「電子署名」を考える
*この記事は裏・法務系Advent Calendar 2020の4日目の記事になります。
ぼっち法務_ShunYamashita@Hubbleさんからバトンを受取りました。
*ネタがマニアックなうえに、加減の分からぬまま書き散らした結果長くなってしまいました……お時間に余裕のある方はお付き合いいただけるとうれしいです。
~~~~2020年12月某日・都内某所にて
Aさん:こんにちはBさん。終業時間過ぎてますけど、残ってお勉強ですか。
Bさん:あー、Aさん。ども。最近、電子契約っていうやつが流行ってるんで、ちょっと勉強しとこうかなと。電子署名法って初めて触ったんですけど、いまいちよくわからんなーと。
Aさん:確かに、「電子署名」という概念は多義的で、若干の混乱があるようにも見受けられますね。
Bさん:いやあ、それなんです。本とかネットとか調べると、「電子サイン」とか「デジタル署名」とかいろんな言葉も出てきて、よくわからないんですよねえ。「電子署名」と「電子サイン」とか「デジタル署名」ってどんな関係にあるんですか。足して2で割ったら「電子署名」になるんですか。
Aさん:ではちょっと概念整理をしてみましょうか。ますますこんがらがるかもしれませんが、何事もまずは挑戦、です。
*AさんとBさんは年齢、性別、役職いずれも不詳なので、
お好きなように想像しながら読み進めてください。
まずは条文から
Aさん:司法試験の勉強をしている時、「条文から出発する」ということをずいぶんと意識したものです。というわけで今回も条文から出発したいと思います。
Bさん:条文ですか~面倒くさくて読みたくないんですよね。
Aさん:まあそう言わずに。日本には「電子署名及び認証業務に関する法律」(平成12年法律第102号)という法律があります。これがいわゆる電子署名法と呼ばれる法律です。
さっそく条文を見てみると、第2条第1項に「電子署名」についての定義が書いてあります。
第二条 この法律において「電子署名」とは、電磁的記録(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式で作られる記録であって、電子計算機による情報処理の用に供されるものをいう。以下同じ。)に記録することができる情報について行われる措置であって、次の要件のいずれにも該当するものをいう。
一 当該情報が当該措置を行った者の作成に係るものであることを示すためのものであること。
二 当該情報について改変が行われていないかどうかを確認することができるものであること。
Aさん:電子署名法上の「電子署名」に該当するためには、①「当該情報が当該措置を行った者の作成に係るものであることを示すためのもの」であり、② 「当該情報について改変が行われていないかどうかを確認することができるもの」であることが必要となります。①を署名者識別機能、②を改竄検知機能と言うこともありますね。
Bさん:なんか、分かったようで分からない条文です。
Aさん:電子署名法、難しいですね。難しいので、ここではまず一つのことだけを確認しておきましょう。
それは、「電子サイン」とか「デジタル署名」といった用語は電子署名法には一切登場しないということです。
デジタル署名?
Aさん:条文から出発した結果、電子署名法には「電子署名」の定義はあるけれども、それ以外の「電子サイン」とか「デジタル署名」といったものの定義がないことが分かりました。これらの言葉について考えてみるために、いったん法律から離れて考えてみましょう。
まずは試しに「電子署名」という言葉を辞書で検索してみてください。
Bさん:ネットでググってみます……と、デジタル大辞泉では以下のように説明されています。
「電子的に作成された署名全般のこと。暗号技術などを用いて文書の正当性を証明するものをデジタル署名という。」
Bさん:電子的に作成された署名全般のこと……っていうのはなんだかえらく漠然としていますね。具体的に何を指しているのか……。
Aさん:そうですね。それから、ここで「デジタル署名」という言葉が登場していますね。
Bさん:「暗号技術などを用いて文書の正当性を証明するもの」ということですけど……。
Aさん:そこで暗号技術の本を見てみましょう。
Bさん:なぜ都合よくそんな本が手元に……?
