規制改革(共通課題対策WG):電子署名の更なる普及に向けた環境整備!?
2023(令和5)年5月8日、規制改革推進会議の共通課題対策ワーキング・グループ(本稿では「共通課題対策WG」という。)の第11回会議(本稿では単に「第11回会議」という。)が開催された。
議題は次の2点である。
電子署名法第3条の電子署名該当性の明確化
商業登記電子証明書のリモート署名方式の導入
1点目についてはこれまでの議論・解釈の明確化であり、目新しいところはないが、2点目については従前からの "壁" であり、商業登記電子証明書の普及を阻んできたものの解消につながる可能性がある。
本稿では、1点目の議題の前提となる電子署名法の内容や電子署名法第2条に関するQ&Aと同法第3条に関するQ&Aについてのこれまでの議論をおさらいし、2点目の議題についても簡単に紹介する。
電子署名
(1) 意義
電子署名とは、「契約書等の電子文書の作成者のなりすましや内容の改ざんを防ぐ」ための技術であり(デジタル庁)、一般に、電子文書に対する暗号化等の措置が講じられることをもって「電子署名」と呼ばれている。
そのため、「電子署名」の目的・機能は次の2点にあり、これを受けて電子署名法第2条は「電子署名」を定義している(電子署名法第2条の定義は後述)。
① 作成者のなりすまし防止
電子文書から読み取れる名義人(例えば契約締結者)により当該電子文書が作成されたことを担保する ⇦ 電子証明書
② 内容の同一性保持(改ざん防止)
名義人の意思により電子文書が作成されたとしても、その後、当該電子文書の内容が修正・変更その他適切な手続によらずに改ざんされれば意味がないため、作成時の内容と現時点の内容が同一であることを担保し、仮に改ざんがあればそれに気づけるようにする ⇦ タイムスタンプ
まとめると次のようになる。非常にシンプルである。
<対象> 電子ファイル等の電子文書(主としてPDF)
<技術> 公開鍵暗号方式(PKI)等の暗号化技術
<目的> ①なりすまし防止 ②改ざん防止
本来は適切ではないかもしれないが、理解を助けるためのアナロジーとして、紙の文書に対して行う押印措置について同じようにまとめてみる。
<対象> 紙(paper)
<技術> 実印・認印・三文判等の印章(ハンコ)を用いた押印
<目的> ①なりすまし防止 ②改ざん防止
(2) 暗号化技術
筆者は技術面に関してはまったくの素人であり、ここでは専門家の説明を引用する。
電子署名には「暗号化」の技術が用いられており、これはPKI(PKI:Public Key Infrastructure 公開鍵暗号基盤)と呼ばれています。
公開鍵暗号は、暗号化と復号とで異なる2つの鍵(秘密鍵と公開鍵)を使用する方式で、秘密鍵は名前の如くその所有者が秘密に管理しなければならない鍵(プライベート鍵とも呼びます)であり、公開鍵は基本的に公開可能で、他の人に利用してもらう鍵です。
片方の鍵で暗号化したものは、それと対になるもう一方の鍵でなければ復号できない特徴があります(中略)。
「デジタル署名」は、公開鍵暗号の原理に基づく電子署名の方式を指す。(中略)
DocuSignシステムによって作成されたデジタル署名は、数学的アルゴリズムを用いて公開鍵及び秘密鍵を生成する標準的なPKI(公開鍵暗号基盤)プロトコルに従う。署名者が電子文書にデジタル署名を行ったとき、数学的アルゴリズムが暗号のように作用して、署名済の電子文書に一致するハッシュと呼ばれるデータが生成される。秘密鍵及びこのハッシュを利用して文書が暗号化され、デジタル署名が付された電子文書が作成される。デジタル署名付き電子文書の暗号は公開鍵を使って復号することができる。当該文書が署名後に変更された場合、デジタル署名は無効化される。一般的にほとんどのPDFリーダーは、デジタル署名付き電子文書が改ざんされていないかどうかを、公開鍵を用いて検証する機能を有している。
よくわからないと思われるため、図を用意した。
よくある誤解として、鍵を公開してしまっていいのか!?、電子文書の内容(情報)が秘匿されないのではないか!?というものがある。
公開鍵方式の目的は、あくまで秘密鍵と対になる公開鍵を用いて、電子署名措置が講じられた電子文書が秘密鍵を保有・管理する者により作成されたことを検証することにあり、その電子文書の中身を秘匿することは目的ではない(それは別途PassWord等を取り決めて達成すべきである)。
この誤解の原因は、共通鍵方式の名残りか、公開鍵方式にいうところの「秘密鍵」「公開鍵」という名称と思われる。それぞれ、「署名生成鍵」「署名検証鍵」というのが正確である。(しかし、以下では一般の用例に基づき「秘密鍵」「公開鍵」を用いるかもしれない)
