NHK BS 「ダークサイドミステリー」に高橋郁夫が出演します

弊社 代表取締役 高橋郁夫が、9/26(土)NHK BSプレミアム16時10分から放送の「ダークサイドミステリー」に 出演します。

ダークサイドハッカーである”アイスマン”ことマックス・バトラーの闇に迫るプログラムです。

アメリカにおけるハイテク犯罪対応の歴史については、昔、社会安全研究財団(当時)から委託をうけて調査したことがありましたので、わが国において、アメリカ・ハイテク犯罪対応についての有識者としての出演でした。

「「アメリカにおけるハイテク犯罪に対する捜査手段の法的側面」報告書」は、こちらです。この第一章がマックス・バトラーの出現以前のハッカーの世界をまとめているかと思います。

先日、NHKで収録が行われました。その際の写真は、こんな感じです。

渋谷のNHKです。

でもって、憧れの楽屋。

スタジオのなかは、このような感じ。感染症対策も完璧ですね。

ということで、放送が楽しみです。

 

 

 

 

すでにTeamsを使用していて、裁判所にゲストとして参加する場合のTips

代表取締役の高橋が裁判所の期日で、ウエブ会議による手続きを行いましょうということになりました。

ちなみに法的には、

原則として,書面による準備手続として行い,その結果を紙ベースの経過表等に記録することを予定しています。

ということだそうです。

他の業務で自分のマイクロソフトアカウントを使って、Teamsをインストールしていたのですが、そこで、ちょっとだけ悩んだことがあったので、ここでメモしておきます。

その前に、自分のマイクロソフトアカウントを使って、Teamsをインストールしていた場合には、

そのマイクロソフトアカウントに裁判所からのウエブ会議のインビテーションを送ってもらうようにしなければなりません。

これは、Teamsが、複数アカウントに対応していないので、使用するアカウントを一つにしておかなければならないのです。(Teamsが、複数アカウントに対応していないのハックしてやるという方は、こちらのページ 「Teamsで複数アカウントがあるときの切り替え方法【決定版】」をどうぞ)

でもって、Teamsを使っているマイクロソフトアカウントにインビテーションを送ってもらって、それをアクセプトしていくと、裁判所では、チームが構成されてメンバーとして参加することになるわけです(二段階認証の手続もすむわけです)。

Teamsでは、裁判所からみたときに、別の組織のユーザとして参加することになって、「Microsoft Teams の別の組織のユーザーと通信する」ということになります。実際には、このゲストアクセスということになります。

組織(organisation)とチームについては、「Microsoft Teamsの組織とチームの違いとは?切り替え・変更方法」をどうぞ。

Azureのアクティブ・ディレクトリーとの関係などについてはこちらのページをどうぞ(「チームでゲストと共同で作業する」)。

でもって、「ユーザーを招待する」で記載されているようにインビテーションがきて、これで、ユーザーが、アクセプトして、二段階認証の手続きを整えていきます。

でもって、裁判所から「ケストアカウント設定マニュアル」が渡されていて、「最高裁のゲストユーザーアカウントとは別に御自身でチームズのアカウント
を保有している方の場合」(25ページ以下)をみると、

作業の流れのなかで、この画面(Teamへようこそ)が表示されますので、その場合には、「最高裁判所(ゲスト)」をクリック」

という記載があります。しかしなから、「作業の流れのなかで」このようなようこその画面は、でてきません。

出てくるのは、現在、サインインしているアカウントをいったんサインオフして、もう一度、マイクロソフトアカウントでサインインした場合です。この場合、組織を選択の画面が出てくるので、おとなしく、最高裁判所(ゲスト)を選びましょう。

ちなみに、このようにして入ると、右上のところに組織の選択がでてきますので、それ以降は、そこで、選べるようになります。

後組織を切り替えるには、画面右上に表示された組織名をクリックして、表示したい組織を選択します

「外部から招待されたチームに参加する」という説明はこちら。

自動車の特定改造等の許可制度を本年11月より開始します ―適切なソフトウェアップデートを確保するための環境整備について―

国土交通省から「自動車の特定改造等の許可制度を本年11月より開始します ―適切なソフトウェアップデートを確保するための環境整備について―」というアナウンスがでていました。(8月5日)

なぜか、9月14日の記事(「自動運転でサイバー防御 ソフト配信、国の許可制に」)です(日本経済新聞)

概要のスライドは、これです

OTAアップデートといわれる行為になりますが、「特定改造等」と定義されることになります。

対象行為としては、

  • ①保安基準適合性に影響を及ぼすソフトウェアアップデートを電気通信回線の使用によりする行為 (Over The Air)
  •  ①のアップデートを目的として、当該アップデートのためのソフトウェアを整備事業者等に提供する行為

