山本龍彦先生の「情報自己決定権の現代的な課題」でブログをとりあけていただきました

一般財団法人情報法制研究所(JILIS)の【第4回情報法制シンポジウム】テーマ4「プライバシー・COVID-19・デジタルプラットフォーム」におげく山本龍彦先生の「情報自己決定権の現代的な課題」で、当社のブログの 「EU、揺らぐプライバシー信仰」と「邪教としてのデータ保護教」(現在は、共に、キンドル本「新型コロナウイルス対プライバシー」にて収録)をとりあげていただきました。(1時間11分過ぎから)

興味深い講演の流れのなかで、とりあげていただけたことは光栄です。

データ保護教とデータ活用教とが宗教戦争になっているという認識とのことですが、個人的には、そのようには思っていなかったりします。

プライバシーの合理的な期待があり、それをバランスよく保護していくということが重要であるということは、たぶん、幅広い合意ができていると考えています。

そこで、現代社会において、「データを保護する」という法的構成を取っているということも理解しています。

問題はそこからで、

(1)守られるべき利益が何かが定義されていないで、法的構成のみを追い求めているのを「データ保護教」と定義しています。

(2)そして、「データ保護教」は、接触追跡アプリにおける他の憲法上との価値との衝突において、他のより侵襲的でない手段がある場合には、過度な制限であるとして、そのような手法を認めないとしています。

(3) (2)は、他の憲法上の価値との関係で、「データ保護の最も優越的な地位」を認めてる立場と理解しています。

(4) このような立場は、プライバシーのバランスのとれた保護という立場のもとで、「データ保護」というアイコンを信奉するものであって、もはや邪教に値する

というのが私の立場です。

私の立場では、「データの活用を求める」というのは、コンタクトトレーシングにより感染症拡大防止の価値に合理的な関連性を求める手法として、データを取得・利用することを求めるのであって、それが、宗教たるレベルになっているとは、あまり思えないところです。

(それを宗教というのであれば、信者たることを誇りこそすれでありますが。)

わが国のCOCOAが、プライバシー保護という観点から、万が一の場合にも何の役にもたたないねとして26頁スライドの「不穏なシナリオ」に向かっているように見えるというのが私の意見です。

疲れるのでやめましょうというのは、そのとおりだと思います。ただ、その方法論ですね。

その制約の合理性・必要性を冷静に衡量していきましょう

ということですが、では、その手法としてどのようにするのか、それを「データ保護教」は提案できているのでしょうか、というのが私の問題意識です。

私の立場からは、プライバシーの利益を人間の平穏に過ごす精神的な利益と定義することによって、それを測定することができること、また、きわめてコンテキストによってそれが左右されることを論証しようとしています。

データ保護教は、この衡量をブラックボックスのなかで、密教として、行っているのではないか、利益の明確化がなされいないまま論を進めていれば、事実の確認・エビデンスの取得さえもできないではないか、というのが、根本的な疑問です。

スライド28頁ですが、個人的には、「データ保護を語るのがファッション」になっているというのが、私の認識なので、そこが根本的に違いますね。プライバシーパラドックスのもとで、「語る」ときのプライバシーの価値と実際の感覚上の価値とは、多いに異なるので、それをもとに、どのような手法で「冷静に衡量」するのがいいかという手法に議論のメインが移るといいなあと思っています。

「止めを刺すツール」というのは、議論を呼べたので良かったですね。エビデンスに基づいた政策決定というのは、流行というよりも科学的な態度で、これがファッションだとすれば、むしろ、スタイルというべきものですね。

ファッションは、

今日、流行ったものは明日には消える(by Project Runway)

のですが、スタイルは、普遍のものです。

指導理念は何かを真剣に検討する時期に来ている

というのは、本当にそう思います。でもって、データ保護の指導理念って何になったんですか? データの保護を求める権利っていって(曽我部先生の1時間29分あたり)も、結局、それは、法的構成としてデータを保護するのものとしていますということで何も進歩していないような気がしています。意見が一致するところと異なるところが明らかにできたのであれば、幸いです。

 

 

立会人型の電子契約サービスの位置づけについての「書面規制、押印、対面規制の見直しについて」 の示唆

6月22日の規制改革推進会議において「書面規制、押印、対面規制の見直しについて」という書面が公表されています。

ここで電子署名法の解釈について興味深い記述があります。立会人型のサービスを利用したとしても、取締役会議事録に付された取締役の電磁的措置は、電子署名になるとした連絡は、このブログでも紹介したところです。

これについて「2.民民間の商慣行等による手続に関するもの」の「(2)電子署名の活用促進①」のところで、立会人型のモデルについて

サービスの利用者が作成した電子文書について、サービス提供事業者自身の署名鍵による暗号化を行うこと等によって当該文書の成立の真正性及びその後の非改変性を担保しようとするサービスであっても、当該サービスの利用者の意思に基づきサービス提供事業者の判断を交えず機械的に行われることが技術的・機能的に担保されたものがあり得るところである。

と整理されました。

私のブログでは、法務省が、

「電子契約事業者が利用者の指示を受けて電子署名を行うサービス」は,電子契約事業者が自ら電子署名を行うサービスであって,当該サービスによる電子署名は,電子契約事業者の電子署名であると整理される。

と整理したのがおかしいのではないかと指摘したところです。利用者からみるべきで、利用者も画面を確認してクリックするという措置をしているので、それを素直に「電子署名(広義)」とみればいいのではないかと指摘していました。

この利用者から見れば、いいのではないかというのに対応するように、「利用者の意思に基づきサービス提供事業者の判断を交えず機械的に行われることが技術的・機能的に担保されたものがあり得る」ということに注目するようになりました。ということで、デジタル署名概念に引きづられた電子署名概念ではなく、電子署名法成立時のアメリカESIGN法や欧州の電子署名指令などの広義の電子署名概念と、対応するようになっているように思えます。

このようなサービスに関して、電子署名法第2条第1項第1号の「当該措置を行った者」の解釈において、当該サービスの対象となる電子文書に付された情報の全体を1つの措置として捉え直してみれば、当該サービスの利用者が当該措置を行ったと評価できることについて、その考え方を明らかにするQ&A等を関係省庁(総務省、法務省、経済産業省)が作成する。

「電子文書に付された情報の全体を1つの措置として捉え直してみれば」という表現がよくわからないところですが、要は、契約文言の書いてあるドキュメントがあって、そのドキュメント全体にふされた「合意します」の画面へのクリックを一つの措置ととらえるという見方のように思えます。

ちょっと、自分の考え方に寄せすぎているのかもしれませんが、Q&A等がでてくるのを楽しみにしています。

実は、今、このあたりの動向をまとめて、しかも、電子署名法成立時の比較法の資料を加えて「電子署名法の数奇な運命」という名称の原稿をまとめています。そういうことがありますので、比較法時の資料とずれることがないようにお願いしたいと思います。

ちなみに、竹田御眞木「電子署名法の概要と動向について」(登記研究675,2004)が国会図書館から届いたのですが、2条1項の概念がどのくらい広かったのか、というのを詳しくは説明していませさん。同氏の論文は、長いのもあるので、それも取り寄せ中です。

金融業界における書面・押印・対面手続の見直しに向けた検討会(第2回)の資料

第2回「金融業界における書面・押印・対面手続の見直しに向けた検討会」議事次第です。

この回は、電子契約プラットフォームのそれぞれのご説明ということかと思います。

電子契約プラットフォームについては、どのようにモデルを分類するのかという問題があります。

当事者が、デジタル署名を使うかどうか、また、ドキュメントがローカルかどうか、クラウドに保存するかどうか、また、クラウドでも個人の真正性担保のためにどの程度の確認労力を使うかで、分かれるかと思います。モデルとして、実際に行われるのは、ローカルのデジタル署名、立会人型、リモート署名型かなと考えています。

でもって、この検討会は、それぞれ、ドキュメントがローカルな型(帝国データバンク)、リモート署名型(セコムトラストシステムズ)、立会人型(弁護士ドットコム)となっていて、勉強になります。

「⾦融業界の手続における電子化について  押印不要化に貢献する電⼦署名」の資料です。

個人的には、法人代表者として、TypeAを従来、保有しておりました。いろいろと必要書類を送って、個人が受け取るので、受領した記憶があります。

あと、DigiCertで、Class2の電子認証サービスがあるんですね。知りませんでした。classについては、このページがいいですね。電子メールアドレスの認証で、どうのと若い先生からいわれたときに電子メールアドレスの認証ってしょせんは、そのアドレスから認証されるだけですよといったのですが、通じなかったという苦い思い出があるのですが、このページを次には紹介することにします。

法的な効力としては、行政機関への電子申請に使えますね。入札の申請に使おうとして保有しました。

また、実際の利用状況としては、ローカル署名とリモート署名の双方に対応するということが紹介されています。

ローカルだと、関係先が多くない組織間において利用回数が少数の場合に適して、一方、リモート署名は、利用回数が多大である場合、関係先が多い場合に適するとされています。