(3) 種類
現時点では、誰の秘密鍵を用いて暗号化するのか、その秘密鍵はどこで管理するのかにより、電子署名には次の3つの種類があるとされている。
(a)当事者署名型
① ローカル型電子署名
② リモート型電子署名
(b)立会人署名型
③ クラウド型電子署名 ⇦ これが主な論点
これらのうち、サービスベンダーが保有し管理する秘密鍵を用いて暗号化措置を講じる③クラウド型電子署名(立会人署名型)が電子署名法第2条にいう「電子署名」に該当するのかどうかが問題となり、下記Q&Aにつながる。
というのも、(1)電子署名の意義にて説明したとおり、電子署名の目的には「電子文書から読み取れる名義人(例えば契約締結者)により当該電子文書が作成されたことを担保する」点があるのに、③クラウド型電子署名の場合、少なくとも形式的には電子署名を行うのはベンダーであって、名義人の意思により電子文書が作成されたことを担保できるとはいえないのではないかという疑義があるためである。
電子署名法第2条/Q&A
(1) 電子署名法第2条第1項の構造
ここまで見てきたように、電子署名には、①作成者のなりすまし防止、②内容の同一性保持(改ざん防止)という目的・機能があり、またそれが必要である。
これを受けて、電子署名法(正式名称は「電子署名及び認証業務に関する法律」)第2条第1項は、「電子署名」につき次のような定義を置いている。
電子署名法
第2条 この法律において「電子署名」とは、電磁的記録(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式で作られる記録であって、電子計算機による情報処理の用に供されるものをいう。以下同じ。)に記録することができる情報について行われる措置であって、次の要件のいずれにも該当するものをいう。
一 当該情報が当該措置を行った者の作成に係るものであることを示すためのものであること。
二 当該情報について改変が行われていないかどうかを確認することができるものであること。
簡単に言い換えると次のような構造である。
電子データについて行われる措置であること
その電子データがその措置を行った者により作成されたものであることを示すためのものであること(作成者を特定できること)
その電子データについて改変がされたかどうかを確認可能であること
2点目が①なりすまし防止であり、3点目が内容の同一性保持(改ざん防止)である。
(2) クラウド型電子署名(立会人署名型)の論点
クラウド型電子署名(立会人署名型)は「利用者の指示に基づき、利用者が作成した電子文書(デジタル情報)について、サービス提供事業者自身の署名鍵により暗号化等を行うサービス」であり、そのようなサービスにより行われる措置は、利用者が行った措置といえるのか、あるいはベンダーが行った措置となるのか電子署名法第2条第1項第1号の解釈が問題となる(「利用者の指示に基づきサービス提供事業者自身の署名鍵により暗号化等を行う電子契約サービスに関するQ&A(電子署名法2条1項に関するQ&A)」(以下「第2条第1項Q&A」という)Q.2〔PDF〕)。
もし、ベンダーが行った措置ということになれば、電子データの作成者と措置を行った者が異なるため、クラウド型電子署名(立会人署名型)は、電子署名法第2条第1項にいう「電子署名」には該当せず、したがって同法第3条の真正な成立の推定効を受けることができないため、極めて重要な問題である。
第2条第1項Q&Aの説明に入る前に私見を述べておく。
クラウド型電子署名(立会人署名型)の場合、この括弧書きからもうかがえるが、ベンダーが公証人(立会人)のような立場にあり、当事者双方の意思を確認したことを証する(公正証書又は私署証書認証に機能的に類似)のがサービス内容ではないかと思われる
これは、あたかも、契約書には当事者双方の署名押印はされていないが、当該当事者がその契約書の内容に合意していた旨を第三者が証人として証言するのと同じであり、クラウド型電子署名は署名押印の代わりにはなっていないことになる
電子署名法が制定された2000年(施行は2001年)当時、クラウド型電子署名(立会人署名型)のような類型が想定されていたはずはなく、上記のとおり、これは公証人の業務に属するものである
このように考えるのが、電子署名法第2条第1項の読み方としては正しいように思われる
この点について、第2条第1項Q&Aでは、次のように回答されている。
