「経済財政運営と改革の基本方針 2020(仮称) 」と電子契約

骨太の方針が公表されて、行政のデジタル化へ力というような報道がされているのを読んでみました。

オリジナルは、「経済財政運営と改革の基本方針 2020(仮称) 」です。令和2年第 10 回経済財政諮問会議の添付資料です

報道等で強調されているのは、

第3章 「新たな日常」の実現 ―――――――――――――――― 13

1.「新たな日常」構築の原動力となるデジタル化への集中投資・実装とその環境整備 (デジタルニューディール)

というところです。このなかで、

(4)変化を加速するための制度・慣行の見直し
我が国のデジタル化、オンライン化の遅れを取り戻し、「新たな日常」を定着・加速させるため、この1年で集中的に規制改革に取り組む。このため、「規制改革実施計画」 を着実に 推進するとともに、デジタル時代に向けてこれまでの規制・制度を総合的に点検する。

① 書面・押印・対面主義からの脱却等
書面・押印・対面を前提とした我が国の制度・慣行を見直し、実際に足を運ばなくても手続できるリモート社会の実現に向けて取り組む。このため、全ての行政手続を対象に見直しを行い、原則として書面・押印・対面を不要とし、デジタルで完結できるよう見直す。また、押印 についての法的な考え方の整理などを通じて、民民間の商慣行等についても、官民一体と なって改革を推進する。行政手続について、所管省庁が大胆にオンライン利用率を引き上 げる目標を設定し、利用率向上に取り組み、目標に基づき進捗管理を行う。

となっています。

ちなみに、「ワイズスペンディングの徹底に向けた EBPM の強化
~政策効果を高め、予算の質を向上させる取組~」という資料もあって、興味深かったりします。

プライバシー保護への信頼を確保しつつ、科学的な効果検証を行うべき。

って、きちんとプライバシーも科学的な測定をするんですよね。プライバシーといったときだけ、結果論的な思索でいいとかいうことはいわないだろうなあとか考えています。

「「ハンコ重視」を広めた印鑑登録と民事訴訟法」は煽りの見出し?

前のエントリを書く際に「「ハンコ重視」を広めた印鑑登録と民事訴訟法」という記事を見たので、クリックしてみました。記事は、こちら。

規制改革推進会議の議論等において、民事訴訟法228条4項が「ハンコ重視」を広めた張本人であるという立場は、完全に否定されている(規制改革推進会議は、こちら、成長戦略WGでは、こちら)し、普通の法律家的ならは、政府の見解を支持しているだろうし、どうしたのだろうなあ、と思って、読んでみたわけです。

その結果、釣られた という感じです。

記事自体としては、印鑑登録制度と民事訴訟法の推定規定の説明をしているすぎません。ハンコが、真正性/インテグリティの確認として効率性を有するのは、そのとおりなわけで、それを、民事訴訟法が支えていますといっても、あまり実質的な意味はないかと思います。

押印Q&Aがでていますので、説明をしてください、という感じて記事を作って、押印の意味とQ&Aくらいの調子で書いてあったのを、担当の人が、「見出しで引きつけましょう」ということで、わざと否定された見解を入れたのだろうなあと推測したりしています。

 

「書面・ハンコ・対面削減へ共同宣言 政府・経済4団体」

「書面・ハンコ・対面削減へ共同宣言 政府・経済4団体」という記事が出ています。

共同宣言文は、こちらです。

内容は、行政手続の見直しと民民間の取引における見直しについてに分かれています。

「民民間の取引における見直し」については、民間の商慣行等の見直し、押印についての考え方の整理、電子署名等の電子認証の活用の促進、特定分野等における規制・見直しにわけて論じられています。

これらは、「7月2日の「規制改革推進に関する答申」と電子署名」でもふれましたが、規制改革推進会議の答申にも対応しています。

電子署名については、

政府がクラウド技術を活用した電子認証サービスの電子署名法における位置づけを明確化したうえで、電子署名等の電子認証の周知、活用が図られるように取組む

となっています。

現在の電子契約サービスを「電子認証サービス」というようになったのかと思います。認証は、「利用者の求めに応じて、利用者が措置を行った者であることを確認するために用いられる事項が当該利用者に係るものであることを証明する業務」ということになります。真正を確認する事項の証明をするサービスということになるのでしょうか。

電子メールアドレスで登録して、その者と通信しましたということを明らかにするのは、このような「証明」行為という整理は、ありうるように思います。でも、3条推定効は、真正性の証明ができたときの話なんですよね。

 

 

7月2日の「規制改革推進に関する答申」と電子署名

規制改革推進会議が、7月2日に「規制改革推進に関する答申」を公表しています。170頁の対策ですが、世間としては、今年は、やはり、書面規制、押印、対面規制の見直しに注目が集まっています。NHKさんも、「行政手続きの押印 “真の必要除き廃止”答申 規制改革推進会議」として、

新型コロナウイルスの感染拡大を受けて、社会全体のデジタル化を進めるため、行政手続きの際の押印について、真に必要な場合を除いて廃止することなどを盛り込んだ答申を決定