なお、電子署名法の改正についての意見も記載されています。「物件」の解釈問題について、物件は、批判が誤解しているといっています。この点は、私も同意見です。

立会人型を「クラウド署名」の「第三者による署名タイプ」という表現をしていますね。ここら辺は、現場の人たちが用語にもっと、注意を払ってもらいたかったりするところですが、マーケ的な要素がはいって、自分たちのこそが「電子署名」といいたいのだろうと見えます。ただ、それが「数奇な運命」を引き起こしたものなのですが。

法的なものについての要請については、電子署名法に認証用途を追加すべきという表現があります。個人的には、これは、今後、考えてみます。

次は、「リモート署名サービスについて」です。

J2TAの定義でもって、リモート署名の定義がなされていすま。

リモート署名事業者のサーバに署名者の署名鍵を設置・保管し、署名者の指示に基づきリモート署名サーバ上で自ら(署名者)の署名鍵で電子署名を行うサービス

特色として

・リモート署名サービス(「セコムあんしんエコ文書サービス」など)に利用申請するだけでワンストップで利用可
・別途本人確認が不要。金融機関の口座開設や融資契約審査時の本人確認に基づき、高い信頼レベルの電子証明書と秘密鍵を自動発行(金融機関へ登録された印鑑と同レベルの信頼性)
・メールアドレス認証ではなく、2要素認証(ID/パスワード+ワンタイムパスワード)により本人が電子署名
を行うため、書面への記名・押印と同レベルの証拠力を持つ(※1)
・会社のPCやメールアドレスからのアクセスに限定されないため、リモートワークが可能

とされています。典型的なモデル図は、3ページですね。金融機関と利用者がいて、ともに、リモート署名型電子契約サービスで電子契約サービスのプラットフォームの上で合意をしています。

また、アレンジとして、クラウド上ではなく、金融機関のローカルで、リモート署名をする、利用者からは(ネットの向こう側ではありますが)、金融機関にとっては、ローカルな場合もありますすね。この場合の署名については、クラウドが使われることになります(4ページ)。

この部分は、いままで、リモート署名は、当然にクラウド上のドキュメントに署名するよねといっていたのですが、訂正します。

また、リモート署名ガイドラインで、レベル1からレベル3までが紹介されています。それぞれ、「最低限必要なレベル」「認定認証業務と同等の信頼性レベル」「eIDASの適格電子署名と同等レベル」に対応するそうです。

この資料によると適格電子署名について、欧州の適格電子署名と同等性を確保するためのプロジェクトが進んでいるそうです。興味深いです。あと、相互運用の実証実験が開始されています(10ページ)。

まとめは、11ページです。結局は、電子契約サービスは、サービス利用の文脈(コンテキスト)に応じて、利用者にとって最適なものをお選びください、ということになります。きわめて当たり前のメッセージなのですか、「電子署名」という用語の混乱とも相まって、うまく伝わっていないというのが私の感想ですね。

業務の重要度に応じて、電子証明書の審査レベル(松、竹、梅)や組織証明書を選択することで簡易的な利用から重要業務への利用へ応用可能
(簡易利用例:eシールによる証書配信、重要利用例:融資契約の電子締結)

JT2Aの「リモート署名ガイドライン」では3つのレベルが示されており、適用する業務の重要度に応じて、適切なレベルのサービスを選択することが重要。ただし、(上位レベルのサービスで下位レベルの業務への利用は可能)(簡易利用:Level 1、重要利用:Level 2、国際利用:Level 3)

個人的には、上の帝国データバンクさんとも合わせて考えると、業務の重要性がキモになって、利用者同士の取引関係、利用回数、公的機関への利用の可否、その他を考えましょうということになるかと思います。

次は、弁護士ドットコム「電子契約「クラウドサイン」のご紹介」です。

クラウドサインは、自分たちのサービスを

 受信者がメール認証を経て同意すると、弁護士ドットコムが、書類に電子署名と認定タイムスタンプを付与する

仕組みと定義しています。当事者は、弁護士ドットコムの行為に対する同意でしかないと考えています。個人的には、このプラットフォーム上で、契約の相手方と同意しているようにおもえるのですが、これは、あまり意味がないと考えているようです。理由は、よくわかりません。

認証については、二段階認証(具体的な手法は、調べてません)やIP制限も可能だといっています。個人的には、アドレス保持者がssl通信をするあたりは、私たちの世代だとインパクトがあるのですがスルーされています。

あとは、タイムスタンプ・デジタル署名によって、非改ざん性を担保することが書かれています。「署名日以降、改ざんされていないことを公開鍵暗号技術によって、技術的な担保します」と説明されています。まさにそのとおりですね。

あと、興味深いのは、28ページ、2条電子署名を署名者表示機能と改ざん検知機能にわけて説明するところでしょうか。これは、私も大賛成です。

「署名者表示機能」について、表示していればいい、というか、私の解釈の立場は、ある程度のリンクがあればいい、意図があればいいという立場です。2条電子署名ですよ、といってます。クラウドサインさんは、前は、自分たちの立場を「電子サイン」で「電子署名じゃない」といっていたのを、豹変したように思います。個人的には、いいと思います。

30頁で、「印鑑ならタダなのに」というのがなかなか秀逸かなあと思ってみてました。

Q4の「認定認証業者」でないのは、なぜかというのを時代のせいにするのは、誤導の可能性がありますね。

高度な電子署名(セキュアな電子署名)の代表例を認定認証業者にして、3条電子署名の代表例とするという建て付けなので、高度な電子署名の一つの要件である「表示者の署名」であることの技術的担保を欠いているので、ここの建て付けが変わらない限り、認定認証業者にはならないでしょう。

ただし、3条の推定効が、実は、技術による改ざん防止効果のみにかかっているようにおもえて、それだけあれば、認定認証事業たりうるということはありうるので、今後の議論動向によっては、特定認証業務となりうることはありえます。

このところなのですか、「電子署名に関して「第10回 成長戦略ワーキング・グループ 議事概要」を読んでみた(関係省庁ヒアリング部分)」でもふれたのですが、

同条は、電子署名を行ったのが本人であること自体を推定するものでなく、電子署名を行ったのが本人であると裁判所により認定されることを要件として、電磁的記録の成立の真正を推定するものである。

という認識が明らかにされていて(第10回 の資料 1-2)、これは、誰々が、電子署名の操作をなした、ということを立証したのであれば、裁判所は、その電子署名からなされたのを、操作者のなした意思表示(すなわち、改ざんされていないし、全部について認容した)と推定しましょうということにおもえます。(既に本人が操作したということを認定しているので、だれが操作したか、というのは、関係ない)

この推定というのは、(電子署名業界関係者)皆が思っているよにも実は狭いようにおもえます。一方、このクラウド上の合意書面に付したデジタル署名で、技術的にこの推定部分は、100パーセント担保されるようにおもえます。そこで、3条の効果について、上のように何が推定されるのかをきちんとはっきりさせれば、上のような立会人型のモデルについて、推定されるということも可能におもえます。

 

金融業界における書面・押印・対面手続の見直しに向けた検討会(第1回)の資料

金融庁で、「金融業界における書面・押印・対面手続の見直しに向けた検討会」が始まっています。インデックスは、こちら

本日段階で、第2回までの検討会議が開催されています。

この検討会が開催されるにいたった経緯については、内閣府 規制改革推進室「書面・押印・対面手続の見直しに向けた取組について」(令和2年6月9日)の資料が、まとめて教えてくれます。

このブログでは、規制改革推進会議の資料や、成長戦略WG(第10回11回)の議論などを取り上げてきました。

そのあと、「テレワーク推進に向けた経済団体及び関係省庁連絡協議会」というのが立ち上がって、官民で連携し、「書面、押印、対面」の原則を見直していくことについて議論しだしたということです。

そして、「経済四団体からの行政手続に関する要望について、関係省庁の再検討結果」がでていることになります。

資料では、2基本的な考え方で、(1)行政手続の見直しと(2)民民間の商慣行等による手続に関するものにわけて考察されることになります。

(2)の民民間については、これは、「商慣行」によるものではあるものの

民民間の手続で特に要望の多かった分野については、法令
上の制度見直しも含め、重点的に取組を求める。
(ⅰ)不動産関係(売買時の重要事項説明書の書面交付
等)
(ⅱ)金融関係(口座開廃、融資、振込等の手続)
(ⅲ)会社法等一般法関係(取締役会議事録の取締役押印、
単体財務書類のウェブ開示等)

となっています。あと、電子署名については、

電子署名ではクラウド技術を活用した電子署名の取扱いが不明確であるなど使い勝手改善の余地があり、早急の見直しが必要。

と整理されています。が、立会人型について

サービス提供事業者が利用者の指示を受けて電子署名を行うサービス

と整理されています。私的には、これは、

サービス提供事業者のプラットフォーム上で、利用者が、広義の電子署名を行うサービス

と定義を変更すべきだと、強く主張している(といってもこのブログの上だけですね)のですが、しょせん、このブログは、内閣府には伝わらないので、残念な定義になっていますね。

