様式第十三(第4条関係)
新事業活動に関する確認の求めに対する回答の内容の公表
1.確認の求めを行った年月日
令和5年9月25日
2.回答を行った年月日
令和5年10月25日
3.新事業活動に係る事業の概要
照会者は、新事業活動として、電子署名ツール「Box Sign」を、国や地方公共団体等の調達
のための契約書、確認書、検査記録、見積書などの契約書の署名に利用するため、公的機関等
へ提供することを予定している。具体的には、以下手順により契約締結を行う。
【契約締結までの流れ】
「Boxサービス」のアカウントを持つユーザーは、Box Signを使用することにより、電子署
名を行うために署名リクエストを送ることができる(この操作を行うユーザーを「送信者」と
いう。)。Box Signでは、送信者は「署名者」を選択し、選択した署名者による署名の順序を
選択し、当該署名者が署名する文書ファイル上の場所を指定することができる。署名者は、
「Boxサービス」のアカウントを保有する必要はなく、電子メールアドレスさえあれば、署名
者として指定されることができる。署名者は電子メールで送られてきたURLから文書にアクセ
スする。具体的な手順は以下のとおりである。
1 送信者は、署名のために送信する文書ファイルを「Boxサービス 」にアップロードする
か、又は「Boxサービス」上で選択する。Box Signは署名リクエストに一意の識別子(以
下「リクエスト番号」という。)を割り当てる。Box Signは、「Boxサービス」の安全な
ファイルシステムに文書ファイルを格納し、当該文書ファイルのハッシュ値をSHA 256で
算出したうえで、その算出されたハッシュ値を格納する。暗号化された文書ファイルとハ
ッシュ値の両方が、リクエスト番号によって署名リクエストに論理的に関連付けられる。
2 送信者は、署名者を選択する。Box Sign は署名者に一意のユーザーIDを割り当て、リ
クエスト番号に基づき、当該ユーザーIDを署名リクエストに論理的に関連付ける。
3 送信者は、各署名者による署名の順序を指定し、各署名者に対し、文書ファイルにアク
セスするにあたっての認証方法、すなわち(1) 二要素認証、(2) ワンタイムパスワー
ド、(3)署名者のBoxサービスアカウントへのログインのうち、全部又は一部を要求する
か否か、若しくはいずれも要求しないかを選択する(以下「認証オプション」という。)。
4 送信者は、署名者が文書ファイル上で日付、テキスト及びチェックボックスなどの署名
入力フィールドを追加する。全ての入力フィールドは、リクエスト番号によって署名リク
エストと関連付けられている。
5 送信者は文書の設定を確認し、Box Signを通して、署名者に対し、電子メールで署名リ
クエストを送信する。
6 署名者は、電子メールに記載されたURLをクリックする。送信者が、ワンタイムパスワ
ード又はBoxサービスアカウントへのログインによる認証オプションを設定していた場合、
署名者はこの時点で当該認証オプションに対応する必要がある。
7 署名者は、最初の電子署名入力フィールドに遷移し、入力フィールドをクリックする。
その後、以下の画面で電子署名画像を選択又は作成する。署名者は、その署名画像を署名
入力欄にクリックにより適用して、該当文書への署名を行う。
8 署名者が、署名及びその他必要事項の選択、記入を終えると、「署名して終了」のボタ
�ンが表示される。署名者は「署名して終了」のボタンをクリックして、署名を完了する。
送信者が二要素認証による認証オプションを設定していた場合、署名者は、署名を完了す
るために、携帯電話番号を確認し、その番号にSMSで送信される認証コードをBox Signに
入力することにより認証オプションに対応する必要がある。
9 最後の署名者が「署名して終了」のボタンをクリックすると(二要素認証が要求されて
いる場合には認証コードを入力すると)、Box Signのワークフローが完了する。Box Sign
は、全署名者の全署名画像、文書に関連付けられた入力フィールド、及びリクエスト番号
