様式第十三(第4条関係)
新事業活動に関する確認の求めに対する回答の内容の公表
1.確認の求めを行った年月日
令和3年9月10日
2.回答を行った年月日
令和3年10月8日
3.新事業活動に係る事業の概要
照会者は、電子契約サービスAdobe Sign(以下「Adobe Sign」とい
う。)の「クラウドデジタル署名」を国及び自治体の契約書、請書その他これに準ずる書面、
検査調書等への押印を代替する用途として提供することを新規事業として検討している。
Adobe Signは、従来紙と印鑑を用いて作成されていた契約文書を、クラウド上で
電子文書に署名当事者の電子証明書(公開鍵)の対となる秘密鍵で電子署名を付与して作成す
る「クラウドデジタル署名」(一般にリモート署名とも呼ばれる)を使用する電子契約サービ
スであり、下記手順により契約締結を行う。
1署名予定者は、電子証明書発行事業者から署名予定者固有の電子証明書の発行を受け、ア
ドビ インコーポレイテッド(以下、「アドビ」という。)ないしアドビ株式会社が選定
する電子証明書発行事業者が管理するクラウドサーバ上に当該電子証明書を保管し、
Adobe Signの「クラウドデジタル署名」のために利用できるよう設定を行う。
2起票者は、1同サービスの利用権限のあるユーザーが有するAdobe Sign ID
(確認済み電子メールアドレスとパスワード)、2アドビが提供するあらゆるサービスに
アクセス可能なAdobe ID(確認済み電子メールアドレスとパスワード)、あるいは、
3アドビとID連携をしているApple社、Facebook社、Google社の各
ID、のいずれかのIDを用いて Adobe Signにログインし、文書データを
Adobe Signのクラウド上にアップロードし、インターネットブラウザ上で、各
署名予定者のメールアドレスを入力した上で、それぞれ署名されたことを文書データ上に
可視化させる徴憑の表示位置を指定する。
3起票者が送信ボタンを押下すると、アドビは、Adobe Signのクラウドサーバ上
に保存されるPDF形式の文書データへの一意のアクセスURLを記載した電子メールを、
起票者が指定した署名予定者のメールアドレス宛に送り、当該署名予定者に「クラウドデ
ジタル署名」を依頼する。
4当該署名予定者は、当該電子メールを開いて、当該アクセスURLにアクセスし、インタ
ーネットブラウザにおいて当該文書データを閲覧して、情報の入力を求められる項目に適
宜情報を入力した後、「クリックして電子署名」欄をクリックし、「クラウドデジタル署
名」(※(注記)照会時現在、画面上では「クラウド署名」となっている。)を選択し、自らが契
約する電子証明書プロバイダーを選択する。
5これにより、Adobe Signのシステムは、電子証明書プロバイダーのシステムを
呼び出し、電子証明書プロバイダーが提供するログイン画面を表示する。電子証明書プロ
バイダーの指示に従い、当該署名予定者は、あらかじめ電子証明書プロバイダーから発行
されたID、パスワード(及び(電子証明書プロバイダーによっては)ワンタイムパスワ
ード)を入力する。
6ログイン認証に成功して、「クラウドデジタル署名」の指示を行った場合(この際、署名
用のパスワードの入力が求められる)、Adobe Signシステムは、対象文書デー
タのハッシュ値を電子証明書プロバイダーに送信する。
7当該電子証明書プロバイダーは、当該署名予定者の電子証明書を使用して電子署名データ
を作成し、Adobe Signシステムに返送する。
8Adobe Signシステムは、電子署名データを受け取り、対象文書データに当該電
子署名データを埋め込むことで、当該署名予定者の電子証明書(公開鍵)の対となる秘密
鍵で契約当事者としての電子署名が付与される。
9署名予定者が複数の場合には、各署名予定者について4から8までの過程が行われる。
10Adobe Signのクラウドサーバ上に保存された文書データ(PDF形式)に対し
て、全ての「クラウドデジタル署名」が施されると、必要な当事者に対し、上記のとおり
施された「クラウドデジタル署名」及び改ざん防止(及び発行元証明)のためのデジタル
署名(対象データのハッシュ値をアドビの電子証明書(公開鍵)の対となる秘密鍵で暗号
化する処理)を施した当該PDFが配布される。
4.確認の求めの内容
(1)Adobe Signの「クラウドデジタル署名」は、電子署名及び認証業務に関する法
律(平成12年法律第102号。以下「電子署名法」という。)第2条第1項に定める電子
署名に該当し、同項を引用する契約事務取扱規則(昭和37年大蔵省令第52号)第28条
第3項に基づき国の契約書についても利用可能であること、また、地方自治法施行規則(昭
和22年内務省令第29号)第12条の4の2に定める総務省関係法令に係る情報通信技術
を活用した行政の推進等に関する法律施行規則(平成15年総務省令第48号)第2条第2