それは、さておき、6頁です。

まずは、

法務省において、取締役会の議事録への電子署名について、会社法上、いわゆるリモート署名(※)やサービス提供事業者が利用者の指示を受けて電子署名を行うサービスが有効であるものとし、経済界に周知。(令和2年5月29日)

ということがきちんとでています。オフィシャルなのは、新経済連盟様の報道で紹介していたので、これで5月29日付け周知といえることになりました。

あとは、リモート署名や立会人型について

電子署名法における位置付けや、押印を省略・廃止した場合の懸念点に対する考え方について、関係省庁において引き続き、検討中。

となっているので、何らかのアクションがでてくるものと思われます。個人的には、立会人型は、当事者が、広義の電子署名をしているというので、きちんと2条電子署名に位置づけてくれて、20世紀の先人の苦労をきちんと拾ってくれることを希望します。(って、まだ、みんな関係者現役ですからね)

「行政手続における書面主義、押印原則、対面主義の見直しについて(再検討依頼)規制改革推進会議議長 小林喜光」(5月22に)とかも見てみます。

興味深いのは、2 押印原則の見直しの基準ですね。

  1. 法令等で、押印を条文の規定上求めている書面など以外の書面(通達やガイドラインで押印を求めているものを含む。)については、押印を求めないものとする。
  2. 省令・告示に規定する様式に押印欄がある書面>押印がなくても受け付ける
  3. 法令の条文で押印を求めることが規定されている書面>これについては、可能な限り、押印がなくても書面を受け付ける でもって可能な限りというのは、
  • 押印が求められている趣旨に合理的理由があるか、押印が求められている趣旨を他の手段により代替することが可能か で判断されて、
  • 求めている押印の種類(印鑑証明付きの実印であるか認印・角印であるか)、行政手続等の内容・目的・趣旨等を踏まえた上で、新型コロナウイルスの危機時における緊急対応であるとの趣旨を勘案するとなっています。

興味深いのは、押印の意義で、これは、

(ⅰ)本人確認(文書作成者の真正性担保)。

この場合、注3記載のように本人確認のための手法は他にも多数ある上、特に実印による押印でない場合には本人確認としての効果は大きくないことに留意する必要。

(ⅱ)文書作成の真意の確認。

この場合、本人確認がなされれば通常の場合には不要であると考えられることに留意する必要。
(ⅲ)文書内容の真正性担保(証拠としての担保価値)。

この場合、実印でない押印の意味は必ずしも大きいと言えないこと、文書の証拠価値は押印のみによって評価されるわけではなく手続全体として評価されることに留意する必要。

ときちんと整理されています。この三つは、電子署名の要件と並べてみたりするともっと味わい深かったりします

でもって真正性担保の手法がてています。押印Q&Aのもとになっているのでしょうか。

(ⅰ)継続的な関係がある者のeメールアドレスや既登録eメールアドレスからの提出
(ⅱ)本人であることが確認されたeメールアドレスからの提出(本人であることの確認には別途本人確認書類のコピー等のメール送信を求めることなどが考えられる)
(ⅲ)ID/パスワード方式による認証
(ⅳ)本人であることを確認するための書類(マイナンバーカード、運転免許証、法人の登記書類、個人・法人の印鑑証明書等)のコピーや写真のPDFでの添付
(ⅴ)他の添付書類による本人確認
(ⅵ)電話やウェブ会議等による本人確認
(ⅶ)押印のなされた文書のPDFでの添付
(ⅷ)署名機能の付いた文書ソフトの活用(電子ペン等を用いたPDFへの自署機能の活用等)
(ⅸ)実地調査等の機会における確認

なので、真正性担保は、総合評価でいいよね、だから、電子署名の署名者の担保の部分は、意図だけでいいね、電子署名法2条は、認め印みたいなものだから、とつながっていくと見ています。

でここで、

実印を求めていない行政手続等については、従来の電子署名法の電子署名以外の簡易な民間電子認証サービスその他の本人確認方法の利用を検討すべきである。(電子署名法の電子署名について、使い勝手をよくするための見直しは別途行う。)

とコメントされています。立会人型は、簡易民間電子認証サービスという表現になるのでしょうか。いい表現がないですね。

ここら辺のフォローが続くと、電子署名の数奇な運命のキンドル本出版という作業がどこでできるのか、という個人的な問題が起きたりします。

 

 

2条電子署名は認印、3条電子署名は、実印-第11回 成長戦略ワーキング・グループ議事概要を読む

さて、第10回 成長戦略ワーキンググループでの議論を3回にわけて見たわけです。業者省庁押印問題とそれぞれのエントリです。

さて、このエントリでは、5月22日の第11回 成長戦略ワーキング・グループの議事録を検討します

5月下旬から、電子署名廻りの議論を追っかけているのですが、それは、どうも、今年に入ってからの、リモートワーク対応のための法的な議論をしている際の、業界関係者が、電子署名法の制定当時の考え方を無視して、勝手に、電子署名というのは、デジタル署名のことのみをいうと解して、それで、電子署名法が時代遅れであるといっているのではないか、そして、それは、当時の関係者の努力を踏みにじるものであって、あまりにも失礼なのではないか、という問題意識があったからです。

このような問題意識から、電子署名法は、技術中立的な考え方に基づいて構築されており、広範な2条電子署名と、推定が認められる3条電子署名からなりたっている、ということを書いてきました。

エントリとしては、

電子署名法の数奇な運命

リモート署名は電子署名である&クラウド型電子契約にお墨付き

になります。

このことが、確認されているのが、今回の議事録になります。議事録としては、21ページ以降になります。

問題としては、会社法の問題で、しかも、この5月22日の資料で述べた見解が、後に撤回されたということになり、その点からも注目されている回になります。この撤回について、ふれたエントリは、「取締役会の議事録承認 クラウドで電子署名 法務省、手続き簡素に」になります。

資料としては、論点に対する論点に対する回答(1-3)です

法律上,出席した取締役及び監査役の署名又は記名押印に代わる措置をとらなければならないこととされているが(会社法(平成17年法律第86号)第369条第4項),省令において,その措置は電子署名の方法によるものとされている(会社法施行規則(平成18年法務省令第12号)第225条第1項第6号)。当該電子署名の要件としては,電子署名及び認証業務に関する法律(平成12年法律第102号。以下「電子署名法」という。)第2条に規定する電子署名の要件と同じ要件が定められており(会社法施行規則第225条第2項),その範囲は電子署名法における電子署名の範囲と同様に解される。

でもって、

リモート署名でございますけれども、電子署名法上の解釈として要件を満たすということであれば、取締役会議事録に付された電子署名がリモート署名であっても、それは認められるものだろうと認識しております。

という回答がなされています。この点については、リモート署名は、規範的に本人が署名するのと同一視できるので、いいのではないか、という認識で一致していたところですので、特に問題はないでしょう。

一方、電子契約事業者が利用者の指示を受けて電子署名を行うサービス、電子契約事業者が自ら電子署名を行うサービスにつきましては、なかなか議事録等を作った方の電子署名と考えることは難しいということで、会社法令上の書面について事業者が付した電子署名につきましては適切なものではないのではないかという考えに至ってございます。

既に、「取締役会の議事録承認 クラウドで電子署名 法務省、手続き簡素に」というエントリでも見たのですが、このような立会人型というのは、実際は、当事者も電磁的な措置を行います。私としては、「「措置を行った者の作成に係るものであることを示すためのもの」とは、「何か「効果意思」をもって、表明すること」で足りるのであって、特定の技術的なもので確保する必要はない」と解すべきであるとしました。すると、この場合でも、当事者は、電子署名を行っているということができることになり、この回答は、おかしいことになります。

この回答についての議論が、いわば、噴出します。まずは、高橋委員から

会社法に書いてあることが委任されて会社法の施行規則になっている。これは法務省令だと思うのです。だから、法務省令で、会社法の範囲で今回の事態を踏まえて変えられるわけです。
しかしながら、御回答は自分で決めた会社法施行規則の解釈から結論を示されているのです。それでは、今回の事態の対応としては極めて不十分ではないかと思います

という批判がなされて

三文判の認印でもいいのですよね。認印であれば、なぜ会社法施行規則でこんなに厳しく電子署名について縛っているのかというのも分からないということになります。

と批判されることになります。落合先生からも同様の批判がなされます。これに対して、法務省 篠原係長は、

会社法上の議事録が電磁的記録の場合でありますと、そこに付される電子署名というのはいわゆる電子署名法2条の電子署名でよいということでございますので、3条ではなくて比較的要件の緩い電子署名で、例えが悪いですけれども、三文判に相当するものを電子署名法2条で定めていると考えれば、レベル感としてはそろっているのかなというところでございます。

