様式第十三(第4条関係)
新事業活動に関する確認の求めに対する回答の内容の公表
1.確認の求めを行った年月日
令和3年9月22日
2.回答を行った年月日
令和3年10月21日
3.新事業活動に係る事業の概要
照会者は、電子契約サービス「電子印鑑GMOサイン」(以下「GMOサイン」という。)
を国の契約書、請書その他これに準ずる書面、検査調書等への押印を代替する用途として提供
することを新規事業として検討している。
GMOサインは、契約当事者同士がクラウド上で契約書等の電子ファイルを確認し、締結す
ることができる電子契約サービスであり、利用者本人の秘密鍵により暗号化を行う実印タイプ
(当事者署名型・リモート署名型)、サービス提供事業者である照会者の秘密鍵により照会者
の意思を介在することなく暗号化を行う契約印タイプ(事業者署名型)の2方式の利用が可能
となっており、以下手順により契約締結を行う。
【GMOサイン 実印タイプ(当事者署名型・リモート型署名)のフロー】
1 利用者は、GMOサインのアカウントを取得した後、画面上より電子証明書の申請を行う。
当該申請は、GMOグローバルサイン株式会社(WebTrustの監査を受け、合格した
認証局である)が受け付け、その認証業務運用規程に基づき本人確認を行った上、署名者の
電子証明書を発行する。当該電子証明書では、署名者の住所、氏名を証明することが可能と
なる。なお、当該電子証明書の秘密鍵は、GMOグローバルサイン株式会社の管理するHa
rdware Security Moduleにおいて、本人以外の者の指示によっては
暗号化処理できないよう厳格に管理される。
2 送信者がGMOサインに文書ファイル(PDF形式)をアップロードし、受信者の情報(法
人名、氏名、メールアドレス等)を入力の上、署名方式を実印タイプ(当事者署名型)とし
て選択し、印影やサイン、テキストエリア等の位置を指定して、送信を行う。送信者も署名
する場合には、自らの秘密鍵により当該文書ファイルを暗号化する。
3 受信者のメールアドレス宛に、システム上で書類を確認・署名するための画面への専用UR
Lを記載した署名依頼メールが配信される。受信者は当該URLをクリックし、GMOサイ
ンの文書確認画面から、文書の内容を確認し、PINコードを入力し、アップロードされた
契約書等の電子ファイルについて、自らの秘密鍵により暗号化する。
4 全ての受信者による暗号化を完了すると、認定タイムスタンプが付与され、送信者・受信者
それぞれに完了通知がメールで配信され、自己のアカウント内で暗号化済みの電子契約ファ
イルを確認、ダウンロードが可能となる。
【GMOサイン 契約印タイプ(事業者署名型)のフロー】
1 送信者がGMOサインに文書ファイル(PDF形式)をアップロードし、受信者の情報(法
人名、氏名、メールアドレス等)を入力の上、署名方式を契約印タイプ(事業者署名型)と
して選択し、印影やサイン、テキストエリア等の位置を指定して、送信を行う。送信者も署
名する場合には、署名者である送信者のみの意思に基づき、照会者の意思を介在することな
く、サービス提供事業者である照会者の秘密鍵により当該文書ファイルを暗号化する。
2 受信者のメールアドレス宛に、システム上で書類を確認・署名するための画面への専用UR
�Lを記載した署名依頼メールが配信される。受信者は当該URLをクリックし、GMOサイ
ンの文書確認画面から、文書の内容を確認し、「署名」のボタンをクリックする。これを受
け、アップロードされた契約書等の電子ファイルについて、署名者である受信者のみの意思
に基づき、照会者の意思を介在することなく、サービス提供事業者である照会者の秘密鍵に
より暗号化する。
3 全ての受信者による暗号化を完了すると、認定タイムスタンプが付与され、送信者・受信者
それぞれに完了通知がメールで配信され、暗号化済みの電子契約ファイルを確認、ダウンロ
ードが可能となる。
4.確認の求めの内容
(1)GMOサインを用いた電子署名が、電子署名及び認証業務に関する法律(平成12年法律
第102号。以下「電子署名法」という。)第2条第1項に定める電子署名に該当し、これ
を引用する契約事務取扱規則(昭和37年大蔵省令第52号)第28条第3項に基づき、国
の契約書にも利用が可能であることを確認したい。
(2)GMOサインを用いて、契約書等の電子データをクラウドサーバにアップロードし、それ
ぞれの利用者がログインして双方の契約締結業務を実施する仕組みが、契約事務取扱規則第
28条第2項に規定する方法による「電磁的記録の作成」に該当し、契約書、請書その他こ
れに準ずる書面、検査調書、見積書等の作成に代わる電磁的記録の作成として、利用可能で
あることを確認したい。
5.確認の求めに対する回答の内容
(1)についての回答
GMOサインを用いた電子署名は、電子署名法第2条第1項に定める電子署名に該当し、同
