★☆★JNSAメールマガジン 第38号 2014.6.27.☆★☆
JNSAメールマガジン 第38号 をお届けします。
今回は暗号技術をテーマとした連載リレーコラムの3回目です。
「暗号技術と法律について」というテーマで、五番町法律事務所 宮内宏弁護士に寄稿いただきました。
「暗号技術と法律について」
(五番町法律事務所 弁護士 宮内 宏)
- ■はじめに
私は,かつて総合電機メーカーの研究所で情報セキュリティの研究に従事しておりましたが,その後,法科大学院を経て弁護士になりました。研究者の時代に電子署名法が創設されるなど,法律面に接する機会がありましたが,法律の正確な理解には至っておりませんでした。そうこうするうちに法科大学院の制度ができまして,他分野の専門知識を持つ法曹を育成することとなりましたので,これを機会に,法律家への道を歩み始めました。
今回は,法律面から見た暗号技術の活用について,お話したいと思います。
- ■法的に暗号技術が問題となるのは?
暗号技術が法律面から問題になるケースとしては,例えば,営業秘密に関する秘匿やアクセス制御がありますが,やはり,電子文書の証拠性の問題が一番大きいと思います。電子帳簿保存法への対応が進んでいることもあって,最近,電子署名を用いた電子契約が少しずつ浸透してきています。契約書等の電子文書を民事訴訟の証拠として提出する際の証拠力に関わる法律として,電子署名法があります。電子署名法では,一定の条件を満たす電子署名に証拠力を持たせています。
- ■電子署名の証拠力と本人確認−−なぜ本人確認が重要なのか−−
電子署名法における認定認証業務の規定では,電子証明書発行時の本人確認を厳格に行っています。これは,証拠力の面で本人性が極めて重要なことに対応しています。
文書を民事訴訟の証拠として提出するときには,本人(文書の作成名義人)が本人の意思でその文書を作成したことを示す必要があります(民事訴訟法228条1項)。本人の意思で作成したことについては,判例及び法律に推定規定があり「二段の推定」と呼ばれています。
-
(1) 本人の印鑑による印影があれば,本人による(本人の意思による)押印であると推定する(最判昭和39.5.12民集18-597)。
(2) 本人による署名又は押印があれば,本人の意思で作成されたものと推定する(民事訴訟法228条4項)。
つまり,本人の印鑑の印影があることを証明すれば,(1)と(2)により,本人の意思で作成された文書であることが推定されるのです。
電子文書について,この2段目と同様な規定をおいているのが電子署名法です。
電子文書の場合には,二段の推定は,以下のようになります。
-
(1) 本人の電子署名があれば,本人による(本人の意思による)電子署名であると推定する。
(2) 本人による電子署名があれば,本人の意思で作成されたものと推定する(電子署名法3条)。
この1段目の「本人の電子署名」であることを証明するためには,電子証明書記載の事実が正確であって,その電子証明書に係る電子署名を作成するための秘密情報(秘密鍵,署名鍵)や秘密情報を格納した媒体が本人に確実に渡されたことを証明する必要があります。
要するに,民事訴訟で電子文書を証拠にするためには,電子文書に付されている電子署名が,確かに本人の電子署名であること,すなわち,電子証明書の発行時における本人確認と秘密情報の管理が正しく行われたものであることを示す必要があるわけです。
電子署名法における認定認証業務は,電子証明書の発行や秘密情報の管理が,法令に規定された厳格な方法に従っていることを,主務3省により認定されたものですので,認定認証業務が発行した証明書であれば,本人の署名であることの証明は容易になります。
このように,民事訴訟における証拠力に関しては本人の確認が非常に重要ですので,電子署名法においても,認定認証業務における手続を厳格に規定し,いわば実印レベルの安全性を確保する仕組みになっています。すなわち,認定認証業務にかかる電子署名がついていれば,法律的には非常に信用性が高いといえます。
-
■署名の検証−−標準化が重要−−
さて,電子署名のついた電子文書を保管しておいて,実際に証拠として裁判所に提出する場合について考えて見ます。このときには,電子署名が有効であることを裁判所に示さなければなりません。最も簡単な方法は,検証アプリケーションを用いて署名検証を行ない,その結果を紙にプリントアウトして提出するものだと思います(これで疑義があれば,署名付電子文書と検証用アプリケーションを裁判所に提出して,裁判所と相手方当事者に確認してもらうことになるでしょう)。
