プレスリリース

「事業者署名型」電子契約サービスにおける 電子署名法第3条の適用条件に関する見解

~「身元確認」をはじめとする必要な要件について ~
2020年09月18日 18:00 プレスリリース

GMOグローバルサイン・ホールディングス株式会社(以下、GMOグローバルサイン・HD)は、2020年9月4日に事業者署名型電子契約サービスにおける電子署名法第3条の適用条件に関する政府見解が示された※1ことを受けて、政府の電子署名法のガイドライン決めやトラストサービスの検討を行っているワーキンググループに参画されている宮内宏弁護士※2と議論し、以下の通り見解を発表するとともに、今後のGMOグローバルサイン・HDの取り組みについてお知らせいたします。

※1)「利用者の指示に基づきサービス提供事業者自身の署名鍵により暗号化等を行う電子契約サービスに関するQ&A(電子署名法第3条関係)」 URL:https://www.meti.go.jp/covid-19/denshishomei3_qa.html
※2)経済産業省 電子署名法研究会構成員、総務省 トラストサービス検討ワーキンググループ座長代理等

要約

政府見解に基づき、電子署名法第3条を適用するためには、サービス上で署名する際のセキュリティを高める「当人認証」だけでなく、署名者の実在性(署名者が『どこの誰なのか』)を担保する「身元確認」と併せた「本人確認」が必要不可欠である。身元確認を経ないシングルサインオンや単純な二段階認証※3ではこの要件を満たさない。

※3)二段階認証について『「二段階認証」の誤解を解く。「二要素認証」「多要素認証」と何が違うか』(トラスト・ログイン)
URL:https://support.trustlogin.com/hc/ja/articles/360000497941--

「電子署名法第3条」適用に必要な要件

これまで電子署名法第3条の推定効が認められるためには、署名者本人名義の電子証明書による電子署名(当事者型)が必要とされていました。すなわち、電子認証局による厳格な本人確認が行われたうえで発行され、本人の意思による署名のみを可能とするように管理された本人名義の電子証明書で署名されたものについて、電子署名法第3条の推定効が及ぶものとされていました。

  電子署名の有効性
(電子署名法2条)
推定効の有無
(電子署名法第3条)
当事者署名型
事業者署名型
(⽴会⼈型)
×
(9月4日の政府見解の要件を満たすものは○)

政府の見解によると、事業者署名型の電子契約サービスにおいて電子署名法第3条を適用するためには、7月17日の政府見解による電子署名の要件を満たした上で、以下の3つの要件を満たす必要があります。

(1)電子契約サービスの利用者(署名者)の身元確認がなされること(Q4)
(2)利用者(署名者)の認証プロセスについて十分な固有性が満たされていること(Q2)
(3)サービス提供事業者内部のプロセスにおいて十分な固有性が満たされていること(Q2)

上記要件において、(1)は署名者の実在性(署名者が『どこの誰なのか』)を担保する「身元確認」を意味し、(2)は署名者自身が署名行為をしたことを担保するための「当人認証」を指します。

そのため、十分な「身元確認」が行われないまま、シングルサインオンや多要素認証などによって当人認証を厳格にしても、なりすましを防止することはできず、電子署名法第3条を適用するための十分な措置が採られているとはいえません。

政府見解(9/4)
電子署名法第3条
(1)電子契約サービスの利用者(署名者)の身元確認がなされること(Q4) (2)利用者の認証プロセスについて十分な固有性が満たされていること(Q2) (3)サービス提供事業者内部のプロセスについて十分な固有性が満たされていること(Q2)
必要な要件 身元確認 当人認証 署名システムの安全性
事業者署名型
(⽴会⼈型)
×
(十分な身元確認が取れれば○)

(サービスごとに異なる)

なお、政府見解で示された要件については、以下の具体的な内容を明確にするための議論を行う必要があるものと考えます。

(1)電子契約サービス事業者において実施すべき、署名者の「身元確認」のレベル
(2)「サービス提供事業者内部のプロセスにおける十分な水準の固有性」という抽象的な表現で示されたままのシステムの安全性のレベル。