としています。

そこで、この答申と電子署名との関係を見てみましょうということになります。具体的には、この部分は、Ⅱ 各分野における規制改革の推進 1 成長戦略分野(5)書面規制、押印、対面規制の見直しになります(16頁以降)。

「基本的考え方」としては、

押印の代替手段としては、メール等含め様々な電磁的手法が考えられるが、電子署名の活用も有効な一手段である。電子署名や認証サービスとして、現在、様々な形態のサービスが生まれ利用が広がっているが、それぞれのサービスについて、電子署名及び認証業務に関する法律(平成 12 年法律第 102 号。以下「電子署名法」という。)における取扱いが不明確である。コロナ危機への対応やデジタル技術の活用の観点も踏まえ、クラウド技術を活用した電子認証サービスの電子署名法上の取扱いを速やかに示すとともに、今後抜本的な制度改正も視野に入れた見直しが必要である。

とされています。ここで、「クラウド技術を活用した電子認証サービス」とありますが、技術的には、リモート署名と立会人型の双方を含むものと考えます。

リモート署名は、秘密鍵の保管場所なので、署名する対象のドキュメントがローカルでも、確かに使えますし、金融機関では、そのようなモデルがあるわけですが、それでも、クラウド技術の活用ということにはなるかと思います。

「電子署名法上の取扱い」というのは、同法2条の電子署名概念に含まれるのか、また、3条の推定効はどうか、ということです。

これらが、実施事項に分けて論じられます。

総務省、法務省及び経済産業省は、サービスの利用者が作成した電子文書について、サービス提供事業者自身の署名鍵による暗号化を行うこと等によって当該文書の成立の真正性及びその後の非改変性を担保しようとするサービスであっても、当該サービスの利用者の意思に基づきサービス提供事業者の判断を交えず機械的に行われることが技術的・機能的に担保されたものがあり得るところであり、このようなサービスに関して、電子署名法第2条第1項第1号の「当該措置を行った者」の解釈において、当該サービスの対象となる電子文書に付された情報の全体を1つの措置として捉え直してみれば、当該サービスの利用者が当該措置を行ったと評価できることについて、その考え方をQ&A等で明らかにし、広く周知を図る。

としています。この論点は、2条の電子署名の概念で、「立会人」型について「サービス提供事業者が利用者の指示を受けて電子署名を行うサービス」と定義していたあまり、当事者の関与をみすごして、電子署名の概念には該当しないとしたのを一週間後に、そのようなサービスでも、「当該サービスの利用者の意思に基づきサービス提供事業者の判断を交えず機械的に行われることが技術的・機能的に担保されたものがあり得る」として、議事録の作成について、立会人型でもいいとした通知についてのものです。

3条推定効については

総務省、法務省及び経済産業省は、電子署名に対し、民事訴訟において署名・押印同様の推定効を定める電子署名法第3条の在り方に関して、サービス提供事業者が利用者の指示を受けて電子署名を行うサービスなどについても一定の要件を満たせば対象となり得ることに関して、その考え方を明らかにする

とされています。同条は、

同条は、電子署名を行ったのが本人であること自体を推定するものでなく、電子署名を行ったのが本人であると裁判所により認定されることを要件として、電磁的記録の成立の真正を推定するものである。

ことになります( 成長戦略ワーキンググループ 第10回 の資料 1-2)。ということは3条の推定効が問題としている論点は、電子署名(広義)をなした者が誰かを確定したのちの者になります。その措置が付されているドキュメントについて、措置をなした者が、ドキュメントのすべてを確認して、措置をなして、改ざんされていないことについて技術的に検証されるか(インテグリティ確保の論点です)、ということに対応します。

  • 用語の説明を入れておくと、電子署名は真正性 (authenticity)と認証(authentication)に関するリスクを低減するサービスを提供しているとされます(例えば、EUにおける解説)。真正性とは、行為者識別をなし、その者/者の行為であると認証する行為で、また、認証(インテグリティ確保)とは、意思表示の外観的な表示と当事者の真意を確認することによって、表示されている意思表示が、当事者の真意を表していることを確認し表示から判別されるドキュメントの内容で署名等がなされたとことを確認する行為をいいます 。この用語法による限り3条推定効は、印鑑とは異なり、authenticationにしか対応していないと、私は理解しています(この部分は、明確に記載している文献がないと認識しています)。

立会人型は、「誰が電子署名をしたか」という点について、一般的には、電子メールアドレス保有者からのアクセスであるということで、担保するのみなので、電子メールアドレスの窃用のリスク/可能性を考えると、それのみで、裁判所が、その行為者が、アドレス保有者であるということを認定するのは、困難なように思えます。しかしながら、行為者が、そのアドレス保有者である、ということを認定したあとであれば、その後、上記のインテグリティ確保の論点は、デジタル署名の技術的効力で、それのみで、推定されるものと考えられます。

このように考えると、3条推定効について厳密に分析をすれば、立会人型においても3条推定効は、(インテグリティ確保の部分に限ってのことなので、デジタル署名の技術的効力として)認められるというのが私の説になります。

