【電子署名】電子署名法第3条関係Q&Aが改定!?
本稿のねらい
2020年9月4日付けで総務省・法務省・経済産業省が連名で公表した「利用者の指示に基づきサービス提供事業者自身の署名鍵により暗号化等を行う電子契約サービスに関するQ&A (電子署名法第3条関係)」(電子署名法第3条関係Q&A)は非常に有名であるが、これが2024年1月9日付けで一部改定されていたことを最近認識した。なお、現時点では、電子署名法の所管はデジタル庁に移管されている。
これは、2023年5月8日における規制改革推進会議共通課題対策ワーキング・グループ(共通課題対策WG)の第11回会議において議論された次の2点の議題のうち、1点目に関するものである。
電子署名法第3条の電子署名該当性の明確化
商業登記電子証明書のリモート署名方式の導入
⇛これらについては以前の記事で詳細に触れているので参照されたい
これを経て、2023年6月16日閣議決定規制改革実施計画には、次のとおり、電子署名法第3条関係Q&Aの一部改定を行うことが盛り込まれた。
デジタル庁及び法務省は、電子署名の利用者、認証事業に係る有識者やサービス提供事業者等の意見を十分に聞き取り参考にして、「利用者の指示に基づきサービス提供事業者自身の署名鍵により暗号化等を行う電子契約サービスに関するQ&A(電子署名法第3条関係)(令和2年9月4日)」(以下「3条Q&A」という。)に下記の3点を盛り込む改訂について検討を行い、その可否を含めて結論を得た上で、必要な措置を講ずる。
○電子契約サービスの利用者と電子文書の作成名義人の同一性が確認される(いわゆる利用者の身元確認がなされる)ことについては、①電子署名及び認証業務に関する法律(平成12年法律第102号。以下「電子署名法」という。)第3条に規定する電子署名に該当する要件としては不要であること、一方で、②実際の裁判において同条の推定効が認められるには、利用者の身元確認がなされることが重要な要素になると考えられるところ、同条の適用において、いわゆる利用者の身元確認が不要である又は問題とならないといった誤解を招くことのないようにすることの2点を分かりやすく明示すること。
○電子署名法第3条に規定する電子署名に該当する要件として3条Q&Aに記載のある「固有性の要件」について、十分な水準の固有性を満たす措置としてどのようなものが考えられるか分かりやすく明示すること。
○電子契約サービスを選択する際の留意点として、実際の裁判において作成名義人の意思に基づき電子署名が行われているとして電子署名法第3条の推定効が認められると考えられる「身元確認の水準及び方法やなりすまし等の防御レベル」について、最終的には裁判所の判断に委ねられるべき事柄ではあるものの、一般論としてその内容を分かりやすく明示することに加え、適正管理要件の充足方法を複数例示すること。
この計画のアウトプットが2024年1月9日付け電子署名法第3条関係Q&Aの一部改定である。
本稿では、改定前の電子署名法第3条関係Q&Aから変更があった部分に特化して簡単に説明することを目的とする。
どこが改定されたのか
改定後電子署名法第3条関係Q&Aの末尾には、親切にも改定履歴が付されており、これによると、実質的な改定ポイントは次の4点である。重要なのは★を付けた2点。
問2の改定:固有性の要件関係★
問4の新設:身元確認の要否関係★
問5の改定:裁判における真正な成立の推定の考慮要素関係(旧問4)
問6の新設:電子文書の真正な成立の判断関係
いずれも上記2023年6月16日閣議決定規制改革実施計画の要請に沿ったものとなっている。
以下では、改定ポイントに沿ってそれぞれ概観していくが、その前に、一旦電子署名法第3条の要件と効果をおさらいしようと思う。
電子署名法第3条の要件効果
電子署名法第3条は、同法第2条第1項の「電子署名」のうち、一定の要件を満たすものについて、民事訴訟法第228条第4項に類似する電子文書の真正な成立の推定効を認めるものである。
第2章 電磁的記録の真正な成立の推定
第3条 電磁的記録であって情報を表すために作成されたもの(中略)は、当該電磁的記録に記録された情報について本人による電子署名(これを行うために必要な符号及び物件を適正に管理することにより、本人だけが行うことができることとなるものに限る。)が行われているときは、真正に成立したものと推定する。
これを簡単に言い換えると、次のようになる。
A: 電子文書につき、次の要件を満たす、電子署名が行われていること
①電子署名を行うために必要な符号及び物件を適正に管理すること
②上記①により本人だけが行うことができることとなるものであること
B: Aの電子署名が本人の意思に基づく措置であること
C: A∧Bを満たす場合作成名義人が電子文書を作成したことが推定される
上記Aの要件は、要するに、他人が容易に同一のものを作成することができないと認められるかどうかであり、電子署名法第3条関係Q&Aにおいて、これを「固有性の要件」ともいう(同問1参照)。
⇛「電子署名を行うために必要な物件」はサーバー、スマートフォンやトークン(物理)を指すというかなり無理のある解釈がなされている