となり、協力・体制・保安基準適合性が審査されて許可されることになるとのことです。

型式認定を経ている場合に、OTAは、許容されるのか、という論点があったわけですが、それに対して、許可制として整理したということになります。

でもって、許可をうけた業者が、OTAで アップデートする場合は、改造になるわけですが、あと、使用者のところに、アップデートが降ってきて、使用者その他のものがそれを適用というような場合については、プログラムの提供行為が、改造等の行為とされるということになります。

具体的な許可の要件としては、

プログラム等の適切な管理及び確実な改変並びにサイバーセキュリティを確保するための業務管理システムであって、下記(ⅰ)及び(ⅱ)に掲げる要件に適合するものを有すること

として

(ⅰ)プログラム等の適切な管理及び確実な改変を確保するための業務管理システムの要件
 業務管理システムは以下のプロセスを有すること。
・ プログラム等の改変による改造の対象となる車両を特定するためのプロセス・ プログラム等及びハードウェアの構成の互換性を検証するためのプロセス
・ プログラム等の改変による改造が他のシステムに及ぼす影響を評価及び記録するためのプロセス
・ プログラム等の改変による改造に関する情報を使用者等に通知するためのプロセス
・ 上記検証及び評価の結果、プログラム等の改変による改造の内容、当該改造の実施状況等の当該改造に関する情報を記録し、保管するためのプロセス
・ プログラム等の改変による改造の開始前において、改竄を合理的に防止するために当該改造が保護されることを確保するためのプロセス
・ プログラム等の改変による改造が運転中に行われる場合において、当該改造が車両の安全性に影響を及ぼさないことを評価するためのプロセス(1号申請者に限る。)
(ⅱ)サイバーセキュリティを確保するための業務管理システムの要件
 業務管理システムは、開発・生産・生産後の各段階が考慮されたものであること。
 業務管理システムにおいて使用される以下のプロセスにより、サイバーセキュリティが十分に考慮されることが確保されていること。
・ サイバーセキュリティを管理するためのプロセス
・ 車両に対するリスクを特定するためのプロセス
・ 特定されたリスクを評価、分類及び処理するためのプロセス
・ 特定されたリスクが適切に管理されていることを検証するためのプロセス
・ 車両のシステムのサイバーセキュリティをテストするためのプロセス
・ リスクアセスメントが最新に保たれていることを確保するためのプロセス
・ 車両へのサイバー攻撃、サイバーセキュリティに対する脅威及び脆弱性の監視、検出及び対応のためのプロセス並びに実施されたサイバーセキュリティを確保するための対策が依然として有効であるかどうかを評価するためのプロセス

となっています。

立会人型と3条Q&Aの関係をもう一回考える

電子署名法の2条の文言と3条の文言の関係を前のエントリですっきりさせました。

では、立会人型の電子契約サービスの関係は、どうなるのか、ということについて考えます。

立会人型のモデルの図です。

  1. 送信者 Aさんは、受信者Bさんのアドレスあてにこのアドレスで、契約書データに署名して、というメールを送り
  2. Bさんは、プロバイダCにアクセス
  3. プロバイダCに保存されているデータに、デジタル署名をします。

ここで、Bさんが、このドキュメントの成立について否定した場合について考えましょう。

  • この場合、上の1のメールが、Bさんを僣称する犯罪者Cによって受信され、その後の手続きは、犯罪者Cによってなされた、という主張もありえます(主張a)。

また

自分が受信して、手続きを行ったけれども、

  • 自分がみたデータは、一部だけであった(もしくは、別のデータを見せられた)(主張b)
  • データは作成されたけれども、その後、改竄された(主張c)

という主張がありかるかと思います。

主張aについては、3条推定効が、電磁的措置が、本人によってなされることが明らかにされるので、前提なので、これは、3条推定効の守備範囲ではないと考えられます。

主張bについては、技術的には、プロバイダーのサイトと行為者Bとの 間の通信の暗号化が不十分な場合については、可能でしょう(中間者攻撃の一種)。ただし、実際の運営では、行為者Bとの関係では、SSL通信がなされるので、技術的には、困難になるでしょう。

主張cについては、そもそも、電子署名は、改竄の検知機能が技術的に必須なので、電子署名である以上、主張として厳しいでしょう(技術的には、ハッシュ関数の確認です)。

こうやって考えていくとプロバイダCが、行為者Bがこう作成しましたと被署名データとプロバイダのデジタル署名を提示した場合において、行為者Bの電磁的措置に基づいて、上の被署名データ/デジタル署名が作成されていれば、この措置の一体性によって、あとは、SSL通信とデジタル署名の技術的な効果で、3条の推定効は、及ぶと解されることになるかと思います。

