電子署名に関して「第10回 成長戦略ワーキング・グループ 議事概要」を読んでみた(関係省庁ヒアリング部分)

電子署名に関して「第10回 成長戦略ワーキング・グループ 議事概要」について前のエントリの続きの部分を読んでみることにします。

議事録では、16頁以降になります。

同じ議題で関係省庁のヒアリングを行いたいと思います。
本日は、法務省民事局商事課、篠原課長。
総務省サイバーセキュリティ統括官室、赤阪参事官。
経済産業省商務情報政策局サイバーセキュリティ課、奥家課長

というところです。あと、日本トラストテクノロジー協議会(J2TA)から

手塚代表及び小川運営委員長にも御同席いただいております

ということで、結構、知っている人がいたりします。

最初は、赤坂統括官室の赤坂氏からです。当社のトラストサービスのシンポジウムの際に、ご講演ありがとうございました、ということになります。

さて、論点としては、

  • リモート署名につきまして、電子署名法における電子署名と解されるのか。
  • J2TAのリモート署名に関するガイドラインが策定されており、このガイドラインの要件を満たすリモート署名が行われた場合に、電子署名法第3条による電磁的記録の真正な成立の推定を得られると解されるのか
  • 一部の電子契約サービスにおきまして、契約の当事者は、デジタル署名をせずに電子契約事業者がデジタル署名を行うというサービスが行われているけど、これについて、電子署名法第3条による電磁的記録の真正な成立の推定を得られるのかということ

ですね。(用語は、すこし変えてますが、それは、このエントリで説明します)

まずは、最初のリモート署名の「電子署名」との概念との関係です。これについては、電子署名法の第2条第1項の定義を満たした場合には、「電子署名」になるという説明をしています。これは、このブログの「リモート署名は電子署名である&クラウド型電子契約にお墨付き」エントリで触れているとおりの回答がなされています。

個人的には、この説明は、2条1項の定義部分について解説しているところに注目しなければなりません。2条1項は、電子署名法制定当時の韓国とは違って、公開鍵暗号技術を前提として定められていません。また、明確に3条の推定効が及ぶ電子署名の要件とは別のものとして議論しています。

その一方で、この2条1項の要件が、それぞれ、どのような解釈を意味するのか、また、「信頼できる電子署名(UNCITRAL)/セキュアの電子署名(シンガポール)」の解釈との関係はどうなのかとか、という点については、詳細に論じていない点が注目されます。(これらの点の分析は、「電子署名の数奇な運命」のミッションとして残っていると考えています)

J2TAのガイドライン準拠の場合について、リモート署名事業者が参照すべきセキュリティー基準等を示したものであるという認識を示した上で、

内容の精査を行うほか、このガイドラインの運用状況等を注視していくことが必要であると我々として考えておりますが、このガイドラインに示された基準というものが電子署名法第3条の要件を満たす場合には、同条の推定効が働くことは否定されるものではないと認識している

としました。この前提は、

本人による電子署名(これを行うために必要な符号及び物件を適正に管理することにより、本人だけが行うことができることとなるものに限る)が行われている場合

となります。この前提はきちんと確認していなければなりません。それこそ、電子契約の成立が争われたときには、当事者の証明すべき事実は、

1)(電子署名署付与行為が)本人によること

2)当該電子署名が「これを行うために必要な符号及び物件を適正に管理することにより、本人だけが行うことができることとなるもの」であること

となるものと思われます。

そして、2)については、「公開鍵暗号をベースにしている場合には」(この部分は、私が限定をつけています)「署名鍵について十分な強度の暗号が用いられていて、他人がなりすますということができないもの」&「署名鍵が格納された物理的な媒体について、本人以外に使用不可能な方法で管理され得るものである」という要件をあげています。

まず、リモート署名は、「リモート署名サービス提供事業者のサーバに利用者の署名鍵を設置・保管し、利用者が当該事業者のサーバにリモートでログインした上で利用者自らの署名鍵で措置すること」となります。

でもって、現在の解釈では、多数的には、「「本人だけが行うことができる」というのは、当然に、ローカルにおける情報の保存とその情報の保存媒体であるという解釈を前提としている」とされています。なので、「方式に応じて本人だけが行うことができるものとして主務省令で定める基準に適合するものについて行われる認証業務」(特定認証業務)とはされていないことになります。

しかしながら、冷静にみていくと、技術的な手法等によって、社会通念上「本人だけが行うことができる」というものに達した場合には、それを、主務省令で定める基準によって、「その方式に応じて本人だけが行うことができる」とすることは、十分に可能であろうと考えます。

あと、3条推定効は、上述のような「方式に応じて本人だけが行うことができるものとして主務省令で定める基準に適合する」か、どうかという形式的なものにはよらないことが明らかにされています。この点については、特定認証業務によるものに限られるとする説もあるのですが、それを否定する立場が明らかにされたという意義があります。

eIDAS規則の前文(51)および(52)がリモート署名の部分なのですが、「遠隔の電子署名サービス提供者は、電子署名作成環境が信頼でき、また署名者だけのコントロールのもとに利用されることを保証するための特別なマネジメントと管理されたセキュリティ手続きを採用し、またセキュアな電子通信チャンネルを含む信頼できるシステムと商品を利用すべきである。」としています(前文(52))。そうであれば、社会通念上、本人のみが管理しうるものと考えられるものも含まれるべきであるとなって、赤坂氏の回答が導かれることになるかと思います。

