様式第九(第4条関係)
新事業活動に関する規制について規定する法律及び法律に基づく命令の規定に係る照会書
令和 3 年 9 月 22 日
内閣総理大臣 菅 義 偉 殿
財 務 大 臣 麻生 太郎 殿
法 務 大 臣 上川 陽子 殿
経済産業大臣 梶山 弘志 殿
住 所 東京都渋谷区桜丘町 26 番 1 号セルリアンタワー10 階
名 称 GMOグローバルサイン・ホールディングス株式会社
代表者の氏名 代表取締役 青山 満
産業競争力強化法第7条第1項の規定に基づき、実施しようとする新事業活動及びこれに関連
する事業活動に関する規制について規定する法律及び法律に基づく命令の規定の解釈並びに当該
新事業活動及びこれに関連する事業活動に対する当該規定の適用の有無について、確認を求めま
す。記1.新事業活動及びこれに関連する事業活動の目標
当社は、電子署名・タイムスタンプを提供する事業者であり、2015年より、いわゆる当
事者署名型、事業者署名型の双方の電子契約サービスを提供している。この度、デジタ
ル・ガバメントの支援を進めるべく、当社の電子契約サービスを国の契約行為に対しても
提供することを検討している。
2.新事業活動及びこれに関連する事業活動により生産性の向上又は新たな需要の獲得が見込
まれる理由
「新たな役務の開発又は提供」に該当
コロナウィルスの感染予防対策としてリモートワークという新しい働き方が注目される
中、国においても「脱ハンコ」の必要性が高まっており、本サービスの提供により、国の
契約業務の効率化、行政サービスの向上につながるものと考えている。2021年1月より一
部地方自治体とも順次実証実験を実施しており、上記効果についても実証されている。
国で取り交わされる契約書、受発注書その他の文書へ利用が見込まれ、これが可能とな
る場合、 の新たな需要の獲得が見込まれる。
3.新事業活動及びこれに関連する事業活動の内容
(1)事業実施主体
サービス提供事業者:当社
サービス利用者:国及びその契約相手
(2)事業概要
「電子印鑑GMOサイン」(以下、GMOサイン)は、契約当事者同士がクラウド上で
契約書等の電子ファイルを確認し、締結することができる電子契約サービスである。GM
Oサインでは、利用者本人の秘密鍵により暗号化を行う実印タイプ(当事者署名型・リモ
ート署名型)、サービス提供事業者である当社の秘密鍵により当社の意思を介在すること
なく暗号化を行う契約印タイプ(事業者署名型)の2方式の利用が可能となっている。
送信者がGMOサインに文書ファイル(PDF形式)をアップロードし、受信者の情報
(法人名、氏名、メールアドレス等)を入力の上、署名方式(実印タイプ・当事者署名型、
または契約印タイプ・事業者署名型)
、印影やサイン、テキストエリア等の位置を指定し
て、送信を行う。受信者のメールアドレス宛に、システム上で書類を確認・署名するため
の画面への専用URLを記載した署名依頼メールが配信される。受信者は当該URLをク
リックし、GMOサインの文書確認画面より、文書の内容を確認し、署名ボタンをクリッ
ク(実印タイプについては、PINコードの入力も必要となる)することにより、アップ
ロードされた契約書等の電子ファイルを暗号化(送信者側の選択した署名方式に従い、実
印タイプの場合には、受信者本人の秘密鍵により暗号化を行い、契約印タイプの場合には、
サービス提供事業者である当社の秘密鍵により暗号化を行う)し、時刻認証業務認定事業
者の発行する認定タイムスタンプを付与することが可能となる。
【GMOサイン 実印タイプのフロー】
1 利用者は、GMOサインのアカウントを取得した後、画面上より電子証明書の申請
を行う。当該申請は、GMOグローバルサイン株式会社(WebTrustの監査
を受け、合格した認証局である)が受け付け、その認証業務運用規程に基づき本人
確認を行ったうえ、署名者の電子証明書を発行する。当該電子証明書では、署名者
の住所、氏名を証明することが可能となる。なお、当該電子証明書の秘密鍵は、G
MOグローバルサイン株式会社の管理するHardware Security