項第1号に基づき地方公共団体の契約書についても利用可能であること、をそれぞれ確認し
たい。
(2)Adobe Signの「クラウドデジタル署名」において、契約当事者が、入出力装置
を含む電子計算機によりインターネットを通じてクラウドサービス上にアクセスし、契約事
務取扱規則第28条第1項に定める契約書、請書その他これに準ずる書面、検査調書、見積
書等(以下「契約書等」という。)に代わる文書データをアップロードした上で、必要に応
じて情報の入力を行い、電子署名をサービス事業者を介して機械的に付与する仕組みが、契
約事務取扱規則第28条第2項に規定する方法による「電磁的記録の作成」に該当し、契約
書等の作成に代わる電磁的記録の作成として利用可能であることを確認したい。
5.確認の求めに対する回答の内容
(1)についての回答
Adobe Signの「クラウドデジタル署名」を用いた電子署名は、電子署名法第2条
第1項に定める電子署名に該当し、同規定を引用する契約事務取扱規則第28条第3項に基づ
き、国の契約書が電磁的記録で作成されている場合の記名押印に代わるものとして、利用可能
と考える。また、Adobe Signの「クラウドデジタル署名」を用いた電子署名は、電
子署名法第2条第1項を引用する総務省関係法令に係る情報通信技術を活用した行政の推進等
に関する法律施行規則第2条第2項第1号に定める電子署名にも該当し、地方自治法施行規則
第12条の4の2に定める電子署名は、総務省関係法令に係る情報通信技術を活用した行政の
推進等に関する法律施行規則第2条第2項第1号に定める電子署名とされているため、地方公
共団体が契約につき契約内容を記録した電磁的記録を作成する場合においても利用可能と考え
る。
(理由)
電子署名法における「電子署名」とは、電子署名法第2条第1項に規定されているとおり、
デジタル情報(電磁的記録に記録することができる情報)について行われる措置であって、
(1)当該情報が当該措置を行った者の作成に係るものであることを示すためのものであること
(同項第1号)及び(2)当該情報について改変が行われていないかどうかを確認することがで
きるものであること(同項第2号)のいずれにも該当するものである。
なお、リモート署名サービス提供事業者のサーバに利用者の署名鍵を設置・保管し、利用者
が当該事業者のサーバにリモートでログインした上で利用者自らの署名鍵で措置(電子署名)
を行ういわゆる「リモート署名」については、令和2年5月12日に総務省、法務省及び経済
産業省が規制改革推進会議成長戦略ワーキンググループにおいて公表している「論点に対する
回答」において、いわゆる「リモート署名」であっても、上記(1)及び(2)を満たすもの
については、電子署名法における「電子署名」に該当するものであると認識している旨回答さ
れている。
この点、Adobe Signの「クラウドデジタル署名」は、利用者が作成した電子文書
(デジタル情報)について、電子証明書発行事業者から署名予定者固有の電子証明書の発行を
受け、アドビないしアドビ株式会社が選定する電子証明書発行事業者が管理するクラウドサー
バ上に当該電子証明書を保管し、Adobe Signのために利用できるよう、設定されて
いることを前提とする旨の照会書の記載があり、利用者自身に発行された電子証明書を用いる
ことから、いわゆる「リモート署名」の類に該当すると考える。しかし、利用者の指示に基づ
き、照会者自身が当該利用者の署名鍵により暗号化等を行うサービスとのことであるため、同
項第1号の「当該措置を行った者」が照会者ではなく、照会者が提供するサービスの利用者で
あると評価し得るかどうかが問題となる。
この点、令和2年7月17日に総務省、法務省及び経済産業省において公表している「利用
者の指示に基づきサービス提供事業者自身の署名鍵により暗号化等を行う電子契約サービスに
関するQ&A」では、下記の解釈が示されているところである。
・電子署名法第2条第1項第1号の「当該措置を行った者」に該当するためには、必ずし
も物理的に当該措置を自ら行うことが必要となるわけではなく、例えば、物理的にはA
が当該措置を行った場合であっても、Bの意思のみに基づき、Aの意思が介在すること
なく当該措置が行われたものと認められる場合であれば、「当該措置を行った者」はB
であると評価することができるものと考えられる。
・このため、利用者が作成した電子文書について、サービス提供事業者自身の署名鍵によ
り暗号化を行うこと等によって当該文書の成立の真正性及びその後の非改変性を担保し
ようとするサービスであっても、技術的・機能的に見て、サービス提供事業者の意思が
介在する余地がなく、利用者の意思のみに基づいて機械的に暗号化されたものであるこ
とが担保されていると認められる場合であれば、「当該措置を行った者」はサービス提
供事業者ではなく、その利用者であると評価し得るものと考えられる。
この点、Adobe Signの「クラウドデジタル署名」は、利用者の指示に基づきサー