という回答をしています。これに関連して

電子署名法2条の電子署名の要件に加えまして、3条の方で本人性をより厳しく問うている構成になってございます/電子署名法2条と3条の世界で、電子署名法3条というのが実印の世界、2条が文書で言うと三文判の世界みたいな形になっております。

という表現もなされています(28頁)。

図で示すと

の右側の構成が確認されているところになります。

あと、高橋議長代理から

三文判でもいいわけですし、それから電子署名についても改変がなければいいということですから、例えばPDFなりタイムスタンプを押されたデジタル化された文書をメールでやり取りして、本人がそれでいいと了解していれば、もう電子署名を付すまでもなく、私は役割を果たしていると思うのです

という発言もなされています。もっとも、高橋委員は、

髙橋委員 2条がハードルが高いのではないでしょうかと言っているのです。

といっており、デジタル署名にこだわっているようにも読めます(28頁)。

あと、具体的なドキュサインとか、クラウドサインというサービスについての議論もでています。篠原課長は

はい。一般論として存じ上げております。

という回答ですので、これは、反対尋問であれば、具体的な手順については、知らないといっているように聞こえます。

その文書をつくった方が電子署名をしているということではないところで、なかなか登記の申請等において用いていただくのは難しいと認識しております。

という答えがあります。ここで、弁護士的には、反対尋問の機会がやってくるわけです。

もし、篠原課長が、2条電子署名の定義を聞かれたとすれば、広範な電磁的措置でたりると答えるはずです。そうだとすれば、「画面がでて、この内容で、了解しますね、契約成立させますよ」というのを確認してOKを押す構成になっています。これは、電子署名ですか、と聞くわけです。

この電子署名に該当すると答えれば、回答が間違っていたということになるかと思います。もし、該当しないといったのであれば、では、2条の要件は、具体的になんなのですか、と聞くことになります。この場合、3条要件との違いをたぶん説明できないことになるでしょう。

その上で、大塚副大臣から

クラウドサインみたいなサービスを本人の指図でない状況で署名が付されてしまったということが生じるリスクと、認印を全然別の人が押してしまったというリスク、どちらの方が確率的に高いと思いますかということです。

と問いただされれば、回答のうち、立会人の部分について撤回するしかないでしょうね。

これが、6月1日付けの

当該措置は,取締役会に出席した取締役又は監査役が,取締役会の議事録の内容を確認し,その内容が正確であり,異議がないと判断したことを示すものであれば足りると考えられます。したがって,いわゆるリモート署名(注)やサービス提供事業者が利用者の指示を受けて電子署名を行うサービスであっても,取締役会に出席した取締役又は監査役がそのように判断したことを示すものとして,当該取締役会の議事録について,その意思に基づいて当該措置がとられていれば,署名又は記名押印に代わる措置としての電子署名として有効なものであると考えられます

というまとめ文書(リンクは、新経済連盟宛の文書)につながるものと考えます。

要は、具体的な実態を知らないで、立会人型について、事業者しか電子署名をしないとしたことが誤っていたのに議論のなかで気がついて、後日、直ちに撤回したというように私は理解します。当事者も(2条の)電子署名をしているのだ、ということに気がついて、それで認印とのバランスをとるべきだと認識したと推測します。

その意味で、二段階(two-tier)アプローチを取っている他の国々と同様の立場に日本もたっていたことが20年ぶりに確認されたことになるかと思います。

 

 

「押印についてのQ&A」を読んでみる

令和2年6月19日付けで、内閣府、法務省、経済産業省の合同で、「押印についてのQ&A」が公表されています。

メディアでもいろいろととり上げられています。

契約書のハンコ不要」、政府が見解 対面作業削減狙う

政府は19日、民間企業や官民の取引の契約書で押印は必ずしも必要ないとの見解を初めて示した。押印でなくてもメールの履歴などで契約を証明できると周知する。押印のための出社や対面で作業を減らし、テレワークを推進する狙いがある。

「押印なくても契約有効」 政府がはんこめぐりQ&A(時事通信社)

新型コロナウイルスの感染拡大を受け、企業にテレワークが広がる中、押印のためだけに出社するのは非効率との指摘を踏まえた対応。押印省略に企業の理解を促すことで、働き方改革を推進する狙いだ。

これから、実際に原文にあたってみていきますが、いっていることは、法的には、当然のことばかりです。なので、これを、あたかも政府が、テレワークに向けて、大事なことを初めていったかのように大きく取り扱っているというのは、すごく違和感があります。

もし、本当に、そのように思っているのだろとすると、

法的に正確な知識が、求められていなかったということでしょうし、

また、

それほどまでに「政府」というものへの信頼が強い、

ということなのだろうと思います。

ひとつひとつみていきましょう。

質問1は、「契約書に押印をしなくても、 法律違反にならないか。」というものです。契約というのは、両当事者の意思の合致をいいます。

この原理は、意思主義といって当然のことです。が、今回の民法改正で、条文が入りました。522条です。

契約は、契約の内容を示してその締結を申し入れる意思表示(以下「申込み」という。)に対して相手方が承諾をしたときに成立する。
契約の成立には、法令に特別の定めがある場合を除き、書面の作成その他の方式を具備することを要しない。

質問2は、「押印に関する民事訴訟法のルールは、 どのようなものか。」というものです。

この点については、自由心証主義があって、証拠能力の無制限、証拠力の自由評価があります。そして、文書については、形式的証拠力と実質的証拠力の問題があります。

そして、文書の真正な成立と「文書が事実の証明にどこまで役立つのか (=作成名義人によってその文書に示された内容が信用できるものであるか) といった中身の問題(これを「実質的証拠力」という。)は、別の問題であり、 民訴法第228条第4項は、 実質的証拠力については何も規定していない」ということが説明されています。

これまた当然です。

質問3は、「本人による押印がなければ、 民訴法第228条第4項が適用されないため、 文書が真正に成立したことを証明できないことになるのか。」というものです。

これについては、本人による押印の効果と して、文書の真正な成立が推定される こと、 文書の真正な成立は、 相手方がこれを争わない場合には、基本的に問題とならないこと、文書の成立の真正は、 本人による押印の有無のみで判断されるものではないこと、 文書の成立経緯を裏付ける資料など、 証拠全般に照らし、裁判所の自由心証により判断されること、が説明されています。

ということで、これも当然のことです。

なので、

形式的証拠力を確保するという面からは、 本人による押印があったとしても万全というわけではない。 そのため、 テレワーク推進の観点からは、 必ずしも本人による押印を得ることにこだわらず、不要な押印を省略したり、「重要な文書だからハンコが必要」 と考える場合であっても押印以外の手段で代替したりすることが有意義であると考えられる。

というコメントが示されています。テレワーク推進の観点からはといっても、別の企業としては、そのようなお題目のために経営をしているわけではありません。しかしながら、実際の契約行為等をみるときに、押印にこだわることが、不合理なこともあるでしょう、その場合には、単に文書の真正が認められないリスクの評価とその管理の問題ですよ、ということで理解するのがいいかと思います。証明てきないような事案が起きることは稀、他の手法でも証明はできる、安心している印鑑も万全ではない、ということで自分で選択してください、というメッセージです。

ただ、日本の経営者は、そのような「リスクを自分で評価する」というのが苦手なように思えます。そのために、新聞社のこれは重大なアナウンスメントです、という報道が必要だ、ということだろうと思いますが、それは、決して,自分手リスクを評価して、管理するというまっとうな処理をしなくていいとなるわけではないことに注意するべきだろうと思います。

問4は、「文書の成立の真正が裁判上争われた場合において、 文書に押印がありさえすれば、民訴法第228条第4項が適用され、証明の負担は軽減されることになるのか。」という質問です。

回答としては、いわゆる二段の推定があること、それが限定的であること、の説明がなされています。

この部分は、やっと実質的な内容があるかと思います。推定の意味については、反証が認められるということはいうまでもありません。が、認印の場合に、「印影と作成名義人の印章が一致することの立証は、(略)  いわゆる認印の場合には事実上困難が生じ得ると考えられる」というのが回答の立場です。

認印を名義人が保有しているというのは、他の場合に使っていたでしょ、というのもあるので、「事実上困難が生じ得る」というのがどのような趣旨かというのは、ありそうです。個人的には、まあ、印鑑でも完全ではないでしょというのは、否定するものではありません。

問5は、「認印や企業の角印についても、 実印と同様、 「二段の推定」により、 文書の成立の真正について証明の負担が軽減されるのか」という問題です。

ここでも認印の場合の推定が及ぶことの困難さをいっています。「押印されたものが実印でない (いわゆる認印である) 場合には、 印影と作成名義人の印章の一致を相手方が争ったときに、その一致を証明する手段が確保されていないと、 成立の真正について 「二段の推定」 が及ぶことは難しいと思われる。」としています。厳密にみる場合には、「一致を証明する手段」を確保していれば、推定が及ぶのは、そのとおりなので、証明の問題と推定が及ぶか、という解釈の問題とを混在させているように思えます。

