1利用者の指示に基づきサービス提供事業者自身の署名鍵により
暗号化等を行う電子契約サービスに関するQ&A
(電子署名法第3条関係)
令和2年9月4日
総 務 省
法 務 省
経済産業省
一部改定 令和6年1月9日
デジタル庁
法 務 省
【作成の経緯】
利用者の指示に基づきサービス提供事業者自身の署名鍵によ
り暗号化等を行う電子契約サービス1
については、令和2年7月
17日、電子署名及び認証業務に関する法律(平成12年法律第
102号、以下「電子署名法」という。
)第2条に関する「利用者
の指示に基づきサービス提供事業者自身の署名鍵により暗号化
等を行う電子契約サービスに関するQ&A」
(以下「第2条関係
Q&A」
という。)を公表したものであるところ、
今般、
電子署名
法第3条に関しても、本Q&Aを作成し公表することとした。
電子契約サービスにおいて利用者とサービス提供事業者の間
で行われる本人確認(身元確認、当人認証)等のレベルやサービ1本 Q&A における「利用者の指示に基づきサービス提供事業者自身の署名鍵により暗号化等を行う電
子契約サービス」には、例えば、電子契約において電子署名を行う際にサービス提供事業者が自動的・
機械的に利用者名義の一時的な電子証明書を発行し、それに紐付く署名鍵により暗号化等を行う電子契
約サービスを含むものとする。2ス提供事業者内部で行われるプロセスのセキュリティレベルは
様々であり、
利用者はそれらの差異を理解した上で利用すること
が重要であるところ、
本Q&Aには当該観点からのQ&Aも含め
ている。
さらに、電子認証に関しては、近年、技術的な標準の検討が進
んでおり、また、それぞれの国で制度化された電子認証の相互承
認なども検討の視野に入るようになっていることなどを踏まえ、
商取引の安定性や制度における要求事項に係る国際的整合性等
を確保するために、
国際標準との整合性や他の国の制度との調和
なども踏まえた検討を行う必要がある。
本Q&Aの作成に当たっ
ても、国際標準との整合性等の観点も踏まえ、検討を行った。
問1 電子署名法第3条における「本人による電子署名(これを
行うために必要な符号及び物件を適正に管理することにより、
本人だけが行うことができることとなるものに限る。)」とは、
どのようなものか。
電子署名法第3条の規定は、電子文書(デジタル情報)につ
いて、本人すなわち当該電子文書の作成名義人による電子署
名(これを行うために必要な符号及び物件を適正に管理する
ことにより、本人だけが行うことができることとなるものに
限る。
)が行われていると認められる場合に、当該作成名義人
が当該電子文書を作成したことが推定されることを定めるも
のである。
この電子署名法第3条の規定が適用されるためには、次の
要件が満たされる必要がある。
1 電子文書に電子署名法第3条に規定する電子署名が付さ
れていること。32 上記電子署名が本人
(電子文書の作成名義人)
の意思に基
づき行われたものであること。
まず、電子署名法第3条に規定する電子署名に該当するた
めには、同法第2条に規定する電子署名に該当するものであ
ることに加え、
「これ(その電子署名)を行うために必要な符
号及び物件を適正に管理することにより、本人だけが行うこ
とができることとなるもの」に該当するものでなければなら
ない(上記1)。このように電子署名法第3条に規定する電子署名について
同法第2条に規定する電子署名よりもさらにその要件を加重
しているのは、同法第3条が電子文書の成立の真正を推定す
るという効果を生じさせるものだからである。
すなわち、
この
ような効果を生じさせるためには、
その前提として、
暗号化等
の措置を行うための符号について、他人が容易に同一のもの
を作成することができないと認められることが必要であり
(以下では、
この要件のことを
「固有性の要件」
などという。)、
そのためには、当該電子署名について相応の技術的水準が要
求されることになるものと考えられる。
したがって、
電子署名
のうち、
例えば、
十分な暗号強度を有し他人が容易に同一の鍵
を作成できないものである場合には、同条の推定規定が適用
されるために必要な要件である1を満たすこととなる。
また、
電子署名法第3条において、
電子署名が
「本人による」
