これからはじめる電子署名～技術背景、法的な位置付け、サービス導入のポイント～：電子署名の基本をおさらい（2/2 ページ）

» 2020年10月29日 05時00分公開

[原幹，＠IT]

電子署名の法的な位置付け

電子署名の現行法における位置付け

　一般的に理解されている電子署名のメリットは、文書の発信元を確実に「認証」できる点である。情報セキュリティの重要な要素として「機密性」「可用性」「完全性」があるが、電子署名は「認証」の機能によってセキュリティの「完全性」要素を満たすことを目指す。

　電子署名に関する根拠法令は、2000年に制定された「電子署名及び認証業務に関する法律」（以下「電子署名法」と表記）になる。同法第2条1項は「電子署名」を以下の2要件を満たすものとして定義している。

本人性
- 当該情報が当該措置を行った者の作成に係（かか）るものであることを示すためのもの。電子署名が付与された文書は電子証明書情報に基づく本人性確認の手段が担保されており、取引の当事者本人が作成したことを証明することで証跡としての証拠保存力が高められる。
非改ざん性
- 当該情報について改変が行われていないかどうかを確認することができるもの。合意された文書がその後改ざんされることで、取引そのものの実在性が問われることになる。電子署名は署名される段階の最新データであることや署名後にデータが修正されないことを保証することにより、改ざんされていないことを証明する。

　技術的な中立性を保つため、同法ではこれらの要件をどのように実現するのか、固有の要素技術を規定していない。従って「立会人署名型」でサービスを提供する事業者はこれらの2要件を適切に実装する必要がある。

　また、電子署名のうち「本人だけが」行うことができる認証業務を「特定認証業務」として定義しており、電子署名の安全性を確保するための以下のいずれかの技術的困難性を満たす必要がある。同法で求められる特定認証業務の要件とそれらを満たす主要な暗号化技術の対比表を以下に示す。


	要件	主要な暗号化技術
1	ほぼ同じ大きさで2つの素数の積で、2048ビット以上の整数を素因数分解	RSA方式であって、ハッシュ関数としてSHA-256/SHA-384/SHA-512を使用するもののうち、モジュラスとなる合成数が2048ビット以上のもの
2	大きさ2048ビット以上の有限体の乗法群における離散対数の計算	DSA方式であって、ハッシュ関数としてSHA-256を使用するものであり、かつ、モジュラスとなる素数が2048ビット以上のもの
3	楕円（だえん）曲線上の点がなす大きさ224ビット以上の群における離散対数の計算	ECDSA方式であって、ハッシュ関数としてSHA-256/SHA-384/SHA-512を使用するもののうち、楕円曲線の定義体および位数が224ビット以上のもの
3	前三号に掲げるものに相当する困難性を有するものとして主務大臣が認めるもの	現段階での指定なし
特定認証業務の要件と主要な暗号化技術 DSA: Digital Signature Algorithm ECDSA: Elliptic Curve Digital Signature Algorithm

　実務的には、上記いずれかの暗号化方式を採用していれば「特定認証業務」の要件を満たすと解釈できるだろう。ただし、実際には一般利用者が技術的困難性を確認することが困難であることから、同法は一定の事業者について認定を行う制度（認定認証事業者制度）を設けた。認定された事業者が提供する電子署名は「認定認証された電子署名」と呼ばれ、法令への準拠性を高い品質で担保するとされている。

電子署名サービスのこれまでの解釈

　「電子署名法」の第3条では、電子文書が真正に成立するために「民法228条4項」（署名、押印に関する規定）の推定効として「本人による電子署名」を求めている。具体的には、「電子文書」の作成名義人の「電子署名」が名義人の「秘密鍵」によって生成されたことが検証できれば、その電子文書を法的証拠として採用できることになる。

　ただし、具体的にどのような要件をもって「本人による電子署名」を満たすかについては明確な解釈がなかったことから、「当事者署名型」（電子署名）は問題なく要件を満たす一方で「立会人署名型」（電子サイン）のサービスが第3条の要件を満たすかどうかは不透明な状況が続いていた。

電子署名サービスのこれからの解釈

　このような状況において、総務省、法務省、経済産業省の連名で「利用者の指示に基づきサービス提供事業者自身の署名鍵により暗号化等を行う電子契約サービスに関するQ&A」（以下、「3条Q&A」）が2020年9月4日に公表された。「3条Q&A」では、同法2条の電子署名の要件に加えて、以下の2要件を満たすことにより電子文書の真正性を推定する効力を有するとしている。

