事業者署名型電子契約サービスと当事者型電子署名

事業者署名型電子契約サービスと当事者型電子署名

事業者署名型電子契約サービスの登場

2019年からの新型コロナウイルス感染症の感染拡大に伴いリモートワークを活用する企業が増加し、紙文書から電子文書への転換を起点とした「脱ハンコ」の動きが活性化しました。企業における押印業務の最たるものに契約業務があり、企業のDX(デジタルトランスフォーメーション)推進が加速する中、その電子化に注目が集まります。
これまでは、契約者本人名義の電子署名実施のための署名鍵や電子証明書による電子署名(当事者型電子署名)が必要と考えられていました。しかし、当事者型電子署名では、署名鍵および電子証明書を利用者本人が管理する必要があり、発行や更新といった手間が発生するため、電子契約サービスの利用は伸び悩んでいました。

図:当事者型電子署名と事業者署名型電子契約サービスの比較図

図:当事者型電子署名と事業者署名型電子契約サービスの比較図

一方で、「第三者の電子署名だけで契約が成立するのか?」、「そもそも契約書に押印している意味とは何か?」といった疑問が出てきました。

政府から公表されたQ&A

このような状況の中、政府から押印の廃止や事業者署名型電子契約サービスに関する文書が次々に発表されました。

2020年6月19日

押印に関するQ&A

2020年7月17日

利用者の指示に基づきサービス提供事業者自身の署名鍵により暗号化等を行う電子契約サービスに関するQ&A(電子署名法2条1項に関するQ&A)

2020年9月4日

利用者の指示に基づきサービス提供事業者自身の署名鍵により暗号化等を行う電子契約サービスに関するQ&A(電子署名法第3条に関するQ&A)

電子署名法2条1項に関するQ&Aの解説

電子署名法2条1項には、「電子署名」の定義が定められています。

第二条 この法律において「電子署名」とは、電磁的記録(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式で作られる記録であって、電子計算機による情報処理の用に供されるものをいう。以下同じ。)に記録することができる情報について行われる措置であって、次の要件のいずれにも該当するものをいう。

一 当該情報が当該措置を行った者の作成に係るものであることを示すためのものであること。

二 当該情報について改変が行われていないかどうかを確認することができるものであること。

引用元:電子署名法2条1項

要約すると、電子署名とは「文書の作成者本人が操作を行い、それ以降にデータが改ざんされていないことを確認可能なもの」を指します。これをうけて、電子署名法第2条第1項に関するQ&Aでは事業者署名型電子契約サービスについて以下の見解が示されました。

利用者が作成した電子文書について、サービス提供事業者自身の署名鍵により暗号化を行うこと等によって当該文書の成立の真正性及びその後の非改変性を担保しようとするサービスであっても、技術的・機能的に見て、サービス提供事業者の意思が介在する余地がなく、利用者の意思のみに基づいて機械的に暗号化されたものであることが担保されていると認められる場合であれば、「当該措置を行った者」はサービス提供事業者ではなく、その利用者であると評価し得るものと考えられる。

サービス提供事業者に対して電子文書の送信を行った利用者やその日時等の情報を付随情報として確認することができるものになっているなど、当該電子文書に付された当該情報を含めての全体を1つの措置と捉え直すことよって、電子文書について行われた当該措置が利用者の意思に基づいていることが明らかになる場合には,これらを全体として1つの措置と捉え直すことにより、「当該措置を行った者(=当該利用者)の作成に係るものであることを示すためのものであること」という要件(電子署名法第2条第1項第1号)を満たすことになるものと考えられる。

引用元:電子署名法第2条第1項に関するQ&A

つまり、事業者署名型電子契約サービスの場合、利用者の意思のみに基づいて機械的に暗号化され、利用者やその日時等の情報を付随情報として確認することができる等の措置がなされていることを条件に、それらを全体の1つの措置として、電子署名法上の電子署名に該当する、政府の見解が示されました。

電子署名法第3条に関するQ&Aの解説

電子署名法第3条には、「電子文書の真正な成立の推定」のための要件が定められています。文書の真正な成立とは、すなわち法的に有効なものであることを表します。

第三条 電磁的記録であって情報を表すために作成されたもの(公務員が職務上作成したものを除く。)は、当該電磁的記録に記録された情報について本人による電子署名(これを行うために必要な符号及び物件を適正に管理することにより、本人だけが行うことができることとなるものに限る。)が行われているときは、真正に成立したものと推定する。

