様式第十三(第4条関係)
新事業活動に関する確認の求めに対する回答の内容の公表
1.確認の求めを行った年月日
令和4年2月25日
2.回答を行った年月日
令和4年3月14日
3.新事業活動に係る事業の概要
照会者は、電子契約サービス「DocYou」を国及び地方公共団体の契約書、請書その他
これに準ずる書面、検査調書等への押印を代替する用途として提供することを新規事業として
検討している。
DocYouは、電子署名・タイムスタンプ・個人認証などの機能を持つサービスであり、
サービス提供事業者である照会者の秘密鍵により照会者の意思を介在することなく暗号化を行
うものとして、以下手順により契約締結を行う。
1 利用者(契約元)甲はDocYouにログインして書類をアップロードする。
2 利用者(契約元)は受信者(契約先)乙を指定して送信ボタンを押下する。
3 DocYouは自動的に契約書をDocYou内のデータベースに保管し、利用者
(契約先)乙に通知する。
4 利用者(契約先)乙はDocYouにログインし、契約書を確認・記名し、同意ボ
タン又は却下ボタンを押下する。DocYouは同意・却下の結果を自動的にDo
cYou内のデータベースに保管する。
5 同意の場合には、利用者(契約先)乙の契約意思を記録した上で、DocYouは
契約意思に関与することなく自動的に、当該契約書の情報を電子署名実施事業者
(セイコーソリューションズ株式会社)の長期署名クラウドサービスeviDae
mon<エビデモン>にて、照会者の秘密鍵による暗号化処理を実施する。
6 DocYouは同意・却下の結果を利用者(契約元)甲に通知する。
7 利用者(契約元)甲はDocYouにログインし、結果を確認の上、同意ボタン又
は却下ボタンを押下する。DocYouは同意・却下の結果を自動的にDocYo
u内のデータベースに保管する。
8 同意の場合には、利用者(契約元)甲の契約意思を記録した上で、DocYouは
契約意思に関与することなく自動的に、当該契約書の情報を電子署名実施事業者
(セイコーソリューションズ株式会社)の長期署名クラウドサービスeviDae
mon<エビデモン>にて、照会者の秘密鍵による暗号化処理を実施する。
9 契約の結果(契約書と合意証明書)は利用者(契約元・契約先)双方から常時参照
可能となる。また、ダウンロードし印刷も可能となる。
<契約意思を示す本人の特定について>
DocYouの利用開始に当たっては、以下2つの方式により本人と所属組織の確認を行
う。
1 利用者の申込み時に照会者が本人と所属組織の確認を行い登録する。
2 利用企業が取引先を招待する際には、本人と所属組織の確認を行い、連絡先に招待
URLを通知する。
DocYou上で契約書に対する操作を行うためにID/パスワード及びワンタイムパス
ワードによる二要素認証を実施し、利用時の本人確認を行っている。
4.確認の求めの内容
(1)電子契約サービス「DocYou」を用いた電子署名が、電子署名及び認証業務に関する
法律(平成12年法律第102号。以下「電子署名法」という。)第2条第1項に規定する
電子署名に該当し、これを引用する契約事務取扱規則(昭和37年大蔵省令第52号)第2
8条第3項に基づき、国の契約書が電磁的記録で作成されている場合の記名押印に代わるも
のとして、利用が可能であり、また、地方自治法施行規則(昭和22年内務省令第29号)
第12条の4の2に規定する総務省関係法令に係る情報通信技術を活用した行政の推進等に
関する法律施行規則(平成15年総務省令第48号)第2条第2項第1号に基づき地方公共
団体の契約書が電磁的記録で作成されている場合の記名押印に代わるものとして、利用が可
能であることを確認したい。
(2)電子契約サービス「DocYou」において、契約書、請書その他これに準ずる書面、検
査調書、見積書等(以下「契約書等」という。)の電子データをクラウドサーバにアップロ
ードし、それぞれの利用者がログインして双方の契約締結業務を実施する仕組みが、契約事
務取扱規則第28条第2項に規定する方法による「電磁的記録の作成」に該当し、契約書等
の作成に代わる電磁的記録の作成として、利用可能であることを確認したい。
5.確認の求めに対する回答の内容
(1)についての回答
電子契約サービス「DocYou」を用いた電子署名は、電子署名法第2条第1項に規定す