なお、3条Q&Aでは、ここで、2要素認証を取り上げてきます。

細かすぎるのですが、ここで、上のプロバイダの提示する被署名データ/デジタル署名について、Bがなした電磁的措置を契機として、一体としてなされているというのは、「電磁的措置が、本人によってなされる」ことになります。この事実は、3条の推定効の範囲の外であるように思えます。

この点については、何かの機会にもう少し考えていきたいと思います。

 

 

UNCITRALと比較して3条Q&Aをもう一回読んでみる

総務省・法務省・経済産業省の電子署名法を所管する三省の合同での「利用者の指示に基づきサービス提供事業者自身の署名鍵により暗号化等を行う電子契約サービスに関するQ&A(電子署名法第3条関係)について、ブログでは、「三省共同電子契約サービスQ&A(3条関係)を読む」で読んでみました。

そこで、「これを行うために必要な符号及び物件を適正に管理することにより、本人だけが行うことができることとなるもの」というのが、「暗号化等の措置を行うための符号について、他人が容易に同一のものを作成することができないと認められることが必要」としていることをもう一回考えてみます。

UNCITRAL 電子署名モデル法6条3項の4つの要件は、上のブログであげているとおりです。

ところで「電子署名」であることによって

  • (a)署名作成データは、利用されるコンテキスト内で、署名者にリンクされており、他の人物にはリンクされていないこと、
  • (c)署名後において、電子署名に対する変更が検出可能であること、
  • (d)署名を法的に必要とすることの目的が、署名に関連する情報のインテグリティに関する保証を提供することである場合、署名後にその情報に加えられた変更が検出可能であること。

の三つの要件は、満たされているのか、という問題に直面することになります。

(c)と(d)は、いいでしょう。「二 当該情報について改変が行われていないかどうかを確認することができるものであること。」という電子署名の要件に該当するものと考えられます。

(a)は、「一意的なリンク性」とでもいうべきものです。

電子署名法の要件の一つである

「一 当該情報が当該措置を行った者の作成に係るものであることを示すためのものであること。」

という要件は、何を意味するのか、という解釈問題があります。

これについては、比較法的な見地からは、「(作成者が)署名をするという意思を示すこと」であるという解釈をとることがてきます。英国2000年電子通信法7条や 米国の連邦法であるESIGN法は、このような立場でしょう(広義説としておきます)。

一方、これは、「署名作成データは、利用されるコンテキスト内で、署名者にリンクされており、他の人物にはリンクされていないこと」を意味する。要は、上の「一意的なリンク性」の要件とでもいうべきことができます(狭義説としておきます)。ちなみにこの要件の解説では、

(a)項では、署名作成データの客観的な特徴に焦点を当てており、「署名者とそれ以外の者との間にリンクしていない」ことが求められています。技術的な観点からは、署名作成データは、それ自体が「一意」でなくても、署名者と一意に「リンク」されている可能性があります。署名の作成に使用されるデータと署名者との間のリンクは、本質的な要素です。そのデータは、各電子署名の文脈において、一人の利用者を明確に識別することができなければなりません。

ということになります(電子署名モデル法の解説・パラ121)。

2条の解釈論としては、上の二つの解釈がどちらであってもあまり意味はありません。というのは、制定法によって「電子署名」が利用されている場合には、各制定法の解釈の段階で議論されるので、その制定法の趣旨にしたがって解釈されればいいからです。(制定法との関係については、「制定法における電子署名の概念」のエントリを参照のこと)

ちなみに、この解釈上の論点は、ブログでは、上記の広義説をとっておきました。一方、「即実践!!電子契約」では、狭義説をとっておきました。

ここで、3条Q&Aをみてみます。3条Q&Aは、3条推定効のために「暗号化等の措置を行うための符号について、他人が容易に同一のものを作成することができないと認められることが必要」としています。そして、この要件は、3条の推定効の場合に初めて問題になるという表現をしています

では、「暗号化等の措置を行うための符号について、他人が容易に同一のものを作成することができないと認められること」(「固有性の要件」といっています)というのは、上記の一意的なリンク性の要件との関係でどのようになるのでしょうか。署名作成データが、「他人が容易に同一のものを作成することができ」るような場合については、一意的なリンク性の要件については、これを満たさないと解されるでしょう。

