電子証明書の信頼性
- 大事な書類や契約書へ記名・捺印する場合は「実印」が使われると思います。なぜ実印を使うのか。実印は役所がその実印を使用する人が確かに存在し、その持ち主本人のものであることを「印鑑登録証明書」によって証明しているからです。
- 一方、デジタルの世界では印鑑は存在しないので、印鑑に相当するものを作らなけらばなりません。また「電子の印鑑に相当するもの」が間違いなく本人のものであることを証明してくれる第三者が必要になります。この第三者機関が「電子認証局」になります。そして、電子認証局が発行する「電子証明書」が「電子の印鑑に相当するもの」となるのです。
役所が発行する印鑑登録証明書が通用するのは、我々が役所を信頼しているからです。
それでは、電子証明書およびそれを発行する電子認証局を信頼するにはどのような方法があるでしょうか。
電子署名法による認定認証業務
日本において最も厳密な本人確認方法を実施しているものの一つが、電子署名法に基づく認定を取得している認証業務(認定認証業務)です。電子認証局では申請者が実在するのか、実在する場合はその申請者からの申請なのかを確認します。認定認証業務の場合は、電子署名法によって厳格な本人確認が求められており、適切にできていなければ認定を取り消される可能性もあります。
この認定を継続するためには、年に一度、業務の実施状況の厳格な調査を受ける必要があります。調査の結果、いくつかの指摘を受けることもあり、その指摘に基づいて業務改善を行わないと認定が継続できません。認定認証業務では、調査の際の指摘に対応する業務改善だけではなく、次年の調査で指摘を受けないよう、日々業務改善を行なっているといっても過言ではありません。
認定認証業務については、電子証明書および認証局の信頼性を国が確認していることになります。
認定認証業務以外の場合
認定認証業務以外の場合、本人確認の方法は認証局ごとに様々です。申請情報をほぼそのまま信用して電子証明書を発行している認証局もあれば、一定程度の本人確認を行なっている認証局もあります。
その内容は、各認証局が公開しているCPS等に記載されていますので、利用者および検証者(電子署名が付された電子文書を受け取った人)はCPS等を確認する必要があります。確認した結果、信頼できない、あるいは使用する場合にあっていないと考えるのならば、その認証局の電子証明書は使用すべきではありません。
事業者型電子署名の場合
電子契約サービスでは事業者型電子署名が広く利用されています。契約当事者が、契約締結の意思を示したことを電子契約サービス事業者が認証し、それを示すために、電子契約書に事業者の電子署名を付す仕組みが事業者型電子署名になります。これで契約当事者の電子署名だと認められています。
事業者型電子署名の場合、契約当事者には電子証明書は発行されませんので認証局による本人確認も行われていません。したがって電子契約サービス事業者の本人認証の方法や内容を確認し、信頼性や締結の意思を示す仕組みやそれを電子契約サービス事業者が確認する仕組みについて、なりすまし等のリスクがないかを事前に確認しておく必要があります。