さて、総務省、法務省及び経済産業省さんが今後示す見解の周波数と一致しますでしょうか。

 

 

 

 

イスラエル情報機関の「位置情報追跡」対「通信傍受」

NHKさんのニュースで、「イスラエル 過激派の追跡技術をコロナ感染対策に再活用へ」と報道されています。

同じ技術に関して、「イスラエル、感染者らの通信データを傍受へ」という報道もあります(これは、3月の記事)。

新型コロナウイルス対策で位置情報をどこまで取得・利用できるか、という論点があるわけですが、その際に海外の議論を日本語で読むときに陥りやすい落とし穴について考えてみましょう。

海外の法制度においては、通信については、その「通信内容」と「通信の外形的データ」についての保護で、保護のレベルが違うという立ち付けになっている法域が多数です。

これに対する法的な制度も、いろいろな制度が準備されています。

例えば、保存通信の場合には、通信内容について法執行機関が、公共のプロバイダに対して取得する場合には、裁判所の発行する捜索令状で取得するとか、一方、外形的な事実(いつ、誰とだれが通信していたとか、IPアドレスとか)については、提出命令のようなより、発行の閾値が低い手段で提出されるとかになっています。

また、取得がリアルタイムかどうかで、区別されたりします。リアルタイムでの取得を一般的にいう用語は、観測(サーベイランス)で、通信内容についての取得は、傍受(インターセプト)、外形的な事実(通信データ)については、追跡(トレース)ということができるかと思います。

これらの用語の使い分けは一般論です。米国については、更に細かく分けられています。詳しくは、社会安全研究財団「「アメリカにおけるハイテク犯罪に対する捜査手段の法的側面」報告書「犯罪捜査におけるコンピュータ捜索・差押および電子的証拠の獲得」(司法省マニュアル)の翻訳とその解説」をご覧ください(分類と表については、52頁です、情報の格付けについては、57頁)。

ところがわが国では、この二つは一緒くたにされています。なので、通信データの取得についても「傍受」という用語をつかったりすることがありうるかもしれません。そのような場合は、誤解を招きかねません。いわゆる「ロスト・イン・トランスレーション」が発生します。注意しましょう。

----

(追加)

イスラエルの動向については、「Bill Authorizing the Israeli Security Agency to Track Israelis to Combat Coronavirus Passes First Reading」が詳しいです。

ある人がコロナウイルスに感染したことが確認された場合、イスラエル保健省(MoH)は、過去14日間にその人の近くにいた人のデータをシャバックに提供するよう指示します。接触者はウイルスに感染した人と接触したことが特定され、通知されます。シャバックは、MoHに開示された情報を14日間のみ保持し、その後に作成された情報は直ちに削除することが求められている。

という仕組みだそうです。これは、上の区別でいえば、通信内容でもないので、「傍受」というのは、法律の用語としては、間違いです。ということで、NHKさんの今の見出しが正解ということになります。

これは、緊急事態権限でこれを政府が命じていたのですが、国会が法律で権限を認めようということになったのが、この法律(新型コロナウイルスの拡散を減少させるための国家的努力支援のための一般安全サービス認証法-機械翻訳です)です。

 

2004年の竹田御眞木 「電子署名法の概要と動向について」を読む

電子署名法について、Q&Aがだされるというエントリを作成しました。あと、電子署名の制定に際して、膨大な比較法的検討がなされた、ということも触れました(電子署名法の数奇な運命シンガポール法の示唆)。

ただ、それでも良く分からなかったのが、わが国の電子署名法は、デジタル署名のもっている二つの機能(真正性確認、インテグリティ検証)それぞれ要件として分かち書きにしており、しかも、一定の場合に3条の推定効を与えていることで、これが比較法的に何か、背景を有しているのか、ということです。

個人的には、真正性の要件(電子署名を行った者の作成にかかるものであることを示すために行われた措置)というのが、一意的にリンクすることが求められているのか、また、そのリンクの検証をなすことができることを必要とするのかというのを確認したいと思っています。

比較法的には、「セキュアな電子署名」のみを電子署名としたのか、意図のみで、足りるという広義な電子署名を概念として採用したのか、というのを確認したいということになります。

でもって、こういうときは、制定の時代に遡るのが一番で、とおもって、CiNiiを調べるのですが、なかなかいい文献はありません。電子署名法については、立法関係者の解説が、うまく見当たりません。

でもって、一番近そうなのが、「電子署名法の概要と動向について」竹田 御眞木 民事月報 59(3), 7-74, 2004-03 かなと思って、国会図書館から取り寄せてみました。

結論からいうと、この論考からは、成立の時の背景等については、ほとんど伺えませんでした。

記述としては、2条については、

つまり、例えば、ある情報(電子文書等)について、その内容を秘匿する目的で暗号化しても、 アの要件には該当せず、 電子署名法にいう電子署名をしたことにはならない。
また、 いわゆる公開鍵暗号方式を利用したデジタル署名の場合には、秘密鍵で暗号化された暗号文を公開鍵で復号化して得られた情報と、 電子署名の対象となっている電子文書等とを照合することにより、この改変がされているかどうかを確認することができるので、イの要件を満たしているということがいえる(なぉ、改ざんされるリスクが少ないような暗号方式自体の強度が十分であるかどうかは、 ここにいうイの要件には含まれない。)。