による署名リクエストと共に、完成した文書(以下「完全実行済文書」という。)のレン
ダリングをPDF/A形式で自動的に生成する。Box Signは、このレンダリングを、送信者の
Boxサービスアカウントに保存する。利用者は、いつでも保存済みの文書を検索して特定
し、PDF/A形式でダウンロードすることができる。
4.確認の求めの内容
(1)照会者が提供する「Box Sign」におけるPDFファイル形式の書類をアップロードし、契約
当事者双方が契約締結業務を実施する仕組みが、契約事務取扱規則(昭和37年大蔵省令第
52号)第28条第2項に規定する方法による「電磁的記録の作成」に該当し、契約書、請
書その他これに準ずる書面、検査調書、見積書等の作成に代わる電磁的記録の作成として、
利用可能であることを確認したい(以下「本照会1」という。)。
(2)照会者が提供する「Box Sign」を用いた電子署名が、電子署名及び認証業務に関する法律
第2条第1項に定める電子署名に該当し、これを引用する契約事務取扱規則第28条第3項
に基づき、国の契約書についても利用可能であること。また、地方自治法施行規則(昭和2
2年内務省令第29号)第12条の4の2に定める総務省関係法令に係る情報通信技術を活
用した行政の推進等に関する法律施行規則(平成15年総務省令第48号)第2条第2項第
1号に基づき、地方公共団体の契約書についても使用可能であることを確認したい(以下
「本照会2」という。)。
5.確認の求めに対する回答の内容
(1)本照会1についての回答
ア 結論
「Box Sign」を通じてPDFファイル形式の書類をアップロードし、契約当事者双方が契約
締結業務を実施する仕組みは、契約事務取扱規則第28条第2項に規定する方法による「電
磁的記録の作成」に該当し、契約書等の作成に代わる電磁的記録の作成として、利用可能で
あると考える。
イ 理由
契約事務取扱規則第28条第2項は、同条第1項各号に掲げる書類等の作成に代わる電磁
的記録の作成について、「各省各庁の使用に係る電子計算機(入出力装置を含む。以下同
じ。)と契約の相手方の使用に係る電子計算機とを電気通信回線で接続した電子情報処理組
織を使用して当該書類等に記載すべき事項を記録する方法」によることを規定している。
本サービスは、Box Sign により文書ファイルをクラウドサーバー上の「Boxサービス」に
アップロードし、契約当事者双方がインターネットを介して、「Boxサービス」のクラウド
ストレージにアクセスして契約締結業務を実施する仕組みである(照会書12ページ参照)
ことから、同条第2項の方法に該当するものと認められる。
(2)本照会2についての回答
ア 結論
本サービスを用いた電子署名は、電子署名及び認証業務に関する法律(平成12年法律第
102号。以下「電子署名法」という。)第2条第1項に規定する電子署名に該当すると認
められる。したがって、契約事務取扱規則第28条第3項に基づき、国の契約書が電磁的記
�録で作成されている場合の記名押印に代わるものとして、利用が可能であると考える。
また、地方自治法施行規則第12条の4の2に定める総務省関係法令に係る情報通信技術
を活用した行政の推進等に関する法律施行規則第2条第2項第1号に基づき、地方公共団体
の契約書が電磁的記録で作成されている場合の記名押印に代わるものとして、利用が可能で
あると考える。
イ 理由
電子署名法における「電子署名」とは、同法第2条第1項に規定されているとおり、(ア)
電磁的記録に記録することができる情報について行われる措置であって(同項柱書き)、
(イ)当該情報が当該措置を行った者の作成に係るものであることを示すためのものである
こと(同項第1号)及び(ウ)当該情報について改変が行われていないかどうかを確認する
ことができるものであること(同項第2号)のいずれにも該当するものである。
(ア)電磁的記録に記録することができる情報について行われる措置の該当性
本サービスについては、「各署名者が電子署名を行う際に、Boxの秘密鍵を利用して、
