「電子署名法第3条Q&A」の読み方とポイント—固有性要件と身元確認・2要素認証の要否

クラウド型電子署名によっても、電子文書の真正な成立の推定効が及ぶとの公式見解が示されました。2024年1月に改定された新しい電子署名法第3条Q&Aのポイントと、新たに明らかになった「固有性」要件について解説します。

電子署名法第3条Q&Aが改定—新3条Q＆Aのポイント

令和6年1月9日、新しく改定された「利用者の指示に基づきサービス提供事業者自身の署名鍵により暗号化等を行う電子契約サービスに関するQ&A （電子署名法第3条関係）」（以下「新3条Q&A」）と題する文書が、電子署名法の主務官庁であるデジタル庁・法務省より公表されました。

新3条Q&A https://www.digital.go.jp/assets/contents/node/basic_page/field_ref_resources/517ca59b-6ea4-4179-a338-8d1b51a4d40b/4ae659c2/20240109_digitalsign_qa_01.pdf  2024年1月9日最終アクセス

本文書により、事業者の署名鍵を用いて電子署名を施すクラウド型電子署名について、その電子署名プロセスに十分な水準の固有性が満たされていると認められる場合には、電子署名法3条により電子文書の真正な成立が推定されるという見解が、主務官庁から公式に示された ことになります。

あるサービスが電子署名法第３条に規定する電子署名に該当するか否かは、個別の事案における具体的な事情を踏まえた裁判所の判断に委ねられるべき事柄ではあるものの、一般論として、上記サービス【編集部注：クラウドサインのような「利用者の指示に基づき、利用者が作成した電子文書について、サービス提供事業者自身の署名鍵による暗号化等を行う電子契約サービス」を指す】は、①及び②のプロセスのいずれについても十分な水準の固有性が満たされていると認められる場合には、電子署名法第3条の電子署名に該当するものと認められることとなるものと考えられる。したがって、同条に規定する電子署名が本人すなわち電子文書の作成名義人の意思に基づき行われたと認められる場合には、電子署名法第3条の規定により、当該電子文書は真正に成立したものと推定されることとなると考えられる。

あわせて、「十分な水準の固有性が満たされる」ためには、

1. 利用者とサービス提供事業者間
2. サービス提供事業者内部

これらのプロセスにおいて 暗号の強度や利用者毎の個別性が担保されているかがポイントとなる ことが、一般論として述べられています。

従来型の3条電子署名と新しい3条電子署名の違い

従来型の3条電子署名は、認証局による本人確認のもとユーザーに有償で発行・更新される電子証明書と、ICカードやサーバー等に格納した署名当事者の署名鍵を用いていました。専門家や3省の間では、こうした方式のみが3条電子署名に該当すると考えられていたのです。

しかし、今回の電子署名法第3条Q&Aはこうした見解を覆し、認証局の本人確認手続きを不要とし事業者の署名鍵を用いるクラウドサインのような新しい3条電子署名サービスであっても、固有性要件を満たすことで推定効が得られる と述べ、それを満たす 具体例として、2要素認証を経て署名当事者の指示に紐づけて電子署名を行うものを例示 しています。

「これを行うために必要な符号及び物件を適正に管理すること」の具体的内容については、個別のサービス内容により異なり得るが、例えば、サービス提供事業者の署名鍵及び利用者のパスワード（符号）並びにサーバー及び利用者の手元にある2要素認証用のスマートフォン又はトークン（物件） 等を適正に管理することが該当し得ると考えられる。

すでに本メディアでも述べてきたとおり、ここでいう固有性＝一意性はメールアドレス認証によっても担保できると考えますが（関連記事：電子署名と二段の推定—メールアドレス認証によって電子署名法3条の推定効は及ぶか）、今回の電子署名法第3条Q&Aが踏み込んだのは、その確からしさを確保する具体的方法論として、2要素認証を例示した点でしょう。電子署名法3条カッコ書きにある「物件」の語に「所有“物“認証」を引っ掛けてきた、という感じもします。

なお、クラウドサインでは、すでにスタンダードプランをご利用のお客様にこの2要素認証機能を提供しています。さらに、この3条Q&Aの発表を受けフリープランユーザーにも提供することを発表し（プレスリリース:「「利用者の指示に基づきサービス提供事業者自身の署名鍵により暗号化等を行う電子契約サービスに関するＱ＆Ａ（電子署名法第３条関係）」におけるクラウドサインの推定効と今後の対応について）」）、2020年9月24日より提供開始いたしました。

渡部「電子署名法の再興」論文が解き明かす「固有性」要件

ところで、今回の3条Q&Aで示された「固有性」とは、どういった性質をさすのでしょうか。

本文書では、固有性とは「暗号化等の措置を行うための符号について、他人が容易に同一のものを作成することができないと認められること」であると説明しますが、必ずしもわかりやすいとは言えない説明です。電子署名法の3条を見ても、3省が言う「固有性」を直接表現したような記載は見当たりません。

