電子契約のメール認証と無権代理リスク対策

メール認証により本人確認を行う電子契約において、相手方の契約締結権限をどこまで確認すべきか。ユーザー企業が実際に採用している無権代理リスク対策をご紹介します。

クラウド型電子契約で用いられる本人認証の仕組み

クラウドベースの新しい電子契約サービスの最大のメリットは、昔ながらの本人認証用のICカード等の設備を送信者・受信者双方が用意する負担なく、いつでも・どこからでも・どんなデバイスでも電子署名（デジタル署名）を用いた契約が締結できるという点にあります。

ここで問題になるのが、ICカード等の「モノ要素による認証」を用いずに、その契約書にアクセスし電子署名を施したのが本人であることをどう担保するか、という点です。

現在普及がすすむクラウド型電子契約では、一般的に、

• 送信者が契約書ファイルをサーバーにアップロードし、契約相手方のメールアドレスを入力
• 電子契約プラットフォームがそのメールアドレス宛てに専用のアクセスURLを自動生成し送信
• 受信者がそのURLをクリックし契約当事者として契約書ファイルにアクセスし同意

する、いわゆる メール認証と呼ばれる方法を採用 しています。

送信者から受信者へメールで送信される自動生成URLは、非常に長く複雑な文字列から成るユニークなもので、総当たり攻撃を仕掛けたとしてもヒットするまで何万年もかかり、かつURLには有効期限も設定されているため、第三者からの不正アクセスは事実上不可能となります。

こうした仕組みで発行された専用URLにアクセスできる人物は、認証用メールへのアクセス権を有するメールアドレス所有者である。そうした前提での本人認証が行われているわけです。

メール認証方式のリスク

さて、こうしたメール認証方式のクラウド契約の仕組みに対して、企業の法務担当者からは、大きく分けて以下2つの懸念が寄せられます。

1. 契約当事者以外の第三者がサーバーや受信者メールにアクセスする、つまり契約書同意プロセスが他者に乗っ取られなりすまされるリスクがあるのでは？
2. アクセスし同意したのが確かにそのメアド所有者本人だとしても、そのメアド所有者がそもそも会社から契約締結権限を与えられていない、つまり無権代理として無効主張されるリスクがあるのでは？

まず、1のリスクについては、クラウドサインではワンタイムパスワード認証アプリを利用またはアクセスコードを別ルートで本人に通知することにより、技術的に回避することが可能となっています。他社サービスでも、似たような仕組みを持つものが多いと思います。

一方で2のリスクについてはどうでしょうか。そもそも、そのメールアドレスの所有者に当該契約の締結権限があると勝手に信じたのは送信者であり、企業としての権限確認不足の問題であって、電子契約固有のリスクではありません。紙契約書への押印でも、実は押印者に権限が無かったというトラブルはありますし、3Dプリンタによる印章の偽造も今や現実のリスクとなっています。

しかし、メール認証というこれまでとは違う認証方法を突きつけられ、また長らく続けてきた商慣習から変化すること自体にリスクを感じ、管理部門が仮想敵国化してしまう のも、無理はありません。

ユーザー企業が採用するメール認証リスクの低減策

では、前記2のような無権代理リスクを排除するために、どのような対策を取ればよいでしょうか。

ここからは、クラウドサインのユーザー企業が実際に採用されている対策のいくつかをご紹介したいと思います。

（1）書面で事前確認

いきなり相手方企業に契約締結依頼メールを送信するのではなく、当該メールアドレスの所有者が契約締結権限者であることを、事前に書面で確認しておく という方法です。紙の書面と印鑑の信頼性を重視する法務部門から、最も納得を得やすいオーソドックスな対策だと思います。

確認書面の結び方としては、以下2つのパターンが考えられます。

• 「電子契約用メールアドレス確認書」を事前に相手方に提出していただく
• 基本契約書により個別契約を電子契約で締結する旨（および特定のメールアドレスを用いる旨）を合意しておく

さらに委任関係を確実に担保したければ、これらの書面に実印を押させた上で印鑑証明書を提出させることも一考です。

なお、後者の方法については、ビジネス法務2020年4月号の特集「電子契約のしくみと導入プロセス」P37にてLINE株式会社も採用されている旨が紹介されています。

（2）事前登録フォーム運用により中央集権管理を徹底

上記（1）よりも簡便に、Webフォーム等を用いて以下情報を相手方に登録させる方法 を採用するユーザー企業様があります。

• 会社名
• 契約締結権限者の役職および氏名
• 契約締結用メールアドレス
• 当社側の契約締結担当部署／担当者名

この フォームの受付先を法務・総務部門とし、契約相手方ごとに登録されたメールアドレスを一元管理する中央集権スタイル を採用するユーザー様もいらっしゃいます。

クラウドサインのビジネスプランでは、自社ドメインのメールアドレスを勝手に従業員に登録できないようにするアカウント登録制限機能や、管理部門のメールアドレス認証を通さなければクラウドサイン上での契約に同意できないようにする承認（ゲートキーパー）機能も提供しており、こうした中央集権型管理が容易となっています。