と記載されているだけでした。

もっとも、

電子署名法では、 このように、 その機能面から電子署名を定義しているが、 これは技術的中立性に配意したものである。現在、一般的に広く利用されている電子署名の方式は、 公開鍵暗号方式を用いたデジタル署名であるが、 仮に、 このデジタル署名に基づいて「電子署名」 を定義した場合、 これ以外の方式の電子署名が法律上含まれなくなってしまい、 新たな技術の開発を阻害する要因となってしまうぉそれがないともいい切れない (例えば、現況ではセキュリティ技術としてその利用が広がりつつあるバイオメトリクス認証についても、上記の2つの要件を満たすような利用が可能になれば電子署名法に定義される電子署名として取り扱われることとなる。)。 諸外国における電子署名関係制度においても同様にその機能らのアプローチが主流である。

という表現がなされています。その意味で、今回の電子署名法改正ロビイング(?)の技術中立性の主張は、根本的なところで、崩れてしまうのだけは確認されたということになるかと思います。

あと、3条の推定効についても、結局、具体的な内容の説明はありません。ある記述としては

この推定が働く電子署名は、「これを行うために必要な符号及び物件を適正に管理することにより、本人だけが行うことができることとなる」 ような一定の技術的な安全性を有するものに限定されてぉり、電子文書等にこの要件を満たす電子署名がされているときは、反証がない限り、 民事訴訟法第231条第1項により準用される同法第228条第1項の要件が満たされたものとして、 当該電磁的記録を証拠として用いることができることとなる。

のみです。ただし、3条は、「すべての」電子署名についての効果であると解釈している人がいるらしく、そのようなものではなくて、電子署名のうち、「一定の技術的な安全性を有するものに限定され」たいわゆるサブセットについての効果ということになることは確認が可能です。その意味で、何度も出している2条と3条が全く範囲が異なるという図は、明らかにされたということだけはいえるかと思います。

ちなみにこの図ですが、リモート署名について、3条推定効が示唆されているので、リモート署名の場所が変わっています。電子シールは、たぶん、2条電子署名として位置づけられるかと思います。実は、国会でも、その前提の答弁があります。

(CiNiiからだと、当時、K内さんがいたのかもしれませんね。)

山本龍彦先生の「情報自己決定権の現代的な課題」でブログをとりあけていただきました

一般財団法人情報法制研究所(JILIS)の【第4回情報法制シンポジウム】テーマ4「プライバシー・COVID-19・デジタルプラットフォーム」におげく山本龍彦先生の「情報自己決定権の現代的な課題」で、当社のブログの 「EU、揺らぐプライバシー信仰」と「邪教としてのデータ保護教」(現在は、共に、キンドル本「新型コロナウイルス対プライバシー」にて収録)をとりあげていただきました。(1時間11分過ぎから)

興味深い講演の流れのなかで、とりあげていただけたことは光栄です。

データ保護教とデータ活用教とが宗教戦争になっているという認識とのことですが、個人的には、そのようには思っていなかったりします。

プライバシーの合理的な期待があり、それをバランスよく保護していくということが重要であるということは、たぶん、幅広い合意ができていると考えています。

そこで、現代社会において、「データを保護する」という法的構成を取っているということも理解しています。

問題はそこからで、

(1)守られるべき利益が何かが定義されていないで、法的構成のみを追い求めているのを「データ保護教」と定義しています。

(2)そして、「データ保護教」は、接触追跡アプリにおける他の憲法上との価値との衝突において、他のより侵襲的でない手段がある場合には、過度な制限であるとして、そのような手法を認めないとしています。

(3) (2)は、他の憲法上の価値との関係で、「データ保護の最も優越的な地位」を認めてる立場と理解しています。

(4) このような立場は、プライバシーのバランスのとれた保護という立場のもとで、「データ保護」というアイコンを信奉するものであって、もはや邪教に値する

というのが私の立場です。

私の立場では、「データの活用を求める」というのは、コンタクトトレーシングにより感染症拡大防止の価値に合理的な関連性を求める手法として、データを取得・利用することを求めるのであって、それが、宗教たるレベルになっているとは、あまり思えないところです。

(それを宗教というのであれば、信者たることを誇りこそすれでありますが。)

わが国のCOCOAが、プライバシー保護という観点から、万が一の場合にも何の役にもたたないねとして26頁スライドの「不穏なシナリオ」に向かっているように見えるというのが私の意見です。

疲れるのでやめましょうというのは、そのとおりだと思います。ただ、その方法論ですね。

その制約の合理性・必要性を冷静に衡量していきましょう

ということですが、では、その手法としてどのようにするのか、それを「データ保護教」は提案できているのでしょうか、というのが私の問題意識です。

私の立場からは、プライバシーの利益を人間の平穏に過ごす精神的な利益と定義することによって、それを測定することができること、また、きわめてコンテキストによってそれが左右されることを論証しようとしています。