印鑑が、文書の真正とインテグリティをあきらかにするのにコストパフォーマンスがいいのは、そのとおりだと思います。ただし、有体物に縛られる故の、非効率性もあるわけで、その非効率性と証明の効率性とのバランスというのが本当のところです。その判断は、利用者の自らのリスク管理によります、ということにしたいところです。しかしながら、日本の場合は、「リスクがあります」というのは、やるな、と受け取る人が多いですし、また、やりたくない人のいいわけに使われるわけです。

なので、ある種の方便にして、認印だからといって、常に負担が軽減されるわけではないです、というような表現をしていると理解しています。

問6は、「文書の成立の真正を証明する手段を確保するために、 どのようなものが考えられるか。」というものです。

証拠能力の無制限のもとで、どのような事実で証明すればいいのという問です。

一般人が、印鑑が、とか、業界人が、電子署名(それもデジタル署名)が、といいたいところを、継続的な関係ですか、新規取引関係ですか、というのをまず最初の要素としてあげています。

これは、本当にそのとおりです。まあ、新規取引関係の場合は、日本の場合は、まずは、人間関係の構築からということになるでしょうから、その際に構築された関係も大事です。国際的な場合は、メールと、ホームページで確認するとか、あとは、話がきちんと通っているのかということでしょうか。

電子署名・電子認証サービスの利用は、付随的なものとして記載されています。

興味深いのが具体例として、契約書を電子メールで相互にとりかわす際のプロトコルを紹介しています。

(a) メールにより契約を締結することを事前に合意した場合の当該合意の保存
(b) PDFにパスワードを設定
(c) (b)のPDFをメールで送付する際、パスワードを携帯電話等の別経路で伝達
(d) 複数者宛のメール送信 (担当者に加え、法務担当部長や取締役等の決裁権者を宛先に含める等)
(e) PDFを含む送信メール及びその送受信記録の長期保存

となっています。ここで、

「パスワードを携帯電話等の別経路で伝達」

といっています。もし、同一経路だと、意味のないPPAPになるところでしたね。(情報処理 2020年7月号別刷「《小特集》さようなら,意味のない暗号化ZIP添付メール」参照)

pdfに署名するのか、印章のキャプチャ画像を張り付けるのかは、よく分かりませんが、これでも契約は、成立するのは、当然です。画像が、複製されるでしょ、といったところで別に争われなければいいだけのことですし、争われても、その印章を普段でも使っていれば、本人が使うことも十分にありうるね、ということになります。その余の事実と合致していれば、真正の証明には、十分な証拠力をもちますね、それがわかっていれば、十分でしょう。

あと一つ、有識者の方々には、証拠能力と証明力(証拠力)の用語の使い分けは、ぜひとも、このQAで覚えてほしいです。何回いっても、この用語を混在させる有識者がいるので、理解してもらえているのかなと、いつも不安に思うことがあります。

 

 

電子署名に関して「第10回 成長戦略ワーキング・グループ 議事概要」を読んでみた(押印に関す る民事訴訟法上の規定部分)

省庁関係の電子署名法についての説明についで、「押印に関す る民事訴訟法上規定部分」についての議事概要の説明部分になります。

法務省(大野参事官)からの説明です。スライドは、こちらですね。エントリでは、「法務省、「はんこ社会」に引導」で触れましたけど、「自分たちがデシタルに移行できないのを、法律のせいにするな(○-カ)、といっている」ように思えるスライドについての説明になります。

最初は、形式的証拠力と実質的証拠力の説明です。法律家的には、民訴法の授業を取っていれば、基礎中の基礎です。政府の委員会で、このような説明をしなければならないというのは、なかなか大変だろうな、と思ったりします。

でもって、

民事訴訟法228条4項というのは、文書などへの押印の要否について定めたものではございません。入り口である誰が作ったかということを判定するに当たって、反証が可能な事実上の推定を規定しているにとどまるものであり、そのため、民事訴訟法228条4項の解釈として、いかなる場合に押印が必要であるかということを導き出すことは困難です。それについては、業界の慣行や取引当事者がそれぞれ決める事柄なのではないかと考えているところでございます。

という説明がなされています。個人的には、しごく当然のことになります。

ではありますが、そもそも、電子化移行への障害が、民訴法228条4項であるという人がたくさんいるように思えています。代表的な意見をとり出してみましょう。

民訴法の判例解釈を通じた現在の運用は、認印という紙の判子についても推定効を認めるわけですね。これは書面と電子署名の差別なのではないでしょうか。

判子の場合は、その有体物の保有から、成立の真正性の推定が及ぶ、それに対して、電子署名は、その措置をなすための物件の保有から、推定はおよばないではないか、差別であるという主張のようです。

電子メールアドレスの保有者が電磁的措置をなした場合に、電子メールアドレス保有者から、作成されたことを推定してもいいのではないか、というのであれば、そうだと思いますし、それは、技術的なものを明らかにすれば、特に問題はないでしょう。しかしながら、それは、裁判所が解釈で定めることだということで、それはそのとおりです。3条の推定効を広く解釈して、それが電磁的措置に及ばない、けしからん、だから、利用が進まないというのは、議論としておかしいと思います。

3条の構成上、その電磁的措置をなした者が、本人であることが必要なわけです。本人が電磁的措置をなしたものであることについては、この条文上、推定効が及びません。

3条の推定効というのを議論する時に、何が推定されるのか、そのレベルは、どうなのか、とうことが明確ににならないと正確な議論にならないだろうと考えています。

UNCITRALあたりだと、事実を認めるための基礎となる事情と心証のレベルの問題は議論されています。たぶん、わが国では、趣旨として、改ざんについては、レベル的に、改ざんされたならば、技術をもって表示される仕組みが必要になっているように思えます。しかしなから、本人の確認については、よくわかりません。さらに、3条の推定は、本人の措置は、別の法律要件で認定がなされたあとにるので、判子とパラレルにもともと議論できないように思えます。

あと、いうまでもないですが、裁判で、真正性が争われることは、本当にまれなはずです。そうであるにもかかわらず、

不当な差別を定める民訴法のせいで、契約の電子化がすすまない

というのは、私には、いいがかりのように思えます。証拠能力と証拠力の使い分けをして議論してほしいところもあります。

落合先生からは、

真正について争われていない、認めるという答弁だけがされているような場合については、そもそも民訴法228条の問題にならないと思いますが、これについては実際に問題になっているのがどのぐらいの割合があるかと思いました。この割合が必ずしも高くない、もしくは裁判例で判断されている例が必ずしも多くないということが、裁判例が年に何件あるかというのは客観的な情報として存在すると思うのですけれども、そのうち何件が争われたかというのは、例えば判決上のものであれば統計自体は可能だと思うのですが、これについてもし御存じであれば教えていただければと思います。

という質問がなされています。

このようなやりとりのもと、押印Q&Aにつながったかと思います。この内容の分析は、次のエントリで。

 

 

電子署名に関して「第10回 成長戦略ワーキング・グループ 議事概要」を読んでみた(関係省庁ヒアリング部分)

電子署名に関して「第10回 成長戦略ワーキング・グループ 議事概要」について前のエントリの続きの部分を読んでみることにします。

議事録では、16頁以降になります。

同じ議題で関係省庁のヒアリングを行いたいと思います。
本日は、法務省民事局商事課、篠原課長。
総務省サイバーセキュリティ統括官室、赤阪参事官。
経済産業省商務情報政策局サイバーセキュリティ課、奥家課長

というところです。あと、日本トラストテクノロジー協議会(J2TA)から

手塚代表及び小川運営委員長にも御同席いただいております

ということで、結構、知っている人がいたりします。

最初は、赤坂統括官室の赤坂氏からです。当社のトラストサービスのシンポジウムの際に、ご講演ありがとうございました、ということになります。

さて、論点としては、

  • リモート署名につきまして、電子署名法における電子署名と解されるのか。
  • J2TAのリモート署名に関するガイドラインが策定されており、このガイドラインの要件を満たすリモート署名が行われた場合に、電子署名法第3条による電磁的記録の真正な成立の推定を得られると解されるのか
  • 一部の電子契約サービスにおきまして、契約の当事者は、デジタル署名をせずに電子契約事業者がデジタル署名を行うというサービスが行われているけど、これについて、電子署名法第3条による電磁的記録の真正な成立の推定を得られるのかということ

ですね。(用語は、すこし変えてますが、それは、このエントリで説明します)

まずは、最初のリモート署名の「電子署名」との概念との関係です。これについては、電子署名法の第2条第1項の定義を満たした場合には、「電子署名」になるという説明をしています。これは、このブログの「リモート署名は電子署名である&クラウド型電子契約にお墨付き」エントリで触れているとおりの回答がなされています。

