&A等でも記載されていた事項ですが、改めて最終的には電子署名法第3条の推定効のみならず、多角的な視点から裁判所によって判断されることを明確に記載されたものとなります。
なお、電子署名法第3条の推定効が正しく証明されると契約が有効であると判断されやすくなるという点は変わりませんので、電子契約サービスとしても前項に挙げた固有性を示すための取り組みは、多角的視点を考慮する際に必要な情報となります。
今後の流れ
電子署名法 新第3条Q&Aは、過去のQ&Aを大きく覆すものではないものの、社会一般的に普及している電子契約サービスの状態を踏まえた内容となりました。社会的な DX への大きな流れとともに、行政についても DX が推進されています。また、電子契約市場については、今後も継続的に市場が拡大すると予測されており、その重要性は増しています。
サイバートラストでは、電子契約サービスを支えるトラストサービスとして「iTrust リモート署名サービス」を提供しています。また、今回の Q&A においても焦点となった身元確認を行う「iTrust 本人確認サービス」や「 サイバートラスト デバイス ID」をはじめとする各種クライアント認証サービスを提供しています。
より安心安全にご利用いただける電子署名サービス、本人確認サービス、電子認証サービスを提供していますのでご検討ください。