宮内弁護士による解説

ここでいう「十分な固有性」は、電子署名法3条かっこ書の「本人だけが行うことができる」等の記載の解釈によるものです。同条に関しては「本人だけが行うことができる」ための安全性のレベル等は示されていません。しかし、「本人だけが行うことができる」との文言は同法2条3項にもあり、その要件として『鍵長2048ビット以上RSA暗号などの極めて安全な暗号方式を用いる』旨が示されています(同法施行規則2条)。このような規定に鑑みますと、3条かっこ書の「本人だけが行うことができる」の基準、すなわち十分な水準の固有性についても鍵長2048ビット以上RSA暗号と同等なレベルか、そこまで要求されない場合でも、かなり高いレベルの安全性が必要になるものと考えられます。

(参考) 電子署名法第2条・3条
URL:https://elaws.e-gov.go.jp/search/elawsSearch/elaws_search/lsg0500/detail?lawId=412AC0000000102
電子署名及び認証業務に関する法律施行規則
URL:https://elaws.e-gov.go.jp/search/elawsSearch/elaws_search/lsg0500/detail?lawId=413M60000418002

GMOグローバルサイン・HDの考え

企業において電子署名が必要になる場面は、登録印を必要とする重要な契約書から、社判や担当者印でも対応可能な発注書や納品書といったものまでさまざまです。 そのため、電子契約サービスの利用にあたっては、文書の重要性の程度や金額といった性質や、利用者間で必要とする身元確認レベルに応じて、適切なサービスを選択することが重要です。

GMOグローバルサイン・HDの提供する電子契約サービス「GMO電子印鑑Agree」では、電子署名法第2条の電子署名としての有効性が認められた事業者署名型の電子署名を利用できる『契約印プラン』に加え、従来から電子署名法第3条の適用が認められている当事者型の電子署名(電子認証局※4による十分な身元確認を経て発行された署名者本人の電子証明書を用いて電子署名を行うもの)を利用できる『契約印&実印プラン』を提供しています。

お客様においては、文書の重要性や必要とされる身元確認レベルに応じて、当事者署名型・事業者署名型の電子署名タイプを選択していただくことが可能です。

(参考)『電子サインと電子署名の違い』
https://www.gmo-agree.com/media/electronic-contract/post-0025/

※4)電子認証局:認証局(CA:Certification Authority)とは、デジタル証明書を発行する機関で、電子証明書の登録、発行、失効を行う第三者機関です。

今後の取り組みについて

この度政府によって示された「電子署名法第3条」に関する見解は、事業者に解釈の違いを生んでおり、信頼できる電子契約サービスの普及のためにも、基準の明確化を働きかけてまいります。また、電子証明書により本人を認証する「当事者型」の認知拡大および、安心して利用できる電子契約サービスの普及を目指し、啓発活動を行ってまいります。

本プレスリリースに関するお問い合わせ

サービスに関するお問い合わせ先

GMOグローバルサイン・ホールディングス株式会社「GMO電子印鑑Agree」運営事務局
TEL:03-6415-7444 お問い合わせフォーム:https://gmo-agree.com/form/

 

報道関係お問い合わせ先

GMOグローバルサイン・ホールディングス株式会社 社長室 広報担当 遠藤・松下
TEL:03-6415-6100 E-mail:[email protected]

GMOインターネット株式会社 グループコミュニケーション部 広報担当 石井
TEL:03-5456-2695 E-mail:[email protected]

会社情報

GMOグローバルサイン・ホールディングス株式会社

https://www.gmogshd.com/

会社名 GMOグローバルサイン・ホールディングス株式会社 (東証第一部 証券コード:3788)
所在地 東京都渋谷区桜丘町26番1号 セルリアンタワー
代表者 代表取締役社長 青山 満
事業内容 クラウド・ホスティング事業
セキュリティ事業
ソリューション事業
資本金 9億1,690万円
法人番号 7011001037734

GMOグローバルサイン株式会社

https://jp.globalsign.com/

会社名 GMOグローバルサイン株式会社
所在地 東京都渋谷区道玄坂1-2-3 渋谷フクラス
代表者 代表取締役社長 中條 一郎
事業内容 情報セキュリティ及び電子認証業務事業
資本金 3億5,664万円
法人番号 1011001040181

GMOインターネット株式会社

https://www.gmo.jp/

会社名 GMOインターネット株式会社 (東証第一部 証券コード:9449)
所在地 東京都渋谷区桜丘町26番1号 セルリアンタワー
代表者 代表取締役会長兼社長・グループ代表 熊谷 正寿
事業内容 インターネットインフラ事業
インターネット広告・メディア事業
インターネット金融事業
仮想通貨事業
資本金 50億円
法人番号 6011001029526