Moduleにおいて、本人以外の者の指示によっては暗号化処理できないよう厳
格に管理される。
2 送信者がGMOサインに文書ファイル(PDF形式)をアップロードし、受信者の
情報(法人名、氏名、メールアドレス等)を入力の上、署名方式を実印タイプ(当
事者署名型)として選択し、印影やサイン、テキストエリア等の位置を指定して、
送信を行う。送信者も署名する場合には、自らの秘密鍵により当該文書ファイルを
暗号化する。
3 受信者のメールアドレス宛に、システム上で書類を確認・署名するための画面への
専用URLを記載した署名依頼メールが配信される。受信者は当該URLをクリッ
クし、GMOサインの文書確認画面より、文書の内容を確認し、PINコードを入
力し、アップロードされた契約書等の電子ファイルについて、自らの秘密鍵により
暗号化する。
4 すべての受信者による暗号化を完了すると、認定タイムスタンプが付与され、送信
者・受信者それぞれに完了通知がメールで配信され、自己のアカウント内で暗号化
済みの電子契約ファイルを確認、ダウンロードが可能となる。
【GMOサイン 契約印タイプのフロー】
1 送信者がGMOサインに文書ファイル(PDF形式)をアップロードし、受信者の
情報(法人名、氏名、メールアドレス等)を入力の上、署名方式を契約印タイプ
(事業者署名型)として選択し、印影やサイン、テキストエリア等の位置を指定し
て、送信を行う。送信者も署名する場合には、署名者である送信者のみの意思にも
とづき、当社の意思を介在することなく、サービス提供事業者である当社の秘密鍵
により当該文書ファイルを暗号化する。
2 受信者のメールアドレス宛に、システム上で書類を確認・署名するための画面への
専用URLを記載した署名依頼メールが配信される。受信者は当該URLをクリッ
クし、GMOサインの文書確認画面より、文書の内容を確認し、
「署名」のボタン
をクリックする。これを受け、アップロードされた契約書等の電子ファイルについ
て、署名者である受信者のみの意思にもとづき、当社の意思を介在することなく、
サービス提供事業者である当社の秘密鍵により暗号化する。
3 すべての受信者による暗号化を完了すると、認定タイムスタンプが付与され、送信
者・受信者それぞれに完了通知がメールで配信され、暗号化済みの電子契約ファイ
ルを確認、ダウンロードが可能となる。
(3)新事業活動を実施する場所
東京都渋谷区桜丘町26番1号セルリアンタワー
GMOグローバルサイン・ホールディングス株式会社 本社及び各事業所
4.新事業活動及びこれに関連する事業活動の実施時期
本法律の解釈が明確になった時点で速やかに実施
5.解釈及び適用の有無の確認を求める規制について規定する法律及び法律に基づく命令の規定会計法
第49条の2
この法律又はこの法律に基づく命令の規定により作成することとされている書類等
(書類、計算書その他文字、図形その他人の知覚によつて認識することができる情報が
記載された紙その他の有体物をいう。次項及び次条において同じ。
)については、当該
書類等に記載すべき事項を記録した電磁的記録(電子的方式、磁気的方式その他人の知
覚によつては認識することができない方式で作られる記録であつて、電子計算機による
情報処理の用に供されるものとして財務大臣が定めるものをいう。同項及び同条第一項
において同じ。
)の作成をもつて、当該書類等の作成に代えることができる。この場合
において、当該電磁的記録は、当該書類等とみなす。
2 前項の規定により書類等が電磁的記録で作成されている場合の記名押印については、
記名押印に代えて氏名又は名称を明らかにする措置であつて財務大臣が定める措置を
とらなければならない。
契約事務取扱規則
第28条
次の各号に掲げる書類等の作成については、次項に規定する方法による法第四十九条
の二第一項に規定する財務大臣が定める当該書類等に記載すべき事項を記録した電磁的
記録により作成することができる。
一 契約書
二 請書その他これに準ずる書面
