中小企業とベンチャーが電子契約を活用して業務を効率化していく話
契約に関わる費用と時間を大幅に削減し生産性向上につながる可能性がある電子契約を注意すべき点を踏まえながら、上手に活用する方法を考えていきます。
自己紹介
ベンチャー企業の代表者や実務担当者として契約のフローを作ったり、契約の実務に携わってきました。弁護士の先生方や電子契約サービスを提供している事業者の解説を一通り読みましたが、実務者の立場ではいまいちピンと来なかったので、自分の専門である業務プロセス改善、ガバナンス、サイバーセキュリティの観点を踏まえてどう活用していくかを考えてみます。関連する法律は勉強しましたが、専門ではないので深入りはしませんし、間違っている可能性も高いです。また、アドバイスの意図もありません。法律の解釈やアドバイスは法律の専門家や御社の顧問弁護士にご依頼ください。
電子契約とは何か?
オンラインで完結する契約形態を電子契約といいます。紙での契約に比べ、製本や郵送、相手を訪問して押印するやり取りが不要なため時間を節約でき、電子契約書は課税文書に当たらないことから印紙税も不要なためコスト削減にもなります。契約書の原本を保管する必要もないので管理コストも減ります。契約にかかるリードタイムを短縮できればサービスの提供を早めることができるため、契約待ちの間の機会損失が発生しないというメリットもあります。
電子契約はハンコの代わりに電子署名をすることで契約を締結します。
電子署名という聞きなれない言葉が出てきて戸惑われた方がいらっしゃると思いますので補足すると、単にPDFやシステム上で自分の名前をサインするという意味ではなく、公開鍵暗号という仕組みを応用して「自分しかしていないこと」を証明する方法です。
公開鍵暗号は「公開鍵」と「秘密鍵」という2つの数学的に関連した鍵を使って暗号化を行い、秘密の情報を交換する仕組みです。公開鍵を使って暗号化すると秘密鍵を使って暗号を解くことができます。公開鍵は文字通り全世界に公開しますが、秘密鍵は自分しかわからないようにします。公開鍵を全世界に公開してくれるのが認証局(CA: Certificate Authority)という機関です。そのため、公開鍵を使うには認証局に登録をすることが必要です。
電子署名は公開鍵暗号とは反対に、「秘密鍵」を使って暗号化します。そうすると「公開鍵」を使って誰もが暗号を解くことができます。どうしてこんなことをするかと言うと、「秘密鍵」はその人しか知らないはずですから、暗号化をしたのは「その人しかいない」ことを証明できます。これをサイバーセキュリティの世界ではNon-repudiation(否認防止)と言います。
現在提供されている電子契約サービスはこの秘密鍵の管理方法により、大きく3つに分けることができます。
1つ目は秘密鍵をパソコンやマイナンバーカードのようなICカード、HSM(秘密鍵を管理する専用のハードウェア)に保存するローカル型、2つ目は電子契約サービス事業者のサーバで管理するリモート型、3つ目は秘密鍵を自分では管理せず、電子契約サービス事業者が管理をするクラウド型で、最初の2つを当事者署名型と言い、最後のものを事業者署名型と言います。
当事者署名型では認証局が電子署名(秘密鍵で暗号化すること)をするための電子証明書を発行する際に身元確認を行いますが、事業者署名型では電子証明書を契約当事者向けに発行しないため、契約当事者の身元確認を行いません。
電子署名はお互いする必要があることから、どこかの電子契約サービスを選ぶ必要があります。そこで、お互いに電子証明書発行の負担がなく、メールアドレスで作ったアカウントで完結できる事業者署名型の電子契約サービスを選択するケースが多いですが、注意すべきではないかと思う問題がいくつかあります。
契約相手のメールアドレスが本人のものか問題
事業者署名型の電子契約サービスではメールアドレスだけで契約ができますが、そもそも、そのメールアドレスは本当に本人のものなのかという問題があります。本人のものであれば問題はありませんが、本人のものではなかった場合、本人に契約の意思はないので本人との契約は有効ではないのではないしょうか。事業者署名型の電子契約サービスでは身元確認を行わない以上、本人のものかどうかの確認をするのは契約当事者の責任ということになるのではないかと思います。ここで問題になるのはどうやって本人確認をするのかです。
名刺交換をして名前やメールアドレスを入手したからと言って、この段階ではただ自称しているだけですので、本人と確認ができたとは言えません。名刺はいくらでも偽造ができます。本人確認をするには、本人確認書類と照合するのが最も確実ですが、重要な個人情報に他ならないので取り扱いに細心の注意と適切なセキュリティ対策が必要になるためハードルが高いです。しかも、それで確認できるのは氏名のみでメールアドレスは確認できません。これに加えて、2人しか知らない秘密の合言葉のようなものを相手のメールアドレスから送ってもらうことで初めてメールアドレスが本人のものであると確認ができます。そうなると、相手の会社のしかるべき立場の人から氏名、役職、メールアドレスを記した書面を出してもらうという形の方が現実的ではないかと思います。電子契約をするために書面を郵送するのは本末転倒な気がしますが、電子証明書を使用しない以上、他に良い方法を思いつきません。
ただし、現実問題、契約相手がなりすましであるケースは稀であるためか、ここまで厳密に本人確認を行うケースはあまり見ません。
厄介なケースは相手が企業のドメインではなく、プロバイダやGmailなどのフリーのアドレスを使っている場合です。小規模な会社ではいまだに散見されます。この場合は外形的に個人のものでないことを否定できないので、法人として電子契約をすることは難しいのではないかと思います。
契約相手が契約を行う権限を持っているのか問題