第三条　電磁的記録であって情報を表すために作成されたもの（公務員が職務上作成したものを除く。）は、当該電磁的記録に記録された情報について本人による電子署名（これを行うために必要な符号及び物件を適正に管理することにより、本人だけが行うことができることとなるものに限る。）が行われているときは、真正に成立したものと推定する。

では、3条Q&Aがいう「固有性」の要件は、いったいどこから導きだされたのでしょうか？

この真相を解き明かしている論文 が実は存在します。それが、ビジネスロー・ジャーナル2020年10月号に掲載された渡部友一郎「電子署名法の再興　20年前の立法者意思とクラウド技術を活用した電子認証サービスの接合」 です。

立法担当者は、電子署名についても、「デジタル署名の場合、鍵の管理の問題を別とすれば、十分な暗号強度（一定の鍵長等）を有し、他人が容易に同一の鍵を作成できないものであれば署名や実印と同等の固有性を満たしていると考えられる……このような観点から……電磁的記録の真正成立の推定規定……においても「本人でなければ使用することができない方法によるものであること（十分な暗号強度を有すること）」を要件の一つとしているところである」と解説する。（P41）

渡部先生は、これまで電子署名の専門家らが精緻に分析していなかった郵政省電気通信局電気通信事業部データ通信課＝通商産業省機械情報産業局電子政策課 第四部＝法務省民事局第四課「内閣法制局御説明資料（電子署名及び認証業務に関する法律案）第四部長御説明用資料」および用例集（2000年2月25日付）を精緻に読み解き、立法担当者が3条電子署名と2条電子署名との差分として一定の暗号強度の確保等の技術的な措置を「固有性」の要件として課すことを企図していた ことを明らかにしています。

その上で、

新行政解釈の「一定の要件」とは、クラウド型電子署名に係る電子署名の暗号の強度（アルゴリズム、鍵長）が十分であることを意味し、「利用者の真偽の確認」は必ずしも要件にはならないと考える（利用者真偽確認不要説）。（中略）立法的・政策的な観点から、クラウド型電子署名の3条該当性を肯定する要件として加重的に「利用者の真偽の確認」（例えば、SMSによるメールアドレスの二段階認証）を求めるという政策判断もあり得るだろう（利用者真偽確認加重説）。（P46）

と、電子署名法上、利用者の真偽確認（身元確認）は求められていない と整理しています。

身元確認や2要素認証は3条推定効発生の要件ではない

上記渡部論文でも示されているとおり、身元確認を行っているか否かは、電子署名法3条推定効発生の要件ではありません。

これは、押印による契約の多くで、道具としての印章を販売する印章製造業者や印章販売店が身元確認を行っているわけではないのと同様であり、当然のことです。しかしながら、一部の電子契約サービス事業者や専門家による誤った解釈が出回っており、この点は注意が必要です。

なお、身元確認が不要であることは、2024年1月9日に改定された新3条Q＆Aでも、以下の通り確認されています。

サービス提供事業者が電子契約サービスの利用者と電子文 書の作成名義人の同一性を確認する（いわゆる利用者の身元確認を行う）ことは、電子署名法第３条の推定効の要件として 必ず求められているものではないものの、電子契約サービスの利用者と電子文書の作成名義人が同一であることの有効な立証手段の一つとなり得る

ここでもうひとつ注目すべきは、新3条Q&Aでは 2要素認証の実施も、あくまで例示であって必須要件ではない ことが明記された点です。

①のプロセス【編集部注：利用者とサービス提供 事業者の間で行われるプロセス】については、例えば以下の方法により２要素 認証を行っている場合は電子文書が利用者の作成に係るもの であることを示すのに十分な水準の固有性を満たすと評価さ れ得ると考えられる。なお、十分な水準の固有性を満たすため に２要素認証が必須ということではなく、他の方法によるこ とを妨げるものではない。

問われているのはあくまで固有性であって、2要素認証を行わない場合であっても、メール認証・デジタル署名・タイムスタンプをはじめとする技術的な措置や、契約当事者によるやりとりを含めた電子契約のプロセス全体をもって、推定効が認められる余地は十分にあると考えます。

クラウド型電子署名の商慣習化に向けて

以上から、これまでの電子署名法の解釈とそれに基づく政策によって政府が認証事業者らに対して与えてきたさまざまな影響にも配慮し、落としどころとして「固有性」要件を2要素認証の例示という形で示したという背景が明らかになりました。

いずれにせよ、クラウド型電子署名サービスの提供者としては歓迎すべき見解ですが、Q&Aの中でも述べられているように最終的には「個別の事案における具体的な事情を踏まえた裁判所の判断に委ねられるべき事柄」でもあります。この見解にのみ依存することなく、押印が商慣習として信頼を得てきたように着実にご利用実績に基づく信頼を積み重ねていくことが重要と考えます。

クラウドサインでは、よりユーザーにとっての安全性と利便性の高い優れたサービスの実現に向けて、電子契約のリーガルデザインをこれからも追求してまいります。