電子署名法第2条第1項第1号の「当該措置を行った者」に該当するためには、必ずしも物理的に当該措置を自ら行うことが必要となるわけではなく、例えば、物理的にはAが当該措置を行った場合であっても、Bの意思のみに基づき、Aの意思が介在することなく当該措置が行われたものと認められる場合であれば、「当該措置を行った者」はBであると評価することができるものと考えられる。
これは、例えば、Bの印章(実印でも認印でもいいハンコ)を、Bの指示に基づき、単にAが押印を代行するに過ぎない場合(署名代理や押印代理)と類似しており、実際に押印という行為を行っているのはAであるが、それはBの意思(指示)に基づくものであり、その結果得られる印影(紙に写されるハンコの跡)を含むその文書はBが作成したことになる。(このときのAは法的には「使者」という)
ただし、このケースとクラウド型電子署名(立会人署名型)が異なるのは、前者はあくまで文書の作成者本人であるBの印章をAが押印代行しているが、後者は電子データの作成者本人とは異なるAがAの秘密鍵で暗号化処理を行う点であり、このケースは必ずしも適切なアナロジーではない。(このケースの適切なアナロジーは当事者署名型のうちリモート型電子署名である)
その上で、第2条第1項Q&Aでは、次のような考え方が示されている。
利用者が作成した電子文書について、サービス提供事業者自身の署名鍵により暗号化を行うこと等によって当該文書の成立の真正性及びその後の非改変性を担保しようとするサービスであっても、技術的・機能的に見て、サービス提供事業者の意思が介在する余地がなく、利用者の意思のみに基づいて機械的に暗号化されたものであることが担保されていると認められる場合であれば、「当該措置を行った者」はサービス提供事業者ではなく、その利用者であると評価し得るものと考えられる。
例えば、サービス提供事業者に対して電子文書の送信を行った利用者やその日時等の情報を付随情報として確認することができるものになっているなど、当該電子文書に付された当該情報を含めての全体を1つの措置と捉え直すことよって、電子文書について行われた当該措置が利用者の意思に基づいていることが明らかになる場合には,これらを全体として1つの措置と捉え直すことにより、「当該措置を行った者(=当該利用者)の作成に係るものであることを示すためのものであること」という要件(電子署名法第2条第1項第1号)を満たすことになるものと考えられる。
我が国において電子署名や電子契約サービスを牽引しているのはクラウド型電子署名(立会人署名型)のベンダーであり、第2条第1項Q&Aが出された2020年7月は未だCOVID-19が猛威を振るっていた時期でもあり、デジタル化が急務であると叫ばれていた中では、そのサービスについて電子署名法にいう「電子署名」ではないと判断することは、デジタル化の流れに水を差すことになるという考慮が働いたのかもしれない。
また、電子署名法第2条第1項は、同法第3条との対比から、必ずしも電子データの作成者本人による措置に限定していないという理屈かもしれない。
(電子署名法第3条は「本人による電子署名(中略)が行われているときは、真正に成立したものと推定する」と規定しており、本人以外の電子署名の余地も残すかのように見える)
しかし、電子署名法第2条第1項第1号の要件は、電子署名が行われた電子データを検証する立場の相手方や当該電子データを閲覧する第三者が、電子証明書等により知り得る電子データの作成者を特定できることを念頭に置いているものであると思われるが、クラウド型電子署名(立会人署名型)では、その電子証明書から知り得る者はベンダーであり、要件を満たさないように思える。
この点、第2条第1項Q&Aでは「サービス提供事業者に対して電子文書の送信を行った利用者やその日時等の情報を付随情報として確認することができるものになっているなど、当該電子文書に付された当該情報を含めての全体を1つの措置と捉え直す」ことで上記電子データの作成者の特定を満たすと考えているようだが、ベンダーによってどの場所・項目に利用者の情報を載せるのか区々であり、果たしてこれで作成者を特定することが可能か疑義が残る。
また、電子署名法第3条が「本人による電子署名」と定めているのは、次の趣旨であり、民事訴訟法第228条第4項との平仄を図るためと考えられ、それ以上の意味を持つとは考えられない。
電子署名法第3条において、電子署名が「本人による」ものであることを要件としているのは、電子署名が本人すなわち電子文書の作成名義人の意思に基づき行われたものであることを要求する趣旨である
電子署名法第3条/Q&A
(1) 電子署名法第3条の構造
電子署名法第3条は、同法第2条第1項の「電子署名」のうち、一定の要件を満たすものについて、民事訴訟法第228条第4項に類似する成立の真正性の推定効を認めるものである。