ク ラ ウ ド 上 で ISO32000 に 定 め る 標 準 規 格 「 PAdES ( PDF Advanced Electronic
Signatures)」に準拠した長期署名フォーマットを採用した電子署名を、 当該PDFファ
イルに付与する。そのため、当社の電子署名サービスは電磁的記録に記録することがで
きる情報について行われる措置である」との照会書の記載(照会書14ページ参照)を
前提とすれば、「電磁的記録に記録することができる情報について行われる措置である
こと」との要件を満たすことになると考える。
(イ)当該情報が当該措置を行った者の作成に係るものであることを示すためのもので
あることの該当性
本サービスでは、Box Sign により文書ファイルをクラウドサーバー上の「Boxサービ
ス」にアップロードし、契約当事者双方がインターネットを介して、「Boxサービス」
のクラウドストレージにアクセスして契約締結業務を実施する仕組みとなっている。こ
の場合、契約当事者双方の当該操作をもって、サービス提供者である照会者の署名鍵に
より暗号化等を行うサービスであるため、電子署名法第2条第1項第1号の「当該措置
を行った者」が利用者であると評価し得るかどうかが問題となる。
この点、事業者署名型(利用者の指示に基づき、利用者が作成した電磁的記録につい
て、利用者自身の署名鍵ではなく、サービス提供者である照会者の署名鍵により暗号化
等を行うサービス)による措置につき、令和2年7月17日に総務省、法務省及び経済
産業省において公表している「利用者の指示に基づきサービス提供事業者自身の署名鍵
により暗号化等を行う電子契約サービスに関するQ&A」(以下「Q&A」という。)で
は、以下の解釈が示されている。
・ 電子署名法第2条第1項第1号の「当該措置を行った者」に該当するためには、
必ずしも物理的に当該措置を自ら行うことが必要となるわけではなく、例えば、
物理的にはAが当該措置を行った場合であっても、Bの意思のみに基づき、Aの
意思が介在することなく当該措置が行われたものと認められる場合であれば、
「当該措置を行った者」はBであると評価することができるものと考えられる。
・ このため、利用者が作成した電子文書について、サービス提供事業者自身の署名
鍵により暗号化を行うこと等によって当該文書の成立の真正性及びその後の非改
変性を担保しようとするサービスであっても、技術的・機能的に見て、サービス
提供事業者の意思が介在する余地がなく、利用者の意思のみに基づいて機械的に
暗号化されたものであることが担保されていると認められる場合であれば、「当
該措置を行った者」はサービス提供事業者ではなく、その利用者であると評価し
得るものと考えられる。
�・ そして、上記サービスにおいて、例えば、サービス提供事業者に対して電子文書
の送信を行った利用者やその日時等の情報を付随情報として確認することができ
るものになっているなど、当該電子文書に付された当該情報を含めての全体を1
つの措置と捉え直すことよって、電子文書について行われた当該措置が利用者の
意思に基づいていることが明らかになる場合には、これらを全体として1つの措
置と捉え直すことにより、「当該措置を行った者(=当該利用者)の作成に係る
ものであることを示すためのものであること」という要件(電子署名法第2条第
1項第1号)を満たすことになるものと考えられる。
本サービスは、上記のとおり、事業者署名型と呼ばれる電子署名サービスであるため、
上記Q&Aの適用を前提に「当該措置を行った者」(電子署名法第2条第1項第1号)の
該当性を判断するべきであると考える。以上を踏まえて本件について以下のとおり検討
する。
本サービスでは、「ドキュメントの送信者が署名対象となるドキュメントを「Boxサ
ービス」にアップロードし、そのドキュメントに署名を行う受信者(署名者)を指定す
ることができる。指定された受信者には、Box Signのシステムから、ドキュメントに紐
づけられたURLが電子メールで送信される。このURLは、署名者ごとにランダムに配置さ
