【電子署名Q＆A】

電子署名Q&A

2020年9月16日 第1版

NPO法人 JNSA 日本ネットワークセキュリティ協会 電子署名ワーキンググループ

2001年の電子署名法施行以来、コロナ禍をきっかけとする在宅勤務の機会増大によって再び電子署名に注目が集まっています。電子署名法主務三省(総務省、経済産業省、法務省)からこの（2020年）7月と9月の二回にわたり電子契約サービスに関するQ＆Aが公開され、その中でも電子署名に関する見解が示されましたが、電子署名に馴染みのない方にはややハードルが高い内容となっています。このような状況を踏まえ、少しでも多くの方に電子署名に対するご理解を深めていただけますよう、電子署名WGでは「電子署名Q&A」を作成し、公開することといたしました。

A. 広い意味で電子署名とは、電磁的記録（電子文書）に関連付けられ、検証により確認可能な、電子的措置です。
この措置に主に求められるのは、電磁的記録に証拠としての効力を持たせる事で、様々な方式があります。
日本の電子署名法の規定では、電磁的記録に付されるものであり、作成者を示すこと(電子署名法第2条第1項第1号)、および改変の有無を確認できること(同第2条第1項第2号)が要件です。なお、電子署名の作成者は、人と定義されていることと、利用者の真偽の確認の方法(施行規則第5条)から自然人(個人)と考えられます。

A. 電子データのことを指します。
電子署名法の規定では、電子的方式、磁気的方式その他人の知覚によっては認識することができない方式で作られる記録であって、電子計算機による情報処理の用に供されるもの(電子署名法第2条第1項)とされています。

A. 日本国の法律では、単に人や個人と表されることが多いですが、英語ではnatural personと表され、法人(legal person)と区別するため、それにならい、しばしば、自然人と表すことがあります。

A. 日本では厳密に区別されていませんが、欧米では電子署名(electronic signature)とデジタル署名(digital signature)を区別しています。

これら双方を用語定義している、米国食品医薬局(FDA)が医療における電子記録、電子署名の利用を定めた連邦規則第21条第11章( 21 CFR Part11)を参考に、わかりやすく言えば、つぎのようになります。

・電子署名：本人と電子文書との関係を示すために本人が作成した電子データで、広く電子パッドに手書き署名するようなものを含む
・デジタル署名：電子署名の一種で、署名者の身元とデータが改ざんされていない事を、暗号技術を使って検証できるもの

デジタル署名は、よりセキュアな電子署名であると言えるでしょう。日本の電子署名法は電子署名の全体ではなく、主にデジタル署名を対象にしています。

A. 広い意味では、複数の技術や運用を組み合わせたものには、たとえば、自筆署名の筆跡（画像など）を署名対象のデータと関連付ける電子手書き署名（電子サインと呼ばれることもあります）などもあります。

具体的には、署名の方法やデータ形式により下記のような「電子署名」の分類があります。

●署名方法
 ・ローカル署名：ICカードやパソコンに格納された本人が管理する鍵で署名します。
 ・リモート署名：クラウドやサーバーなどリモートに置いた本人のみが使える鍵で署名します。
 ・クラウド署名：クラウドやサーバーなどリモートに置いた本人もしくはサービス事業者の鍵で署名します。
 ・立会人型署名（事業者型署名・第三者型署名）：クラウドやサーバーなどリモートに置いたサービス事業者の鍵で署名します。
 ・電子手書き署名：デジタルパッドにペンで手書き記入することによる署名です。これを一般に電子署名と呼ぶかは議論が分かれています。
 ・適格電子署名(Qualified Electronic Signature)：欧州の eIDAS規則で規定された本人性の保証を厳格に行う署名方式です。
 ・eシール：欧州のeIDAS規則で規定された会社や組織による署名です。

●署名データ形式
 ・CMS(PKCS#7)署名：ASN.1という構造化バイナリ形式による署名です。PDF署名や署名メールで使われます。
 ・XML署名：XMLデータに対する署名です。
 ・PDF署名：PDFに対する署名です。
 ・先進電子署名(Advanced Electronic Signature)：長期署名とも呼ばれ、タイムスタンプをつけることにより、従来の基本的署名方式による署名時刻や証明書の有効期限を超えた長期の検証を可能にする署名データ形式です。

なお、日本の電子署名法での規定では、単独の技術で電子署名法の定義を満たすものとしては、PKI技術を用いたデジタル署名があります。
電子署名法施行規則や指針ではこれを基準としています。