規定を引用する契約事務取扱規則第28条第3項に基づき、国の契約書が電磁的記録で作成さ
れている場合の記名押印に代わるものとして、利用可能と考える。
(理由)
電子署名法における「電子署名」とは、電子署名法第2条第1項に規定されているとおり、
デジタル情報(電磁的記録に記録することができる情報)について行われる措置であって、
(1)当該情報が当該措置を行った者の作成に係るものであることを示すためのものであること
(同項第1号)及び(2)当該情報について改変が行われていないかどうかを確認することがで
きるものであること(同項第2号)のいずれにも該当するものである。
【GMOサイン 実印タイプ(当事者署名型・リモート型署名)について】
GMOサイン実印タイプは、契約内容が記録された電磁的記録(PDFファイル)に対して
署名者自らの秘密鍵で暗号化を行うものであり、「電磁的記録に記録することができる情報に
対する措置であること」との要件を満たすものであると考える。
次に、リモート署名サービス提供事業者のサーバに利用者の署名鍵を設置・保管し、利用者
が当該事業者のサーバにリモートでログインした上で利用者自らの署名鍵で措置(電子署名)
を行ういわゆる「リモート署名」については、令和2年5月12日に総務省、法務省及び経済
産業省が規制改革推進会議成長戦略ワーキンググループにおいて公表している「論点に対する
回答」において、いわゆる「リモート署名」であっても、上記(1)及び(2)を満たすもの
については、電子署名法における「電子署名」に該当するものであると認識している旨回答さ
れているところ、「利用者は、GMOサインの画面よりWebTrustの監査を受け、合格
した認証局であるGMOグローバルサイン株式会社に電子証明書の発行申請を事前に行い、こ
れを受けたGMOグローバルサイン株式会社がその認証業務運用規程に基づき本人確認を行っ
たうえ、電子証明書を発行する。」「利用者は、自らのID・PWでGMOサインにログイン
したのち、システム上にアップロードされた電子文書を確認の上、PINを入力し、本人の秘
�密鍵を活性化し、当該秘密鍵で暗号化することで、署名者の情報(住所、組織、氏名など)が
PDFに付加される仕組みとなっている。」との照会書の記載があり、利用者自身に発行され
た電子証明書を用いることから、これらの記載を前提とすれば、いわゆる「リモート署名」の
類に該当すると考える。
そして、「当該電子証明書の秘密鍵は、GMOグローバルサイン株式会社の管理するHar
dware Security Moduleにおいて、本人以外の者の指示によっては利用
できないよう厳格に管理される。
また、利用者のブラウザ〜GMOサインのアプリケーションサーバー〜GMOサインのPD
Fリモート署名システム〜Hardware Security Moduleの間は、TL
S通信で暗号化されていることから、経路途中での署名指示の改ざんやなりすましはできず、
利用者の指図にもとづき、当社や第三者の意思が介在する余地なく、機械的に署名処理を実行
されるものとなっている。
さらに、システムの運用においては、内部の悪意の従業者により利用者の意図しない署名処
理が行われないよう、内部機器へのアクセス権限管理とログ監視を実施している。具体的に
は、署名処理に関わる署名サーバー・データベースサーバーにアクセスできる者を特定のエン
ジニアのみに制限し、かつ、操作の記録をログに残し、監視することで不正を抑止してい
る。」との照会書の記載から、利用者の指示に基づき、利用者自身が当該利用者の署名鍵によ
り暗号化等を行うサービスとのことであるため、これらの記載を前提とすれば、電子署名法第
2条第1項第1号の「当該措置を行った者」は照会者が提供するサービスの利用者であると考
えられる。
また、「電子契約ファイル(PDF形式)に付与された作成者のデータは、Adobe A
crobat等のPDFリーダーの「署名パネル」で確認することができ(住所、組織名、氏
名など)」るとの照会書の記載があり、これらの記載を前提とすれば、「当該情報が当該措置
を行った者の作成に係るものであることを示すためのものであること」との要件を満たすもの
と考えられる。
さらに、「電子署名においては、電磁的記録ごとの「ハッシュ値」を利用者の秘密鍵で暗号
化し、電子署名をつけたものを、公開鍵で復号し、2つの電磁的記録を比較することで改ざん
の有無を検知することができるものとなっている。また、電子署名法施行規則第2条では、特
定認証業務としての認定を得るために必要な技術的安全基準を満たす一定の暗号強度を備えた
電子署名が示されている」ところ、「GMOサイン実印タイプでは、電子署名にハッシュ関数
SHA384、鍵長2048ビット以上のRSA暗号を用いており、これは同条が定める「一