データ保護教は、この衡量をブラックボックスのなかで、密教として、行っているのではないか、利益の明確化がなされいないまま論を進めていれば、事実の確認・エビデンスの取得さえもできないではないか、というのが、根本的な疑問です。

スライド28頁ですが、個人的には、「データ保護を語るのがファッション」になっているというのが、私の認識なので、そこが根本的に違いますね。プライバシーパラドックスのもとで、「語る」ときのプライバシーの価値と実際の感覚上の価値とは、多いに異なるので、それをもとに、どのような手法で「冷静に衡量」するのがいいかという手法に議論のメインが移るといいなあと思っています。

「止めを刺すツール」というのは、議論を呼べたので良かったですね。エビデンスに基づいた政策決定というのは、流行というよりも科学的な態度で、これがファッションだとすれば、むしろ、スタイルというべきものですね。

ファッションは、

今日、流行ったものは明日には消える(by Project Runway)

のですが、スタイルは、普遍のものです。

指導理念は何かを真剣に検討する時期に来ている

というのは、本当にそう思います。でもって、データ保護の指導理念って何になったんですか? データの保護を求める権利っていって(曽我部先生の1時間29分あたり)も、結局、それは、法的構成としてデータを保護するのものとしていますということで何も進歩していないような気がしています。意見が一致するところと異なるところが明らかにできたのであれば、幸いです。

 

 

立会人型の電子契約サービスの位置づけについての「書面規制、押印、対面規制の見直しについて」 の示唆

6月22日の規制改革推進会議において「書面規制、押印、対面規制の見直しについて」という書面が公表されています。

ここで電子署名法の解釈について興味深い記述があります。立会人型のサービスを利用したとしても、取締役会議事録に付された取締役の電磁的措置は、電子署名になるとした連絡は、このブログでも紹介したところです。

これについて「2.民民間の商慣行等による手続に関するもの」の「(2)電子署名の活用促進①」のところで、立会人型のモデルについて

サービスの利用者が作成した電子文書について、サービス提供事業者自身の署名鍵による暗号化を行うこと等によって当該文書の成立の真正性及びその後の非改変性を担保しようとするサービスであっても、当該サービスの利用者の意思に基づきサービス提供事業者の判断を交えず機械的に行われることが技術的・機能的に担保されたものがあり得るところである。

と整理されました。

私のブログでは、法務省が、

「電子契約事業者が利用者の指示を受けて電子署名を行うサービス」は,電子契約事業者が自ら電子署名を行うサービスであって,当該サービスによる電子署名は,電子契約事業者の電子署名であると整理される。

と整理したのがおかしいのではないかと指摘したところです。利用者からみるべきで、利用者も画面を確認してクリックするという措置をしているので、それを素直に「電子署名(広義)」とみればいいのではないかと指摘していました。

この利用者から見れば、いいのではないかというのに対応するように、「利用者の意思に基づきサービス提供事業者の判断を交えず機械的に行われることが技術的・機能的に担保されたものがあり得る」ということに注目するようになりました。ということで、デジタル署名概念に引きづられた電子署名概念ではなく、電子署名法成立時のアメリカESIGN法や欧州の電子署名指令などの広義の電子署名概念と、対応するようになっているように思えます。

このようなサービスに関して、電子署名法第2条第1項第1号の「当該措置を行った者」の解釈において、当該サービスの対象となる電子文書に付された情報の全体を1つの措置として捉え直してみれば、当該サービスの利用者が当該措置を行ったと評価できることについて、その考え方を明らかにするQ&A等を関係省庁(総務省、法務省、経済産業省)が作成する。

「電子文書に付された情報の全体を1つの措置として捉え直してみれば」という表現がよくわからないところですが、要は、契約文言の書いてあるドキュメントがあって、そのドキュメント全体にふされた「合意します」の画面へのクリックを一つの措置ととらえるという見方のように思えます。

ちょっと、自分の考え方に寄せすぎているのかもしれませんが、Q&A等がでてくるのを楽しみにしています。

実は、今、このあたりの動向をまとめて、しかも、電子署名法成立時の比較法の資料を加えて「電子署名法の数奇な運命」という名称の原稿をまとめています。そういうことがありますので、比較法時の資料とずれることがないようにお願いしたいと思います。

ちなみに、竹田御眞木「電子署名法の概要と動向について」(登記研究675,2004)が国会図書館から届いたのですが、2条1項の概念がどのくらい広かったのか、というのを詳しくは説明していませさん。同氏の論文は、長いのもあるので、それも取り寄せ中です。