電子文書に電子署名法第3条に規定する電子署名が付されている
電子署名が本人（電子文書の作成名義人）の意思に基づき行われている

　そのうえで、同法第3条を満たす電子署名に該当するためには、当該サービスが「十分な水準の固有性を満たしていること」（固有性の要件）が必要とされる。より具体的には、以下の要件を満たすことで「十分な固有性の要件」をクリアしたものと解釈される（赤線部は筆者）。

利用者とサービス提供事業者の間で行われるプロセス
1における利用者の行為を受けてサービス提供事業者内部で行われるプロセス
のいずれにおいても十分な水準の固有性が満たされること

　1の例として「3条Q&A」では「多要素認証」を挙げる。例えば登録されたメールアドレスやログインパスワードの入力に加え、スマートフォンへのSMS送信や手元にあるトークンの利用などにより取得したワンタイムパスワードを入力する。

　2の例として「3条Q&A」では、「事業者自身の署名鍵により暗号の強度や利用者ごとの個別性を担保する仕組み」を挙げる。

　これにより、本人名義の電子証明書などの準備を必要としない「立会人署名型」の電子署名が広く認められる環境が整備されていくだろう。一方で利用者ニーズの広がりにより、すでに多くの電子署名サービスが出現している。なお「3条Q&A」では、1と2のプロセスにおいて固有性の水準の参考となる文書が例示されているので、参考にしていただきたい。

電子署名システムの導入

主要な電子署名システム

　実際の業務に電子署名システムを導入するに当たり「当事者署名型」「立会人署名型」のいずれかの方式を選ぶことになるが、「当事者署名型」は暗号化の仕組みやタイムスタンプの実装、電子証明書の発行など準備が煩雑なため、現実的な選択肢は「立会人署名型」サービスになる。

　「立会人署名型」サービスは「電子文書の暗号化」「電子署名の付与」などの主要機能を備えており、サインアップしたその日から使えるなど高い利便性を提供している。2020年9月現在、導入可能な主要な電子署名システムとして以下が挙げられる。


	サービス名	事業者名	URL
1	CloudSign （クラウドサイン）	弁護士ドットコム	https://www.cloudsign.jp/
2	DocuSign （ドキュサイン）	DocuSign, Inc.	https://www.docusign.jp/
3	GMO電子印鑑Agree	GMOグローバルサイン・ホールディングス	https://www.gmo-agree.com/
4	e-sign （イーサイン） ※当事者署名型	xID	https://esign.ee/
5	Adobe Sign （アドビサイン）	アドビ	https://acrobat.adobe.com/jp/ja/sign.html
主要な電子署名システム

導入上の留意点

　これらのサービスの選定に当たっては、以下の評価基準に基づいて比較検討を進めることができるだろう。

機能
- 電子署名ワークフローのUI/UX（ユーザーインタフェース／ユーザーエクスペリエンス）や文書の検索といった基本機能の他、対象文書のカテゴリー分けやステータス管理など、サービス固有の機能が自社のニーズにどこまで合っているかを確認する。
セキュリティ
- サービスが採用している暗号化技術および暗号化レベル、ウイルス対策、適切なアクセス制限、災害対策といった一般的なセキュリティ要件を確認する。特に、悪意の第三者（当事者間の事情や行為を知る第三者）によるなりすましや改ざんなどの被害を防止するため、暗号化方式については前述のRSA方式／DSA方式／ECDSA方式のいずれを採用しているかを事前に確認しておきたい。
コスト
- ユーザー1人当たりの料金、署名、送信件数の上限、法人単位か個人ごとの課金かなどを比較する。多くのサービスは無料試用期間を設けているので、それぞれのサービスに登録して短期間で集中的に使用、比較するのがよいだろう。
実績
- 電子署名を付与する文書の種類にもよるが、サービスがどの言語に対応しているかを確認する。特に海外サービスは日本語へのローカライズが十分に実施されているかを事前に検証したい。各社の導入実績で大手企業が採用しているかどうかを判断基準にすることもできる。また電子署名サービスベンダーの多くはベンチャー企業なので、社歴の浅い企業は倒産リスクがあり、その場合サービスで作成したデータが失われてしまうリスクについては特に留意しておきたいところだ。