「これを行うために必要な符号及び物件を適正に管理すること」の具体的内容については、個別のサービス内容により異なり得るが、例えば、サービス提供事業者の署名鍵及び利用者のパスワード(符号)並びにサーバー及び利用者の手元にある2要素認証用のスマートフォン又はトークン(物件)等を適正に管理することが該当し得ると考えられる。
なお、「電子署名」は電子署名法第2条第1項において定義されており、それについても特に立会人署名型の電子署名を意識したQ&A(電子署名法第2条関係Q&A)が公表されている。
⇛筆者は立会人署名型の電子署名は電子署名法第2条第1項にいう「電子署名」には該当しないと考えているが、この点は以前の記事を参照されたい
要するに、電子署名法第2条関係Q&Aは、「技術的・機能的に見て、サービス提供事業者の意思が介在する余地がなく、利用者の意思のみに基づいて機械的に暗号化されたものであることが担保されていると認められる場合であれば、『当該措置を行った者』はサービス提供事業者ではなく、その利用者であると評価し得る」とし、あたかも○○サイン事業者が利用者の使者であり、利用者のハンコ(印章)を代わりに押している(押印代行)ことと変わらないと考えているようだが、筆者は、○○サイン事業者自身の署名鍵を使う使者構成は、書面&押印のアナロジーで認めるのはさすがに気持ち悪すぎるという趣旨で立会人署名型の電子署名は電子署名法第2条第1項にいう「電子署名」には該当しないと考えたのである。
※赤枠は筆者挿入
電子署名法第2条関係Q&Aは、上図の赤枠部分についても「電子署名」であると認める余地を残しているが、さすがに気持ち悪いのは伝わると思う。
他方で、「織田信長 羽柴」は気持ち悪すぎるが、「織田信長 ○○株式会社」のように会社印だった場合にはむしろ一般的であり、許容できる*。
*このとき、民事訴訟法第228条第4項でいう本人が○○株式会社で織田信長が代理人なのか、あるいは本人が織田信長なのかは明確ではないが、どちらでもよい。
このアナロジーで、電子署名についても、○○サイン事業者の署名鍵で電子署名が生成されるのではなく、○○株式会社の署名鍵で電子署名を生成する、いわゆる「リモート署名型」が本来的には望ましい。
電子署名法における「電子署名」は、その第2条第1項において、電子的な情報(電磁的記録に記録することができる情報)について行われる措置であって、(1)当該情報が当該措置を行った者の作成に係るものであることを示すためのものであること(同項第1号)及び(2)当該情報について改変が行われていないかどうかを確認することができるものであること(同項第2号)のいずれにも該当するものとされている。
リモート署名サービス提供事業者のサーバに利用者の署名鍵を設置・保管し、利用者が当該事業者のサーバにリモートでログインした上で利用者自らの署名鍵で措置(電子署名)を行う所謂「リモート署名」であっても、上記(1)及び(2)を満たすものについては、電子署名法における「電子署名」に該当するものであると認識している。
問2の改定:固有性の要件
上記のように、電子署名法第3条の「本人による電子署名(これを行うために必要な符号及び物件を適正に管理することにより、本人だけが行うことができることとなるものに限る。)」という要件は、「固有性の要件」という実質論に落とされてしまっている。
この固有性の要件につき、電子署名法第3条関係Q&Aは次の2つのプロセスのいずれにおいても十分な水準の固有性が満たされている必要があると考えている。
①利用者とサービス提供事業者の間で行われるプロセス
②①における利用者の行為を受けてサービス提供事業者内部で行われるプロセス
なお、①②のいずれか一方のみが十分な水準の固有性を満たしていても全体として不十分な場合には、上記サービスが十分な水準の固有性を有しているとは認められなくなることに留意する必要がある、という指摘が改定後に追加されている。
①のプロセス
次の方法による2要素認証を行っている場合は、十分な水準の固有性を満たすと評価され得ることが改定後に追加されている。なお、2要素認証は一例に過ぎず、利用者本人しか行えない状況なのかどうかが重要なポイントである。
あらかじめ登録されたメールアドレス及びログインパスワードの入力並びにSMS送信又は手元にあるトークンの利用等当該メールアドレスの利用以外の手段により取得したワンタイム・パスワードの入力
あらかじめ登録されたメールアドレスに配信された時限アクセスURL へのアクセス及び署名用のトークンアプリをインストールしたスマートフォンによる認証
利用者専用の電子契約システムログインID・パスワードを利用したアクセス及び利用者に対し配布されたトークンデバイスによる認証
②のプロセス
次の方法により十分な暗号の強度、適切な鍵の管理、利用者毎の個別性を担保する適切な仕組み(例えばシステム処理が当該利用者に紐付いて行われること)が備わっていれば、電子文書が利用者の作成に係るものであることを示すために十分な水準の固有性を満たしていると評価され得ることが改定後に追加されている。
アクセスや操作ログ等が正しく適切に記録され、かつ、改ざんや削除ができない仕様とされていること
運用担当者による不正ができないシステム設計、運用設計がされていること