三 検査調書
四 第二十三条第一項に規定する書面
五 見積書
2 前項各号に掲げる書類等の作成に代わる電磁的記録の作成は、各省各庁の使用に係
る電子計算機(入出力装置を含む。以下同じ。)と契約の相手方の使用に係る電子計算機
とを電気通信回線で接続した電子情報処理組織を使用して当該書類等に記載すべき事項
を記録する方法により作成するものとする。
3 第一項第一号の規定により契約書が電磁的記録で作成されている場合の記名押印に
代わるものであつて法第四十九条の二第二項に規定する財務大臣が定める措置は、電子
署名(電子署名及び認証業務に関する法律(平成十二年法律第百二号)第二条第一項の
電子署名をいう。
)とする。
電子署名及び認証業務に関する法律
第2条
この法律において「電子署名」とは、電磁的記録(電子的方式、磁気的方式その他人
の知覚によっては認識することができない方式で作られる記録であって、電子計算機に
よる情報処理の用に供されるものをいう。以下同じ。)に記録することができる情報に
ついて行われる措置であって、次の要件のいずれにも該当するものをいう。
一 当該情報が当該措置を行った者の作成に係るものであることを示すためのもので
あること。
二 当該情報について改変が行われていないかどうかを確認することができるもので
あること
2 (略)
3 この法律において「特定認証業務」とは、電子署名のうち、その方式に応じて本
人だけが行うことができるものとして主務省令で定める基準に適合するものについて
行われる認証業務をいう。
電子署名及び認証業務に関する法律施行規則
第2条
法第二条第三項の主務省令で定める基準は、電子署名の安全性が次のいずれかの有す
る困難性に基づくものであることとする。
一 ほぼ同じ大きさの二つの素数の積である二千四十八ビット以上の整数の素因数分解二 大きさ二千四十八ビット以上の有限体の乗法群における離散対数の計算
三 楕円曲線上の点がなす大きさ二百二十四ビット以上の群における離散対数の計算
四 前三号に掲げるものに相当する困難性を有するものとして主務大臣が認めるもの
6.具体的な確認事項並びに規制について規定する法律及び法律に基づく命令の規定の解釈及
び当該規定の適用の有無についての見解
〈具体的な確認事項〉
1当社の提供する電子契約サービス「GMOサイン」を用いた電子署名が、電子署名及び認
証業務に関する法律第2条第1項に定める電子署名に該当し、これを引用する契約事務取
扱規則第28条第3項に基づき、国の契約書にも利用が可能であることを確認したい。
2当社の提供する電子契約サービス「GMOサイン」を用いて、契約書等の電子データをク
ラウドサーバーにアップロードし、それぞれの利用者がログインして双方の契約締結業務
を実施する仕組みが、契約事務取扱規則第28条第2項に規定する方法による「電磁的記
録の作成」に該当し、契約書、請書その他これに準ずる書面、検査調書、見積書等の作成
に代わる電磁的記録の作成として、利用可能であることを確認したい。
<1についての当社の考え>
電子署名及び認証業務に関する法律第2条第1項は、1電磁的記録に記録することがで
きる情報に対する措置であること、2措置を行った者の作成に係るものであることを示す
ためのものであり、3改変が検知できるものを「電子署名」と定義する。GMOサインに
おける電子署名(当事者署名型・リモート型署名、事業者署名型)は、下記の通り、同条
項の「電子署名」に該当するものと考える。
【GMOサイン 実印タイプ(当事者署名型・リモート型署名)について】
1 「電磁的記録に記録することができる情報に対する措置であること」との要件について
GMOサイン実印タイプは、契約内容が記録された電磁的記録(PDFファイル)に対
して署名者自らの秘密鍵で暗号化を行い、タイムスタンプを付与するものであり、
「電磁
的記録に記録することができる情報に対する措置であること」との要件を満たすものとい
える。
2 「措置を行った者の作成に係るものであることを示すためのもの」との要件について