る電子署名に該当すると認められる。したがって、これを引用する契約事務取扱規則第28条
第3項に基づき、国の契約書が電磁的記録で作成されている場合の記名押印に代わるものとし
て、利用が可能であり、また、地方自治法施行規則第12条の4の2に規定する総務省関係法
令に係る情報通信技術を活用した行政の推進等に関する法律施行規則第2条第2項第1号に基
づき地方公共団体の契約書が電磁的記録で作成されている場合の記名押印に代わるものとして、
利用が可能であると考える。
(理由)
電子署名法における「電子署名」とは、電子署名法第2条第1項に規定されているとおり、
電磁的記録に記録することができる情報について行われる措置であって、(1)当該情報が
当該措置を行った者の作成に係るものであることを示すためのものであること(同項第1号)
及び(2)当該情報について改変が行われていないかどうかを確認することができるもので
あること(同項第2号)のいずれにも該当するものである。
「DocYouは、アップロードした契約書の電子データ(PDFファイル)に対して、
クラウド上でISO32000に定める標準規格「PAdES(PDF Advanced
Electronic Signatures)」に準拠した長期署名フォーマットを採用
したタイムスタンプ署名を当該PDFファイルに付与します。」との照会書の記載があり、
この記載を前提とすれば、「電磁的記録に記録することができる情報について行われる措置
であること」との要件を満たすものであると考える。
次に、事業者署名型による措置につき、令和2年7月17日に総務省、法務省及び経済産
業省において公表している「利用者の指示に基づきサービス提供事業者自身の署名鍵により
暗号化等を行う電子契約サービスに関するQ&A」では、以下の解釈が示されているところ
である。
・ 電子署名法第2条第1項第1号の「当該措置を行った者」に該当するためには、必ず
しも物理的に当該措置を自ら行うことが必要となるわけではなく、例えば、物理的に
はAが当該措置を行った場合であっても、Bの意思のみに基づき、Aの意思が介在す
ることなく当該措置が行われたものと認められる場合であれば、「当該措置を行った
者」はBであると評価することができるものと考えられる。
・ このため、利用者が作成した電子文書について、サービス提供事業者自身の署名鍵に
より暗号化を行うこと等によって当該文書の成立の真正性及びその後の非改変性を担
保しようとするサービスであっても、技術的・機能的に見て、サービス提供事業者の
意思が介在する余地がなく、利用者の意思のみに基づいて機械的に暗号化されたもの
であることが担保されていると認められる場合であれば、「当該措置を行った者」は
サービス提供事業者ではなく、その利用者であると評価し得るものと考えられる。
・ そして、上記サービスにおいて、例えば、サービス提供事業者に対して電子文書の送
信を行った利用者やその日時等の情報を付随情報として確認することができるものに
なっているなど、当該電子文書に付された当該情報を含めての全体を1つの措置と捉
え直すことよって、電子文書について行われた当該措置が利用者の意思に基づいてい
ることが明らかになる場合には、これらを全体として1つの措置と捉え直すことによ
り、「当該措置を行った者(=当該利用者)の作成に係るものであることを示すため
のものであること」という要件(電子署名法第2条第1項第1号)を満たすことにな
るものと考えられる。
この点、DocYouは、利用者の指示に基づきサービス提供者である照会者の署名鍵に
より暗号化等を行うため、以上の解釈を基に電子署名法第2条第1項第1号の「当該措置を
行った者」の該当性を判断すべきであると考えられる。
以上を踏まえて本件について検討すると、
「署名を施す処理は、署名者の指図に基づきクラウド上で機械的に行われ、サービス提供
事業者である弊社の意思が介在する余地がなく、署名者の意思のみに基づいて署名を行いま
す。
具体的には、セイコーソリューションズ株式会社の長期署名クラウドサービスeviDa
emon<エビデモン>において電子署名を付与します。
電子署名は署名者が承認ボタン押下を実施することで、処理が実施されます。