ものであることを要件としているのは、電子署名が本人すな
わち電子文書の作成名義人の意思に基づき行われたものであ
ることを要求する趣旨である(上記2)。4
問2 サービス提供事業者が利用者の指示を受けてサービス提
供事業者自身の署名鍵による暗号化等を行う電子契約サービ
スは、電子署名法第3条との関係では、どのように位置付けら
れるのか。
利用者の指示に基づき、利用者が作成した電子文書につい
て、サービス提供事業者自身の署名鍵による暗号化等を行う
電子契約サービスについては、第2条関係Q&Aにより電子
署名法第2条に関する電子署名法上の位置付けを示したとこ
ろであるが、更に同法第3条に関する位置付けが問題となる。
上記サービスについて、電子署名法第3条が適用されるた
めには、
問1に記載したとおり、
同サービスが同条に規定する
電子署名に該当すること及び当該電子署名が本人すなわち電
子文書の作成名義人の意思に基づき行われたことが必要とな
る。
このうち、上記サービスが電子署名法第3条に規定する電
子署名に該当するためには、
その前提として、
同法第2条第1
項に規定する電子署名に該当する必要がある。この点につい
ては、
第2条関係Q&Aにおいて、
既に一定の考え方を示した
とおり、同サービスの提供について、技術的・機能的に見て、
サービス提供事業者の意思が介在する余地がなく、利用者の
意思のみに基づいて機械的に暗号化されたものであることが
担保されているものであり、かつサービス提供事業者が電子
文書に行った措置について付随情報を含めて全体を1つの措
置と捉え直すことによって、当該措置が利用者の意思に基づ
いていることが明らかになる場合には、同法第2条第1項に
規定する電子署名に該当すると考えられる。5その上で、上記サービスが電子署名法第3条に規定する電
子署名に該当するには、
更に、
当該サービスが本人でなければ
行うことができないものでなければならないこととされてい
る。そして、この要件を満たすためには、問1のとおり、同条
に規定する電子署名の要件が加重されている趣旨に照らし、
当該サービスが十分な水準の固有性を満たしていること(固
有性の要件)が必要であると考えられる。
より具体的には、上記サービスが十分な水準の固有性を満
たしていると認められるためには、1利用者とサービス提供
事業者の間で行われるプロセス及び21における利用者の行
為を受けてサービス提供事業者内部で行われるプロセスのい
ずれにおいても十分な水準の固有性が満たされている必要が
あり、これはシステムやサービス全体のセキュリティを評価
して判断されることになると考えられる。なお、1・2のいず
れか一方のみが十分な水準の固有性を満たしていても全体と
して不十分な場合には、上記サービスが十分な水準の固有性
を有しているとは認められなくなることに留意する必要があ
る。
1のプロセスについては、例えば以下の方法により2要素
認証を行っている場合は電子文書が利用者の作成に係るもの
であることを示すのに十分な水準の固有性を満たすと評価さ
れ得ると考えられる。
なお、
十分な水準の固有性を満たすため
に2要素認証が必須ということではなく、他の方法によるこ
とを妨げるものではない。
あらかじめ登録されたメールアドレス及びログインパスワードの入
力並びにSMS送信又は手元にあるトークンの利用等当該メールア6ドレスの利用以外の手段により取得したワンタイム・パスワードの
入力
あらかじめ登録されたメールアドレスに配信された時限アクセス
URL へのアクセス及び署名用のトークンアプリをインストールした
スマートフォンによる認証
利用者専用の電子契約システムログイン ID・パスワードを利用した
アクセス及び利用者に対し配布されたトークンデバイスによる認証
2のプロセスについては、
サービス提供事業者内部で行わ
れる措置について、
例えば以下の方法により十分な暗号の強
度、適切な鍵の管理、利用者毎の個別性を担保する適切な仕
組み
(例えばシステム処理が当該利用者に紐付いて行われる
こと)が備わっていれば、電子文書が利用者の作成に係るも
のであることを示すために十分な水準の固有性を満たして
いると評価され得ると考えられる。
アクセスや操作ログ等が正しく適切に記録され、かつ、改ざんや削
除ができない仕様とされていること
運用担当者による不正ができないシステム設計、運用設計がされて