A. 広い意味では電子署名と言えます。
ただし、日本の電子署名法での電子署名の要件を満たすには、手描き署名に作成者と作成者本人が実施したことを示す情報があること、そして署名後に改ざんがないことを確認できる措置が講じられている必要があります。

A. ハンコに朱肉をつけて紙面に押印するとハンコ面の文字や文様が残ります。
そのハンコ本体を「印章」と呼び、紙面に残る文字や文様を「印影」呼びます。また、役所や銀行へ届け出る印影のことを「印鑑」と呼びます。
このように、一般的には「印鑑＝ハンコ」と認識されることがありますが、厳密には異なります。

A. 単純に比較できませんが、以下のように考えることができます。

・印章(ハンコ)は署名鍵(秘密鍵)
・印影はデジタル署名データ
・印鑑は登録された公開鍵
・印鑑登録証明書は公開鍵証明書

A. 単純な比較はできませんが、以下の関係となります。

●作成者を表す方法(記録や表記)
　・電子署名は電子証明書の主体者名(Subject)、または手書き署名筆跡データ
　・印鑑は氏名の印影の表示
●改ざん検知
　・電子署名はデジタル署名データ、またはハッシュ値などによる改ざん検知
　・印鑑は書面の状態による物理的な確認
●本人のみが実現可能である証明(本人性)
　・電子署名はデジタル署名の秘密鍵の厳格な管理、または本人のみが実施したという証跡(例えば、電子署名実施時の記録や信頼のある第三者による確認)
　・印鑑は、対応する印章(ハンコ)の本人による管理

A. 電子署名が付与された文書には改ざんがないこと、そして誰が署名を行ったかを証明することができます。
ただし、電子署名の具体的な方式や文書管理や本人確認などの運用により、その証明のレベルは大きく異なります。

参考：電子署名法第3条

A. 電子署名法第3条の要件を満たすことで得られる法的効力のことです。
裁判において、一応、対象の電子文書が真正に成立したものとして扱われます。

A. 電子署名の利用を想定する業務や手続きについて、関係する法律がある場合、その要件に適合しているかの確認が必要です。
電子契約等の場合には求める保証レベルと、提供される電子署名の本人確認・署名方式・運用方法等の保証レベルを考慮して検討してください。たとえばリモート署名に関しては、JNSAの関連団体 JT2Aのガイドラインや民間電子サービスにおける真正性保証の解説書が出ていますので参考にしてください。

A. 本人型（当事者型）のデジタル署名に関しては電子署名法にて認定制度が規定されています。ガイドラインも色々あります。技術的にも標準化が進んでおり相互運用性が確保されています。

リモート署名に関してはJNSAの関連団体JT2Aから ガイドラインが出ています。欧州では認定制度があり標準化されており、日本でも認定制度の準備が進められています。

立会人型署名に関しては今のところガイドラインや認定制度はありません。
認定を受けていたり標準にしたがっていれば、紛争時に正当なものと認められる可能性が高まります。そうでないものについては、仕組みの正当性を逐一証明しなければならない可能性があります。

A. 全てはできません。電子署名適用の可否以前に、遺言書のように法的な規定によって、文書を電子的に作成できないものがあります。同様に定期賃貸借契約書（借地借家法第22条、第38条）のように書面による契約が必要で電子化できないものがあります。さらに、契約書自体は電子化可能でも、契約にあたって書面の交付義務がある契約類型があります（宅建法第34条の第2項、第35条、第37条、特商法第4条など）。

A. 本人性の証明や改ざん防止が必要ないのであれば、電子署名は必ずしも必要ありません。

A. 一般的に、認証局による本人確認は厳密に行われる分、手間とコストがかかります。しかし、デジタル署名方式であっても、取引や契約のリスクが小さい場合は、本人確認を簡素にした認証局サービスを簡単かつ低コストで利用することもできます。
また、従来のローカル署名方式のデジタル署名では、秘密にする署名鍵の管理を自分で行う点で面倒と言われていましたが、リモート署名方式であれば署名鍵の管理をサーバに任せることができるので、クラウドサービスと同等の認証による簡単な利用が可能になります。
電子メールのやりとりでは確実な本人性や内容の証明はできません（紛争時に本人に否認されたときに証明が難しくなりがちです）が、その程度の信頼度で十分であれば使えます。

A. 押印（印章）も「ゆるい運用」とは限りません。
会社等の法人で扱う印章を考えると、代表者の登録印のように厳格な運用・管理を行っているものから、個人名の認印のように簡略な運用・管理のものまで、さまざまな印章を用いているでしょう。これらの印章は対象となる書面（紙）の重要性・運用上のリスクに応じて使い分けられています。