個人的には、この説明は、2条1項の定義部分について解説しているところに注目しなければなりません。2条1項は、電子署名法制定当時の韓国とは違って、公開鍵暗号技術を前提として定められていません。また、明確に3条の推定効が及ぶ電子署名の要件とは別のものとして議論しています。

その一方で、この2条1項の要件が、それぞれ、どのような解釈を意味するのか、また、「信頼できる電子署名(UNCITRAL)/セキュアの電子署名(シンガポール)」の解釈との関係はどうなのかとか、という点については、詳細に論じていない点が注目されます。(これらの点の分析は、「電子署名の数奇な運命」のミッションとして残っていると考えています)

J2TAのガイドライン準拠の場合について、リモート署名事業者が参照すべきセキュリティー基準等を示したものであるという認識を示した上で、

内容の精査を行うほか、このガイドラインの運用状況等を注視していくことが必要であると我々として考えておりますが、このガイドラインに示された基準というものが電子署名法第3条の要件を満たす場合には、同条の推定効が働くことは否定されるものではないと認識している

としました。この前提は、

本人による電子署名(これを行うために必要な符号及び物件を適正に管理することにより、本人だけが行うことができることとなるものに限る)が行われている場合

となります。この前提はきちんと確認していなければなりません。それこそ、電子契約の成立が争われたときには、当事者の証明すべき事実は、

1)(電子署名署付与行為が)本人によること

2)当該電子署名が「これを行うために必要な符号及び物件を適正に管理することにより、本人だけが行うことができることとなるもの」であること

となるものと思われます。

そして、2)については、「公開鍵暗号をベースにしている場合には」(この部分は、私が限定をつけています)「署名鍵について十分な強度の暗号が用いられていて、他人がなりすますということができないもの」&「署名鍵が格納された物理的な媒体について、本人以外に使用不可能な方法で管理され得るものである」という要件をあげています。

まず、リモート署名は、「リモート署名サービス提供事業者のサーバに利用者の署名鍵を設置・保管し、利用者が当該事業者のサーバにリモートでログインした上で利用者自らの署名鍵で措置すること」となります。

でもって、現在の解釈では、多数的には、「「本人だけが行うことができる」というのは、当然に、ローカルにおける情報の保存とその情報の保存媒体であるという解釈を前提としている」とされています。なので、「方式に応じて本人だけが行うことができるものとして主務省令で定める基準に適合するものについて行われる認証業務」(特定認証業務)とはされていないことになります。

しかしながら、冷静にみていくと、技術的な手法等によって、社会通念上「本人だけが行うことができる」というものに達した場合には、それを、主務省令で定める基準によって、「その方式に応じて本人だけが行うことができる」とすることは、十分に可能であろうと考えます。

あと、3条推定効は、上述のような「方式に応じて本人だけが行うことができるものとして主務省令で定める基準に適合する」か、どうかという形式的なものにはよらないことが明らかにされています。この点については、特定認証業務によるものに限られるとする説もあるのですが、それを否定する立場が明らかにされたという意義があります。

eIDAS規則の前文(51)および(52)がリモート署名の部分なのですが、「遠隔の電子署名サービス提供者は、電子署名作成環境が信頼でき、また署名者だけのコントロールのもとに利用されることを保証するための特別なマネジメントと管理されたセキュリティ手続きを採用し、またセキュアな電子通信チャンネルを含む信頼できるシステムと商品を利用すべきである。」としています(前文(52))。そうであれば、社会通念上、本人のみが管理しうるものと考えられるものも含まれるべきであるとなって、赤坂氏の回答が導かれることになるかと思います。

質疑応答のところですが、28頁のところで

ポイントになるのは、本人以外に使用不可能な方法で管理されているかどうかであって、それが自分のオンプレミスのサーバーでなくて外であったとしても、本人以外が使用不可能な方法で管理されているのであれば、それは認められる。したがって、リモート署名の場合であっても、高いレベルでセキュリティーが確保されているのであれば、推定効が働くことがあり得るのではないかというのが私たち3省庁での共通の理解になっています。

と明らかにされています。

「契約の当事者は、デジタル署名をせずに電子契約事業者がデジタル署名を行うというサービスが行われているけど、これについて、電子署名法第3条による電磁的記録の真正な成立の推定を得られるのかということ」という論点については、法務省篠原氏からの説明です。篠原氏は

電子署名法3条の規定といいますものは、電子署名がされた情報に関しまして、何らか紛争が生じ、裁判になった場合の証拠としての取扱いを規定したものでございます。そもそも裁判にならなければ直接的に機能しない条文と認識しております。裁判上、提出された証拠としての情報が否認ないし不知とされない限り問題とならない状況でございます。
否認、不知がされた後に、立証の際、条文の推定効が働いてくると認識しておるところでございます

として、述べています。これは、電子署名一般の定義規定が社会的にいろいろな局面で問題になるのに対して、3条推定効が、裁判の場合であることを正しく述べています。しかしながら、

電子契約事業者が利用者の指示を受けて自ら電子署名を行うサービスにつきましてですけれども、立法の経緯からいたしまして、本人というところが非常に重要な要素でございます。本人が電子署名をしたということが判明しない仕組みにつきましては、既存の電子署名法3条の規定の効力を及ぼすというのはなかなか難しいのではなかろうかと認識しております。

という回答をしています。

ここで、本人というのが重要であるというのは、そのとおりです。そして、ここで、いわれている「契約の当事者は、デジタル署名をせずに電子契約事業者がデジタル署名を行うというサービス」を便宜的に立会人型という場合に、当事者(電磁的措置をした者)が、その契約の当事者(外形的に認識される当事者)と同一であるというのは、仕組み的には、担保されてないというのは、そのとおりです(そもそも、当事者の電子証明書はないし)。

なので、3条の推定効(印鑑の場合に考えているような推定の効力という意味)は、及ばないのは、そのとおりかと思います。

ただし、用語法の問題があります。契約の当事者は、公開鍵暗号技術を用いて、なりすましを防ぐ手法で措置をしているわけではないのですが、電子メールをもとに認証して、サーバとSSL通信をして、SSL通信のもと、契約書を認めますよとしてクリックをなすわけです、マウスでサインもします。もう一度図をだします。

これは、2条1項との関係では、電子署名といっても言いように思えるのです。法律家であれば、3条の要件を満たす電子署名とか、電子署名に限定を付して説明をするのが、マストなはずで、言葉に対する軽視の態度は批判されるべきだと思います。

多分、担当者は、実際の立会人のシステムを使ったことがないのだろうと思われます。使ってみれば、そして、立法の経緯を語るのであれば、これを当事者の「電子署名」(2条)がないという用語法は選ばないはずでしょう。

今一つは、当事者の行為を無視して、「事業者の署名がなされる」という表現が悪いのは、どのような仕組みになっているのかというのを看過するリスクがあるということです。

その契約書には、立会人たるプロバイダのデジタル署名がなされるわけです。この場合の真正性のもっとも弱点は、電子メールのアドレス保有者からのサーバへのアクセスの認証のみです。そうだとすると電子メールアドレス保有者のエンロールのときに、生体認証をしたり、eKYCで認められる程度の情報を集めたとしたら、どうなるのでしょうか。eKYCで十分といっているレベルの認証を備えているにもかかわらず、「通常人が疑いを差し挟まない程度の高度の蓋然性」には、電子メールのアドレスの認証は及ばないというのも解せなかったりします。(しかも、3条推定効の要件からいくと既に「本人の行為」は、立証ができている場合だとするとなおさらです)

個人的には、みんなが印鑑の亡霊にまとわりつかれていて、3条推定効を広く考えているのではないかという感じがします。本当は、本人が電磁的措置をなした場合に、そんなのは、知らなかったとか、途中で書き換えられたという主張をさせない程度の意味しかなかったような気がしているのですが、その点は、今後、きちんと考えてみたいと思います。

質疑応答をみます。3条の推定効を広げるのはどうかという質疑については、

当然、推定効の事実である社会的、技術的基盤等が進みまして、本人が電子署名をしたということが技術的、社会的に認知されたという状況になれば、裁判所のほうで適切に推定効を及ぼすというような流れになるのではなかろうかなと思っているところでございます。

という回答がなされています(19頁)。個人的には、これは、当然かなと思います。

岩下先生の

電子署名法上の要件が本人が署名したというような形になることが必要であるという回答されたと思います。(略)はたまた、それを補強する技術として、クラウドサインの運営者さんがおっしゃるようなパスワードあるいは生体認証等を付与して、自分たちのシステムを通っていたものについては、実際の署名者は別の人だけれども、その人の権限によって生成されたものである、これは疑わなくていいと。それは先ほどから出ているガイドラインもそうなっているのだと思うのですけれども、その場合に、いわゆるデジタル署名を生成したという意味、あるいは秘密鍵を管理しているという意味と、それから、そういうプロセス全体で本人が関与したということを何とか証明しようとしているものというのは、電子署名法的には、そういう理解をした場合に、それが適用できるのかということについて改めて御意見をお伺いできないでしょうか。

