IT・ベンチャーの企業法務

電子署名の作成と認証を解説　その法的効力とは？

2022.02.02

2023.01.19

IT・ベンチャーの企業法務

インターネット上のやり取りにおいては、相手と対面する必要がないので、情報の送信者と受信者がそれぞれ本当に本人なのか、情報が途中で改ざんされていないかを確認することが必要となります。

ここでは、そのための有効な手段である暗号技術を応用した電子署名の作成と、認証について解説します。

この記事の目次

電子署名とは

「電子署名法（電子署名及び認証業務に関する法律）」は、電子文書に施される「電子署名」の定義および効果ならびにその認証を行う事業を規律し、電子署名の法的有効性を規定した法律です。

この電子署名法における「電子署名」とは、電磁的記録に記録することができる情報について行われる措置であって、

当該電子署名が本人によって作成されたことを示すものであること（本人性）
当該電子署名について改変が行われていないかどうか確認することができるものであること（非改ざん性）

という2つの要件のいずれにも該当するものとされています。（電子署名法第2条1項）、本人だけが行うことができる電子署名が行われていれば、本人の署名又は捺印がされた文書と同じく、真正に成立したものと推定されます（電子署名法3条）。

電子契約の法的効力

契約は、契約の内容を示してその締結を申し入れる意思表示に対して相手方が承諾をしたときに成立する（民法第522条）ものであり、必ずしも書面を作成する必要はありません。ただし、契約が争いになった場合には、裁判に証拠として提出できるものが必要となります。

これについては、裁判で契約書を証拠とするためには、「文書は、その成立が真正であることを証明しなければならない」（民事訴訟法228条1項）とありますが、紙媒体の文書を証拠提出する場合には、その文書に本人又はその代理人の署名又は押印があるときは、その文書が真正に成立したもの（本人の意思により作成されたもの）と推定されます（民事訴訟法228条4項）。

これに対応して、電子文書の場合についても、電子署名法によって電子契約の法的効力が整理されました。

電子署名の認証業務

裁判で証拠力のある電子契約とするためには、「本人によって作成されたこと」という要件を満たす必要がありますが、書面を見れば確認できる書面上の署名と異なり、電子署名は電子データであるため、本人によるものかどうかを証明する手段が必要となります。

これについて、電子署名法第2条は、

電子署名法（定義）第2条　
2項　この法律において「認証業務」とは、自らが行う電子署名についてその業務を利用する者（以下「利用者」という。）その他の者の求めに応じ、当該利用者が電子署名を行ったものであることを確認するために用いられる事項が当該利用者に係るものであることを証明する業務をいう。
3項　この法律において「特定認証業務」とは、電子署名のうち、その方式に応じて本人だけが行うことができるものとして主務省令で定める基準に適合するものについて行われる認証業務をいう。

というように、電子署名法は第三者が本人による電子署名であることを証明することを予定しており、この業務のことを｢認証業務｣とし、そのうち、本人だけが行うことができるものとして主務省令で定める基準に適合するものについて行われる認証業務を｢特定認証業務｣と定義しています。

現在、｢特定認証業務｣の基準として採用されている認証技術は、公開鍵暗号という暗号方式を用いたPKI （Public Key infrastructure）技術とされています(電子署名法施行規則第2条)。「特定認証業務」とは、この技術を用いて、電子文書等の暗号化と本人確認を行って、電子署名が本人のものかどうかを証明するための電子証明書を発行する業務です。この認証業務は民間会社が行うことを認められていて、認証業務を行う第三者機関は「電子認証局」と呼ばれ、電子署名法第4条以下においてその認定基準等が定められています。

電子署名とタイムスタンプ

電子署名とタイムスタンプは、インターネット社会において「いつ」「何を」「誰が」を担保する「証拠」であって、電子文書の原本性が確認できる有力な手段です。

電子署名の作成と送信

電子署名の作成と送信は、現在では、秘密鍵と公開鍵をペアとして利用する「公開鍵暗号方式」とハッシュ関数を使った方法により、以下の流れで行われます。

作成者は、認証局に電子証明書の利用を申し込みます。
認証局は、本人確認をして、秘密鍵と公開鍵の対応付けの確認などを行った後に、文書を暗号化するために使う秘密鍵と、文書を復号化するために使う公開鍵を生成します。
認証局は、作成者が登録した公開鍵の電子証明書を発行します。
作成者は、認証局から電子証明書を受理します。