利用者は、GMOサインの画面よりWebTrustの監査を受け、合格した認証局
であるGMOグローバルサイン株式会社に電子証明書の発行申請を事前に行い、これを
受けたGMOグローバルサイン株式会社がその認証業務運用規程に基づき本人確認を行
ったうえ、電子証明書を発行する。
当該電子証明書の秘密鍵は、GMOグローバルサイン株式会社の管理するHardw
are Security Moduleにおいて、本人以外の者の指示によっては利
用できないよう厳格に管理される。
また、利用者のブラウザ〜GMOサインのアプリケーションサーバー〜GMOサイン
のPDFリモート署名システム〜Hardware Security Module
の間は、TLS通信で暗号化されていることから、経路途中での署名指示の改ざんやな
りすましはできず、利用者の指図にもとづき、当社や第三者の意思が介在する余地なく、
機械的に署名処理を実行されるものとなっている。
さらに、システムの運用においては、内部の悪意の従業者により利用者の意図しない
署名処理が行われないよう、内部機器へのアクセス権限管理とログ監視を実施している。
具体的には、
利用者は、自らのID・PWでGMOサインにログインしたのち、システム上にアッ
プロードされた電子文書を確認の上、PINを入力し、本人の秘密鍵を活性化し、当該
秘密鍵で暗号化することで、署名者の情報(住所、組織、氏名など)がPDFに付加さ
れる仕組みとなっている。
電子契約ファイル(PDF形式)に付与された作成者のデータは、Adobe Acr
obat等のPDFリーダーの「署名パネル」で確認することができ(住所、組織名、
氏名など)、「2措置を行った者の作成に係るものであることを示すためのもの」との要
件を満たすものといえる。
3「改変が検知できるもの」との要件について
電子署名においては、電磁的記録ごとの「ハッシュ値」を利用者の秘密鍵で暗号化し、電
子署名をつけたものを、公開鍵で復号し、2つの電磁的記録を比較することで改ざんの有無
を検知することができるものとなっている。また、電子署名法施行規則第2条では、特定認
証業務としての認定を得るために必要な技術的安全基準を満たす一定の暗号強度を備えた電
子署名が示されている。
【補足】PDFファイルには、事前にPDFファイルをハッシュ関数で求めたハッシュ値
を秘密鍵で処理した暗号文を付与しており、この暗号文を公開鍵で復号したハッシュ情
報は、本来、PDFファイルを再度ハッシュ関数でハッシュ値にしたものと合致する仕
組みとなっている。万が一、PDFファイルが変更されていると、ハッシュ値が合致し
ないため、改ざんが検知できることになる。
この点、GMOサイン実印タイプでは、電子署名にハッシュ関数SHA384、鍵長20
48ビット以上のRSA暗号を用いており、これは同条が定める「一 ほぼ同じ大きさの二
つの素数の積である二千四十八ビット以上の整数の素因数分解」の有する困難性に基づく安
全性を持つものであるため、
「2改変が検知できるもの」との要件も満たす。
また、署名処理済みのPDFに改変を加えた場合、Adobe AcrobatのPD
Fリーダーでも変更がある旨が表示され、改変の有無も検知することができるようになって
いる。
【GMOサイン 契約印タイプ(事業者署名型)について】
1 「電磁的記録に記録することができる情報に対する措置ができること」との要件についてGMOサイン契約印タイプは、契約内容が記録された電磁的記録(PDFファイル)に
対してサービス提供事業者である当社の秘密鍵で暗号化を行うと同時に、後述のように作
成者の氏名・メールアドレスが記録され、さらにタイムスタンプを付与するものであり、
「電磁的記録に記録することができる情報に対する措置ができること」との要件を満たす
ものといえる。
2「措置を行った者の作成に係るものであることを示すためのもの」との要件について
事業者署名型による措置については、総務省・法務省・経済産業省「利用者の指示に基
づきサービス提供事業者自身の署名鍵により暗号化等を行う電子契約サービスに関するQ