という質問がなされています。上で書いたように、エンロールの時に、アイデンティティとの紐付けを付したとすれば、その限りで、かなりのことを認めていいのではないかという質問かと思います。本質的なものですが

大橋座長 ところどころ微妙に聞こえたような聞こえていないような感じだったので、もし省庁のほうで改めて御質問があればしていただければと思います。

ということで、質問としては聞きたくなかったのでしょうか(?)。うーん、残念です。

夏野委員の物件ICカード質問は、パス。藤原政務官は、裁判のIT化と委任状の件についての質問と、あと、228条に「最高裁なりの研究会をつくって、そこでガイドラインを出していって実務に影響を与えていく」べきという質問がなされています。

この流れで、奥家さんから、

ややこの法律の理解についても、恐らく当時の立法精神のところが正しく伝わっていないところがあって、ITの世界、システムの世界は高度化していくので、これ自体は技術中立性を意識した規定ぶりになっています

として、「二要素認証みたいなものが排除されているというわけではありません。」ときっちりをコメントしています。Good Jobですね。後述ですが、立会人型のサーバであっても、「物件」と解されることが確認されています(27頁)。なのでICカードだ、古いという批判が的外れなことが明らかになっています。

あと、jGrantsという仕組みで真正性のレベルの説明がなされています。

昨年から経済産業省のほうではGビズIDという形で、企業さんのほうから印鑑証明を一回出してもらったらそこでIDを振り出して、そのIDで行政手続をできるようにしようじゃないかと。そのときには二要素認証をやることで本人認証を行って、それで手続を行えるようにしようと。その取組を
またつなげていくことができないだろうかということで、昨年から既に補助金申請はこのGビズIDをベースにしたjGrantsという形でシステム化したりしてきています

という紹介がなされています。3条推定効ばっかり議論していますが、行政手続においては、それは、また、別個のレベルで考えていて、その場面ごとに「取組を積み重ねていくということが非常に大切になっていくのだろうと思っています。」ということで、おっしゃるとおりですね。特に3条推定効が肥大化して、それで、逆にいろいろな思惑に巻き込まれているように見えるときには、このような議論の整理は、非常に重要だと思います。

次、落合先生から

この電子署名法3条では一体何をしようとしているのかということを教えていただければと思っております。主に法務省なのではないかと思います

という質問です。私としては、この質問の趣旨としては、上のように要件事実として考えたときに何が前提で、何が、推定されるのかというのをはっきり教えてほしいという質問と理解しました。しかしながら、要件事実的な考えをもっていない人には伝わらないので)篠原氏からは

何を電子署名法3条で確認しようとしているのかという点でございますけれども、電子署名法3条につきましては、裁判所に提出された証拠としての取扱い、誰がその情報を作成したのかを推定する効力を与えている条
文でございます。したがいまして、情報を作成したのは誰かということを捉えようとしていることが実質的な内容ではなかろうかと考えております。

という回答がなされています。個人的には、アーア、という感じなのですが、この点は、実は、ペーパーで

同条は、電子署名を行ったのが本人であること自体を推定するものでなく、電子署名を行ったのが本人であると裁判所により認定されることを要件として、電磁的記録の成立の真正を推定するものである。

と書かれています。

なので、行為者が電磁的措置をなしたことを立証しなければなならないし、それは、電子署名の性質とは関係しないのですとなります。すると「誰がその情報を作成したのかを推定する効力を与えている条文」ではないということになるわけです(法律要件としては、別の要件)。この点は、私も誤解していました。もうすこし検討したいと思います。

あと、武井先生からは

判子をなくしたからって何でもかんでも電子署名にいくわけではなくて、文書の真正性というのはいろいろな証明の仕方があるわけです。例えば契約書でも、別に電子署名をやらなくても、メールにPDFをつけてそれをやり取りすれば本人性は確認できるし、タイムラインもちゃんと取れるわけです。ですので、何でもかんでも電子署名だけというわけではないので、電子署名という世界を開拓していただくことももちろん大事なのですけれども、それ以外にもいろいろな真正のやり方があるのだということを是非行政を挙げてやる一つの礎をつくっていただければと思います。

というコメントもなされていて、これは、「押印についてのQ&A」につながっているようですね。

岩下先生からは、登記所における立会人型の活用の質問がなされています。これに対しては、私のブログでも検討したように

商業登記、不動産登記につきましては、登記法という手続法がございまして、そこで使える書面や申請に必要なものを規定してございます。そうい
ったところを見直さなければいけないという趣旨でございます

という説明がなされています。

でもって、議事は、「押印」の問題に移っていきます。エントリを変えることにしましょう。

リモート署名、3条推定効の議論は、非常に興味深かったです。

落合先生、岩下先生からの質問が非常に本質的なところをついていたのにもかかわらず、通信環境のせいなのか(?)、本質的な回答が得られていなかったのが議事録でよく分かりました。

要は、

  • リモート署名は、2条の電子署名の要件である
  • (実は)3条推定効は、その意味が明確ではない(本人が措置をしたことを推定するかのような理解が蔓延しているようにみえる
  • 3条推定効は、特定認証業務であるとは無関係であって、技術の実態によって社会通念から「本人以外が使用不可能な方法で管理されているのであれば、」認められるとされており、これは、担当する三省の共通の理解とされている
  • 立会人型の理解について、当事者の電磁的な措置が重要であるが、法務省の理解は微妙
  • 本人の真正性については、政府対する関係ては、登記やから補助金申請などの関係で、別個に考えれば、足りる。

あたりが、この議論のまとめになるのかなあと思います。

こうやって見たときに、自分でいうもなんですが、「リモート署名は電子署名である&クラウド型電子契約にお墨付き」というエントリは、ポイントをついていたなあと思っていたりしています。

 

 

 

 

 

 

電子署名に関して「第10回 成長戦略ワーキング・グループ 議事概要」を読んでみた(業者ヒアリング部分)

さて、リモート署名を電子署名であると認め、3条の推定効が及びうるのではないか、と示唆してる5月12日の規制改革推進会議 第10回 成長戦略ワーキング・グループ ですが、その議事概要が公開されているので、ちょっと読んでみます。

この会議は、「クラウド上の契約に法的リスク 20年前施行の法が壁に」という記事のもとにもなったもので、ネガティブに書こうとすると日経の記事に、法的にニュートラルに書こうとすると、楽観的になり、私のエントリのようになるというものです。

議題については、電子署名についてフォーカスします。

最初は、事業者ヒアリングです。出席者は、略。

日本組織内弁護士協会(榊原理事長)のヒアリング内容は、「現在主流であるクラウド型電子署名が電子署名として法律上保護されているのであれば、移行への懸念点が減り、突破口になります」ということ、「技術的中立性が本日のディスカッションの中で最大のキーワードになると考えています。」ということだそうです。法令改正の要望点としては、「事前・事後の公的監督が期待できます。このように、本件は法令を改正したとしても十分な許容性があると考えております。」となっています。

むしろ、立会人型についての産業標準を確立して、認定認証業務として規制をかけてほしい、といっているのですね。

次は、帝国データバンク小田嶋氏からです。ここでは、場面ごとに適する電子署名がことなっています、という説明ですね。、タイムスタンプ、eシールとも国際的な相互認証、その一方で、「国内の事情、特に提供者側の論理だけを取り上げるとガラパゴスになりかねないと思っています」という認識が表されています。(EUが先行しているととらえるかはいろいろあるかと思いますが)。

弁護士ドットコム株式会社(橘取締役)は、「説明コストが高いということと行政のところで使えない。この2つが問題」「電子契約の法制度要件が分かりにくい」といっています。そして、「たった赤い丸い判子があるだけで、その文書が偽造されていないと推定効を与える。」と民訴法228条を批判します。(「ある認定事業者から発行を受けなければ電子署名法が適用されませんとか、ほかにも品質の基準が厳格に定められています。」などという電子署名は、デジタル署名のドグマを前提とした表現もあります)そして、「2020年現在クラウドサインをはじめとした普及実態のあるクラウド型の電子契約というのが、電子署名法から法の外になってしまうというようなことが生じております」といっています。「米国のe-Sign法という連邦法がございます。これは、電子契約に関しても公的効力を否定してはならないという明文がございます。EUにも同様の法令がございます。」などというコメントもあります。

法律家の議論としては、落合先生から「電子署名法の要件というのは、実印を押印しているような推定が働く場合と対比して議論しているのではないかと思っております。」として、三文判について推定効をえられない場合もあるのではないかという質問、武井先生からは「海外ではクラウドサインを電子署名と認めていないという意味なのか、どういうことを官庁から言われたのかを教えてください。」という質問がなされています。