金融業界における書面・押印・対面手続の見直しに向けた検討会(第2回)の資料

第2回「金融業界における書面・押印・対面手続の見直しに向けた検討会」議事次第です。

この回は、電子契約プラットフォームのそれぞれのご説明ということかと思います。

電子契約プラットフォームについては、どのようにモデルを分類するのかという問題があります。

当事者が、デジタル署名を使うかどうか、また、ドキュメントがローカルかどうか、クラウドに保存するかどうか、また、クラウドでも個人の真正性担保のためにどの程度の確認労力を使うかで、分かれるかと思います。モデルとして、実際に行われるのは、ローカルのデジタル署名、立会人型、リモート署名型かなと考えています。

でもって、この検討会は、それぞれ、ドキュメントがローカルな型(帝国データバンク)、リモート署名型(セコムトラストシステムズ)、立会人型(弁護士ドットコム)となっていて、勉強になります。

「⾦融業界の手続における電子化について  押印不要化に貢献する電⼦署名」の資料です。

個人的には、法人代表者として、TypeAを従来、保有しておりました。いろいろと必要書類を送って、個人が受け取るので、受領した記憶があります。

あと、DigiCertで、Class2の電子認証サービスがあるんですね。知りませんでした。classについては、このページがいいですね。電子メールアドレスの認証で、どうのと若い先生からいわれたときに電子メールアドレスの認証ってしょせんは、そのアドレスから認証されるだけですよといったのですが、通じなかったという苦い思い出があるのですが、このページを次には紹介することにします。

法的な効力としては、行政機関への電子申請に使えますね。入札の申請に使おうとして保有しました。

また、実際の利用状況としては、ローカル署名とリモート署名の双方に対応するということが紹介されています。

ローカルだと、関係先が多くない組織間において利用回数が少数の場合に適して、一方、リモート署名は、利用回数が多大である場合、関係先が多い場合に適するとされています。

なお、電子署名法の改正についての意見も記載されています。「物件」の解釈問題について、物件は、批判が誤解しているといっています。この点は、私も同意見です。

立会人型を「クラウド署名」の「第三者による署名タイプ」という表現をしていますね。ここら辺は、現場の人たちが用語にもっと、注意を払ってもらいたかったりするところですが、マーケ的な要素がはいって、自分たちのこそが「電子署名」といいたいのだろうと見えます。ただ、それが「数奇な運命」を引き起こしたものなのですが。

法的なものについての要請については、電子署名法に認証用途を追加すべきという表現があります。個人的には、これは、今後、考えてみます。

次は、「リモート署名サービスについて」です。

J2TAの定義でもって、リモート署名の定義がなされていすま。

リモート署名事業者のサーバに署名者の署名鍵を設置・保管し、署名者の指示に基づきリモート署名サーバ上で自ら(署名者)の署名鍵で電子署名を行うサービス

特色として

・リモート署名サービス(「セコムあんしんエコ文書サービス」など)に利用申請するだけでワンストップで利用可
・別途本人確認が不要。金融機関の口座開設や融資契約審査時の本人確認に基づき、高い信頼レベルの電子証明書と秘密鍵を自動発行(金融機関へ登録された印鑑と同レベルの信頼性)
・メールアドレス認証ではなく、2要素認証(ID/パスワード+ワンタイムパスワード)により本人が電子署名
を行うため、書面への記名・押印と同レベルの証拠力を持つ(※1)
・会社のPCやメールアドレスからのアクセスに限定されないため、リモートワークが可能

とされています。典型的なモデル図は、3ページですね。金融機関と利用者がいて、ともに、リモート署名型電子契約サービスで電子契約サービスのプラットフォームの上で合意をしています。

また、アレンジとして、クラウド上ではなく、金融機関のローカルで、リモート署名をする、利用者からは(ネットの向こう側ではありますが)、金融機関にとっては、ローカルな場合もありますすね。この場合の署名については、クラウドが使われることになります(4ページ)。

この部分は、いままで、リモート署名は、当然にクラウド上のドキュメントに署名するよねといっていたのですが、訂正します。

また、リモート署名ガイドラインで、レベル1からレベル3までが紹介されています。それぞれ、「最低限必要なレベル」「認定認証業務と同等の信頼性レベル」「eIDASの適格電子署名と同等レベル」に対応するそうです。

この資料によると適格電子署名について、欧州の適格電子署名と同等性を確保するためのプロジェクトが進んでいるそうです。興味深いです。あと、相互運用の実証実験が開始されています(10ページ)。

まとめは、11ページです。結局は、電子契約サービスは、サービス利用の文脈(コンテキスト)に応じて、利用者にとって最適なものをお選びください、ということになります。きわめて当たり前のメッセージなのですか、「電子署名」という用語の混乱とも相まって、うまく伝わっていないというのが私の感想ですね。

業務の重要度に応じて、電子証明書の審査レベル(松、竹、梅)や組織証明書を選択することで簡易的な利用から重要業務への利用へ応用可能
(簡易利用例:eシールによる証書配信、重要利用例:融資契約の電子締結)

JT2Aの「リモート署名ガイドライン」では3つのレベルが示されており、適用する業務の重要度に応じて、適切なレベルのサービスを選択することが重要。ただし、(上位レベルのサービスで下位レベルの業務への利用は可能)(簡易利用:Level 1、重要利用:Level 2、国際利用:Level 3)