電子署名法
第3条 電磁的記録であって情報を表すために作成されたもの(公務員が職務上作成したものを除く。)は、当該電磁的記録に記録された情報について本人による電子署名(これを行うために必要な符号及び物件を適正に管理することにより、本人だけが行うことができることとなるものに限る。)が行われているときは、真正に成立したものと推定する。
これを簡単に言い換えると、次のようになる。
① 電子文書につき、次の要件を満たす、電子署名が行われていること
電子署名を行うために必要な符号及び物件を適正に管理すること
上記1. により本人だけが行うことができることとなるものであること
② ①が本人の意思に基づく措置であること
③ ①②を満たす場合、作成名義人が電子文書を作成したことが推定される
この①の要件は、要するに、他人が容易に同一のものを作成することができないと認められるかどうかである。これを「固有性の要件」ともいう。
固有性の要件を満たし、本人の意思に基づく電子署名が付された電子文書は、その電子文書全体が本人の意思に基づき作成されたものと推定される。
(後記「(4)二段の推定」の箇所でも触れるが、これは民事訴訟法第228条第4項の推定効が認められる前提である私文書が本人の意思に基づき作成されたかどうかと同様である)
なお、電子署名法第3条の要件が、同法第2条第1項の「電子署名」の要件より加重されているのは、次の理由によるとされている。
電子署名法第3条に規定する電子署名について同法第2条に規定する電子署名よりもさらにその要件を加重しているのは、同法第3条が電子文書の成立の真正を推定するという効果を生じさせるものだからである。
すなわち、このような効果を生じさせるためには、その前提として、暗号化等の措置を行うための符号について、他人が容易に同一のものを作成することができないと認められることが必要であり(以下では、この要件のことを「固有性の要件」などという。)、そのためには、当該電子署名について相応の技術的水準が要求されることになるものと考えられる。
したがって、電子署名のうち、例えば、十分な暗号強度を有し他人が容易に同一の鍵を作成できないものである場合には、同条の推定規定が適用されることとなる。
(2) クラウド型電子署名(立会人署名型)の論点
クラウド型電子署名(立会人署名型)の場合、その電子署名はベンダーの秘密鍵により生成されるものであるため、電子署名法第3条の「本人だけが行うことができる」という要件を満たすのかが問題となる。
この点、2020年5月当時の所管省庁は、次のように、クラウド型電子署名(立会人署名型)はこの「本人による電子署名」の要件を満たさないと考えていた。
ご指摘の「電子契約事業者が利用者の指示を受けて自ら電子署名を行うサービス」について、現行法下での規律を説明すると、上述の通り、電子署名法第3条の推定効が働くためには、電磁的記録の作成者本人による電子署名が必要である。
当該サービスは、契約当事者ではなく、電子契約サービス提供事業者が、当該事業者自身の秘密鍵を用いて電磁的記録に電子署名を行うものであることから、当該電磁的記録の作成者を当該契約当事者とする場合には、同条の「本人による電子署名」には当たらず、推定効は働き得ないと認識している。
他方で、契約当事者(利用者)間で電磁的記録(契約書)の成否に争いが生じた場合においては、電子契約事業者に対する利用者の指示の内容や、当該指示に基づき電子契約事業者において当該電磁的記録に電子署名が行われた状況等の個別の事情を立証することによって、当該電磁的記録が真正に成立したものであることを証明し得ると認識している。
これが、固有性の要件の1つである「本人だけが行うことができる」の要件について該当性を否定したのか、それとも本人の意思に基づく電子署名であることを否定したのかは明確ではないが、ともかく、一旦は、クラウド型電子署名(立会人署名型)の電子署名法第3条の該当性は否定されていた。
これに対して、令和2年「規制改革実施計画」(令和2年7月17日閣議決定)において、次のように「規制改革」が推進されることとなり、第3条Q&Aの作成につながったのである。
総務省、法務省及び経済産業省は、電子署名に対し、民事訴訟において署名・押印同様の推定効を定める電子署名法第3条の在り方に関して、サービス提供事業者が利用者の指示を受けて電子署名を行うサービスなどについても一定の要件を満たせば対象となり得ることに関して、その考え方を明らかにする。
そこで登場したのが第3条Q&Aであり、この論点について、次のように考え方を示している。