すなわち、3条Q&Aは、一意的なリンク性の要件は、2条電子署名の要件ではないと解していることになります。

これをわが国でなされている押印の印影のpdfについて考えてみましょう。印影のpdfは、それ自体として、押捺した人からみれば、一意的なデータになります。しかしながら、これを第三者が、たとえば、送信メールを途中で取得し、コピーして、自分の文書にコピー&ペーストすれば、第三者が、簡単に、その対象ドキュメントの作成者たることを示すことができます。その意味で固有性の要件はみたさないことになります。

ここで、

「これを行うために必要な符号及び物件を適正に管理することにより、本人だけが行うことができることとなるものに限る。」

というのは、どういうことか、ということを考えてみましょう。

まず、「必要な符号及び物件を適正に管理する」というのは、UNCITRALの6条3項の要件の

(b)署名作成時のデータは、署名時において、署名者の管理下にあり、他人の管理下にないこと

というのを思い出させます。この要件は、上でふれた解説によるとき

(b)項は、署名作成データが使用される状況について規定しています。署名作成データが使用される時点では、署名者の単独管理下になければなりません。署名者の単独支配という概念に関連して、署名者が署名作成データを他人に使用させる権限を保持しているかどうかが問題となります。企業がデータを共用している場合においては、署名人たる組織が関連しており、署名作成データを管理していることになるでしょう。そうでなければ、電子署名モデル法は、取り扱う問題ではない(パラ122)。

とされているところです。

でもって、ここで、「ことにより、本人だけが行うことができることとなるもの」という用語の意味が問題です。この文言が、性質的に上記の一意的なリンク性を示していると解釈することができると思われます。すなわち、電子的措置の措置によって「署名者にリンクされており、他の人物にはリンクされていないこと」が技術的に確かにされていることを意味するということになるかと思います。

何回か、示した図をもう一度みてみます。

この図は、実は、「即実践!!電子契約」と違っていたりするわけです。(そこでは、2条の要件のなかで、上の一意性のリンクを読み、3条の「これを行うために必要な符号及び物件を適正に管理することにより、本人だけが行うことができることとなるものに限る。」というのを具体的な状況のもとにおいて、署名作成データ等が、署名時においてに、適正に管理されていたことと解していました-2条・3条ともに信頼できる電子署名の要件を定めており、3条が、署名作成データの管理を追加することにより裁判における効果を定めたという立場でした)

「即実践!!電子契約」の説を改説して、2条が広範で、3条が信頼できる電子署名を定めたものとすることにします。

結局、わが国の電子署名の概念は、

広義の電子署名の概念(2条)

  • 「署名者の表示(2条1項1号)」
  • 「改変の確認の可能性(同2号)」

3条の電子署名

  • 「固有性」(もしくは、「一意のリンク性」)の追加

がなされ、さらに、具体的な

  • 署名作成時のデータが、署名時において、署名者の管理下にあること

が、署名の文脈のもとで明らかにされることによって3条の推定効が及ぶものとされるということになると考えます。

3条の推定効が、電磁的措置をなした者が特定されているのを前提に、その者のなした措置によって改竄がなされていないこと、と、その対象データ「全体」に対して、措置をなした者の意思が現れているとすること、を意味するというのは、「三省共同電子契約サービスQ&A(3条関係)を読む」でみました。

電子署名の効果は、作成者の特定と内容に対する作成者の承認という二つの意味があるわけです。

この作成者の特定は、上でふれたように3条推定効の問題ではありません。もっとも、デジタル署名において、デジタル証明書が付されていて、それが、措置者の実在等を前提とした証明書であれば、特定にきわめて役立つことがあるでしょうが、それは、3条推定効の範囲ではないわけです。

内容に対する作成者の承認という意味は、対象データにたいしての署名(電磁的措置)ではなかったという主張、措置は、自分がなしたが、措置が技術的に、なりすましを許容するものであったという主張を否定するものになります。(推定に対する抗弁か?)

いままで、2条の解釈と3条の解釈との関係、もしくは具体的な文言の意味を比較法的に耐えうる形で提示できていなかったのですが、これで、すっきりしたように思えます。

デジタル通貨、厳格規制求める 欧州5カ国、「リブラ」は困難か

「デジタル通貨、厳格規制求める 欧州5カ国、「リブラ」は困難か」という記事が出ています。

この記事の元は、AP通信の「EU heavyweights seek strict rules for digital currencies
Associated Press SEPTEMBER 11, 2020 — 9:35AM」だろうと思われます。