ほぼ同じ大きさの二つの素数の積である二千四十八ビット以上の整数の素因数分解」の有する
困難性に基づく安全性を持つものである」「また、署名処理済みのPDFに改変を加えた場
合、Adobe AcrobatのPDFリーダーでも変更がある旨が表示され、改変の有無
も検知することができるようになっている。」との照会書の記載があり、これらの記載を前提
とすれば、「当該情報について改変が行われていないかどうかを確認することができるもので
あること」の要件も満たすものと考えられる。
以上に鑑み、電子契約サービス「GMOサイン実印タイプ」を用いた電子署名は、電子署名
法第2条第1項における「電子署名」に該当すると考えられる。
【GMOサイン 契約印タイプ(事業者署名型)について】
GMOサイン契約印タイプは、契約内容が記録された電磁的記録(PDFファイル)に対し
てサービス提供事業者である照会者の秘密鍵で暗号化を行うと同時に、作成者の氏名・メール
アドレスが記録されるものであり、「電磁的記録に記録することができる情報に対する措置で
あること」との要件を満たすものであると考える。
次に、事業者署名型による措置につき、令和2年7月17日に総務省、法務省及び経済産業
省において公表している「利用者の指示に基づきサービス提供事業者自身の署名鍵により暗号
化等を行う電子契約サービスに関するQ&A」では、の解釈が示されているところである。
�・電子署名法第2条第1項第1号の「当該措置を行った者」に該当するためには、必ずし
も物理的に当該措置を自ら行うことが必要となるわけではなく、例えば、物理的にはA
が当該措置を行った場合であっても、Bの意思のみに基づき、Aの意思が介在すること
なく当該措置が行われたものと認められる場合であれば、「当該措置を行った者」はB
であると評価することができるものと考えられる。
・このため、利用者が作成した電子文書について、サービス提供事業者自身の署名鍵によ
り暗号化を行うこと等によって当該文書の成立の真正性及びその後の非改変性を担保し
ようとするサービスであっても、技術的・機能的に見て、サービス提供事業者の意思が
介在する余地がなく、利用者の意思のみに基づいて機械的に暗号化されたものであるこ
とが担保されていると認められる場合であれば、「当該措置を行った者」はサービス提
供事業者ではなく、その利用者であると評価し得るものと考えられる。
・そして、上記サービスにおいて、例えば、サービス提供事業者に対して電子文書の送信
を行った利用者やその日時等の情報を付随情報として確認することができるものになっ
ているなど、当該電子文書に付された当該情報を含めての全体を1つの措置と捉え直す
ことよって、電子文書について行われた当該措置が利用者の意思に基づいていることが
明らかになる場合には,これらを全体として1つの措置と捉え直すことにより、「当該
措置を行った者(=当該利用者)の作成に係るものであることを示すためのものである
こと」という要件(電子署名法第2条第1項第1号)を満たすことになるものと考えら
れる。
この点、GMOサイン契約印タイプ(事業者署名型)は、利用者の指示に基づきサービス提
供者である照会者の署名鍵により暗号化等を行うため、以上の解釈を基に電子署名法第2条第
1項第1号の「当該措置を行った者」の該当性を判断すべきであると考えられる。
以上を踏まえて本件について検討すると、
「送信者がGMOサインに文書ファイル(PDF形式)をアップロードし、受信者の情報
(法人名、氏名、メールアドレス等)を入力の上、署名方式を契約印タイプとして選択し、印
影やサイン、テキストエリア等の位置を指定して、送信を行う。送信者も署名する場合には、
送信者もGMOサインの文書確認画面より、文書の内容を確認し、「署名」のボタンをクリッ
クする。これを受け、電子契約サービス事業者である当社が、署名者である送信者のみの意思
にもとづき、当社の意思を介在することなく、サービス提供事業者である当社の秘密鍵により
当該文書ファイルを暗号化する。
受信者に送付される、GMOサインの契約印タイプの電子署名を行うための画面の専用UR
Lは、受信者のメールアドレス又はSMSにのみ送付され、これ以外の者に知られないように
厳重に管理される。専用URLは、英大文字小文字数字(62種類の文字)×ばつ1057
通り(×ばつ1兆よりも大きい)あるため、偶然に専用URLを作成することは事実上不可能で
ある。
受信者は当該URLをクリックし、GMOサインの文書確認画面より、文書の内容を確認
し、「署名」のボタンをクリックする。これを受け、電子契約サービス事業者である当社が、
アップロードされた契約書等の電子ファイルについて、署名者である受信者のみの意思にもと
づき、当社の意思を介在することなく、サービス提供事業者である当社の秘密鍵により暗号化
する。