質疑では、「海外でこのような推定効を認めるような法令がないというこ
とを間接的に伝聞したことがございます。」といっています(渡部理事)。

20年前には、立法する際に調べていたんですよシンガポールは、構造も似ているし。批判するときには、きちんと先人にリスペクトを払ってからやるべきでしょう。

岩下先生からの鋭い質問「電子署名をつけてとおっしゃったのは、例えばRSAやECDSAといった形のいわゆるデジタルシグネチャーなのでしょうか。その場合の秘密鍵の管理は誰がどうやっているのですか。」というのに対して、デジタルシグネチャーかどうかというのにきちんと答えが出ていなかったりしています。セキュリティ昔から、やっていると、デジタルシグネチャーというのに、リアクションがでたりするのですが、橘取締役は、シマンテックが電子署名会社と回答して、直されたりしています。

でもって、岩下直行先生から、「電子署名という言葉が該当するのかどうかということがここでは問題だと思います」とまとめられています。

この業者ヒアリング部分をどう読むかだと思いますが、やはり、業者がデジタル署名という用語自体もしらないで、かつ立法の時の経緯を知らずに、勝手に電子署名は、デジタル署名(それも認定認証業者のもの)に限られているので、自分たちにも認定の枠組を作って保護してほしいといっているように思えます。

この議論には、いろいろな落とし穴がありますね。

基本的な知識を欠いている、立法の経緯をまじめにフォローしていないということは別として(というか、年寄りには、近頃若者は、××というようにしか見えなかったりします)、認定による規制が自分たちの利益になるというような認識をしているように思えます。

韓国は、電子署名について公認認証業者を廃止する法制を定めました。むしろ、規制は、価格の高止まりを及ぼすことになるかと思います。

正しい知識とすれば、

を覚えていただければ、いいかと思います。

官公庁からのヒアリングででてきますが、3条推定効は、技術に紐付く(シンガポールだとセキュアな電子署名とされています)ので、認定認証業務かとどうかとは関係しませんし、まずは、自らの依ってたつ技術基準とその監査を明確にすることが先かと思います。

その上で、むしろ、プロバイダーにおいて、

  • 技術の正確な把握と自らの準拠している技術標準の開示、
  • それに対する監査の実行、そして、
  • それらの結果の透明性の確保

こそが、利用者の信頼を増すものであろうと思います。

岩下先生から「デジタル署名と電子署名を混同していないの?」というのを上品に説明してもらえたというのは、いい経験かと思うのですが、出席者は、それに気がついたのでしょうかね。

 

 

 

 

 

 

 

電子署名法へのシンガポール電子取引法の影響

「電子署名法の数奇な運命」で、電子署名法について、海外の法制が影響を与えていたことについては、触れました。

いろいろいと調べた結果、シンガポールの1998年電子取引法が強い影響を与えているのではないか、という節が見えたので、すこしメモします。

シンガポールの1998年電子取引法( Electronic Transactions Act 1998 (No. 25 of 1998)は、電子署名についての取扱を定めています。リンクは、こちら

同法は、序、電子記録および電子署名一般、ネットワークセキュリティプロバイダ、電子計訳、安全な電子記録および電子署名、デジタル署名の効果、デジタル署名に関連する一般義務、認証機関の義務、加入者の義務、認証機関規則、政府機関の利用などを定めています。

同法の目的は、3条に記載されています。

具体的には、信頼性の高い電子記録により電子通信を容易にすること、書面と署名の要求から生じる不確実性に起因する障壁を排除し電子商取引を促進する/安全な電子商取引を実施するために必要な法的・ビジネス的なインフラストラクチャ促進すること、 電子記録の認証と完全性以下の事項に関する規則、基準の統一性を確立するのに役立つこと、 電子的な記録と電子商取引の完全性と信頼性に対する国民の信頼を促進すること及びあらゆる電子媒体での通信の真正性とインテグリティを確保するために電子署名の利用を通じて電子商取引の発展を促進することを目的とすることが明らかにされています(3条)

定義は、2条で定められています。
「電子署名」とは

デジタル形式の文字、文字、数字、その他の記号で、電子記録に添付されているか、電子記録に論理的に関連付けられており、電子記録の認証(authenticating)または承認(approval)を意図して実行または採用されているものを意味する、

とされています。
また、「デジタル署名」とは、

非対称暗号システムとハッシュ関数を使用して電子記録を変換し、最初に変換されていない電子記録と署名者の公開鍵を持つ者が
(a) 署名者の公開鍵に対応する秘密鍵を使用して変換が作成されたかどうか;および
(b) 最初の電子記録が変換されてから変更されたかどうか
を正確に判断できるように構成される電子署名を意味する

とされています。

また、署名者についての定義はありません。しかしながら、後述するように、署名に関する当事者については、自然人であるというような表現は一切なされていません。

電子署名については、同法8条が定めており、

8.-(1) 法律の規則が署名を要求している場合、または文書に署名がない場合の一定の結果を規定している場合、電子署名はその法律の規則を満たす。
(2) 電子署名は、電子記録が当該当事者のものであることを検証する目的で当事者がシンボルまたはセキュリティの手続きを実行するためになされたことは、あらゆる方法で証明することができる。これは、取引をさらに進めるために当事者にとって必要な手続きが存在したことを示すことによって証明することを含む

ことが明らかにされています。

また、シンガポール法の特徴は、セキュアな電子署名(Secure electronic signature)という概念があることです。
同法17条は、

所定のセキュリティ上の手続きを経た場合、または関係者によって合意された合理的なセキュリティ手順に基づいて商業的に行われた場合であって、電子署名は、その作成時において
(a) 使用する者に固有のものであること。
(b) 当該個人を識別できること。
(c) それを使用して本人の単独の管理下にある方法または手段を使用して作成されたもの。
(d) 記録が変更された場合、電子署名は無効になるような方法で、関連する電子記録にリンクされていること。
を検証しうる場合には、そのような署名は、セキュアな電子署名として扱われるものとします。

としています。

そして、セキュアな電子記録と電子署名に関連する推定について、18条がさだめます。

18.-(1) 安全な電子記録が関与するいかなる手続においても、それは 反する証拠が出ない限り、安全な電子記録は、安全な状態に関連する特定の時点から変更されていないと推定される。


(2) セキュアな電子署名が関与するいかなる手続においても、反する証拠が出ない限り、


(a) セキュアな電子署名は、それか関する相手の署名であること、

および
(b) セキュアな電子署名が、電子記録に署名又は承認する意図を有して貼付したものであること、

が推定されるものとする。

(3) 安全な電子記録またはセキュアな電子署名がない場合には、本条のいかなる部分も、電子記録または電子署名の真正性とインテグリティに関連する推定を生じさせるものではありません。
としています。

同法の第6部(PaertⅥ)は、デジタル署名の効果です。
20条は、セキュアなデジタル署名という条文です。

電子記録の任意の部分がデジタル署名で署名されている場合であり、もし、


(a) デジタル署名は、有効な 証明書の運営機関において生成され、電子証明書に記載されている公開鍵を参照して検証され、かつ
(b)


(ⅰ)証明書が、42条のもとの規則に準拠して認可を受けた認証局が発行したものである、
(ii)証明書が、43条のもとの規則によるコントローラーによって認証されたシンガポール外の認証局によって発行されたものである、
(iii) 証明書が、省庁又は大臣の許可を得て規則で定められた条件のもと認証機関となることのできる国または法による組織の機関によって発行されたものである、

または

当事者間(送信者と受信者)で、セキュリティ手順としてデジタル署名を使用するように明示的に合意しており、そして、デジタル署名が、送信者の公開鍵によって適切に検証されている

場合においては、人のアイデンティティの公開鍵は、正確に関連づけられており、その証明書は、信頼できると考えられることから

デジタル署名は、その部分に関して、セキュアな電子署名であるととされる

とされています。

ここで、日本法の構造と比較してみましょう。

 

日本法の構造について、一般には、どのような認識がなされているのか、というのは、非常に把握しにくいのですが、私の認識としては、「リモート署名は電子署名である&クラウド型電子契約にお墨付き」などのエントリでで記載しています。

でもって、シンガポールも一定の推定効を、特定の技術とは、関係なしに合理的なセキュリティ手順を踏んでいたかということで、認めているというので似ているということがいえます。

そうだとすると、わが国における電子署名法の概念の解釈の問題は、「セキュアな電子署名」の概念と、わが国の概念との対応性になるのかと思います。

わが国の「作成に係るものであることを示すためのもの」「改変が行われていないかどうかを確認することができるものであること」が、シンガポールでいう「使用する者に固有のものであること」「 当該個人を識別できること」「 それを使用して本人の単独の管理下にある方法または手段を使用して作成されたもの」「 記録が変更された場合、電子署名は無効になるような方法で、関連する電子記録にリンクされていること」と同じレベルを求めているのか(そうだとすると、わが国の電子署名は、セキュアの電子署名のみをさすことになる)、それとも、むしろ、わが国のは、そのような高いレベルを求めていないと解するか(この場合は、シンガポールと同様の三層構造になる)という問題になりそうです。