Aさん:結城浩『暗号技術入門 第3版』(2015年、SBクリエイティブ)という本の第9章にズバリ「デジタル署名」という章があります。同書によれば、公開鍵暗号という暗号方式を利用して、文書の改竄の検出、なりすましの検出、否認防止行える技術として使用したものを「デジタル署名(digital signature)」と呼びます。
Bさん:公開鍵暗号ってなんですか。
Aさん:公開鍵暗号の詳しい仕組みはこの本で分かりやすく解説されていますので是非ご一読ください。
Bさん:丸投げかよ。
Aさん:……公開鍵暗号は、暗号化と復号とで異なる2つの鍵(秘密鍵と公開鍵)を使用する方式です。秘密鍵はその所有者が秘密に管理しなければならない鍵で、公開鍵は基本的に公開可能で、他の人に利用してもらう鍵です。この方式の特徴は、片方の鍵で暗号化したものは、それと対になるもう一方の鍵でなければ復号できないということです。
たとえば私のメッセージを私の秘密鍵で暗号化したとします。その暗号化されたメッセージを受け取ったBさんは、私の公開鍵でメッセージを復号化できるか試します。ちなみに、公開鍵が私の鍵であることは、電子認証局による身元確認を通じて電子証明書により明らかにされます。ですから、私の公開鍵で復号化ができれば、私の秘密鍵で暗号化された=私がメッセージの作成者である、ということが推定されるという仕組みです。
印鑑を秘密鍵に、印鑑証明書を公開鍵+電子認証局発行の証明書に置き換えるとわかりやすいのではないかと思います。
Bさん:よく分かりませんが、分かりました(後で本を読もう……)。
Aさん:他方、高林淳『リーガルテック・AIの実務――デジタル・トランスフォーメーション(DX)時代の企業法務改革』(2020年、商事法務)では、「電子サイン(Electronic Signature)」と「電子署名(Digital Signature)」という用語法が用いられています。「Digital Signature」の訳語に「電子署名」を当てているのがポイントです。
Bさん:さっき出てきた『暗号技術入門 第3版』だと、「デジタル署名(Digital Signature)」でしたよね。
Aさん:つまり、「Digital Signature」(公開鍵暗号技術を用いた電子署名)を「デジタル署名」と訳す用法と「電子署名」と訳す用法とが混在しているために混乱が生じやすくなっていると考えられます。
実は、先述の『暗号技術入門』226ページの脚注にはこういう記述もあります。
デジタル署名は、電子署名あるいは単に署名(signature)と呼ぶこともあります。
Bさん:ふうむ。英語の訳し方が「デジタル署名」と「電子署名」の2通りあるから、分かりにくくなってるってことですか。
Aさん:推測ですが、そう思います。
まとめると「電子署名」という言葉には、大きく分けると、2つの用法が存在するのです。
ひとつは「電子署名」=「電子的に作成された署名全般」とする用法(広義の電子署名)、いまひとつは「電子署名」=「デジタル署名(digital signature)」を指すものとする用法(狭義の電子署名)です。
Bさん:そうすると、「電子署名」って言葉を見たとき、それが広義の電子署名の方を指してるのか、それとも、狭義の電子署名=デジタル署名を指してるのか、っていうのは気を付けないといけないわけですか。
Aさん:そういうことですね。
*前者の用法(広義の電子署名)に基づき、「電子署名」と「デジタル署名」を区別する文献としては、高橋郁夫ほか『即実践!! 電子契約』(2020年、日本加除出版)や弁護士ドットコム株式会社クラウドサイン事業本部「クラウドサインによる電子契約の締結等に関する説明書」が挙げられます。
他方、後者の用法(狭義の電子署名)を用いる文献として、宮内宏『改訂版 電子契約の教科書~基礎から導入事例まで~』(2019年、日本法令)があります。
Electronic Signature?