個人的には、上の帝国データバンクさんとも合わせて考えると、業務の重要性がキモになって、利用者同士の取引関係、利用回数、公的機関への利用の可否、その他を考えましょうということになるかと思います。

次は、弁護士ドットコム「電子契約「クラウドサイン」のご紹介」です。

クラウドサインは、自分たちのサービスを

 受信者がメール認証を経て同意すると、弁護士ドットコムが、書類に電子署名と認定タイムスタンプを付与する

仕組みと定義しています。当事者は、弁護士ドットコムの行為に対する同意でしかないと考えています。個人的には、このプラットフォーム上で、契約の相手方と同意しているようにおもえるのですが、これは、あまり意味がないと考えているようです。理由は、よくわかりません。

認証については、二段階認証(具体的な手法は、調べてません)やIP制限も可能だといっています。個人的には、アドレス保持者がssl通信をするあたりは、私たちの世代だとインパクトがあるのですがスルーされています。

あとは、タイムスタンプ・デジタル署名によって、非改ざん性を担保することが書かれています。「署名日以降、改ざんされていないことを公開鍵暗号技術によって、技術的な担保します」と説明されています。まさにそのとおりですね。

あと、興味深いのは、28ページ、2条電子署名を署名者表示機能と改ざん検知機能にわけて説明するところでしょうか。これは、私も大賛成です。

「署名者表示機能」について、表示していればいい、というか、私の解釈の立場は、ある程度のリンクがあればいい、意図があればいいという立場です。2条電子署名ですよ、といってます。クラウドサインさんは、前は、自分たちの立場を「電子サイン」で「電子署名じゃない」といっていたのを、豹変したように思います。個人的には、いいと思います。

30頁で、「印鑑ならタダなのに」というのがなかなか秀逸かなあと思ってみてました。

Q4の「認定認証業者」でないのは、なぜかというのを時代のせいにするのは、誤導の可能性がありますね。

高度な電子署名(セキュアな電子署名)の代表例を認定認証業者にして、3条電子署名の代表例とするという建て付けなので、高度な電子署名の一つの要件である「表示者の署名」であることの技術的担保を欠いているので、ここの建て付けが変わらない限り、認定認証業者にはならないでしょう。

ただし、3条の推定効が、実は、技術による改ざん防止効果のみにかかっているようにおもえて、それだけあれば、認定認証事業たりうるということはありうるので、今後の議論動向によっては、特定認証業務となりうることはありえます。

このところなのですか、「電子署名に関して「第10回 成長戦略ワーキング・グループ 議事概要」を読んでみた(関係省庁ヒアリング部分)」でもふれたのですが、

同条は、電子署名を行ったのが本人であること自体を推定するものでなく、電子署名を行ったのが本人であると裁判所により認定されることを要件として、電磁的記録の成立の真正を推定するものである。

という認識が明らかにされていて(第10回 の資料 1-2)、これは、誰々が、電子署名の操作をなした、ということを立証したのであれば、裁判所は、その電子署名からなされたのを、操作者のなした意思表示(すなわち、改ざんされていないし、全部について認容した)と推定しましょうということにおもえます。(既に本人が操作したということを認定しているので、だれが操作したか、というのは、関係ない)

この推定というのは、(電子署名業界関係者)皆が思っているよにも実は狭いようにおもえます。一方、このクラウド上の合意書面に付したデジタル署名で、技術的にこの推定部分は、100パーセント担保されるようにおもえます。そこで、3条の効果について、上のように何が推定されるのかをきちんとはっきりさせれば、上のような立会人型のモデルについて、推定されるということも可能におもえます。

 

金融業界における書面・押印・対面手続の見直しに向けた検討会(第1回)の資料

金融庁で、「金融業界における書面・押印・対面手続の見直しに向けた検討会」が始まっています。インデックスは、こちら

本日段階で、第2回までの検討会議が開催されています。

この検討会が開催されるにいたった経緯については、内閣府 規制改革推進室「書面・押印・対面手続の見直しに向けた取組について」(令和2年6月9日)の資料が、まとめて教えてくれます。

このブログでは、規制改革推進会議の資料や、成長戦略WG(第10回11回)の議論などを取り上げてきました。

そのあと、「テレワーク推進に向けた経済団体及び関係省庁連絡協議会」というのが立ち上がって、官民で連携し、「書面、押印、対面」の原則を見直していくことについて議論しだしたということです。

そして、「経済四団体からの行政手続に関する要望について、関係省庁の再検討結果」がでていることになります。

資料では、2基本的な考え方で、(1)行政手続の見直しと(2)民民間の商慣行等による手続に関するものにわけて考察されることになります。

(2)の民民間については、これは、「商慣行」によるものではあるものの

民民間の手続で特に要望の多かった分野については、法令
上の制度見直しも含め、重点的に取組を求める。
(ⅰ)不動産関係(売買時の重要事項説明書の書面交付
等)
(ⅱ)金融関係(口座開廃、融資、振込等の手続)
(ⅲ)会社法等一般法関係(取締役会議事録の取締役押印、
単体財務書類のウェブ開示等)