上記サービス(筆者注:クラウド型電子署名サービス)が電子署名法第3条に規定する電子署名に該当するには、更に、当該サービスが本人でなければ行うことができないものでなければならないこととされている。
そして、この要件を満たすためには、問1のとおり、同条に規定する電子署名の要件が加重されている趣旨に照らし、当該サービスが十分な水準の固有性を満たしていること(固有性の要件)が必要であると考えられる。
より具体的には、上記サービスが十分な水準の固有性を満たしていると認められるためには、①利用者とサービス提供事業者の間で行われるプロセス及び②①における利用者の行為を受けてサービス提供事業者内部で行われるプロセスのいずれにおいても十分な水準の固有性が満たされている必要があると考えられる。
結局のところ、電子署名法第2条第1項の「電子署名」該当性同様、形式的にはベンダーによる電子署名であっても、実質的には利用者(電子文書作成者)による電子署名であることがいえれば足り、それが固有性の要件として整理されている。
その固有性の要件に関して、クラウド型電子署名(立会人署名型)については、①利用者とベンダーの間で行われるプロセスと②利用者の署名依頼等の行為を受けてベンダー内部で行われるプロセスのいずれにおいても、利用者本人が行った場合に相当する事情が必要ということである。
①及び②のプロセスにおいて十分な水準の固有性を満たしているかについては、システムやサービス全体のセキュリティを評価して判断されることになると考えられるが、
例えば、①のプロセスについては、利用者が2要素による認証を受けなければ措置を行うことができない仕組みが備わっているような場合には、十分な水準の固有性が満たされていると認められ得ると考えられる。
2要素による認証の例としては、利用者が、あらかじめ登録されたメールアドレス及びログインパスワードの入力に加え、スマートフォンへのSMS送信や手元にあるトークンの利用等当該メールアドレスの利用以外の手段により取得したワンタイム・パスワードの入力を行うことにより認証するものなどが挙げられる。
②のプロセスについては、サービス提供事業者が当該事業者自身の署名鍵により暗号化等を行う措置について、暗号の強度や利用者毎の個別性を担保する仕組み(例えばシステム処理が当該利用者に紐付いて適切に行われること)等に照らし、電子文書が利用者の作成に係るものであることを示すための措置として十分な水準の固有性が満たされていると評価できるものである場合には、固有性の要件を満たすものと考えられる。
①の利用者とベンダーの間で行われるプロセスに関しては、利用認証や鍵認可と呼ばれる、ベンダーの秘密鍵を利用して電子署名を行うに当たり必要な当人認証のプロセスのことであり、経産省「オンラインサービスにおける身元確認手法の整理に関する検討報告書」が参考になる。
この当人認証のプロセスについては各社それぞれの考え方に基づき対応しているようである(2要素認証も一例である)。
Adobe Signの運用
最後に、Adobe Signでも携帯電話へワンタイム・パスワードをSMS送信するという2段階認証の仕組みを設けており、これを利用することで電子署名法第3条の適用が認めらるという解釈は可能です。しかしながら、3条Q&Aにおいても「裁判所の判断に委ねられるべき事柄」とも述べられているとおり、2段階認証の仕組みでも電子署名法第3条の適用が認められるかどうかは裁判所の判断次第であることにご留意が必要です。Adobe Signでは立会人署名方式と当事者署名方式の両方に対応しており、電子署名法第3条の適用には当事者型(電子署名)での運用を推奨しています。
②のベンダー内部で行われるプロセスに関しては、少し抽象的であり、かつ電子署名の技術についての素人である筆者にはわかりづらいが、電子署名の方式(暗号化)のレベル(電子署名及び認証業務に関する法律施行規則第2条、電子署名及び認証業務に関する法律に基づく特定認証業務の認定に係る指針第3条参照)やシステム上の安全性や不正アクセスが生じないことなど電子署名依頼を行った利用者に関して適切にクラウド型電子署名が処理されることの担保が必要であるということかと思われる。
なお、クラウド型電子署名(立会人署名型)における、電子署名に「必要な符号及び物件」は、次のとおりとされている(第3条Q&A Q3)。
・符号:ベンダーの秘密鍵と利用者のパスワード
・物件:ベンダーのサーバと利用者のスマートフォンやトークン
しかし、この解釈には無理がある点については従前から指摘されているところである(呆)。
(3) 身元確認の要否(第11回会議の議題関係)