引用元:電子署名法2条1項

また、事業者署名型電子契約サービスの場合、どのような措置を講じる必要があるかについては、以下の見解が示されました。

この見解から、要件とされる「十分な水準の固有性」を整理すると以下のようになります。

• 利用者の身元確認が十分になされていること。
• サービス利用時の認証が、2要素による認証など、強固なものであること。
• サービス提供事業者の署名鍵が安全に管理され、電子署名の暗号強度が十分なものであること。
• 利用者ごとに行われた処理の個別性を担保する仕組みを備えていること。

事業者署名型電子契約サービスと当事者型電子署名の比較

ここまで、政府から発表された内容をご説明しましたが、ここからは事業者署名型電子契約サービスと従来の当事者型電子署名を比較していきます。
訴訟時の証拠として契約書を提出することを想定し、政府見解で示された「十分な水準の固有性」を満たしていることを証明する仕組みについて、以下のように整理しました。

	事業者署名型電子契約サービス	当事者型電子署名
a.利用者の身元確認レベル	・身元確認の標準規程や第三者監査に関する規定は無いが、事業者自身が規定文書を作成し、適切な運用を行っていることを証明。またそれ等の規定、監査記録、本人確認書類の提出が考えられる。	・認証局が証明書ポリシ（CP）の規定に従い身元確認。第三者の準拠性監査や電子署名法の認定により証明。またそれ等の規定、監査記録、本人確認書類の提出が考えられる。
b.当人認証レベル	・2要素以上の認証を行っていることを証明	・署名鍵やPINを利用者本人が適切に管理していたことを証明 ・リモート署名を利用している場合は当該サービスが2要素以上の認証を行っていることを証明
c.電子署名の暗号強度	電子署名法の関連法令等や電子政府推奨暗号リスト（CRYPTREC）で指定	電子署名法の関連法令等や電子政府推奨暗号リスト（CRYPTREC）で指定
d.利用者の毎の個別性	・アクセスや操作ログ等は正しく適切に記録され、それが改ざんや削除ができない仕様となっていること ・運用担当者の不正ができないようシステム設計、運用設計がなされていること ・正しく適切に運用されていることが監査等でチャックされていること ・ログや監査等の記録、システム仕様書等は証明が必要な際に提出ができるよう必要な期間保存しておくこと	PKI技術標準に従って署名検証により電子署名の有効性を証明

当事者型電子署名の場合は、多数のPKI技術標準や前述のETSIの標準規格が用意されており、当該規格等への準拠性監査、署名検証などを通じて、電磁的記録の真正な成立の立証方法が明らかになっています。
一方、事業者署名型電子契約サービスの場合は、標準規格や監査制度が揃っているわけではなく、上記に相当する事項について独自の規定や監査等で適切に運用を行っていたことを証明することが必要となります。

まとめ

契約書は、当事者間の合意内容を明示するために作成するものです。オンラインでの電子契約締結には「事業者署名型電子契約サービス」、「当事者型電子署名」を問わず、内容の重要性に応じ、本人確認レベルも変える必要があるでしょう。また、クラウドサービスを利用する場合、政府見解を踏まえると「事業者署名型電子契約サービス」、「当事者型リモート署名サービス」を問わず2要素以上の当人認 証が必要となります。
訴訟において、契約書は簡単かつスピーディーに証拠として提出できることが肝要だと考えます。当事者型の電子署名には、当事者名の電子署名が付されているため、契約書のファイルを提出するだけで証拠の提示が可能です。さらに認定認証局による電子証明書であれば、証明書発行時に法律にもとづく厳格な身元確認が行われているため、契約者本人が署名したかどうかの争いを容易に回避可能になると考えられます。

コロナ禍において、リモートワーク推進のために、電子契約サービスにおける電子署名の在り方について政府が見解を示しました。同時期である2020年4月に、契約に関する民法第522条(契約の成立と方式)が改正され、書面の有無といった手続きや形式ではなく、申込みとその承諾の有無が優先されることが明示されました。
これまでも、ネットショップでの売買契約やハウスクリーニング等の簡単な役務契約に関しては、電子署名自体を利用せずに実施されています。契約の本質を踏まえ、実務をどう考えるかが重要となります。個々の電子契約において、本当に電子署名が必要か、必要である場合はどういった電子署名が必要となるかを判断しなければなりません。その判断について、本ページを参考に考慮していただけると幸いです。