当該、署名指示にあたり、署名者の端末と弊社サーバー間の通信と、弊社サーバーとセイ
コーソリューションズ間の通信については、TLS通信により暗号化していることから、通
信途上のなりすまし、盗聴、改ざんを防止しています。」及び「また、弊社開発者が、サー
ビス利用者の意図とは異なる電子署名等、悪意を持った本番の改変が行わないように、以下
のように開発体制、運用体制、監査体制に担当を分離し、組織的にサーバーへのアクセス制
御を実施しています。
開発者は専用の開発環境にて開発作業を行います。開発者は本番環境へのアクセスは不可
となっています。
本番環境にアクセスして作業を行う必要がある場合は、作業担当者と作業確認者を分離し
た体制で行います。事前に責任者にてレビューを実施した手順書をもとに作業を行います。
監査部門の監査担当にて運用体制の第三者チェックを定期的に行い、改善が必要な事項が
発生した場合には運用の改善を行います。」との照会書の記載があり、これらの記載を前提
とすれば、「当該措置を行った者」はサービス提供事業者ではなく、その利用者であると評
価し得るものと考えられる。
また、「承認済み契約書の電子データに付与された電子署名のデータは、Adobe
Acrobat等のPDFリーダーの「署名パネル」で確認でき、サービス提供事業者であ
る弊社の電子証明書の内容が記録されています。署名者の会社名・氏名・メールアドレス・
時刻については別途発行される合意証明書に記録されており、合意者双方で確認できます。
なお、合意証明書は分離可能な付属データであり、ユニークな番号を振ることによって当
該契約書と排他的に紐づけられています。」との照会書の記載があり、この記載を前提とす
れば、DocYouは、電子署名法第2条第1項第1号の「当該情報が当該措置を行った者
の作成に係るものであることを示すためのものであること」の要件を満たすことになるもの
と考えられる。
さらに、「契約締結したPDFデータには「署名済み」であることを示す署名者情報と、
ISO32000に定める標準規格「PAdES(PDFAdvanced Electr
onic Signatures)」に準拠した長期署名フォーマットを採用したタイムス
タンプ署名を付与します。
署名者情報とタイムスタンプには証拠力を維持するため、改ざん防止の措置(※(注記)1)が取ら
れており、不正な処理が行われると、PDFファイルの改変の検知が可能である」との照会
書の記載があり、この記載を前提とすれば、「当該情報について改変が行われていないかど
うかを確認することができるものであること」の要件を満たすことになるものと考えられる。
以上に鑑み、DocYouを用いた電子署名は、電子署名法第2条第1項における「電子
署名」に該当すると考えられる。
(2)についての回答
電子契約サービス「DocYou」において、契約書等の電子データをクラウドサーバにア
ップロードし、それぞれの利用者がログインして双方の契約締結業務を実施する仕組みが、契
約事務取扱規則第28条第2項に規定する方法による「電磁的記録の作成」に該当し、契約書
等の作成に代わる電磁的記録の作成として、利用可能であると考える。
(理由)
契約事務取扱規則第28条第2項は、同条第1項各号に掲げる書類等の作成に代わる電磁的
記録の作成について、「各省各庁の使用に係る電子計算機(入出力装置を含む。以下同じ。)
と契約の相手方の使用に係る電子計算機とを電気通信回線で接続した電子情報処理組織を使用
して当該書類等に記載すべき事項を記録する方法」によることを規定している。本照会の事業
において用いることとされているDocYouでは、契約書等の電子データをクラウドサー
バにアップロードし、契約当事者がそれぞれの電子計算機からインターネットを経由して、ク
ラウドサーバ上で提供する電子契約サービス(DocYou)にアクセスし、双方の契約締結
業務の処理を行うものであることから、同項各号に掲げる書類等に記載すべき事項を記録する
方法により電磁的記録を作成するものであれば、これに該当するものと認められる。
(注)
本回答は、確認を求める対象となる法令(条項)を所管する立場から、照会者から提
示された照会書の記載内容のみを前提として、現時点における見解を示したものであり、
もとより、捜査機関の判断や罰則の適用を含めた司法判断を拘束するものではない。