電子署名についても、これと同様に考えるべきではないでしょうか。例えば、電子署名のための秘密鍵等の管理や電子証明書の発行を厳格に行うものと、簡易に行うものを電子文書の性質に合わせて使い分けるということです。

A. 一般にクラウド署名は、ローカル署名方式と対比して、ネット上のサービスとして署名機能を提供するものです。
リモート署名もその一種ですが、他にも色々な方式があります。

A. ローカル署名では秘密にする署名鍵を自分で管理していますが、リモート署名では署名鍵をリモート（サーバ）上で管理して、利用時にどこからでも利用者の認証によって署名することが可能になります。またJNSAの関連団体JT2Aから ガイドラインも公開されていますので安心して利用できます。
リモート署名を利用することで、デジタル署名の利用が簡単になります。

A. 利用者がサービス提供事業者のサイトに電子文書を送信し、当該サイト上で利用者の意思表示等の操作記録を残すことにより電子契約を成立させるサービスです。
当該電子文書や操作記録に対して利用者の指示に基づき、サービス提供事業者の署名鍵により暗号化されます。
なお、立会人型署名と呼ばれることもあります。

参考：電子署名法の主務３省(総務省・法務省・経済産業省)の Q&Aでは、技術的・機能的に見て、サービス提供事業者の意思が介在する余地がなく、利用者の意思のみに基づいて機械的に暗号化されたものであることが担保され、電子文書について行われた当該措置が利用者の意思に基づいていることが明らかになる場合には、これらを全体として１つの措置と捉え直すことにより、「当該利用者の電子署名」（電子署名法第２条第１項第１号）の要件を満たすことになるものと考えられる旨が示されています。

A. 本人型（当事者型）署名とは、申請や契約の当事者のデジタル署名を用いる署名方法です。
第三者型署名（立会人型署名）については、上記Q20を参照してください。

A. 日本の法制度で求められる基準や認定はありませんが、JNSAの関連団体JT2Aが関係省庁のレビューを受け、電子署名法に準拠するレベルのリモート署名のための「 リモート署名ガイドライン」を発行しています。
これに照らして検討されることをお奨めします。

A. リモート署名の場合、電子署名法準拠を前提にしているため、現在は使えません。
JT2Aでは法人や団体に対応したリモート署名についてのガイドライン作成等を検討しています。

A.電子文書の真正な成立の推定(電子署名法第3条)においては、直接の意味はありません。
しかし、多くの法律から電子署名法第2条第1項の定義が参照されているため、意味がある場合もあります。

A. 使えます。ただし、このような電子署名を(有効性も含めて)検証できるのは、公的機関と、総務省に認定された民間の事業者に限られます。また、電子証明書や有効性確認のための情報等(CRLやOCSP情報等)について民間からの参照が難しく、用途には制限があります。

なお、マイナンバーカードに格納されている署名用証明書を使用した電子署名フォーマットには、署名対象の文書に含まれない生年月日等の個人情報も含まれるため、想定外の参照に配慮する必要があります。

A. 当該海外のサービスによります。
電子署名法第3条に該当する電子署名であれば推定が得られます。
また、欧州の eIDAS規則における適格電子署名(Qualified Signature)が使用されている場合、電子署名法の推定が得られると思われます。

A. 得られると考えられますが、現時点では定まっていません。
電子署名法主務3省(総務省・法務省・経済産業省)の Q&Aを素直に解釈すれば、推定が得られると期待されます。

A. 必須ではありませんが、認定認証業務の証明書を使ったほうが証明の手数が減るため、訴訟時に有効性を証明しやすくなります。

A. 得られません。電子メールの改変の有無は検証不可能なので、電子署名法第2条第1項第2号に反するためです。
つまり、電子署名の定義を満たさないということです。

A. 一般に電子署名の効力を必要とするのは、電子文書の受領者（Relying Party）です。
したがって、各企業は受領できる電子署名の範囲を明確にし、適合する電子署名を相手側の企業に求める必要があります。（対象の電子文書の種類等により、必要な電子署名は異なる可能性があるため）

A. e-文書法制定(2005年施行)に伴い、元々記名押印や手書き署名が必要とされていた書類を電子的に取り扱う場合は、各種法令等にて電子文書に電子署名法を満たす電子署名の付与が求められています。
これに適合する電子署名には、特定認証業務により発行された公開鍵証明書に基づくデジタル署名、あるいは所定の要件※を満たす立会人型署名があります。
また、各文書には数年から数十年の保存期間が定められており、その間、電子署名の有効性が確保できる方式（長期署名等）を選択する必要があります。