この議論の発端は第3条Q&Aにある。
つまり、「Q4. 電子契約サービスを選択する際の留意点は何か。」という問に対し、2020年9月当時の所管省庁は、次のように回答したが、それにより電子署名法第3条の推定効の要件として「身元確認」が必要であるとの「誤解」「混乱」が生じているとのことである(第11回会議〔資料2〕4頁)。
実際の裁判において電子署名法第3条の推定効が認められるためには、電子文書の作成名義人の意思に基づき電子署名が行われていることが必要であるため、電子契約サービスの利用者と電子文書の作成名義人の同一性が確認される(いわゆる利用者の身元確認がなされる)ことが重要な要素になると考えられる。
この点に関し、電子契約サービスにおける利用者の身元確認の有無、水準及び方法やなりすまし等の防御レベルは様々であることから、各サービスの利用に当たっては、当該各サービスを利用して締結する契約等の重要性の程度や金額といった性質や、利用者間で必要とする身元確認レベルに応じて、適切なサービスを慎重に選択することが適当と考えられる。
この点に関しては、2020年規制改革推進会議デジタルガバメント ワーキング・グループ第3回資料3-2-1により、次のとおり、明確に、身元確認は電子署名法第3条の推定効の要件ではないことが示されているが、これは第3条Q&Aとは別の資料であることから、第11回会議では第3条Q&Aを改訂すべきであるという要望がなされた。
・第3条Q&Aでは、第3条に規定する電子署名に該当する要件として、電子署名サービスの利用者と電子文書の作成名義人の同一性の確認(いわゆる利用者の身元確認)は求めていない。しかしながら、実際の裁判において電子署名法第3条の推定効が認められるためには、電子文書の作成名義人の意思に基づき電子署名が行われたことが必要であり、これを担保する手段の1つとして身元確認がされているものと考えられる。利用者間でどの程度の身元確認を行うかはサービスを利用して締結する契約の重要性の程度等を考慮して決められるべきものと考えられる。
・2要素認証については、御指摘のとおり十分な水準の固有性を満たすための措置の例であり、同レベル又はそれ以上の固有性を満たす措置が他に存在するのであれば、これを排除するものではないが、電子署名法第3条においては「これを行うために必要な符号及び物件を適正に管理すること」と規定されていることに留意されたい。
身元確認の要否については、まさにこのとおりであり、まったく異論ない。
(4) 二段の推定
文書の世界において有名な「二段の推定」とは次のようなロジックである。
実印をはじめとする印章(ハンコ)は通常相応に厳重に保管されるものであり(経験則)、反証がない限り、文書に本人や代理人の印章(ハンコ)に基づく押印があれば、本人や代理人が自らの意思で押印したことが推定される(事実上の推定/一段目の推定)
本人や代理人の意思に基づく押印があるときは、通常押印する文書の内容を理解してから押印するものであり(経験則)、本人や代理人が自らの意思で文書全体を作成したことが推定される(民事訴訟法第228条第4項)(法律上の推定/二段目の推定)
まず、民事訴訟法第228条第4項は次のように定めており、文書に本人又は代理人の署名又は押印があるときは、その文書は真正に成立した、つまり本人の意思に基づき作成されたことが推定され、裁判上の証拠としての資格(形式的証拠力ともいう)を有することになる。(これが目指すTargetとなる)
民事訴訟法
第228条
4 私文書は、本人又はその代理人の署名又は押印があるときは、真正に成立したものと推定する。
署名の場合、筆跡等を確認する必要はあるが、それがなされる限りにおいて、本人又は代理人による署名がされている文書は、普通に考えれば、本人又は代理人が自らの意思で文書全体の内容を理解して署名しており、本人のの意思に基づき文書が作成されたと評価することができるため、「二段の推定」は不要である。
(「普通に考えれば」の箇所が民事訴訟法第228条第4項の「推定」であり、もし特段の事情があるのであれば、「反証」によりこの評価を覆すことが可能である)
他方で、押印の場合、誰が押印しても同じ印章(ハンコ)からは同じ印影が生成されることから、単に本人又は代理人の印章による押印があるからといって、本人又は代理人が自らの意思で文書全体の内容を理解して押印したとは言い切れない面がある。
とはいえ、特に実印の場合に顕著だが、それ以外の認印についても同様に、通常、自己の印章(ハンコ)はそれなりに厳重に管理・保管されているものであり、本人又は代理人の名義の印章(ハンコ)が押印されているのであれば、それは、普通に考えれば、本人又は代理人が、自らの意思で押印したと評価することができる。
