電子署名とか

DX室の仕事が始まって、誕生日も迎えて、というところで週に1回くらいnoteでDXがらみの何かを書きたいという欲求。まずは他人様に見せるというよりは自分の頭の整理のために書いていこう。

初回はタイトルの通り電子署名とかについて。電子認証、電子契約、エストニアすごい、、紙面を騒がせるキーワードはコロナもあって諸々あるけれどもいまいち自分の中で整理がついていない。。ので以下書いてみる。

1．電子署名

三つ子の魂百までではないけれど、DX担当なのにリーガルの話になるとまず法律が気になってしまう。ので根拠法を探してみる。

これはわかりやすかった。電子署名及び認証業務に関する法律（https://elaws.e-gov.go.jp/search/elawsSearch/elaws_search/lsg0500/detail?lawId=412AC0000000102）

法の目的が書いてある第1条は以下の通り

この法律は、電子署名に関し、電磁的記録の真正な成立の推定、特定認証業務に関する認定の制度その他必要な事項を定めることにより、電子署名の円滑な利用の確保による情報の電磁的方式による流通及び情報処理の促進を図り、もって国民生活の向上及び国民経済の健全な発展に寄与することを目的とする。

つまりこの法律で大事なことは

・電子署名＝電磁的記録の真正な成立の推定を与えるもの
・特定認証業務なるものに認定制度があること

の2点だということ

では「電子署名」や「電磁的記録の真正な成立の推定」とは何だろう？

この法律において「電子署名」とは、電磁的記録（電子的方式、磁気的方式その他人の知覚によっては認識することができない方式で作られる記録であって、電子計算機による情報処理の用に供されるものをいう。以下同じ。）に記録することができる情報について行われる措置であって、次の要件のいずれにも該当するものをいう。
一　当該情報が当該措置を行った者の作成に係るものであることを示すためのものであること。
二　当該情報について改変が行われていないかどうかを確認することができるものであること。

言い換えると電子署名とは

・コンピュータ、サーバ、スマホなどに記録できる情報が対象
・その情報を作ったのが電子署名をした人であること
＆その情報について改変が行われていないことを証明するもの

文書とハンコの関係でいうと、

捺印（＝押した人が文書を作った or 作ってなくても内容にOKを出していたことがわかる）
割印（＝文書が誰かに改ざんされていないことがわかる）

の2つの機能を電子署名は満たせるということ。改変のところは割印と同じではないのかもしれないけれど、ここは後ほど。

コロナの中でハンコ出社が問題になっている（うちの会社にもいる？いた？？ようです）なかで、これから世間が必要とするのは間違いないですね。

では、電磁的記録の真正な成立の推定とは何だろう？という話になるけれども、それを理解するうえでは普通の「文書の成立の真正」を理解したほうがよさそう。

そこで出てくるのが「二段の推定」という言葉、法学部ならうっすら記憶の片隅にあったかもしれない。これは事実上の推定と法的な推定の2段構えでの推定をハンコに与えるもので、これがあるからハンコは強い。

前提知識：文書の成立の真正とは＝その文書が作成者の意思に基づき作成されたこと（＝騙されて作ったり、他の誰かが偽造したりしていない）で、これが訴訟で争われたときはその文書を証拠として使用したい側に真正性を証明する責任がある。

で、二段の推定とは以下の通り。

1段目の推定：文書にあるハンコの印影がその人のハンコのものと一致する場合、そのハンコはその人の意思に基づいて押されたと事実上推定される。
2段目の推定：「私文書は、本人又はその代理人の署名又は押印があるときは、真正に成立したものと推定する。」（民訴法228条4項）という条文により、1段目の推定があるときは文書自体の成立の真正が法律上推定される。

法律上推定される＝相手方に証明責任が移る、という意味なので、二段の推定が成立する場合（＝ハンコが印鑑証明と同じ印影の場合）、相手方はその文書を出してきた人が騙されて、あるいはどこかの第三者がその文書にハンコを押したことを逆に証明しなくてはいけない。素人感覚でもこれは結構難しそう。。