&A」(令和2年7月17日)において、一定の場合には、電子署名法第2条第1項の電
子署名にあたることが示されている。
• 電子署名法第2条第1項第1号の「当該措置を行った者」に該当するためには、必
ずしも物理的に当該措置を自ら行うことが必要となるわけではなく、例えば、物理
的にはAが当該措置を行った場合であっても、Bの意思のみに基づき、Aの意思が
介在することなく当該措置が行われたものと認められる場合であれば、「当該措置
を行った者」はBであると評価することができるものと考えられる。
• このため、利用者が作成した電子文書について、サービス提供事業者自身の署名鍵に
より暗号化を行うこと等によって当該文書の成立の真正性及びその後の非改変性を担
保しようとするサービスであっても、技術的・機能的に見て、サービス提供事業者の
意思が介在する余地がなく、利用者の意思のみに基づいて機械的に暗号化されたもの
であることが担保されていると認められる場合であれば、「当該措置を行った者」は
サービス提供事業者ではなく、その利用者であると評価し得るものと考えられる。
• そして、上記サービスにおいて、例えば、サービス提供事業者に対して電子文書の送
信を行った利用者やその日時等の情報を付随情報として確認することができるものに
なっているなど、当該電子文書に付された当該情報を含めての全体を1つの措置と捉
え直すことよって、電子文書について行われた当該措置が利用者の意思に基づいてい
ることが明らかになる場合には,これらを全体として1つの措置と捉え直すことによ
り、「当該措置を行った者(=当該利用者)の作成に係るものであることを示すため
のものであること」という要件(電子署名法第2条第1項第1号)を満たすことにな
るものと考えられる。
本件Q&Aによれば、事業者署名型のサービスにおいて、「電磁的記録に作成者を表
示する記録をするもの」というためには、次の2つの要件を満たす必要がある。
ア)技術的・機能的に見て、サービス提供事業者の意思が介在する余地がなく、利用
者の意思のみに基づいて機械的に暗号化されたものであることが担保されている
イ)利用者やその日時等の情報を付随情報として確認することができるものになって
いるなど、当該電子文書に付された当該情報を含めての全体を1つの措置と捉え
直すことよって、電子文書について行われた当該措置が利用者の意思に基づいて
いることが明らかになる場合
GMOサインの契約印タイプ(事業者署名型)においては、実印タイプ(当事者署名
型)と異なり、サービス提供事業者である当社の秘密鍵により暗号化を行うものである
が、下記の通り、ア)イ)の要件を満たすものとなっている。
ア)の要件について
送信者がGMOサインに文書ファイル(PDF形式)をアップロードし、受信者の情
報(法人名、氏名、メールアドレス等)を入力の上、署名方式を契約印タイプとして選
択し、印影やサイン、テキストエリア等の位置を指定して、送信を行う。送信者も署名
する場合には、送信者もGMOサインの文書確認画面より、文書の内容を確認し、
「署
名」のボタンをクリックする。これを受け、電子契約サービス事業者である当社が、署
名者である送信者のみの意思にもとづき、当社の意思を介在することなく、サービス提
供事業者である当社の秘密鍵により当該文書ファイルを暗号化する。
受信者に送付される、GMOサインの契約印タイプの電子署名を行うための画面の専
用URLは、
偶然に専用UR
Lを作成することは事実上不可能である。
受信者は当該URLをクリックし、GMOサインの文書確認画面より、文書の内容を確
認し、
「署名」のボタンをクリックする。これを受け、電子契約サービス事業者である当
社が、アップロードされた契約書等の電子ファイルについて、署名者である受信者のみの
意思にもとづき、当社の意思を介在することなく、サービス提供事業者である当社の秘密
鍵により暗号化する。
また、利用者のブラウザ〜GMOサインのアプリケーションサーバー〜GMOサイン
のPDFリモート署名システム〜Hardware Security Module