※「サービス提供事業者自身の署名鍵により暗号化を行うこと等によって当該電子文書の成立の真正性及びその後の非改変性を担保しようとするサービスであって、技術的・機能的に見て、サービス提供事業者の意思が介在する余地がなく、利用者の意思のみに基づいて機械的に暗号化されたものであることが担保されていると認められる」

A. 電子署名法第3条を満たすためには、本人の意思に基づく署名であることを証明する必要があります。
プライベート認証局であってもきちんとした本人確認をしていれば証明できることが多いと考えられますが、証明が煩雑になる可能性があります。
なお、プライベート認証局による本人確認が簡易な場合（例えばメールアドレスの確認にとどまる場合）には、確認された情報と本人との関係の証明が困難になるケースもあります。

A. 推定は得られますが、「私の電子署名だが、私が行ったものではない」として推定を破られる可能性があります。
これは、「実印による印影はあるが、実印を他の人も使える状態にあった」場合の推定への反論に似ています。

A. 電子署名法主務3省(総務省・法務省・経済産業省)の Q&Aによれば、サーバ等が本人の指示に基づいて、第三者の意思の介在しない形で自動的に署名を生成する場合には、一定の条件のもとで本人の電子署名として認められると考えられます。
このQ&Aにより電子署名法第3条の推定効の認められる可能性が出てきたと思われます。

9月4日の Q&Aには、推定効の条件についての見解が示されました。同3条が適用されるためには、本人による電子署名であることと、同3条かっこ書き※を満たす必要があります。このうち、同3条かっこ書きを満たすためには、電子署名のプロセスについて次の2点が要件とされてます。

�@利用者による指示であることについて、2要素認証などの安全な方法で確認すること
�A事業者の行うプロセスについて十分な固有性を満たされていること
ただし、�@及び�Aの具体的要件は必要条件も十分条件も示されていませんので、どの程度の運用やシステムであれば良いかは現時点では判断できません。

※かっこ書き=「当該電磁的記録に記録された情報について本人による電子署名（これを行うために必要な符号及び物件を適正に管理することにより、本人だけが行うことができることとなるものに限る。）が行われているときは、真正に成立したものと推定する。」

A. メールによる本人確認方法には様々なものがあり、その確認レベルは一律ではありません。
例えば、フリーメールを使うケース、法人の管理者により人事DBと照合してアカウント発行するケースなどがあります。人事DBとの照合があるケースでは、電子署名法第3条(推定効)の要件の立証は、フリーメールに比べて容易であると言ってよいでしょう。

A. 電子署名法第2条第3項に基づく特定認証業務の暗号などの技術要件や、電子署名法に従って省庁が認定する認定認証業務の要件などを定めたものです。利用者への要求は含まれていません。

A.必須とまでは言えません（施行規則第2条を満たすことは十分条件ではあるが必要条件ではないと思われるため）。
施行規則第2条各号を満たさなくても電子署名法第3条括弧書きの要件を満たせば推定効が得られます。

A. 電子署名技術自体は有効と考えられても、利用技術などを細かく証明する必要が出てきます。
きちんと証明すれば世界中どこでも認められるべきです。
特に英米法の国（アメリカ、英連邦の国など）なら「証拠の優越（Preponderance of evidence）」によって真正な成立が認められる可能性が高いと言えます。

A. 現時点では国際的な協調・合意等は結ばれていません。したがって、各国において迅速な処理を望む場合は、当該国の法規制に従った電子署名を使うのが間違いありません。
しかし、他国法に基づく電子署名であっても、それが確実なものであれば、認められるべきではあります（本当に認められるかどうかは、その国の裁判所の判断なのでケースバイケースです）。

A. 署名文書の受領者が求める要件や、その国の法律に従う必要があります。日本の電子署名法では十分でないケースがありますので、注意が必要です。

A. 日本では2001年に電子署名法が施行されていますが、同様に、米国で商取引における電子署名法( Electronic Signatures in Global and National Commerce Act)が2000年に施行、欧州では国民IDや署名を含む eIDAS規則が2014年に公布されました。

また中国では、電子署名法（中華人民共和国電子署名法）が2004年に施行されています。その他の国でも数多く電子署名に関する法律が制定されています。

A. 業務や書類をデジタル化したい時には常に意識する必要があります。
特に「訴訟が生じたら証拠として提出するであろう電子文書」を作る際に、訴訟における立証の準備として検討すべきです。

A. そのような意見もありますが、電子署名法は技術中立的に構成されていますので、その時代の技術に依存したり、特定の技術に限定するものではありません。

A. 電子署名法に係る裁判例は知られていません。
これまでに用いられてきたPKI技術によるローカル方式の電子署名の多くは、技術・運用の両面で長年に渡る標準整備や実績蓄積により、信頼性の高いものです。
このため、電子署名のある電子文書について成立の真正を争うことはなかった(そのようなところで争っても実効性に欠けるため)と考えられます。

