超要約「電子署名法3条に関するQ&A」

2020年9月4日に公表された「利用者の指示に基づきサービス提供事業者自身の署名鍵により暗号化等を行う電子契約サービスに関するＱ＆Ａ」（総務省・法務省・経済産業省）を超要約（超わかりやすく解説）します。

• 本ページは、ソーシャルハックデー（2020年11月28日開催）において作成したものです。
• 以下では、単に「Q&A」と記載します。

Q&Aとは何か

利用者の指示に基づきサービス提供事業者自身の署名鍵により暗号化等を行う電子契約サービス1については、本年７月１７日、電子署名及び認証業務に関する法律（平成１２年法律第１０２号、以下「電子署名法」という。）第２条に関する「利用者の指示に基づきサービス提供事業者自身の署名鍵により暗号化等を行う電子契約サービスに関するＱ＆Ａ」（以下「第２条関係Ｑ＆Ａ」という。）を公表したものであるところ、今般、電子署名法第３条に関しても、本Ｑ＆Ａを作成し公表することとした。
電子契約サービスにおいて利用者とサービス提供事業者の間で行われる本人確認（身元確認、当人認証）等のレベルやサービス提供事業者内部で行われるプロセスのセキュリティレベルは様々であり、利用者はそれらの差異を理解した上で利用することが重要であるところ、本Ｑ＆Ａには当該観点からのＱ＆Ａも含めている。
さらに、電子認証に関しては、近年、技術的な標準の検討が進んでおり、また、それぞれの国で制度化された電子認証の相互承認なども検討の視野に入るようになっていることなどを踏まえ、商取引の安定性や制度における要求事項に係る国際的整合性等を確保するために、国際標準との整合性や他の国の制度との調和なども踏まえた検討を行う必要がある。本Ｑ＆Ａの作成に当たっても、国際標準との整合性等の観点も踏まえ、検討を行った。

• 法務省民事局ホームページ http://www.moj.go.jp/MINJI/denshishomeihou.html
• Q&A（PDFファイル） http://www.moj.go.jp/content/001327658.pdf

ちなみに、経済産業省は、「契約における押印の見直し」というページを設け、「押印に関するQ&A」とともに紹介している。

Q&Aには何が書かれているのか

問1. 電子署名法第３条における「本人による電子署名（これを行うために必要な符号及び物件を適正に管理することにより、本人だけが行うことができることとなるものに限る。）」とは、どのようなものか。

超要約

・３条の電子署名は２条の内容に加えて、「本人だけが署名できる」こと、つまり改ざんできないことがより厳格に求められます。

もとの回答

• 電子署名法第３条の規定は、電子文書（デジタル情報）について、本人すなわち当該電子文書の作成名義人による電子署名（これを行うために必要な符号及び物件を適正に管理することにより、本人だけが行うことができることとなるものに限る。）が行われていると認められる場合に、当該作成名義人が当該電子文書を作成したことが推定されることを定めるものである。
• この電子署名法第３条の規定が適用されるためには、次の要件が満たされる必要がある。 ①電子文書に電子署名法第３条に規定する電子署名が付されていること。 ②上記電子署名が本人（電子文書の作成名義人）の意思に基づき行われたものであること。
• まず、電子署名法第３条に規定する電子署名に該当するためには、同法第２条に規定する電子署名に該当するものであることに加え、「これ（その電子署名）を行うために必要な符号及び物件を適正に管理することにより、本人だけが行うことができることとなるもの」に該当するものでなければならない（上記①）。
• このように電子署名法第３条に規定する電子署名について同法第２条に規定する電子署名よりもさらにその要件を加重しているのは、同法第３条が電子文書の成立の真正を推定するという効果を生じさせるものだからである。すなわち、このような効果を生じさせるためには、その前提として、暗号化等の措置を行うための符号について、他人が容易に同一のものを作成することができないと認められることが必要であり（以下では、この要件のことを「固有性の要件」などという。）、そのためには、当該電子署名について相応の技術的水準が要求されることになるものと考えられる。したがって、電子署名のうち、例えば、十分な暗号強度を有し他人が容易に同一の鍵を作成できないものである場合には、同条の推定規定が適用されることとなる。
• また、電子署名法第３条において、電子署名が「本人による」ものであることを要件としているのは、電子署名が本人すなわち電子文書の作成名義人の意思に基づき行われたものであることを要求する趣旨である（上記②）。