ビス利用者自身の署名鍵により暗号化等を行うため、上記の解釈が直接適用されるものではな
いものの、電子署名法第2条第1項第1号の「当該措置を行った者」の該当性を判断する上で
は参考になるものと考えられる。
以上を踏まえて本件について検討すると、照会者から提出された照会書の記載によれば、A
dobe Signの「クラウドデジタル署名」においては、照会者自身の署名鍵ではなく、
利用者の署名鍵を用いるため、上記Q&Aの直接の適用はないものの、「各署名予定者がクラ
ウド上にある文書データにアクセスして「クラウドデジタル署名」する前後の段階において、
Adobe Signの「クラウドデジタル署名」は、一貫して署名予定者(すなわち利用
者)の意思のみに基づいて、アルゴリズムに基づく機械的な措置が行われている。また、利用
者の署名鍵は、利用者本人しか署名ができないよう署名鍵が電子証明書発行事業者により適正
に管理されており、サービス提供事業者のウェブサイト上ではなく、ブラウザの別画面が開い
て表示される電子証明書発行事業者のログインサイト上にて、前記のIDやパスワードの入力
を利用者に要求して本人確認がなされるため、サービス提供事業者の意思が全く介在すること
なく、利用者本人の意思に基づき署名することができる仕組みとなっている。そのため、Ad
obe Signの「クラウドデジタル署名」は、技術的・機能的に見て、サービス提供事業
者の意思が介在する余地がなく、利用者の意思のみに基づいて機械的に暗号化されたものであ
ることが担保されている」ことが示されており、これを前提にすれば「当該措置を行った者」
はサービス提供事業者ではなく、その利用者(署名者)であると評価し得るものと考えられ
る。よって、「当該措置を行った者」は利用者であると評価することができ、電子署名法第2
条第1項第1号の「当該情報が当該措置を行った者の作成に係るものであることを示すための
ものであること」の要件を満たすことになるものと考えられる。
また、照会書によれば、Adobe Signの「クラウドデジタル署名」においては「改
ざん防止(および発行元証明)のためのデジタル署名(対象データのハッシュ値をアドビの電
子証明書(公開鍵)の対となる秘密鍵で暗号化する処理)を施」すことで、「文書データのP
DFのハッシュ値を利用者の署名鍵を以って暗号化処理を行うものであるところ、同処理プロ
セスにおいてはSHA-2規格のハッシュ関数を用いており、同一の文書データからは必ず同
一のハッシュ値が得られるものの、文書データの内容が少しでも変更された場合には変更前と
は全く異なるハッシュ値が得られる仕組みとなっている。そのため、電子署名検証機能を通じ
て復号した署名時のハッシュ値と、検証時点のハッシュ値を比較する」ことにより、当該情報
について改変が行われていないかどうかを確認することができるとのことであり、これは、同
項第2号の要件を満たすことになるものと考えられる。
以上に鑑み、Adobe Signの「クラウドデジタル署名」を用いた電子署名は電子署
名法第2条第1項における「電子署名」に該当すると考えられる。
(2)についての回答
Adobe Signの「クラウドデジタル署名」において、契約当事者が、入出力装置を
含む電子計算機によりインターネットを通じてクラウドサービス上にアクセスし、契約事務取
扱規則第28条第1項に定める契約書等に代わる文書データをアップロードしたうえで、必要
に応じて情報の入力を行ない、電子署名をサービス事業者を介して機械的に付与する仕組みが、
契約事務取扱規則第28条第2項に規定する方法による「電磁的記録の作成」に該当し、契約
書等の作成に代わる電磁的記録の作成として、利用可能と考える。
(理由)
契約事務取扱規則第28条第2項は、同条第1項各号に掲げる書類等の作成に代わる電磁的
記録の作成について、「各省各庁の使用に係る電子計算機(入出力装置を含む。以下同じ。)
と契約の相手方の使用に係る電子計算機とを電気通信回線で接続した電子情報処理組織を使用
して当該書類等に記載すべき事項を記録する方法」によることを規定している。本照会の事業
において用いることとされているAdobe Signの「クラウドデジタル署名」は、契約
当事者がそれぞれの電子計算機から電気通信回線を経由し、契約書等の電子データをクラウド
サーバにアップロードし、それぞれの利用者がログインないしURLにアクセスして双方の契
約締結業務をクラウドサービス上で実施するものであることから、同項に掲げる書類等に記載
すべき事項を記録する方法により電磁的記録を作成するものであれば、これに該当するものと
認められる。
(注)
本回答は、確認を求める対象となる法令(条項)を所管する立場から、照会者から提
示された照会書の記載内容のみを前提として、現時点における見解を示したものであり、
もとより、捜査機関の判断や罰則の適用を含めた司法判断を拘束するものではない。