また、電子契約書が提出されても真正な成立に争いがなければ、判決には「・・・の契約が締結されたことに当事者間に争いはない」と書かれますから、電子署名に言及されなかった面もあると思われます。

A. ただちに無効になるわけではありません。
事業者がシステムの運用等必要な認定等を受けていれば、廃業前に正当な運用をしていたと認められる可能性を期待できます。

認定等を受けていない事業者が廃業した場合には、その事業者の処理が正当であったことを証明するのが困難になる可能性があります。
例えば、認定制度のない立会人型の電子署名サービスの場合、システムに署名の指示をした署名意思を持つ利用者本人と、立会人の秘密鍵による署名の関係が正当である証拠(システム記録、運用記録など)を取得しておく必要があります。

A. 法律上の契約成立要件としては、多くの場合不要です。
実務上では、契約当事者が事後トラブルのリスクが高いと考えるときに採用できる対策のひとつです。（詳細はQ47参照）

【解説】
契約そのものは当事者の合意さえあれば、法令に特別な定めがない限り、電子・書面(紙)の契約書の体裁、署名等の有無に関わらず成立します。

参考：契約方式の自由＝民法第522条第2項参照
民法第522条第2項： 契約の成立には、法令に特別の定めがある場合を除き、書面の作成その他の方式を具備することを要しない。

A. つぎのような目的で付与します。

・証拠を残すことによるトラブル回避
・事務処理での書類改ざんチェック、作成者確認
・契約をめぐる訴訟時の対策

紙文書における署名・押印と同様に、誰の意思（合意）によって作成されたか、証跡を残すことができます。
なお、電子署名法第3条の規定を満たした電子署名の場合、裁判で証拠として有利に働くことが期待できます。

参考：電子署名法第3条第1項では、電子文書（電磁的記録）に本人による電子署名が行われているときは、真正に成立したものと推定する旨が規定されています。

A. 契約を結んだ当事者の意思表示となります。
その意思表示をどのような形で残すか、あるいは残さないかは、当該の契約の内容や当事者間の関係性によって異なります。
例えば、単純な売買契約では、商品と金銭の交換のみで契約は成立することが多いです。

A. 契約内容を、あいまいになりがちな記憶に頼らないために、記録に残すためです。
高額、複雑、長期間など、契約内容を証明できないことによるリスクが高くなりがちな契約に関しては、文書に残すことによってリスクを低減できます。その文書が合意なく書き換えられたり、合意のない文書が存在しないよう、(自筆)署名や押印(民事訴訟法第228条第4項)、電子署名(電子署名法第3条)の仕組みが用いられることが多いと考えられます。

A. 民事訴訟法第228条第1項は、文書を証拠として提出する場合の、真正な成立を証明する必要を定めています。民事訴訟法第231条により、この規定は電子文書にも適用されます。電子署名法第3条は電子署名による電子文書の真正な成立の推定を定めていますが、これは真正な成立の証明のための手段の一つに過ぎません。
証拠文書を扱う当事者にとって、電子署名法によらずとも別途適切な手段がある場合には、それによって真正な成立を証明してもかまいません。

A. それが無効な電子署名だった場合には、契約が成立しないか、契約の成立を証明できない可能性があります。このような事態を避けるために、受領時に電子署名の検証を行うことが望ましいでしょう。

総務省の「電子政府の窓口 e-Gov」サイトです。

総務省・法務省・経済産業省による電子契約および電子署名に関するQ&A集です。

https://www.soumu.go.jp/main_sosiki/joho_tsusin/top/ninshou-law/law-index.html

この総務省のページからの下記各Q&A文書に対するリンクは、ページ下方の見出し「利用者の指示に基づきサービス提供事業者自身の署名鍵により暗号化等を行う電子契約サービスに関するQ＆A」の項目にあります。

http://www.jt2a.org/

JNSA傘下団体「日本トラストテクノロジー協議会（JT2A）」の公開ドキュメントです。
なお、JT2Aには本Q&Aを作成した電子署名WGのメンバーが関わっています。

https://www.jiima.or.jp/
JIIMA 公式サイト - 文書情報マネジメントの普及啓発、人材の育成,規格の標準化の推進などを推進しています。