となっています。あと、電子署名については、

電子署名ではクラウド技術を活用した電子署名の取扱いが不明確であるなど使い勝手改善の余地があり、早急の見直しが必要。

と整理されています。が、立会人型について

サービス提供事業者が利用者の指示を受けて電子署名を行うサービス

と整理されています。私的には、これは、

サービス提供事業者のプラットフォーム上で、利用者が、広義の電子署名を行うサービス

と定義を変更すべきだと、強く主張している(といってもこのブログの上だけですね)のですが、しょせん、このブログは、内閣府には伝わらないので、残念な定義になっていますね。

それは、さておき、6頁です。

まずは、

法務省において、取締役会の議事録への電子署名について、会社法上、いわゆるリモート署名(※)やサービス提供事業者が利用者の指示を受けて電子署名を行うサービスが有効であるものとし、経済界に周知。(令和2年5月29日)

ということがきちんとでています。オフィシャルなのは、新経済連盟様の報道で紹介していたので、これで5月29日付け周知といえることになりました。

あとは、リモート署名や立会人型について

電子署名法における位置付けや、押印を省略・廃止した場合の懸念点に対する考え方について、関係省庁において引き続き、検討中。

となっているので、何らかのアクションがでてくるものと思われます。個人的には、立会人型は、当事者が、広義の電子署名をしているというので、きちんと2条電子署名に位置づけてくれて、20世紀の先人の苦労をきちんと拾ってくれることを希望します。(って、まだ、みんな関係者現役ですからね)

「行政手続における書面主義、押印原則、対面主義の見直しについて(再検討依頼)規制改革推進会議議長 小林喜光」(5月22に)とかも見てみます。

興味深いのは、2 押印原則の見直しの基準ですね。

  1. 法令等で、押印を条文の規定上求めている書面など以外の書面(通達やガイドラインで押印を求めているものを含む。)については、押印を求めないものとする。
  2. 省令・告示に規定する様式に押印欄がある書面>押印がなくても受け付ける
  3. 法令の条文で押印を求めることが規定されている書面>これについては、可能な限り、押印がなくても書面を受け付ける でもって可能な限りというのは、
  • 押印が求められている趣旨に合理的理由があるか、押印が求められている趣旨を他の手段により代替することが可能か で判断されて、
  • 求めている押印の種類(印鑑証明付きの実印であるか認印・角印であるか)、行政手続等の内容・目的・趣旨等を踏まえた上で、新型コロナウイルスの危機時における緊急対応であるとの趣旨を勘案するとなっています。

興味深いのは、押印の意義で、これは、

(ⅰ)本人確認(文書作成者の真正性担保)。

この場合、注3記載のように本人確認のための手法は他にも多数ある上、特に実印による押印でない場合には本人確認としての効果は大きくないことに留意する必要。

(ⅱ)文書作成の真意の確認。

この場合、本人確認がなされれば通常の場合には不要であると考えられることに留意する必要。
(ⅲ)文書内容の真正性担保(証拠としての担保価値)。

この場合、実印でない押印の意味は必ずしも大きいと言えないこと、文書の証拠価値は押印のみによって評価されるわけではなく手続全体として評価されることに留意する必要。

ときちんと整理されています。この三つは、電子署名の要件と並べてみたりするともっと味わい深かったりします

でもって真正性担保の手法がてています。押印Q&Aのもとになっているのでしょうか。

(ⅰ)継続的な関係がある者のeメールアドレスや既登録eメールアドレスからの提出
(ⅱ)本人であることが確認されたeメールアドレスからの提出(本人であることの確認には別途本人確認書類のコピー等のメール送信を求めることなどが考えられる)
(ⅲ)ID/パスワード方式による認証
(ⅳ)本人であることを確認するための書類(マイナンバーカード、運転免許証、法人の登記書類、個人・法人の印鑑証明書等)のコピーや写真のPDFでの添付
(ⅴ)他の添付書類による本人確認
(ⅵ)電話やウェブ会議等による本人確認
(ⅶ)押印のなされた文書のPDFでの添付
(ⅷ)署名機能の付いた文書ソフトの活用(電子ペン等を用いたPDFへの自署機能の活用等)
(ⅸ)実地調査等の機会における確認

なので、真正性担保は、総合評価でいいよね、だから、電子署名の署名者の担保の部分は、意図だけでいいね、電子署名法2条は、認め印みたいなものだから、とつながっていくと見ています。

でここで、

実印を求めていない行政手続等については、従来の電子署名法の電子署名以外の簡易な民間電子認証サービスその他の本人確認方法の利用を検討すべきである。(電子署名法の電子署名について、使い勝手をよくするための見直しは別途行う。)

とコメントされています。立会人型は、簡易民間電子認証サービスという表現になるのでしょうか。いい表現がないですね。

ここら辺のフォローが続くと、電子署名の数奇な運命のキンドル本出版という作業がどこでできるのか、という個人的な問題が起きたりします。