と、オフラインの文書については実務上、あるいは民訴法という大きい法律でハンコに強い効果を与えていた。これに対し、電子署名は電子署名法3条でダイレクトにこの「二段の推定」と同じ力を認めている。

第三条　電磁的記録であって情報を表すために作成されたもの（公務員が職務上作成したものを除く。）は、当該電磁的記録に記録された情報について本人による電子署名（これを行うために必要な符号及び物件を適正に管理することにより、本人だけが行うことができることとなるものに限る。）が行われているときは、真正に成立したものと推定する。

そしてハンコは印影がとても大事、なので印鑑証明がある。また有体物（物理的に存在する）ものだから盗まれないこと、誰かに迂闊に預けたりしないこととかがセキュリティになる。

では電子署名についてのセキュリティはどうなっているのだろう？

Googleで検索するとまず出てくるのが「公開鍵暗号」という言葉、聞いたことがあるようなないような。

では一般的な「公開鍵暗号」の考え方とは何か？というと「公開鍵で閉めて、秘密鍵で開ける」というもの。
「公開鍵」は文字通り公開されているもので、それを使うと誰でも暗号化できる、一方で「秘密鍵」はその暗号文を平文にすることができる人だけが知っている鍵で、それを使うと平文に戻せる。

メールでいうなら、
・鍵を持っているのは受信者
・送信者が受信者の「公開鍵」でメールを暗号化して送信
　⇒受信者が受信メールを自分の「秘密鍵」で平文に戻す
これで送信者と受信者だけが平文で読める

一方電子署名ではメールと違って、「秘密鍵で閉めて、公開鍵で開ける」ということになっている。つまり、

・自分が持っている「公開鍵」を常にオープンにしておく
・自分だけが知っている「秘密鍵」で暗号化、他の人に渡す
　⇒他の人が「公開鍵」で平文に戻すと鍵を閉めた人の署名が出てくる

という流れになる。メールと違って誰でも開けられてしまうものではあるけど、署名だから開けられても問題ないし、むしろ開けやすいほうがいいまである気がする。
実際は文書そのものというより文書のハッシュ値を暗号化していたり、「公開鍵」をどこかにオープンにするのではなく「公開鍵」が書いてある電子証明書をファイルと一緒に送るということらしいけど、理解としては上記でOKだと思う。
ただし実務上はこの「電子証明書」が極めて大事。これも詳細は後述。

ハンコに当てはめるなら「公開鍵」＆「電子証明書」が印鑑証明で「秘密鍵」が金庫、電子署名がハンコというイメージになるのかな？

他によく出てくるところとしては、SSL認証もこの公開鍵暗号を使っている。SSLでは「公開鍵」「秘密鍵」の他に「共通鍵」がある。流れは以下の通り。

・「公開鍵」「秘密鍵」の持ち主はサイトオーナー
・https://で始まるサイトにアクセスすると、そのサイトの「公開鍵」がアクセスした人に送られる
　⇒アクセスした人は「共通鍵」を作る
　⇒「公開鍵」で「共通鍵」を暗号化して送る
　⇒サイトオーナーは「秘密鍵」で「共通鍵」を解読
　⇒その後は2人だけが知っている「共通鍵」を使ってやり取りする

これによってお互いだけが平文で読める空間ができる。

では世の中にこの「公開鍵暗号」ってどんな種類のものがあるのだろう？というとかなりたくさんありそう。古くはドイツ軍や日本軍の暗号を解読したころから改良に改良を重ねてきたものだし、さもありなんという気がする。

その中でもよく出てきたのが「RSA暗号」という言葉、詳細は以下のサイト

4枚の図解でわかる公開鍵暗号 | パーソルテクノロジースタッフ株式会社

を参照のこと。素因数分解！久々に見た。数学はたまに触れると楽しい。たまになのと、あまりに高度すぎると楽しくないのが問題。

と、まずは電子署名とは何ぞや？について書いてみた。

次回は「誰が」「どのようなサービス」を提供しているかについて書いてみる予定。