この上で、送信者は電子証明書を利用して、電子データを送信することになります。

送信者は、電子データをハッシュ関数により変換してハッシュ値（メッセージダイジェストともいいます）を生成します。ハッシュ関数とは、文字や数字などのデータ（入力値）を何らかの数値（出力値）に変換する関数です。
このハッシュ値を電子証明書で証明されている公開鍵に対応する秘密鍵で暗号化します。この行為を「電子署名」といいます。
送信者は電子データ（平文）と電子署名を結合し、電子証明書とともに受信者へ送信します。
受信者は、受信したデータを電子データ（平文）と電子署名に分け、電子データ（平文）から送信者と同じハッシュ関数を用いてハッシュ値を生成します。
電子署名を送信者の公開鍵を用いて復号し、ハッシュ値を取得します。
４と5で得たハッシュ値を比較し、一致していれば、送信者からの電子データであり、改ざんされていないことが確認できます。

ハッシュ値は、その特性上、電子文書の内容が電子署名をしたときのものと全く同じ内容であれば、作成した際のハッシュ値と復号したハッシュ値は全く同じ値となり、一文字でも異なれば全く異なるハッシュ値となります。

そのため、２つのハッシュ値の一致を確認することにより、当該電子文書が改ざんされていないことの確認ができることとなります。

タイムスタンプ

電子文書と署名文のハッシュ値の一致により文書の内容が改ざんされていないことを確認できるのですが、これに加えて、「いつ」その文書が存在し（存在証明）、その時刻以降文書の内容の改ざんされていないことを証明する（非改ざん証明）ものとして「タイムスタンプ」（TS）が利用されています。タイムスタンプは、電子署名と合わせて電子文書の原本性を確認するための有効な手段とみなされています。

利用者は時刻認証局（TSA：Time-Stamping Authority）に対して原本データのハッシュ値を送り、TSAがこのハッシュ値に時刻情報を付与したTSを利用者に送付します。電子文書のハッシュ値とタイムスタンプのハッシュ値の一致を確認することにより、内容が改ざんされていないことを証明できます。

データ保存

会社や個人事業者は、会計処理の対象となる注文書や契約書などの帳簿書類を7年間（もしくは10年間）保存することが義務付けられており、電子帳簿保存法（電子計算機を使用して作成する国税関係帳簿書類の保存方法等の特例に関する法律）により、電子取引を行った場合にも取引情報をデータ保存しておくことが義務付けられています（電子帳簿保存法第10条）。

この電子文書を長期保存するについては、電子帳簿保存法施行規則により、当該電子文書には、「一般財団法人日本データ通信協会が認定する業務に係るタイムスタンプを付すこと」が必要であり（電子帳簿保存法施行規則第3条5項2号ロ）、「当該電磁的記録の保存を行う者又はその者を直接監督する者に関する情報を確認することができるようにしておくこと」が求められています（電子帳簿保存法施行規則第8条）。

まとめ

電子文書化は、業務プロセスの改革、顧客サービスの向上等業務効率化の基盤となっており、電子文書化による記録と管理の重要性は、日々増大しています。

電子契約であっても契約の有効性は認められ、裁判においても、電子契約書は証拠として利用できます。事業者間の契約における電子化の流れは、急速に進んでいます。電子契約に関係する様々な法律や法令を理解し、適切に対応する必要があります。

当事務所による対策のご案内

モノリス法律事務所は、IT、特にインターネットと法律の両面に高い専門性を有する法律事務所です。近年、電子署名が使用される局面が増加しており、リーガルチェックの必要性はますます増加しています。当事務所は様々な法律の規制を踏まえた上で、現に開始したビジネス、開始しようとしたビジネスに関する法的リスクを分析し、可能な限りビジネスを止めることなく適法化を図ります。下記記事にて詳細を記載しております。