れた文字列で構成されており、第三者には推知できないものであ」り、全ての署名者が
「「署名して終了」のボタンをクリックして、署名プロセスを終了」すると、照会者は、
「署名者の意思にもとづき、Boxの秘密鍵によって・・・電子署名を行」うとのことで
ある。また、「当社の秘密鍵による暗号化は、各署名者が「署名して終了」のボタンを
クリックした後にプログラムにより自動的に行われるものであるため、電子署名に当社
の意思が介在することはない。また、Box Signのあらゆる通信は、TLS 1.2によって高
度に暗号化されているため、第三者が通信経路途中で送信者や署名者になりすますこと
も、ドキュメントを改ざんすることもできない。さらに、当社の開発環境と本番環境は
分離されており、これらの環境へのアクセスは異なる方法で管理されている。当社は、
不正アクセスやセキュリティの問題からシステムを保護するために、物理的、技術的、
管理的なアクセスコントロールを実施している。」(照会書14ページ参照)とのこと
である。
また、「署名プロセスが完了すると、PDF形式の「署名ログ」を生成して保存するシ
ステムを有している。署名ログには、ファイル名、SHA 256によって算出されたハッシ
ュ値、署名者のメールアドレス、署名者が署名を完了した日時、署名者の電子署名画像
など、文書に関する署名リクエストに関連する情報が記録されている。署名ログは完全
実行済文書とともに保存され、送信者と署名者は署名ログにアクセスすることで、送信
者の氏名や署名者が署名を完了した日時、つまり電子署名が文書に付与された日時を確
認することができる。」(照会書15ページ参照)とのことである。
以上を踏まえると、本サービスは、「技術的・機能的に見て、サービス提供事業者の
意思が介在する余地がなく、利用者の意思のみに基づいて機械的に暗号化されたもので
あることが担保されている」ことが認められ、これを前提にすれば「当該措置を行った
者」は照会者ではなく、利用者であると評価し得るものと考えられることから、電子署
名法第2条第1項第1号の「当該情報が当該措置を行った者の作成に係るものであるこ
とを示すためのものであること」の要件を満たすことになるものと考えられる。
(ウ)当該情報について改変が行われていないかどうかを確認することができるもので
あることの該当性
照会書によれば、「Box Signでは、署名アルゴリズムとして、ハッシュ関数 SHA256、
鍵長4096ビットのRSA方式を用いて、改変が行われていないかどうかを検知できるよう
�になっている」(照会書16ページ参照)とされている。
さらに、「Box Signは、完全実行済文書の最終的なハッシュ値をSHA256によって計
算・生成し、その結果を保存する。」(照会書16ページ参照)とされており、「当社
の電子証明書とSHA 256によって算出されたハッシュ値の適用を含む Box Sign による
完全実行済文書の作成により、各署名者の署名画像と完全実行済文書を論理的に関連付
けることができ、これによって完全実行済文書の完全性が保証される。」(照会書16
ページ参照)とのことであることから、「当該情報について改変が行われていないかど
うかを確認することができるものであること」(電子署名法第2条第1項第2号)の要
件を満たすことになるものと考えられる。
以上から、照会者の提供する本サービスを用いた電子署名は、電子署名法第2条第1項に
おける「電子署名」に該当すると考えられる。
よって、地方自治法施行規則第12条の4の2に定める総務省関係法令に係る情報通信技
術を活用した行政の推進等に関する法律施行規則第2条第2項第1号に基づき、地方公共団
体の契約書が電磁的記録で作成されている場合の記名押印に代わるものとして、利用が可能
であると考える。
(注)
本回答は、確認を求める対象となる法令(条項)を所管する立場から、照会者から提
示された照会書の記載内容のみを前提として、現時点における見解を示したものであり、
もとより、捜査機関の判断や罰則の適用を含めた司法判断を拘束するものではない。