このように、「印章(ハンコ)は通常相応に厳重に管理されているはず」という最高裁が認めた経験則から、印章(ハンコ)が押されていれば、それはその印章(ハンコ)の持ち主である本人又は代理人が自らの意思で押印したのだろうと推定することができる。これが、「二段の推定」でいう一段目の推定であり、民事訴訟法第228条第4項の推定(法律上の推定/二段目の推定)に行き着く前の前提としての事実上の推定である。
文書中の印影が本人または代理人の印章によつて顕出された事実が確定された場合には、反証がない限り、該印影は本人または代理人の意思に基づいて成立したものと推定するのが相当であり、右推定がなされる結果、当該文書は、(中略)「本人又ハ其ノ代理人ノ(中略)捺印アルトキ」の要件を充たし、その全体が真正に成立したものと推定されることとなるのである。
この一段目の推定に対しては、印章(ハンコ)が盗用されたことなどが反証の材料となり得る。
なお、一段目の推定の前提として、「印章(ハンコ)は通常相応に厳重に管理されているはず」という経験則が必要であることから、例えば、他人(親や兄弟等)と共有・共用している印章(ハンコ)にはそもそも推定が働くことがない。
私文書の作成名義人の印影が当該名義人の印章によつて顕出されたものであるときは、反証のないかぎり、右印影は名義人の意思に基づいて顕出されたものと事実上推定されるところ(最高裁昭和39年(オ)第71号同年5月12日第3小法廷判決・民集18巻4号587頁ほか参照)、右にいう当該名義人の印章とは、印鑑登録をされている実印のみをさすものではないが、当該名義人の印章であることを要し、名義人が他の者と共有、共用している印章はこれに含まれないと解するのを相当とする。
これに対して、デジタルの世界ではどうか。
この点、2020年5月当時の所管省庁は次のように考えており、電子署名法第3条は民事訴訟法第228条第4項同様の法律上の推定/二段目の推定であり、一段目の推定が働く余地を残している。
電子署名法第3条は、「本人による電子署名(これを行うために必要な符号及び物件を適正に管理することにより、本人だけが行うことができることとなるものに限る。)」が行われている場合は、電磁的記録であって情報を表すために作成されたもの(中略)の真正な成立の推定(所謂「推定効」)が働くと規定しているところ、同条は、電子署名を行ったのが本人であること自体を推定するものでなく、電子署名を行ったのが本人であると裁判所により認定されることを要件として、電磁的記録の成立の真正を推定するものである。
それを前提とした上で、「二段の推定」(特に一段目の推定)が成り立つのかを問題視する声もある。
この二段の推定のロジックは、電子署名の世界にもそのまま当てはまるのか?
結論として、現時点では、二段の推定が押印と同じように電子署名にも及ぶとは断言できないと言われています。電子署名の真正な成立について争われた判例、特に経験則に基づく一段目の推定について判断された実績がないためです。
しかし、私見では、電子署名法第3条の「固有性の要件」が満たされることで、本人の意思に基づく電子署名であることが事実上推定されると考える。
それは、次のとおり説明できる。
まず、当事者署名型のうちローカル型電子署名の場合、秘密鍵が記録されているICカード(マイナンバーカード等)は、通常相応に厳重に保管していると考えられることから、それを用いて電子署名が行われている以上、当該電子署名は本人の意思に基づき行われたと推定できる。
次に、当事者署名型のうちリモート型電子署名の場合、一定のセキュリティ水準を満たす秘密鍵の保管・運用がなされ、電子署名法第3条の「固有性の要件」を満たすリモート型電子署名であれば、同条の推定効が働くことは否定されないとされており、一段目の推定を前提としているようにも思える。
日本トラストテクノロジー協議会(JT2A)が本年4月30日に公表した「リモート署名ガイドライン」は、署名鍵の保管や運用等に関してリモート署名事業者が参照すべきセキュリティ基準等を示したものである。
取引の安定性の確保の観点から主務省において速やかにその内容の精査を行うほか当該ガイドラインの運用状況等を注視していくことが必要であるものの、当該ガイドラインに示された基準が電子署名法第3条の要件を満たす場合に、同条の推定効が働くことは、否定されるものではない。
「リモート署名ガイドライン」では、「利用認証」についてはスコープ外とされているが、利用認証後の「鍵認可」についてはスコープ対象となっており、レベルに応じて必要な認証方法・要素が異なる。