問2. サービス提供事業者が利用者の指示を受けてサービス提供事業者自身の署名鍵による暗号化等を行う電子契約サービスは、電子署名法第３条との関係では、どのように位置づけられるのか。

超要約

２条を満たせば、本人が署名したことは担保されますが、これに加えて、①事業者と利用者の間でのプロセスが改ざんされないことと、②事業者の内部手続が改ざんできないことが必要です。

もとの回答

• 利用者の指示に基づき、利用者が作成した電子文書について、サービス提供事業者自身の署名鍵による暗号化等を行う電子契約サービスについては、第２条関係Ｑ＆Ａにより電子署名法第２条に関する電子署名法上の位置付けを示したところであるが、更に同法第３条に関する位置付けが問題となる。
• 上記サービスについて、電子署名法第３条が適用されるためには、問１に記載したとおり、同サービスが同条に規定する電子署名に該当すること及び当該電子署名が本人すなわち電子文書の作成名義人の意思に基づき行われたことが必要となる。
• このうち、上記サービスが電子署名法第３条に規定する電子署名に該当するためには、その前提として、同法第２条第１項に規定する電子署名に該当する必要がある。この点については、第２条関係Ｑ＆Ａにおいて、既に一定の考え方を示したとおり、同サービスの提供について、技術的・機能的に見て、サービス提供事業者の意思が介在する余地がなく、利用者の意思のみに基づいて機械的に暗号化されたものであることが担保されているものであり、かつサービス提供事業者が電子文書に行った措置について付随情報を含めて全体を１つの措置と捉え直すことによって、当該措置が利用者の意思に基づいていることが明らかになる場合には、同法第２条第１項に規定する電子署名に該当すると考えられる。
• その上で、上記サービスが電子署名法第３条に規定する電子署名に該当するには、更に、当該サービスが本人でなければ行うことができないものでなければならないこととされている。そして、この要件を満たすためには、問１のとおり、同条に規定する電子署名の要件が加重されている趣旨に照らし、当該サービスが十分な水準の固有性を満たしていること（固有性の要件）が必要であると考えられる。
• より具体的には、上記サービスが十分な水準の固有性を満たしていると認められるためには、①利用者とサービス提供事業者の間で行われるプロセス及び②①における利用者の行為を受けてサービス提供事業者内部で行われるプロセスのいずれにおいても十分な水準の固有性が満たされている必要があると考えられる。
• ①及び②のプロセスにおいて十分な水準の固有性を満たしているかについては、システムやサービス全体のセキュリティを評価して判断されることになると考えられるが、例えば、①のプロセスについては、利用者が２要素による認証を受けなければ措置を行うことができない仕組みが備わっているような場合には、十分な水準の固有性が満たされていると認められ得ると考えられる。２要素による認証の例としては、利用者が、あらかじめ登録されたメールアドレス及びログインパスワードの入力に加え、スマートフォンへのＳＭＳ送信や手元にあるトークンの利用等当該メールアドレスの利用以外の手段により取得したワンタイム・パスワードの入力を行うことにより認証するものなどが挙げられる。
• ②のプロセスについては、サービス提供事業者が当該事業者自身の署名鍵により暗号化等を行う措置について、暗号の強度や利用者毎の個別性を担保する仕組み（例えばシステム処理が当該利用者に紐付いて適切に行われること）等に照らし、電子文書が利用者の作成に係るものであることを示すための措置として十分な水準の固有性が満たされていると評価できるものである場合には、固有性の要件を満たすものと考えられる。
• 以上の次第で、あるサービスが電子署名法第３条に規定する電子署名に該当するか否かは、個別の事案における具体的な事情を踏まえた裁判所の判断に委ねられるべき事柄ではあるものの、一般論として、上記サービスは、①及び②のプロセスのいずれについても十分な水準の固有性が満たされていると認められる場合には、電子署名法第３条の電子署名に該当するものと認められることとなるものと考えられる。したがって、同条に規定する電子署名が本人すなわち電子文書の作成名義人の意思に基づき行われたと認められる場合には、電子署名法第３条の規定により、当該電子文書は真正に成立したものと推定されることとなると考えられる。