の間は、TLS通信で暗号化されていることから、経路途中での署名指示の改ざんやな
りすましはできず、利用者の指図にもとづき、当社や第三者の意思が介在する余地なく、
機械的にサービス提供事業者である当社の秘密鍵により暗号化処理を実行されるものと
なっている。
さらに、システムの運用においては、内部の悪意の従業者により利用者の意図しない
署名処理が行われないよう、内部機器へのアクセス権限管理とログ監視を実施している。
具体的には、
している。
イ)の要件について
GMOサイン 契約印タイプで電子契約ファイル(PDF形式)に付与された作成者で
ある利用者のデータは、Adobe Acrobat等のPDFリーダーの「署名パネ
ル」で確認することができ、サービス提供事業者である当社の電子証明書の情報内に、
作成者である利用者の氏名・メールアドレス・署名時刻が記録される仕組みとなってい
る。
以上から、GMOサイン 契約印タイプ(事業者署名型)については、総務省・法務省・
経済産業省「利用者の指示に基づきサービス提供事業者自身の署名鍵により暗号化等を行う
電子契約サービスに関するQ&A」(令和2年7月17日)が示す要件を満たしていること
から、「2措置を行った者の作成に係るものであることを示すためのもの」といえる。
3「改変が検知できるもの」との要件について
電子署名においては、電磁的記録ごとの「ハッシュ値」を利用者の秘密鍵で暗号化し、電
子署名をつけたものを、公開鍵で復号し、2つの電磁的記録を比較することで改ざんの有無
を検知することができるものとなっている。また、電子署名法施行規則第2条では、特定認
証事業としての認定を得るために必要な技術的安全基準を満たす一定の暗号強度を備えた電
子署名が示されている。
【補足】PDFファイルには、事前にPDFファイルをハッシュ関数で求めたハッシュ値
を秘密鍵で処理した暗号文を付与しており、この暗号文を公開鍵で復号したハッシュ情
報は、本来、PDFファイルを再度ハッシュ関数でハッシュ値にしたものと合致する仕
組みとなっている。万が一、PDFファイルが変更されていると、ハッシュ値が合致し
ないため、改ざんが検知できることになる。
この点、GMOサイン 契約印タイプでは、上述の実印タイプと同様、電子署名にハッシ
ュ関数SHA384、鍵長2048ビット以上のRSA暗号を用いており、これは電子署名
法施行規則第2条が定める「一 ほぼ同じ大きさの二つの素数の積である二千四十八ビット
以上の整数の素因数分解」の有する困難性に基づく安全性を持つものであり、
「2改変が検
知できるもの」との要件も満たす。
また、署名処理済みのPDFに改変を加えた場合、Adobe AcrobatのPD
Fリーダーでも変更がある旨が表示され、改変の有無も検知することができるようになっ
ている。
<2についての当社の考え>
契約事務取扱規則第28条第2項は、
「2 前項各号に掲げる書類等の作成に代わる電磁的記
録の作成は、各省各庁の使用に係る電子計算機(入出力装置を含む。以下同じ。)と契約の相手方
の使用に係る電子計算機とを電気通信回線で接続した電子情報処理組織を使用して当該書類等に
記載すべき事項を記録する方法により作成するもの」としている。
この点、GMOサインでは、その実印タイプ・契約印タイプのいずれにおいても、1利用者が
パソコン、タブレットなどの電子計算機から契約書や請書など同規則第28条第1項に規定され
た文書に関する電磁的記録(PDFファイル)をGMOサインのサーバーにアップロードし、2
利用者双方がインターネットを介して、当該サーバーにアクセスしたうえ、契約締結業務の処理
を行うシステムとなっている。
したがって、GMOサインにより電磁的記録をアップロードし、利用者双方が契約締結業務を
行うことは、同規則第28条第2項の規定する方法による「電磁的記録の作成」に該当し、契約
書、請書その他これに準ずる書面、検査調書、見積書等の作成に代わる電磁的記録の作成として、
利用可能なものと考える。
7.その他
特になし