でもって、宣言の原本は、こちら。

翻訳します。

————-

資産担保型暗号資産(いわゆる「ステーブルコイン」)に関する共同声明

1. 理事会と欧州委員会が2019年12月5日の共同声明で概説したように、資産担保型crypto-assets(いわゆる「Stablecoins」)の取 り決めは、金融の安定性、決済システムの安全性と効率性、公正な競争、欧州連合における既存の金融・通貨 秩序および金融主権を損なうものであってはならない。したがって、資産担保型暗号資産を取り扱うためのすべての選択肢を検討し、法的、規制、監督上の課題と リスクが適切に特定され、対処されるまでは、欧州連合内で世界的な資産担保型暗号資産の取り決めの運用を開始すべきではない。

2. 我々は、欧州委員会が発表した2020年第3四半期のCrypto-Assetsの規制提案に期待し、資産担保型Crypto-Assetsのための正確で安定した規制枠組 みを提供し、必要に応じて、すべての前提条件を満たしていないものを禁止するという欧州委員会の意図を全面的に支持するものである。暗号資産の提案の目的が、決済分野における欧州の影響力を強化し、経済的自律性を強化するための小売決済戦略の目的と慎重に一致していることが非常に重要である。

3. 共同声明を実施するにあたり、我々は、EUにおける資産担保型の暗号資産の規制枠組みは、次の2つの重要な優先事項を果たすべきであると固く信じている。そのために、EUの法制度は、以下の一般原則を中心に構築されるべきであり、さまざまな種類の資産担保型 crypto アセットに適切に適用されるべきである。

  • 作成された資産担保型 crypto アセットの各単位は、法定通貨と 1:1 の割合で交換される(pledge)ものとする。
  • 準備金の対象となる資産は、適切な保護措置が講じられていることを条件に、欧州連合の承認を受けた信用機関に預託された預金、または一部の流動性の高い資産に限定するものとする。
  • 準備金の対象となる資産は、ユーロまたはEU加盟国の通貨建てとし、他の準備金とは別に保有し、為替レートリスクを回避するために非換金性のものとする。
  • 支払目的で広く使用されることを意図した資産担保型暗号資産の場合、利用者は、いつでも額面金額で資産担保型暗号資産を法定通貨に換金できるように、利用者は準備金と発行者に直接請求権を持つものとする。
  • EU 内で資産担保型 暗号資産 スキームの一部として運営されているすべてのエンティティは、活動を開始する前に EU 内で登録されなければならない。

4. さらに、EU の法律は、AML/CFT および公正な競争の観点から、資産担保型暗号資産が発生させる可能性のある特定の問題に適切に対処すべきである。EU 内で活動する資産担保型暗号資産の取り決めのすべてのタイプのサービス提供者は、GDPR の要件を 満たさなければならない。


わが国では、制定法まで仮想通貨を暗号資産と呼び変えてしまって、個人的には、論文のアップデートが大変になっていますが、AP通信的にもデジタル通貨というほうがピンとくるのかなあと思っています。

上のステートメントは、リブラ対応ということなのかと思いますが、個人的には、FB が、EU以外で始めるという選択肢をとんたらどうなるのかなと思ったりしています。もっともリブラは、欧州も抱き込んで始めようとしたので、なかなか、そういう選択肢はないでしょうが。

あと、調べていたら、ECBのLagarde総裁のスピーチが9月10日にあったりしていますね。このスピーチは、いろいろと論文を引用文献にしていたり興味深かったりします。メモまで。

西貝吉晃「サイバーセキュリティと刑法」

西貝吉晃千葉大学准教授から、「サイバーセキュリティと刑法」の献呈をいただきました。ありがとうございます。

無権限アクセスについての国際的な状況を理解して、今後のわが国における立法論、解釈論への示唆を与えてくれる本です。

特に、コンピュータ・データの機密性を保護法益に昇華すべきであるという見解は、興味深いところがあります。(私は、コンピュータシステムの機密性とするところです。)

比較法を満遍なく研究し、わが国の解釈・立法の示唆とする立論は、非常に参考になると思います。

アマゾンは、こちらです。 専門書ではありますが、不正アクセスと刑法を語る者には、必須の本であろうと思われます。お薦めします。

三省共同電子契約サービスQ&A(3条関係)を読む

9月4日に総務省・法務省・経済産業省の電子署名法を所管する三省の合同での「利用者の指示に基づきサービス提供事業者自身の署名鍵により暗号化等を行う電子契約サービスに関するQ&A(電子署名法第3条関係)」が公表されています。公表のページは、こちらです。