このときに,検証のアプリケーションとしては,標準的なものが望まれます。検証アプリケーションごとに異なる結果を出力するようなことがあれば,証拠力に疑問が生じますし,長期署名のような複雑なフォーマットについても安定した結果が得られることは非常に重要です。この点で,検証の標準が確立し,標準に準拠しているアプリケーションならば,どれでも同じ結果になるとすれば,訴訟における信用性は非常に高くなります。
現在,ETSIで検証の標準化が進展しており,いずれは,ISOやJISでも策定される運びと聞いています。訴訟で電子署名の有効性を証明するためには,こうした標準化は極めて有用ですので,いち早い標準の確立と,標準に準拠した検証アプリケーションの普及が望まれています。
- ■本人と属性−−ビジネスで用いる電子証明書−−
ところで,電子証明書で証明すべきものは何かという問題があります。印鑑証明書や,認定認証業務発行の電子証明書では,住民票記載の個人であることを証明しています。しかし,社会活動においては,それ以外の属性が重要になることもしばしばです。例えば私の場合ですと,現住所よりも「弁護士であって,登録番号が38XXXであること」の方が重要なケースが多々あります。B2BやB2Cの取引で事業者側は,その事業者に所属していて,然るべき権限を持っていることのほうが,担当者の住所よりもはるかに重要でであると思われます。
本人特定情報以外の,こうした情報は,属性(Attribute)として,電子証明書に記載することが可能です。しかし,住民票記載情報以外の属性については,その属性が正しいかどうか(その人が,その属性を本当に持っているのかどうか)を一般的に確認することは困難です。こうした理由もあって,電子証明書記載の属性の活用は,電子証明書以上に普及が遅れているようです。
これを打破する方法の一つとして,記載可能な属性を限定し,その属性に責任を持つ主体を明らかにする方法が考えられます。たとえば,弁護士でしたら,弁護士であること及び登録番号を,弁護士会の責任で電子証明書に記載します。企業の役職員でしたら,企業の責任で,所属や役職などを記載すればよいのです。このような方法により,社会的な利用度は大きく上がるものと思います。今後の法制度の改定などの方策が望まれるところです。
- ■おわりに
電子署名などの暗号技術の利用のためには,法律的な裏づけが必須です。電子署名法が施行されて13年余りが経過しましたが,電子署名の普及は限定的な場面に留まっています。現在の電子署名法の範囲でも,利用可能な分野は非常に広いといえますし,実際に電子契約の導入も進みつつあります。3Dプリンタの普及により,印鑑のコピーも容易になってきていることを考えると,電子署名の方がはるかに安全ですし,業務の効率化にも寄与できます。しかし,電子署名の法的有効性については,まだまだ認知度が低く,それゆえに採用に至らないケースも多いようです。このような状況を乗り越えるためにも,私としては,技術と法律の橋渡しをできる弁護士として,電子署名を初めとする暗号技術の利用拡大に努めて行きたいと思っております。私でお役に立てそうなことがありましたら,お声掛けいただければ幸いです。
#連載リレーコラム、ここまで
<お断り>本稿の内容は著者の個人的見解であり、所属企業及びその業務と関係するものではありません。
【部会・WG便り】
★JNSAソリューションガイド活用WGでは新メンバーを募集中です。
参加希望の方は事務局までご連絡ください。
★会員交流部会では、7月に内閣官房情報セキュリティセンター(NISC)の方をお招きして勉強会を企画しています。詳細は後日ご案内します。
【事務局からの連絡、お知らせ】
★工学院大学オープンカレッジ講座、参加申込み受付中です。
「改訂版ISO/IEC 27001に基づくISMS計画と構築の実践コース」
JNSA会員企業の方は、税込価格から3万円割引でお申込みいただけます。
https://www.jnsa.org/kogakuin/2014/
★「SECCON 2014」7月のオンライン大会の申込みは7月初旬に受付開始予定です。
https://www.jnsa.org/seccon/
★SECCONでもメールマガジンを毎週金曜日に発行しています。
各地で開催される予選大会やCTF勉強会などの情報を配信しますので、興味ある方はぜひ御登録下さい。
SECCONメルマガ登録ページは↓こちら↓
http://2014.seccon.jp/mailmagazine.html
★登録情報にご変更がある方がいらっしゃいましたら、事務局までご一報をお願いいたします。
☆コラムに関するご意見、お問い合わせ等はJNSA事務局までお願いします。
*************************************
JNSAメールマガジン 第38号
発信日:2014年6月27日
発行: JNSA事務局
*************************************