メールアドレスが本人のものであったとして、その人が代表者ではなかった場合、その人に契約をする権限があるのかという問題があります。代表者が代わりに契約の手続きをしてくれたり、委任状を出してくれれば問題はありませんが、実務的には困難なケースが多いと思います。万が一契約相手が権限を持っていない場合、無権代理行為となるので会社との契約ではなくなる可能性があるのではないでしょうか。
ここで、相手が権限を持っているのかを確認しようとするとまた厄介な問題に直面します。会社のWebページで記載をしてくれていれば良いのですが、そうしている会社は極めて稀です。そうすると相手の会社から権限を持つ旨の書面や社内権限規定を出してもらうしか確認をする手段がありません。規定が出てきたとしても、どうやってそれが本物かどうかを確認するかという問題があります。
実務上は無権代理が問題となる事態は稀であるので、相手が一定以上の役職であれば権限を持つものとして取り扱うようですが、問題になりうるのではないかと思います。
電子証明書は本人確認を行い、契約を行う権限があることを会社が証明した上で発行されるため、この2つの問題は電子証明書を使用しないことで発生します。とはいえ、電子証明書の発行は手間で時間がかかり、場合によっては費用も発生し、電子証明書の発行を理由に契約が流れる可能性も無きにしも非ずであるため(電子証明書を知らない人に説明するのが一番ハードルが高い)、リスクが低い契約(継続的で金額が大きくないもの)であればメールアドレスで作ったアカウントで完結できる事業者署名型の電子契約サービスを使うことが低い確率で問題が発生することを考慮した上でも合理的であるのではないかと思います。一方、リスクが高い契約(プロジェクト型で金額が大きいもの)は当事者署名型の方が良さそうです。
電子契約を業務フローに組み込む
電子契約サービスはSaaSで提供されており、ほとんどのサービスでAPI連携ができるので、業務フローに組み込むことができます。すると、CRMや業務用メッセージアプリ、ERPと連携することができるため、業務フローに組み込むことで劇的に業務負荷を減らし、人のリソースの制約から解放できる可能性があります。こちらが提供するサービスがSaaSであれば顧客が申し込みをしてからシームレスにサービス提供までのフローを繋げて自動化することもできます。ただし、実装には法律の専門家のアドバイスが必須ではないかと思います。また、後述の理由からセキュリティ対策も必須です。
ガバナンスの観点からの懸念
一方でメールアドレスだけで契約ができてしまうということは代表者が知らない所で従業員が勝手に契約を行いかねないということでもあります。うっかり「表見代理」や「善意の第三者」が認められてしまうと会社として契約が有効になってしまうのではないでしょうか。完全に防止することは難しいものの、少なくとも社内規定で契約を行う際の業務プロセスを明確にし、契約を行うことができる権限を明示しておく必要があるのではないかと思います。会社によってはセキュリティベンダーのソリューションを利用して、メールアカウントの監視やWEBコンテンツフィルタリングを行う所もあるでしょう。
電子契約サービスによっては契約をする権限を制限する機能がありますが、存在する全ての電子契約サービスのアカウントを作るわけにはいかないので包括的な解決策とは言えないと思います。
他方、こちらがサービス提供者側で相手に契約をしてもらう立場であるときは、特に業務フローの設計の際に法務部や顧問弁護士の意見を良く聞いた方が良いと思います。また、契約行為に他ならないので社内の承認プロセスを飛ばして実装するのは当然御法度でしょう。
サイバーセキュリティの観点からの懸念
電子契約の電子署名では秘密鍵は自分しか知らないはずということが前提になっていますが、秘密鍵を他人に知られてしまったらどうなるでしょうか?自分になりすまされて勝手に契約をされてしまいます。そのため、秘密鍵は代表者印と同じレベルの管理が必要になります。
パソコンなどローカルで保存する場合には平文(暗号化していない状態)で保存するのは避けて、適切なアクセス管理とセキュリティ対策を行う必要があります。よく使用されるのがHSM(Hardware Security Module)という暗号鍵を保存するセキュリティハードウェアで、安全性の強度によりFIPS 140-2 などの国際認証を受けていて、求められる強度に応じてレベルを選びます。ただし、運用にはITの専門職が必要になり、費用もかかります。
リモート型やクラウド型の電子署名では暗号鍵の保存は電子契約サービス事業者が行いますが、電子契約サービスのアカウントを守る必要があります。少なくとも多要素認証を設定すべきでしょう。
電子署名の秘密鍵と電子契約サービスのアカウントは会社の存続に影響を及ぼしうる高価値ターゲットになり得ますので、十分なセキュリティ対策ができないのならば、使わない方が良いかもしれません。機密性が損なわれるセキュリティ事故が起きた時には悪用を防ぐため、速やかに電子証明書を無効化(revoke)できるようにしておくべきです。
また、これはまだ論理的可能性の話ですが、事業者署名型の場合、契約相手の本人確認は当事者間で行う必要があるのではないかと思いますが、昨今のAI技術の発展もあり、公開されている写真や動画、流出した本人確認書類を悪用して契約相手を騙し通せる場合が出てくるでしょう。また、メールアカウントをサイバー攻撃で乗っ取った場合、最初から最後まで嘘を突き通せるので契約相手が見破るのは難しく、そうなった場合、その契約相手は守られるのかどうなのかを有識者の見解を聞きたいです。
結論
様々な懸念があるものの、ひとつひとつ法律の専門家のアドバイスを受けながら解消していけば、大きな生産性向上につながる可能性があります。一概に使った方が良いとは言えないものの、リスクとリターンの見極めができればうまく活用できるのではないでしょうか。