「即実践!!電子契約」(日本加除出版)にも関連するテーマなので、当社のブログでも、電子署名法をめぐる解釈については、たびたびとりあげてきました。

当社のブログでは、比較法的な見地から、電子署名法の制定や解釈の変遷を追うということで、

(1)制定時においては「技術的中立性」に対して非常に注意が払われており、世界的には、とくに、UNCITRALやシンガポールの規定の影響が強いものと考えられること

(2)2条の電子署名と3条の電子署名の概念は、別個のものであること

などについて、フォーカスしたところかと思います。これらの点は、上記の「即実践!!電子契約」でも取り上げてきたところです。

一連のブログにおいて、3条の電子署名については、特に「7月2日の「規制改革推進に関する答申」と電子署名」というエントリで触れておきました。

そこでは、真正性 (authenticity)と認証(authentication)に関するリスクを低減するサービスをという観点から、3条推定効を「技術的効力によって、一定の技術的措置がなされた場合に、それが、他人による変更・改竄を受けていないこと、そして、そのメッセージ全体に対する本人の確認の意図がなさたことを明らかにすることを確かにすること」という観点でとらえることとして、私の周波数と、明らかにされるであろう解説が一致するのか、という問題提起をしておきました。

ここで「周波数が一致するのか」といっていたのは、そもそも、立会人型を「利用者の指示に基づきサービス提供事業者自身の署名鍵により暗号化等を行う電子契約サービス」(長いので、以下、立会人型とします)と表現していたりして、国際的なセンスがなさそうだったのに懸念をもっていたのです。

ということで、このような観点から文章を見ていきましょう。

タイトルについては、さておきます。

まずは、このサービスについて「電子契約において電子署名を行う際にサービス提供事業者が自動的・機械的に利用者名義の一時的な電子証明書を発行し、それに紐付く署名鍵により暗号化等を行う電子契約サービスを含むものとする。」という解説をしています。

この文言についていえば、「利用者名義の一時的な電子証明書を発行」といっていますね。この電子証明書が「利用者名義」であるか、という問題があるでしょうね。利用者の作成にかかるという第三者の宣誓書みたいなのですので、法律的には、利用者「名義」ではないでしょうね。「利用者作成にかかるという」あたりに修正すべきでしょ。

「国際標準との整合性や他の国の制度との調和なども踏まえた検討を行う必要がある。本Q&Aの作成に当たっても、国際標準との整合性等の観点も踏まえ、検討を行った」ということだそうです。方向性としては、いいですね。

問1です。

電子署名法第3条における「本人による電子署名(これを行うために必要な符号及び物件を適正に管理することにより、本人だけが行うことができることとなるものに限る。)」とは、どのようなものか。

というのが問いです。

この問について、Q&Aは、まず、3条の電子署名が、2条の電子署名についての要件を過重しているものであることを認めています。

では、3条の効果は、実際に、何で、それを可能にする効果というのは何なのでしょうか、という問題になります。

事実の認定については、ア)誰が、イ)どのような資料に基づいて、ウ)どのような事実を、エ)どのような基準で、判断するのか、という問題があるわけです。

3条は、裁判での規範ということになるので、「誰が」というのは、裁判官が、ということになります。そうだとするとこの場合は、民事事件についての話でしょうから、「証拠資料の無制限」のもと、証拠の優越(これは、エ)に関連する)で、その文書が、(a) 特定人の意思を表示するものであって、 (b)その文書の内容を作成者が承認したことを確認すること、が判断されることになります。

 

特に、一定の定めがない場合については、データメッセージの発信者と受信者の間での

  • (a)各当事者が使用する機器の高度化
  • (b)取引活動の性質
  • (c)当事者間で行われる商取引の頻度
  • (d)取引の種類と規模
  • (e)所定の法定・規制環境における署名要件の機能
  • (f)通信システムの能力
  • (g)設定された認証手順の遵守
  • (h)仲介者が提供する認証手続きの範囲
  • (i)貿易慣習や慣行の遵守
  • (j)未承認のメッセージに対する保険適用の仕組みの有無
  • (k)情報の重要性と価値
  • (l) 代替的な識別方法の利用可能性及び実施コスト
  • (m)識別方法が合意された時点及びデータメッセージが伝達された時点における関連業界又は分野における識別方法の受入れ又は不受入れの程度
  • (n) その他の関連する要因

などを考慮に入れて、判断がなされることになります。これらの要因は、電子商取引に関するUNCITRALモデル法制定の手引き、パラグラフ53及び56-58)。53 及び 56-58)で論じられています。

では、「推定効」というのは、どういうものか、というと、これらの諸般の事情のうち、「電子署名」がなされているということのみであって、事実認定をしても経験則に反することはないのが一般ということなのだろうと思われます。