（3）契約締結権限の表明・保証条項で真正性を補充

上記（1）（2）による事前の手続き的確認に加えて、契約書において当該メールアドレス所有者の代理権限を表明させ保証を入れさせるという方法もあります。

第○条　本契約にメール認証による電子署名をもって署名する各個人は、相手方に対し、本契約を締結し各条項の規定を履行する正当な権利および能力を有していること、本契約を締結するについて何人からの何らの異議申立てがなされないこと、ならびにかかる事態が生じた場合第三者からの一切の要求に対し自己の責任と負担においてこれに対処し、相手方に何らの迷惑および損害を与えないことを保証する。

英文契約の実務では、代表取締役ではない立場の者による契約締結の場面で、契約締結権限の表明・保証条項を入れるケースは多く見られます。上記サンプル条項は、これにメール認証の電子署名の真正性保証を加えたものになります。

（4）一定の役職者以上のメールアドレスのみ使用を認め名刺情報と照合

そこまで大々的な仕組み化をせずとも、ルールベースでリスクを回避する方法はないでしょうか。

実務的にも取り組みやすい方法としては、会社法14条1項に基づき表見代理を主張しやすくなる「部長」「課長」職以上の役職者のメール認証による締結をルールとし、名刺を証憑として管理しておく という手が考えられます（参考記事：代表者以外の従業員による押印・電子署名の有効性）。

なお、人事異動等により役職者が交代するリスクもあるため、定期的に名刺情報に変更がないかのクリーニングをするサイクルを設けるとなおよいでしょう。

（5）代表取締役のメールアドレス以外での締結を禁止

ルールベースではシンプルかつもっとも強力な方法が、送信先を必ず代表取締役宛てと徹底する というものです。

メールアドレスの所有者そのものが社長のなりすましでない限り、当然に無権代理の問題は発生しなくなります（会社法349条4項）。

ただし、受信者側の代表者にその負担を求めるということは、返す刀で送信者についても代表者からの送信を求められる可能性は高まるであろうことに注意が必要です。

メール認証が問題視される本当の理由—押印権限を現場に移譲しない日本の商習慣

さて、メール認証のリスクを特に重くみるユーザーに共通するのが、電子契約移行前の「紙と印鑑」時代に どんな契約書についても法務部を通し、代表取締役印で押印している企業 であるという特徴が挙げられます。

このような企業のために、クラウドサインのビジネスプランでは、ゲートキーパー役の権限者を通さない限りクラウドサインでの契約締結ができなくなる機能もご提供しています。

しかし、企業の代表取締役や押印代理をする法務部が契約書の内容をすべて把握しているかというと、そんなはずはありません。社内の権限規程・稟議規程にのっとり、担当部門の決裁範囲で行われている取引がほとんどだからです。

本来、そうした日常の商取引については、それを担当する現場責任者に押印権限自体も委任すべきですが、なぜそうならないのでしょうか？

それは、押印の真正性を証明する「印鑑証明書」が代表者のものしか発行されないという事情にも原因があります。代表者以外の部長印等で契約した場合、その意思表示の真正性を相手方に示すとなると、代表者の印鑑証明書に加えて「委任状」も発行し示さなければならなくなってしまいます。そんな面倒な書類を増やすぐらいならと、法務・総務担当者が代表者印を代理で押印するという「方便」が使われ続けているのが、日本の押印実務です。

翻ってみれば、国内企業との取引ではこれだけ印鑑や本人認証にこだわる日本企業が、外国企業との契約となると案件を主導するVice President（日本でいう本部長・部長クラス）の手書きサインだけで応諾し、サイン証明も取らないという実態もあります（参考記事：印鑑証明書を確認する私たちがサイン証明書を確認しないのはなぜか）。

紙の契約書でも代表者印・印鑑証明書まで求めなかった取引があるように、これを機にさまざまな取引と押印に関する実務を見直し、その契約のリスクに応じた権限移譲と本人確認手段を選ぶことこそが重要です。

契約当事者欄にメールアドレスを併記する時代へ

さて、話を元に戻して、こうしたメール認証による電子契約が普及するにつれて起こるであろう契約実務の変化の一つとして考えられるのが、契約当事者欄の表記についてです。

紙の契約書では、同一商号（社名）や同姓同名の者が存在しうることから、契約当事者を一意に特定する目的で①住所・②商号・③契約締結権限者名の氏名を記載する実務が定着しています。

今後電子契約が普及するにつれて、契約当事者欄には上記①〜③に加えて ④メールアドレス を表記することが新しい商習慣として定着していく ものと考えます（なお住所表記不要論については参考記事：電子契約の当事者表示に住所の記載は必要か）。

民法改正を機に、各社契約書のひな形の見直しを終えられたころかと思います。電子署名を利用しない契約であっても、途中の契約上の意思表示において、インターネット上の住所とも言うべきドメイン・メールアドレスの重みはますます上昇しています。

きたる電子契約の時代への備えも兼ねて、契約当事者欄でのメールアドレス併記も検討されてはいかがでしょうか。

画像：metamorworks / PIXTA（ピクスタ）, CG-BOX / PIXTA（ピクスタ）, kikuo / PIXTA（ピクスタ）, sasaki106 / PIXTA（ピクスタ）, metamorworks / PIXTA（ピクスタ）

（橋詰）