正しく適切に運用されていることが監査等で確認するとされていること
必要に応じてログや監査等の記録やシステム仕様書等が提出できるよう十分な期間保存するとされていること
【参考】二段の推定対照図:固有性の要件の立ち位置
問4の新設:身元確認の要否
改定前問4
この改定後問4は、改定前問4において次のとおり回答されていたことから、それにより電子署名法第3条の推定効の要件として「身元確認」が必要であるとの「誤解」や「混乱」が生じているとの業界団体からの苦情を受けてのものである。
問4 電子契約サービスを選択する際の留意点は何か。
実際の裁判において電子署名法第3条の推定効が認められるためには、電子文書の作成名義人の意思に基づき電子署名が行われていることが必要であるため、電子契約サービスの利用者と電子文書の作成名義人の同一性が確認される(いわゆる利用者の身元確認がなされる)ことが重要な要素になると考えられる。
そもそも改定前電子署名法第3条関係関係Q&Aの問4が身元確認を要求しているとは読めない上、別の会議体において政府は身元確認が必須ではない旨回答しており、誤解等が生じる余地はないのだが。
第3条Q&Aでは、第3条に規定する電子署名に該当する要件として、電子署名サービスの利用者と電子文書の作成名義人の同一性の確認(いわゆる利用者の身元確認)は求めていない。しかしながら、実際の裁判において電子署名法第3条の推定効が認められるためには、電子文書の作成名義人の意思に基づき電子署名が行われたことが必要であり、これを担保する手段の1つとして身元確認がされているものと考えられる。利用者間でどの程度の身元確認を行うかはサービスを利用して締結する契約の重要性の程度等を考慮して決められるべきものと考えられる。
改定後問4
問4 電子契約サービスを利用した電子署名がされた電子文書について、実際の裁判において電子署名法第3条の推定効が認められるためにはサービス提供事業者による身元確認が必要なのか。
・ 実際の裁判において、電子契約サービスを利用した電子署名がされた電子文書について、その成立の真正が争われた場合には、電子署名法第3条の推定効が認められるかが論点となる。この場合に、同条の推定効の主張が認められるためには、当該電子署名が本人(電子文書の作成名義人)の意思に基づき行われたものであることが必要であるところ、挙証者が、電子文書の作成名義人本人による電子署名が行われていること、すなわち電子契約サービスの利用者と電子文書の作成名義人が同一であることを立証する必要がある。
・ サービス提供事業者が電子契約サービスの利用者と電子文書の作成名義人の同一性を確認する(いわゆる利用者の身元確認を行う)ことは、電子署名法第3条の推定効の要件として必ず求められているものではないものの、電子契約サービスの利用者と電子文書の作成名義人が同一であることの有効な立証手段の一つとなり得る。なお、取引の当事者同士で身元確認を行なっている場合はもとより、サービス提供事業者が利用者の身元確認を代行する作業を附帯サービスとして提供している場合も同様に、電子契約サービスの利用者と電子文書の作成名義人が同一であることの有効な立証手段の一つとなり得る。
ややわかりづらい記載だが、次のようなことを言わんとしている。
電子署名法第3条の推定効を受けるためには、電子契約サービスの利用者と電子文書の作成名義人が同一であることを立証することが必要
⇛これは電子署名法第3条の「本人による電子署名」の解釈によるもの
上記立証のための手段として、電子契約サービス提供事業者により電子契約サービスの利用者と電子文書の作成名義人の同一性確認=身元確認は必要条件ではない(十分条件でもない)が、有効な立証手段の1つとなる
⇛利用者からすれば、電子契約サービス提供事業者が同一性を確認してくれれば、いわば証人を用意することと同義であり、有効な立証手段とはなるが、その程度でしかない
問5の改定:裁判における考慮要素(旧問4)
法務省お得意のすべて裁判所に丸投げパターンである。
実際の裁判において、電子文書の作成名義人の意思に基づいて電子署名が行われたことを立証する際の、作成名義人と利用者の同一性の証明の水準や、その証明のために電子契約サービスにおける身元確認の水準及び方法やなりすまし等の防御レベルがどの程度要求されるかについては、裁判所の判断に委ねられるべき事柄である。
問6の新設:電子文書の真正な成立の判断
問6 電子文書の成立の真正は電子署名法第3条の推定効のみによって判断されるのか。
・ 電子文書の成立の真正は、電子署名法第3条の推定効のみによって判断されるものではなく、口頭弁論の全趣旨及び証拠調べの結果をしん酌して、自由な心証により裁判所に判断される(民事訴訟法第247条)ものである。したがって、身元確認が取引開始時点において高い水準で行われていなかった場合であっても、契約当事者間における当該電子文書の成立過程を裏付ける証拠等が提出できれば、それらも電子文書の成立の真正の有効な立証手段となり得る。
・ 文書の成立の真正を証明する手段を確保する方法については、令和2年6月19日、内閣府・法務省・経済産業省「押印についてのQ&A」でもその例を公表している。
結構身元確認にこだわっている印象を受ける。
以上