電子署名に関して「第10回 成長戦略ワーキング・グループ 議事概要」を読んでみた(業者ヒアリング部分)

さて、リモート署名を電子署名であると認め、3条の推定効が及びうるのではないか、と示唆してる5月12日の規制改革推進会議 第10回 成長戦略ワーキング・グループ ですが、その議事概要が公開されているので、ちょっと読んでみます。

この会議は、「クラウド上の契約に法的リスク 20年前施行の法が壁に」という記事のもとにもなったもので、ネガティブに書こうとすると日経の記事に、法的にニュートラルに書こうとすると、楽観的になり、私のエントリのようになるというものです。

議題については、電子署名についてフォーカスします。

最初は、事業者ヒアリングです。出席者は、略。

日本組織内弁護士協会(榊原理事長)のヒアリング内容は、「現在主流であるクラウド型電子署名が電子署名として法律上保護されているのであれば、移行への懸念点が減り、突破口になります」ということ、「技術的中立性が本日のディスカッションの中で最大のキーワードになると考えています。」ということだそうです。法令改正の要望点としては、「事前・事後の公的監督が期待できます。このように、本件は法令を改正したとしても十分な許容性があると考えております。」となっています。

むしろ、立会人型についての産業標準を確立して、認定認証業務として規制をかけてほしい、といっているのですね。

次は、帝国データバンク小田嶋氏からです。ここでは、場面ごとに適する電子署名がことなっています、という説明ですね。、タイムスタンプ、eシールとも国際的な相互認証、その一方で、「国内の事情、特に提供者側の論理だけを取り上げるとガラパゴスになりかねないと思っています」という認識が表されています。(EUが先行しているととらえるかはいろいろあるかと思いますが)。

弁護士ドットコム株式会社(橘取締役)は、「説明コストが高いということと行政のところで使えない。この2つが問題」「電子契約の法制度要件が分かりにくい」といっています。そして、「たった赤い丸い判子があるだけで、その文書が偽造されていないと推定効を与える。」と民訴法228条を批判します。(「ある認定事業者から発行を受けなければ電子署名法が適用されませんとか、ほかにも品質の基準が厳格に定められています。」などという電子署名は、デジタル署名のドグマを前提とした表現もあります)そして、「2020年現在クラウドサインをはじめとした普及実態のあるクラウド型の電子契約というのが、電子署名法から法の外になってしまうというようなことが生じております」といっています。「米国のe-Sign法という連邦法がございます。これは、電子契約に関しても公的効力を否定してはならないという明文がございます。EUにも同様の法令がございます。」などというコメントもあります。

法律家の議論としては、落合先生から「電子署名法の要件というのは、実印を押印しているような推定が働く場合と対比して議論しているのではないかと思っております。」として、三文判について推定効をえられない場合もあるのではないかという質問、武井先生からは「海外ではクラウドサインを電子署名と認めていないという意味なのか、どういうことを官庁から言われたのかを教えてください。」という質問がなされています。

質疑では、「海外でこのような推定効を認めるような法令がないというこ
とを間接的に伝聞したことがございます。」といっています(渡部理事)。

20年前には、立法する際に調べていたんですよシンガポールは、構造も似ているし。批判するときには、きちんと先人にリスペクトを払ってからやるべきでしょう。

岩下先生からの鋭い質問「電子署名をつけてとおっしゃったのは、例えばRSAやECDSAといった形のいわゆるデジタルシグネチャーなのでしょうか。その場合の秘密鍵の管理は誰がどうやっているのですか。」というのに対して、デジタルシグネチャーかどうかというのにきちんと答えが出ていなかったりしています。セキュリティ昔から、やっていると、デジタルシグネチャーというのに、リアクションがでたりするのですが、橘取締役は、シマンテックが電子署名会社と回答して、直されたりしています。

でもって、岩下直行先生から、「電子署名という言葉が該当するのかどうかということがここでは問題だと思います」とまとめられています。

この業者ヒアリング部分をどう読むかだと思いますが、やはり、業者がデジタル署名という用語自体もしらないで、かつ立法の時の経緯を知らずに、勝手に電子署名は、デジタル署名(それも認定認証業者のもの)に限られているので、自分たちにも認定の枠組を作って保護してほしいといっているように思えます。

この議論には、いろいろな落とし穴がありますね。

基本的な知識を欠いている、立法の経緯をまじめにフォローしていないということは別として(というか、年寄りには、近頃若者は、××というようにしか見えなかったりします)、認定による規制が自分たちの利益になるというような認識をしているように思えます。

韓国は、電子署名について公認認証業者を廃止する法制を定めました。むしろ、規制は、価格の高止まりを及ぼすことになるかと思います。

正しい知識とすれば、

を覚えていただければ、いいかと思います。

官公庁からのヒアリングででてきますが、3条推定効は、技術に紐付く(シンガポールだとセキュアな電子署名とされています)ので、認定認証業務かとどうかとは関係しませんし、まずは、自らの依ってたつ技術基準とその監査を明確にすることが先かと思います。

その上で、むしろ、プロバイダーにおいて、

  • 技術の正確な把握と自らの準拠している技術標準の開示、
  • それに対する監査の実行、そして、
  • それらの結果の透明性の確保

こそが、利用者の信頼を増すものであろうと思います。

岩下先生から「デジタル署名と電子署名を混同していないの?」というのを上品に説明してもらえたというのは、いい経験かと思うのですが、出席者は、それに気がついたのでしょうかね。