（参考）

• あるサービスが、①及び②のプロセスのいずれについても十分な水準の固有性を満たしているかは、サービス毎に評価が必要となるが、評価するための参考となる文書について以下に例示する。
• ①のプロセスにおいて、固有性の水準の参考となる文書の例。
  • NIST、「NIST Special Publication 800-63-3 Digital Identity Guidelines」、2017年6月
  • 経済産業省、「オンラインサービスにおける身元確認手法の整理に関する検討報告書」、2020年4月
  • 各府省情報化統括責任者（ＣＩＯ）連絡会議決定、「行政手続におけるオンラインによる本人確認の手法に関するガイドライン」、 2019年2月
• ②のプロセスにおいて、固有性の水準の参考となる文書の例。
  • NIST、「NIST Special Publication 800-130A Framework for Designing Cryptographic Key Management Systems」、2013年8月
  • CRYPTREC、「暗号鍵管理システム設計指針（基本編）」、2020年7月
  • 日本トラストテクノロジー協議会（JT2A）リモート署名タスクフォース、「リモート署名ガイドライン」、2020年4月
  • 総務省・法務省・経済産業省告示、「電子署名及び認証業務に関する法律に基づく特定認証業務の認定に係る指針」

問3. サービス提供事業者が利用者の指示を受けてサービス提供事業者自身の署名鍵による暗号化等を行う電子契約サービスが電子署名法第３条の電子署名に該当する場合に、「これを行うために必要な符号及び物件を適正に管理すること」とは、具体的に何を指すことになるのか。

超要約

・これを担保するためには①SMSなどを利用した２要素認証などで当人が作業していることを担保するとともに、②システム処理が当該利用者に紐付いて適切に行われることが満たされる必要があります。

もとの回答

• 「これを行うために必要な符号及び物件を適正に管理すること」の具体的内容については、個別のサービス内容により異なり得るが、例えば、サービス提供事業者の署名鍵及び利用者のパスワード（符号）並びにサーバー及び利用者の手元にある２要素認証用のスマートフォン又はトークン（物件）等を適正に管理することが該当し得ると考えられる。

問4. 電子契約サービスを選択する際の留意点は何か。

超要約

実際の裁判で有効性の効力が確認されるには身元確認がなされていることが重要です。電子契約サービスによって、契約者本人が契約しているのか保証するレベルが違うので、契約の性質や信頼性に合わせてサービスを選んでください。

もとの回答

• 実際の裁判において電子署名法第３条の推定効が認められるためには、電子文書の作成名義人の意思に基づき電子署名が行われていることが必要であるため、電子契約サービスの利用者と電子文書の作成名義人の同一性が確認される（いわゆる利用者の身元確認がなされる）ことが重要な要素になると考えられる。
• この点に関し、電子契約サービスにおける利用者の身元確認の有無、水準及び方法やなりすまし等の防御レベルは様々であることから、各サービスの利用に当たっては、当該各サービスを利用して締結する契約等の重要性の程度や金額といった性質や、利用者間で必要とする身元確認レベルに応じて、適切なサービスを慎重に選択することが適当と考えられる。

Q&Aを紹介しているホームページリンク集

• 「電子署名法第3条Q&A」の読み方とポイント—固有性要件と身元確認・2要素認証の要否（クラウドサイン、2020年9月7日）
  • https://www.cloudsign.jp/media/20200907-3jyouqanda/
• 2020年9月4日に政府発行の電子契約に関するQ&Aについて（リーテックスデジタル契約、2020年10月23日）
  • https://le-techs.com/2020/10/23/2020%E5%B9%B49%E6%9C%884%E6%97%A5%E3%81%AB%E6%94%BF%E5%BA%9C%E3%81%8B%E3%82%89%E5%87%BA%E3%81%95%E3%82%8C%E3%81%9F%E9%9B%BB%E5%AD%90%E5%A5%91%E7%B4%84%E3%81%AB%E9%96%A2%E3%81%99%E3%82%8Bqa/