Bさん:さっき、「電子サイン(Electronic Signature)」っていう言葉が出てきましたけど、これはなんなんですか。これも日本の電子署名法には書いてない言葉なわけですけど。
Aさん:まず「Electronic Signature」という概念からたどってみましょうか。具体例として、2000年に制定された米国の連邦法である Electronic Signatures in Global and National Commerce Act(通称ESIGN法)を挙げましょう。
同法においてelectronic signatureは「契約その他の記録に添付され又は論理的に関連付けられた電子的音声、シンボル又はプロセスであって、その記録に署名する意図をもって当事者により締結又は受諾されたもの(an electronic sound, symbol, or process, attached to or logically associated with a contract or other record and executed or adopted by a person with the intent to sign the record)」という広範な定義がなされています。
Bさん:「音声、シンボル又はプロセス」っていうのは随分広そうですねえ。たとえば、インターネット上で「同意しますか?」っていうウィンドウが出たのに対して「はい」をクリックするとか、そういうのでもいいわけですか。
Aさん:有効になり得ますね。タブレット上にペンでサインするとか、手書きの署名をスキャンしてPDFに貼り付けるのもOKでしょう。先ほど見たデジタル署名(digital signature)と比べて広範な概念であることが分かると思います。
また、EUのeIDAS規則においても「電子的形式のデータに添付され又は論理的に関連付けられる電子データで、署名者が署名に使用するもの」(data in electronic form which is attached to or logically associated with other data in electronic form and which is used by the signatory to sign)という、やはり広範な定義になっています。
Bさん:要するに、electronic signatureと一口に言っても、色々なパターンがありうるってことですね。
Aさん:先ほど、デジタル大辞泉の「電子的に作成された署名全般のこと」という電子署名の定義を見ましたよね。「署名全般」という広範な定義が用いられていますが、その背景にはこのelectronic signatureの概念があると考えられます。したがって、「electronic signature」を「電子署名」、「digital signature」を「デジタル署名」と訳すのは理に適っていると思います。
Bさん:一方、digital signatureを「電子署名」と訳す立場からは、electronic signatureを「電子サイン」と訳すことになるんでしょうか。
Bさん:あれ? でも、「電子サイン」っていう言葉はどこから出てきたんですかね。
電子サイン?
Aさん:ここで日本の電子署名法に再登場願いましょう。
第二条 この法律において「電子署名」とは、電磁的記録(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式で作られる記録であって、電子計算機による情報処理の用に供されるものをいう。以下同じ。)に記録することができる情報について行われる措置であって、次の要件のいずれにも該当するものをいう。
一 当該情報が当該措置を行った者の作成に係るものであることを示すためのものであること。
二 当該情報について改変が行われていないかどうかを確認することができるものであること。
Aさん:さっき説明したとおり、日本の電子署名法上の「電子署名」に該当するためには①署名者識別機能と②改竄検知機能を備えていることが必要になります。
Bさん:……ってことは、ここでの「電子署名」は、さっきのelectronic signatureの定義よりも狭いものになるんですか?
Aさん:そういうことです。電子署名法上の「電子署名」は、広義の電子署名(electronic signature)よりも少し狭い概念です。
*弁護士ドットコム株式会社クラウドサイン事業本部「クラウドサインによる電子契約の締結等に関する説明書」19ページより抜粋
Bさん:電子署名法3条っていうのは、電子署名に成立の真正の推定効を付与するってやつですよね。
第三条 電磁的記録であって情報を表すために作成されたもの(公務員が職務上作成したものを除く。)は、当該電磁的記録に記録された情報について本人による電子署名(これを行うために必要な符号及び物件を適正に管理することにより、本人だけが行うことができることとなるものに限る。)が行われているときは、真正に成立したものと推定する。