3条推定効については、「電子署名が本人すなわち電子文書の作成名義人の意思に基づき行われたものであることを要求する」のが前提ということになるので、上の「(a) 特定人の意思を表示するもの」については、その電子署名自体ではなくて、上記の総合的な判断によってこの要件事実が証明されることが必要になるということになります。(要は、この推定効は、「文書の作成者を特定すること」という要件にはおらばないということです)。

では、このように考えたときに、3条の推定効は、その電子署名自体から、「文書の内容を作成者が承認したことを確認」することがてきるという意味になります。だとすると、「文書全体」に対する措置がなされていること、その作成者の措置であることが確かにされること、改変があれば、それが検知されること、などの対応がなされていることが必要になるのかと思われます。

翻ってQ&Aをみていきます。Q&Aは、ここで、「暗号化等の措置を行うための符号について、他人が容易に同一のものを作成することができないと認められることが必要」としています。

比較法的にみたときにUNCITRAL 電子署名モデル法6条3項の要件は、4つの要件をあげています。

(a)署名作成データは、利用されるコンテキスト内で、署名者にリンクされており、他の人物にはリンクされていないこと、
(b)署名作成時のデータは、署名時において、署名者の管理下にあり、他人の管理下にないこと、
(c)署名後において、電子署名に対する変更が検出可能であること、
かつ
(d)署名を法的に必要とすることの目的が、署名に関連する情報のインテグリティに関する保証を提供することである場合、署名後にその情報に加えられた変更が検出可能であること。

3条の電子署名が、一定の技術的措置であって、上記効果を満たすために一定の技術的措置がなされていなければならないのは、そのとおりであると考えられます。

ポイントとしては、署名者のなしている電子署名という技術的措置が、本人による措置であることが明らかになっている場合に、「その措置は自分のものであるが、改竄されているとか、他の人がかってに作成したものである」というのは、どういうものか、ということになるかと思います。

このためには、「暗号化等の措置を行うための符号について、他人が容易に同一のものを作成することができないと認められること」というのは、そのとおりということになるかと思います。ただし、これは、そのことが必要であるというだけで、それだけで十分であるということにはならないでしょう。

なお、この部分については、追加のエントリ(UNCITRALと比較して3条Q&Aをもう一回読んでみる)があります

—-

問2では、このような3条の推定効と「立会人」型の電子契約サービスの関係が質問されています。

Q&Aでは、2条電子署名との考え方について、利用者からみて事業者が「道具であること」をもとに、立会人型でも電子署名に該当するとしています。

同サービスの提供について、技術的・機能的に見て、サービス提供事業者の意思が介在する余地がなく、利用者の意思のみに基づいて機械的に暗号化されたものであることが担保されているものであり、かつサービス提供事業者が電子文書に行った措置について付随情報を含めて全体を1つの措
置と捉え直すことによって、当該措置が利用者の意思に基づいていることが明らかになる場合

というのが、その全体的に見て道具理論の部分です。

私のブログでは、2条で考える限り、利用者の技術的措置といえるであろうと考えていて、わざわざ、事業者の電子署名にこだわる必要はないだろうとしていたところです。

ただ、2条の電子署名が、署名の意思の表示のみでいいかというのは、解釈論としては、微妙だろうなと思っていて、文言としては、むしろ、上のUNCITRALの要件を満たすものを制定法上の電子署名といっているのではないか、という解釈論もありうるかなと思っていたところです。

それはさておき、Q&Aは、3条の推定効は、「符号について、他人が容易に同一のものを作成することができないと認められること」が必要であるとしています。

私の見解からいうと、「ドキメュントについては、改竄されているとか、他の人がかってに作成したものである」という主張を否定しうる技術的なレベルなので、必ずしも、上の要件のみで十分であるということとは思えませんが、その要素が必要な一つであるということはいえると思います。

Q&Aは、この要件を「固有性の要件」とよびかえています。「システムやサービス全体のセキュリティを評価して判断されることになると考えられる」として、この部分は、そのとおりですね。

「当該事業者自身の署名鍵により暗号化等を行う措置について、暗号の強度や利用者毎の個別性を担保する仕組み(例えばシステム処理が当該利用者に紐付いて適切に行われること)等に照らし、電子文書が利用者の作成に係るものであることを示すための措置として十分な水準の固有性が満たされていると評価できるもの」ことが必要とされています(6ページ)。