また、利用者のブラウザ〜GMOサインのアプリケーションサーバー〜GMOサインのPD
Fリモート署名システム〜Hardware Security Moduleの間は、TL
S通信で暗号化されていることから、経路途中での署名指示の改ざんやなりすましはできず、
利用者の指図にもとづき、当社や第三者の意思が介在する余地なく、機械的にサービス提供事
業者である当社の秘密鍵により暗号化処理を実行されるものとなっている。
さらに、システムの運用においては、内部の悪意の従業者により利用者の意図しない署名処
�理が行われないよう、内部機器へのアクセス権限管理とログ監視を実施している。具体的に
は、署名処理に関わる署名サーバー・データベースサーバーにアクセスできる者を特定のエン
ジニアのみに制限し、かつ、操作の記録をログに残し、監視することで不正を抑止してい
る。」との照会書の記載があり、これらの記載を前提とすれば、「当該措置を行った者」はサ
ービス提供事業者ではなく、その利用者であると評価し得るものと考えられる。
また、「GMOサイン 契約印タイプで電子契約ファイル(PDF形式)に付与された作成
者である利用者のデータは、Adobe Acrobat等のPDFリーダーの「署名パネ
ル」で確認することができ、サービス提供事業者である当社の電子証明書の情報内に、作成者
である利用者の氏名・メールアドレス・署名時刻が記録される仕組みとなっている。」との照
会書の記載があり、これらの記載を前提とすれば、GMOサインは、電子署名法第2条第1項
第1号の「当該情報が当該措置を行った者の作成に係るものであることを示すためのものであ
ること」の要件を満たすことになるものと考えられる。
さらに、電子署名においては、電磁的記録ごとの「ハッシュ値」を利用者の秘密鍵で暗号化
し、電子署名を付けたものを、公開鍵で復号し、2つの電磁的記録を比較することで改ざんの
有無を検知することができるものとなっており、また、電子署名及び認証業務に関する法律施
行規則(平成13年総務省・法務省・経済産業省令第2号)第2条では、特定認証業務として
の認定を得るために必要な技術的安全基準を満たす一定の暗号強度を備えた電子署名が示され
ているところ、GMOサイン契約印タイプでは「電子署名にハッシュ関数SHA384、鍵長
2048ビット以上のRSA暗号を用いており、これは電子署名法施行規則第2条が定める
「一 ほぼ同じ大きさの二つの素数の積である二千四十八ビット以上の整数の素因数分解」の
有する困難性に基づく安全性を持つものである」「また、署名処理済みのPDFに改変を加え
た場合、Adobe AcrobatのPDFリーダーでも変更がある旨が表示され、改変の
有無も検知することができるようになっている。」との照会書の記載があり、これらの記載を
前提とすれば、「当該情報について改変が行われていないかどうかを確認することができるも
のであること」の要件を満たすことになるものと考えられる。
以上に鑑み、GMOサイン契約印タイプを用いた電子署名は、電子署名法第2条第1項にお
ける「電子署名」に該当すると考えられる。
(2)についての回答
GMOサインを用いて、契約書等の電子データをクラウドサーバにアップロードし、それぞ
れの利用者がログインして双方の契約締結業務を実施する仕組みが、契約事務取扱規則第28
条第2項に規定する方法による「電磁的記録の作成」に該当し、契約書、請書その他これに準
ずる書面、検査調書、見積書等の作成に代わる電磁的記録の作成として、利用可能であると考
える。
(理由)
契約事務取扱規則第28条第2項は、同条第1項各号に掲げる書類等の作成に代わる電磁的
記録の作成について、「各省各庁の使用に係る電子計算機(入出力装置を含む。以下同じ。)
と契約の相手方の使用に係る電子計算機とを電気通信回線で接続した電子情報処理組織を使用
して当該書類等に記載すべき事項を記録する方法」によることを規定している。本照会の事業
において用いることとされているGMOサインでは、「その実印タイプ・契約印タイプのいず
れにおいても、1利用者がパソコン、タブレットなどの電子計算機から契約書や請書など同規
則第28条第1項に規定された文書に関する電磁的記録(PDFファイル)をGMOサインの
サーバーにアップロードし、2利用者双方がインターネットを介して、当該サーバーにアクセ
スしたうえ、契約締結業務の処理を行うシステム」であることから、同規則第28条第1項各
号に掲げる書類等に記載すべき事項を記録する方法により電磁的記録を作成するものであれ
ば、これに該当するものと認められる。
(注)
�本回答は、確認を求める対象となる法令(条項)を所管する立場から、照会者から提
示された照会書の記載内容のみを前提として、現時点における見解を示したものであり、
もとより、捜査機関の判断や罰則の適用を含めた司法判断を拘束するものではない。