Aさん:通常、デジタル署名(digital signature)であれば、この第3条の要件を満たし、成立の真正の推定効が得られる、というのが一般的な理解です。
それはいいのですが、そこから派生して、なぜか電子署名法3条の要件を満たす電子署名――もっと言えばデジタル署名(digital signature)のみが「電子署名」であるというような誤解が広まっていたのではないか、と思います。
この点に関して高橋郁夫氏は著書『電子署名法の数奇な運命』(2020年)で以下のような指摘をしています。
わが国の電子署名法の解釈において、いかなる理由によるものか、電子署名とは、デジタル署名技術を利用した署名をいうものであるという解釈が前提とされるかのような状況にいたるようになりました。人によっては、認定認証業者の提供するデジタル署名技術に基づく電子署名のみが制定法上の電子署名であるかというような用語法を用いる人もいました。2010年代後半になると、電子契約プラットホームのサービスを提供する会社が積極的な営業活動をしましたが、そのような会社は、自分たちの技術を電子サインであり、電子署名ではないものといっていたというのは、そのような解釈の現れであると考えられます。
Bさん:なるほど。こういう文脈で、「電子署名」と区別された「電子サイン」が出てきたんですか。
Aさん:Electronic Signatureの中には、多くの電子契約サービス事業者が提供するような、クラウド上で簡単に契約書にサインできるサービスも含まれますが、それは電子署名法上の「電子署名」ではない、という理解だったのではないかと思われます。
あくまで推測ですが、このような理解を前提としたとき、自社のサービスを売り込みたい電子契約サービス事業者からすると、「電子署名」に代わる用語が必要だったがために、「電子サイン」という言葉が定着していったのかもしれません。
Bさん:でも、「電子サイン」=「Electronic Signature」だとすると、その内容は様々なものがありうるわけで、電子署名法上の「電子署名」にあたるかどうかもよくわからないですよね。
Aさん:おっしゃるとおりですね。ですから、「電子サイン」という言葉は、電子署名法との関係を不明瞭にしてしまう点で、あまり好ましい表現とは言えないかもしれませんね。
当事者型と立会人型
Bさん:最近になってやたらと「立会人型」とか「事業者署名型」って言う言葉を聞く機会が増えたんですが、あれはなんなんですか。
Aさん:従来の電子署名法解釈では、電子署名法3条の適用を受けるためには、契約締結当事者が自分でデジタル署名(digital signature)を行う必要があると考えられていました。これに対して、2020年9月4日に総務省・法務省・経済産業省から3省連名で発表された「利用者の指示に基づきサービス提供事業者自身の署名鍵により暗号化等を行う電子契約サービスに関するQ&A(電子署名法3条に関するQ&A)」で、契約締結当事者ではなく電子契約サービス事業者がデジタル署名(digital signature)を行うタイプのサービスについても、一定の条件のもとに電子署名法3条の適用がありうることが政府見解として提示されたのです。
事業者がさながら契約の立会人のようにデジタル署名(digital signature)を付すので、「立会人型」とか「事業者署名型」と呼ぶのですね。
*https://www.gmo-agree.com/media/trend/post-116/ より抜粋
Bさん:いわゆる「立会人型」がどのようなロジックで電子署名法上の「電子署名」に該当し、第3条の適用を受けることができるか、という点を押さえることが大事っぽいですね。3省合同のQ&Aはこの点の論理を示していますけど、100%明確なものじゃなくて、解釈の余地を残している風ですし。
Aさん:そうですね。Bさん、いつの間にか随分と物分かりが良くなりましたね。「立会人型」の電子署名法への当てはめについては、サインのリ・デザイン「電子契約サービスの法的分類マトリックス —「電子署名vs電子サイン」を正しく理解する」が参考になります。
Bさん:(あれ、馬鹿にされてる……?)これからは「立会人型」(事業者署名型)が電子署名のスタンダードになっていくんですかね。
Aさん:それはどうでしょうね。電子署名法は、今後新しい技術が出てきたときのために、技術的中立性を維持しつつ、機能的側面に着目して「電子署名」を定義しています。したがって、今後、公開鍵暗号技術以外の技術を用いることもありうるわけです。ブロックチェーンなどはその可能性の一つかもしれませんね。
Bさん:なるほどですねえ。いやあ、勉強になりました。
Aさん:それはよかったです。
Bさん:Aさんありがとうございました。
Bさん:どうですか、この後一杯いきませんか。奢りますよ。
Aさん:いいですね、ご相伴に与ります。
おわり
次はたっしー@司法書士受験生(一回休み)さんです!