いること
正しく適切に運用されていることが監査等で確認するとされている
こと
必要に応じてログや監査等の記録やシステム仕様書等が提出できる
よう十分な期間保存するとされていること
以上の次第で、あるサービスが電子署名法第3条に規定す
る電子署名に該当するか否かについては、個別の事案におけ
る具体的な事情を踏まえた裁判所の判断に委ねられるべき事
柄ではあるものの、一般論として、上記サービスは、1及び2
のプロセスのいずれについても十分な水準の固有性が満たさ7れていると認められる場合には、電子署名法第3条の電子署
名に該当するものと認められることとなるものと考えられる。
そして、同条に規定する電子署名が本人すなわち電子文書の
作成名義人の意思に基づき行われたと認められる場合には、
電子署名法第3条の規定により、当該電子文書は真正に成立
したものと推定されることとなると考えられる。
(参考)
あるサービスが、1及び2のプロセスのいずれについても十分な水準の固
有性を満たしているかは、サービス毎に評価が必要となるが、評価するた
めの参考となる文書について以下に例示する。
1のプロセスにおいて、固有性の水準の参考となる文書の例。
NIST、
「NIST Special Publication 800-63-3 Digital Identity
Guidelines」
、 2017 年 6 月
経済産業省、
「オンラインサービスにおける身元確認手法の整理に関
する検討報告書」
、 2020 年 4 月
各府省情報化統括責任者(CIO)連絡会議決定、
「行政手続におけ
るオンラインによる本人確認の手法に関するガイドライン」
、 2019
年 2 月
一般社団法人 OpenID「民間事業者向けデジタル本人確認ガイドライ
ン第 1.0 版」2023 年 3 月
2のプロセスにおいて、固有性の水準の参考となる文書の例。
NIST 、
「 NIST Special Publication 800-130A Framework for
Designing Cryptographic Key Management Systems」
、 2013 年 8 月
CRYPTREC、
「暗号鍵管理システム設計指針(基本編)」、2020 年 7 月
日本トラストテクノロジー協議会
(JT2A)
リモート署名タスクフォー
ス、
「リモート署名ガイドライン」
、 2020 年 4 月
総務省・法務省・経済産業省告示、
「電子署名及び認証業務に関する8法律に基づく特定認証業務の認定に係る指針」
問3 サービス提供事業者が利用者の指示を受けてサービス提
供事業者自身の署名鍵による暗号化等を行う電子契約サービ
スが電子署名法第3条の電子署名に該当する場合に、
「これを
行うために必要な符号及び物件を適正に管理すること」とは、
具体的に何を指すことになるのか。
「これを行うために必要な符号及び物件を適正に管理する
こと」の具体的内容については、個別のサービス内容により
異なり得るが、例えば、サービス提供事業者の署名鍵及び利
用者のパスワード(符号)並びにサーバー及び利用者の手元
にある2要素認証用のスマートフォン又はトークン(物件)
等を適正に管理することが該当し得ると考えられる。
問4 電子契約サービスを利用した電子署名がされた電子文書
について、実際の裁判において電子署名法第3条の推定効が認
められるためにはサービス提供事業者による身元確認が必要
なのか。
実際の裁判において、電子契約サービスを利用した電子署
名がされた電子文書について、その成立の真正が争われた場
合には、電子署名法第3条の推定効が認められるかが論点と
なる。
この場合に、
同条の推定効の主張が認められるためには、
当該電子署名が本人
(電子文書の作成名義人)
の意思に基づき
行われたものであることが必要であるところ、
挙証者が、
電子
文書の作成名義人本人による電子署名が行われていること、
すなわち電子契約サービスの利用者と電子文書の作成名義人9が同一であることを立証する必要がある。
サービス提供事業者が電子契約サービスの利用者と電子文
書の作成名義人の同一性を確認する(いわゆる利用者の身元
確認を行う)
ことは、
電子署名法第3条の推定効の要件として
必ず求められているものではないものの、電子契約サービス
