電子署名法へのシンガポール電子取引法の影響

「電子署名法の数奇な運命」で、電子署名法について、海外の法制が影響を与えていたことについては、触れました。

いろいろいと調べた結果、シンガポールの1998年電子取引法が強い影響を与えているのではないか、という節が見えたので、すこしメモします。

シンガポールの1998年電子取引法( Electronic Transactions Act 1998 (No. 25 of 1998)は、電子署名についての取扱を定めています。リンクは、こちら

同法は、序、電子記録および電子署名一般、ネットワークセキュリティプロバイダ、電子計訳、安全な電子記録および電子署名、デジタル署名の効果、デジタル署名に関連する一般義務、認証機関の義務、加入者の義務、認証機関規則、政府機関の利用などを定めています。

同法の目的は、3条に記載されています。

具体的には、信頼性の高い電子記録により電子通信を容易にすること、書面と署名の要求から生じる不確実性に起因する障壁を排除し電子商取引を促進する/安全な電子商取引を実施するために必要な法的・ビジネス的なインフラストラクチャ促進すること、 電子記録の認証と完全性以下の事項に関する規則、基準の統一性を確立するのに役立つこと、 電子的な記録と電子商取引の完全性と信頼性に対する国民の信頼を促進すること及びあらゆる電子媒体での通信の真正性とインテグリティを確保するために電子署名の利用を通じて電子商取引の発展を促進することを目的とすることが明らかにされています(3条)

定義は、2条で定められています。
「電子署名」とは

デジタル形式の文字、文字、数字、その他の記号で、電子記録に添付されているか、電子記録に論理的に関連付けられており、電子記録の認証(authenticating)または承認(approval)を意図して実行または採用されているものを意味する、

とされています。
また、「デジタル署名」とは、

非対称暗号システムとハッシュ関数を使用して電子記録を変換し、最初に変換されていない電子記録と署名者の公開鍵を持つ者が
(a) 署名者の公開鍵に対応する秘密鍵を使用して変換が作成されたかどうか;および
(b) 最初の電子記録が変換されてから変更されたかどうか
を正確に判断できるように構成される電子署名を意味する

とされています。

また、署名者についての定義はありません。しかしながら、後述するように、署名に関する当事者については、自然人であるというような表現は一切なされていません。

電子署名については、同法8条が定めており、

8.-(1) 法律の規則が署名を要求している場合、または文書に署名がない場合の一定の結果を規定している場合、電子署名はその法律の規則を満たす。
(2) 電子署名は、電子記録が当該当事者のものであることを検証する目的で当事者がシンボルまたはセキュリティの手続きを実行するためになされたことは、あらゆる方法で証明することができる。これは、取引をさらに進めるために当事者にとって必要な手続きが存在したことを示すことによって証明することを含む

ことが明らかにされています。

また、シンガポール法の特徴は、セキュアな電子署名(Secure electronic signature)という概念があることです。
同法17条は、

所定のセキュリティ上の手続きを経た場合、または関係者によって合意された合理的なセキュリティ手順に基づいて商業的に行われた場合であって、電子署名は、その作成時において
(a) 使用する者に固有のものであること。
(b) 当該個人を識別できること。
(c) それを使用して本人の単独の管理下にある方法または手段を使用して作成されたもの。
(d) 記録が変更された場合、電子署名は無効になるような方法で、関連する電子記録にリンクされていること。
を検証しうる場合には、そのような署名は、セキュアな電子署名として扱われるものとします。

としています。

そして、セキュアな電子記録と電子署名に関連する推定について、18条がさだめます。

18.-(1) 安全な電子記録が関与するいかなる手続においても、それは 反する証拠が出ない限り、安全な電子記録は、安全な状態に関連する特定の時点から変更されていないと推定される。


(2) セキュアな電子署名が関与するいかなる手続においても、反する証拠が出ない限り、


(a) セキュアな電子署名は、それか関する相手の署名であること、

および
(b) セキュアな電子署名が、電子記録に署名又は承認する意図を有して貼付したものであること、

が推定されるものとする。

(3) 安全な電子記録またはセキュアな電子署名がない場合には、本条のいかなる部分も、電子記録または電子署名の真正性とインテグリティに関連する推定を生じさせるものではありません。
としています。

同法の第6部(PaertⅥ)は、デジタル署名の効果です。
20条は、セキュアなデジタル署名という条文です。

電子記録の任意の部分がデジタル署名で署名されている場合であり、もし、


(a) デジタル署名は、有効な 証明書の運営機関において生成され、電子証明書に記載されている公開鍵を参照して検証され、かつ
(b)


(ⅰ)証明書が、42条のもとの規則に準拠して認可を受けた認証局が発行したものである、
(ii)証明書が、43条のもとの規則によるコントローラーによって認証されたシンガポール外の認証局によって発行されたものである、
(iii) 証明書が、省庁又は大臣の許可を得て規則で定められた条件のもと認証機関となることのできる国または法による組織の機関によって発行されたものである、

または

当事者間(送信者と受信者)で、セキュリティ手順としてデジタル署名を使用するように明示的に合意しており、そして、デジタル署名が、送信者の公開鍵によって適切に検証されている

場合においては、人のアイデンティティの公開鍵は、正確に関連づけられており、その証明書は、信頼できると考えられることから

デジタル署名は、その部分に関して、セキュアな電子署名であるととされる

とされています。

ここで、日本法の構造と比較してみましょう。

 

日本法の構造について、一般には、どのような認識がなされているのか、というのは、非常に把握しにくいのですが、私の認識としては、「リモート署名は電子署名である&クラウド型電子契約にお墨付き」などのエントリでで記載しています。

でもって、シンガポールも一定の推定効を、特定の技術とは、関係なしに合理的なセキュリティ手順を踏んでいたかということで、認めているというので似ているということがいえます。

そうだとすると、わが国における電子署名法の概念の解釈の問題は、「セキュアな電子署名」の概念と、わが国の概念との対応性になるのかと思います。

わが国の「作成に係るものであることを示すためのもの」「改変が行われていないかどうかを確認することができるものであること」が、シンガポールでいう「使用する者に固有のものであること」「 当該個人を識別できること」「 それを使用して本人の単独の管理下にある方法または手段を使用して作成されたもの」「 記録が変更された場合、電子署名は無効になるような方法で、関連する電子記録にリンクされていること」と同じレベルを求めているのか(そうだとすると、わが国の電子署名は、セキュアの電子署名のみをさすことになる)、それとも、むしろ、わが国のは、そのような高いレベルを求めていないと解するか(この場合は、シンガポールと同様の三層構造になる)という問題になりそうです。