(表の左から右にかけてレベル1〜3となっている)
特にレベル2・3については、利用認証とは別に複数要素認証以上の手続が必要とされており、それらの認証を突破している以上、通常本人の意思に基づく電子署名と推定できるように思われる。(若干大雑把か)
また、クラウド型電子署名(立会人署名型)については、リモート型電子署名の場合と重複する面もあるが、第3条Q&Aが示す固有性の要件、つまり①利用者とベンダーの間で行われるプロセスと②利用者の署名依頼等の行為を受けてベンダー内部で行われるプロセスいずれにおいても、利用者本人しか行えない状況でクラウド型電子署名が行われれば、それは通常利用者本人の意思に基づく電子署名と推定できるように思われる。
なお、おそらく、2020年9月当時の所管省庁も同様に、電子署名法第3条の「固有性の要件」を満たせば、他人が容易に同一のものを作成できない、つまり本人が作成した、したがって本人の意思に基づく電子署名であることが推定されることを念頭に置いていたように思われる(もちろん明言はしていないが)。
暗号化等の措置を行うための符号について、他人が容易に同一のものを作成することができないと認められることが必要であり(以下では、この要件のことを「固有性の要件」などという。)、そのためには、当該電子署名について相応の技術的水準が要求されることになるものと考えられる。
商業登記電子証明書のリモート型化
現状、商業登記電子証明書はローカル型のみ提供されている。
しかし、ローカル型であるがゆえに、次のような課題があり、普及を阻んでいると考えられている(第11回会議〔資料3〕6頁参照)。
ローカルに格納されたPCからしか電子証明書を利用できないため業務の属人化を招く
どの(誰の)PCにローカル格納したかリスト管理を行う必要があるが相応に手間
このような課題や要望を受けてか、デジタル庁・法務省において、2025(令和7)年度中に運用開始予定の次期電子認証システムにおいて「リモート署名方式」を導入する方向で仕様を検討している、とのこと。
今後の動き
ここまでの議論を受けて、2023年6月16日閣議決定の「規制改革実施計画」においては次のように定められている(同120-121頁)。
<電子署名法関係>
デジタル庁及び法務省は、電子署名の利用者、認証事業に係る有識者やサービス提供事業者等の意見を十分に聞き取り参考にして、「利用者の指示に基づきサービス提供事業者自身の署名鍵により暗号化等を行う電子契約サービスに関するQ&A(電子署名法第3条関係)(令和2年9月4日)」(以下「3条Q&A」という。)に下記の3点を盛り込む改訂について検討を行い、その可否を含めて結論を得た上で、必要な措置を講ずる。
◯電子契約サービスの利用者と電子文書の作成名義人の同一性が確認される(いわゆる利用者の身元確認がなされる)ことについては、①(中略)電子署名法(中略)第3条に規定する電子署名に該当する要件としては不要であること、一方で、②実際の裁判において同条の推定効が認められるには、利用者の身元確認がなされることが重要な要素になると考えられるところ、同条の適用において、いわゆる利用者の身元確認が不要である又は問題とならないといった誤解を招くことのないようにすることの2点を分かりやすく明示すること。
◯電子署名法第3条に規定する電子署名に該当する要件として3条Q&Aに記載のある「固有性の要件」について、十分な水準の固有性を満たす措置としてどのようなものが考えられるか分かりやすく明示すること。
◯電子契約サービスを選択する際の留意点として、実際の裁判において作成名義人の意思に基づき電子署名が行われているとして電子署名法第3条の推定効が認められると考えられる「身元確認の水準及び方法やなりすまし等の防御レベル」について、最終的には裁判所の判断に委ねられるべき事柄ではあるものの、一般論としてその内容を分かりやすく明示することに加え、適正管理要件の充足方法を複数例示すること。
<商業登記電子証明書関係>
デジタル庁及び法務省は、商業登記電子証明書の発行時における利用者の負担軽減の観点から、取得費用を低減すること、及び利用者の利便性向上の観点から、発行時や利用時の利用者の操作性を向上させること、GビズIDの法整備がなされた場合に商業登記電子証明書との連携を進めること、代表者以外による利用について整理を行うこと、民間電子署名サービスとの連携を進めることや、令和7年度中に運用開始予定の次期電子認証システムにおいてリモート署名方式を導入することについてそれぞれ検討を行い、その可否も含めて結論を得た上で、必要な措置を講ずる。
以上