の利用者と電子文書の作成名義人が同一であることの有効な
立証手段の一つとなり得る。
なお、
取引の当事者同士で身元確
認を行なっている場合はもとより、サービス提供事業者が利
用者の身元確認を代行する作業を附帯サービスとして提供し
ている場合も同様に、電子契約サービスの利用者と電子文書
の作成名義人が同一であることの有効な立証手段の一つとな
り得る。
問5 電子契約サービスを選択する際の留意点は何か。
実際の裁判において、電子文書の作成名義人の意思に基づ
いて電子署名が行われたことを立証する際の、作成名義人と
利用者の同一性の証明の水準や、その証明のために電子契約
サービスにおける身元確認の水準及び方法やなりすまし等の
防御レベルがどの程度要求されるかについては、裁判所の判
断に委ねられるべき事柄である。
この点に関し、電子契約サービスにおける利用者の身元確
認の有無、水準及び方法やなりすまし等の防御レベルは様々
であるところ、現状では必要な基準についての裁判例の蓄積
が十分でなく、
身元確認の水準や防御レベルが低い場合には、
実際の裁判において真正な成立を推定するためには不十分で
あると判断される可能性がある。したがって、各サービスの10利用に当たっては、当該各サービスを利用して締結する契約
等の重要性の程度や金額といった性質に鑑みて、裁判におい
て真正な成立の推定が得られない場合に利用者に生ずる損害
等を考慮した上で、適切なサービスを慎重に選択することが
適当と考えられる。
問6 電子文書の成立の真正は電子署名法第3条の推定効のみ
によって判断されるのか。
電子文書の成立の真正は、電子署名法第3条の推定効のみ
によって判断されるものではなく、口頭弁論の全趣旨及び証
拠調べの結果をしん酌して、自由な心証により裁判所に判断
される(民事訴訟法第247条)ものである。したがって、
身元確認が取引開始時点において高い水準で行われていなか
った場合であっても、契約当事者間における当該電子文書の
成立過程を裏付ける証拠等が提出できれば、それらも電子文
書の成立の真正の有効な立証手段となり得る。
文書の成立の真正を証明する手段を確保する方法について
は、令和2年6月19日、内閣府・法務省・経済産業省「押
印についての Q&A」でもその例を公表している。11改定履歴
公表日 改定箇所 主な改定内容(概要)
令和2年9月4日 - -
令和6年1月9日 問2 ・ 1・2のいずれか一方のみが十分な水準の固有性を満たしていても全体として不十分な場合
には、サービスが十分な水準の固有性を有しているとは認められなくなることに留意する必
要があることを追記。
・ 1のプロセスにおいて十分な水準の固有性を満たすものとして、2要素認証の例を追記。
・ 2のプロセスにおいて十分な水準の固有性を満たすものとして、サービス提供事業者内部で
行われる措置について、暗号の強度、利用者毎の個別性を担保する仕組みが適切に備わって
いる例を追記。
・ 参考資料として、
「一般社団法人 OpenID「民間事業者向けデジタル本人確認ガイドライン第
1.0 版」2023 年 3 月」を追記。
問4 新規
問5 ・ 問4の新規作成に伴い、従前の問4を問5に修正。
・ 実際の裁判において、電子文書の作成名義人の意思に基づいて電子署名が行われたことを立
証する際の、作成名義人と利用者の同一性の証明の水準や、その証明のために電子契約サー
ビスにおける身元確認の水準及び方法やなりすまし等の防御レベルがどの程度要求される
かについては、裁判所の判断に委ねられるべき事柄である、と修正。
・ 電子契約サービスにおける利用者の身元確認の有無、水準及び方法やなりすまし等の防御レ
ベルは様々であるところ、現状では必要な基準についての裁判例の蓄積が十分でなく、身元
確認の水準や防御レベルが低い場合には、実際の裁判において真正な成立を推定するために
は不十分であると判断される可能性があることを追記。
・ 各サービスの利用に当たっては、当該各サービスを利用して締結する契約等の重要性の程度
や金額といった性質に鑑みて、裁判において真正な成立の推定が得られない場合に利用者に
生ずる損害等を考慮した上で、適切なサービスを慎重に選択することが適当と考えられる、
と修正。
問6 新規
その他 ・ 本Q&Aの所管省庁をデジタル庁、法務省に修正。