一般に、事業者は自ら、デジタル署名をするので、そのデジタル署名の効力がこの部分は確保されていますね。

むしろ、一番大切なのは、その署名が本人の作成にかかる(上のa) の要素)というのについては、推定の効力が及ばないです、ということのような気がします。

Q&Aは、きちんと読まないと、そのような分析をしないで、「事業者型は3条電子署名です(!!)。」というマーケ的利用が多発するような気がしています。


Q&Aのに要素認証の部分は、むしろ、署名が本人の作成にかかる(上のa) の要素)という部分ではないか、という疑問を呈したエントリを後日作成しています

—-

きちんと、問4において

電子署名法第3条の推定効が認められるためには、電子文書の作成名義人の意思に基づき電子署名が行われていることが必要であるため、電子契約サービスの利用者と電子文書の作成名義人の同一性が確認される(いわ
ゆる利用者の身元確認がなされる)ことが重要な要素になると考えられる。

と断り書きがなされています。要は、その部分は、推定効ではなくて、上の証拠資料の無制限のもとでの自由心証主義による立証課題ですということなのですが、その部分が、正しく理解されるのか、という問題があるわけです。

ところで、このQ&Aに参考文献が付されています。

NIST、「NIST Special Publication 800-63-3 Digital Identity Guidelines」、 2017 年 6 月

経済産業省、「オンラインサービスにおける身元確認手法の整理に関する検討報告書」、 2020 年 4 月

各府省情報化統括責任者(CIO)連絡会議決定、「行政手続におけるオンラインによる本人確認の手法に関するガイドライン」、 2019年 2 月

これらをみると、実際には、その署名が本人の作成にかかる(上のa) の要素)という要件の立証についてのリスク分析と対応が一番の論点なのだろうなと思い出しています。

これらのドキュメントは、機会があったら分析してみたいと思っています。

 

 

 

 

 

「即実践!!電子契約」が、アマゾンの民事法分野で売上ランク1位になりました

当社代表取締役 高橋郁夫が筆頭編集者をしました「即実践!!電子契約」(日本加除出版)が、9月2日に、アマゾンの民事法部門で、売り上げランキング1位を記録しました。

そのときの、画面キャプチャです。

規制改革推進会議等における押印の意義やその見直しの議論をも踏まえた上で、電子契約プラットフォームの利用の際の手引きになるようにと作成しました本です。

ぜひとも購入いただけると幸いです。

アマゾンのページは、こちらです。

ランキングのページはこちら(これは、変動しています)

 

「IoT・5G セキュリティ総合対策 2020」について

総務省サイバーセキュリティタスクフォースから、「IoT・5G セキュリティ総合対策 2020」が公表されていますので、ちょっとメモします。

これは、2019年の「IoT・5G セキュリティ総合対策」の改訂版ということになります。2019年版が、

①5G の開始に伴う新たなセキュリティ上の懸念
② サプライチェーンリスクの管理の重要性
③ Society5.0 の実現に向けた適切なデータの流通・管理の重要性
④ サイバーセキュリティにおける AI の利活用の重要性
⑤ 大規模な量子コンピュータの実用化の可能性
⑥ 大規模な国際イベント等の開催

としていたのに

① COVID-19 への対応を受けたセキュリティ対策の推進

② 5G の本格開始に伴うセキュリティ対策の強化

③ サイバー攻撃に対する電気通信事業者のアクティブな対策の実現

④ 我が国のサイバーセキュリティ情報の収集・分析能力の向上に向けた産
学官連携の加速

という2020年段階での新たな課題を加えて、改定されたところです。

「Ⅲ 情報通信サービス・ネットワークの個別分野のセキュリティに関する具体的施策」

  •   (1)IoT のセキュリティ対策
  • (2)5G のセキュリティ対策
  • (3)クラウドサービスのセキュリティ対策
  • (4)スマートシティのセキュリティ対策
  • (5)トラストサービスの制度化と普及促進
  • (6)無線 LAN のセキュリティ対策
  • (7)重要インフラとしての情報通信分野等のセキュリティ対策
  • (8)地域の情報通信サービスのセキュリティの確保
  • (9)テレワークシステムのセキュリティ対策
  • (10)電気通信事業者による高度かつ機動的なサイバー攻撃対策の実現

「Ⅳ 横断的施 策」

  • (1)研究開発の推進
  • (2)人材育成・普及啓発の推進
  • (3)国際連携の推進
  • (4)情報共有・情報開示の促進

という項目で整理がされています。

個別の政策については、総務省のここの政策として、それぞれで、議論されているところです。

個人的には、政府機関等の情報システムにおけるクラウドサービスの調達に関しては、「政府情報システムのためのセキュリティ評価制度」(通称 ISMAP: Information system Security Management and Assessment Program)を抑えておきたいと考えています。