質疑応答のところですが、28頁のところで

ポイントになるのは、本人以外に使用不可能な方法で管理されているかどうかであって、それが自分のオンプレミスのサーバーでなくて外であったとしても、本人以外が使用不可能な方法で管理されているのであれば、それは認められる。したがって、リモート署名の場合であっても、高いレベルでセキュリティーが確保されているのであれば、推定効が働くことがあり得るのではないかというのが私たち3省庁での共通の理解になっています。

と明らかにされています。

「契約の当事者は、デジタル署名をせずに電子契約事業者がデジタル署名を行うというサービスが行われているけど、これについて、電子署名法第3条による電磁的記録の真正な成立の推定を得られるのかということ」という論点については、法務省篠原氏からの説明です。篠原氏は

電子署名法3条の規定といいますものは、電子署名がされた情報に関しまして、何らか紛争が生じ、裁判になった場合の証拠としての取扱いを規定したものでございます。そもそも裁判にならなければ直接的に機能しない条文と認識しております。裁判上、提出された証拠としての情報が否認ないし不知とされない限り問題とならない状況でございます。
否認、不知がされた後に、立証の際、条文の推定効が働いてくると認識しておるところでございます

として、述べています。これは、電子署名一般の定義規定が社会的にいろいろな局面で問題になるのに対して、3条推定効が、裁判の場合であることを正しく述べています。しかしながら、

電子契約事業者が利用者の指示を受けて自ら電子署名を行うサービスにつきましてですけれども、立法の経緯からいたしまして、本人というところが非常に重要な要素でございます。本人が電子署名をしたということが判明しない仕組みにつきましては、既存の電子署名法3条の規定の効力を及ぼすというのはなかなか難しいのではなかろうかと認識しております。

という回答をしています。

ここで、本人というのが重要であるというのは、そのとおりです。そして、ここで、いわれている「契約の当事者は、デジタル署名をせずに電子契約事業者がデジタル署名を行うというサービス」を便宜的に立会人型という場合に、当事者(電磁的措置をした者)が、その契約の当事者(外形的に認識される当事者)と同一であるというのは、仕組み的には、担保されてないというのは、そのとおりです(そもそも、当事者の電子証明書はないし)。

なので、3条の推定効(印鑑の場合に考えているような推定の効力という意味)は、及ばないのは、そのとおりかと思います。

ただし、用語法の問題があります。契約の当事者は、公開鍵暗号技術を用いて、なりすましを防ぐ手法で措置をしているわけではないのですが、電子メールをもとに認証して、サーバとSSL通信をして、SSL通信のもと、契約書を認めますよとしてクリックをなすわけです、マウスでサインもします。もう一度図をだします。

これは、2条1項との関係では、電子署名といっても言いように思えるのです。法律家であれば、3条の要件を満たす電子署名とか、電子署名に限定を付して説明をするのが、マストなはずで、言葉に対する軽視の態度は批判されるべきだと思います。

多分、担当者は、実際の立会人のシステムを使ったことがないのだろうと思われます。使ってみれば、そして、立法の経緯を語るのであれば、これを当事者の「電子署名」(2条)がないという用語法は選ばないはずでしょう。

今一つは、当事者の行為を無視して、「事業者の署名がなされる」という表現が悪いのは、どのような仕組みになっているのかというのを看過するリスクがあるということです。

その契約書には、立会人たるプロバイダのデジタル署名がなされるわけです。この場合の真正性のもっとも弱点は、電子メールのアドレス保有者からのサーバへのアクセスの認証のみです。そうだとすると電子メールアドレス保有者のエンロールのときに、生体認証をしたり、eKYCで認められる程度の情報を集めたとしたら、どうなるのでしょうか。eKYCで十分といっているレベルの認証を備えているにもかかわらず、「通常人が疑いを差し挟まない程度の高度の蓋然性」には、電子メールのアドレスの認証は及ばないというのも解せなかったりします。(しかも、3条推定効の要件からいくと既に「本人の行為」は、立証ができている場合だとするとなおさらです)

個人的には、みんなが印鑑の亡霊にまとわりつかれていて、3条推定効を広く考えているのではないかという感じがします。本当は、本人が電磁的措置をなした場合に、そんなのは、知らなかったとか、途中で書き換えられたという主張をさせない程度の意味しかなかったような気がしているのですが、その点は、今後、きちんと考えてみたいと思います。

質疑応答をみます。3条の推定効を広げるのはどうかという質疑については、

当然、推定効の事実である社会的、技術的基盤等が進みまして、本人が電子署名をしたということが技術的、社会的に認知されたという状況になれば、裁判所のほうで適切に推定効を及ぼすというような流れになるのではなかろうかなと思っているところでございます。

という回答がなされています(19頁)。個人的には、これは、当然かなと思います。

岩下先生の

電子署名法上の要件が本人が署名したというような形になることが必要であるという回答されたと思います。(略)はたまた、それを補強する技術として、クラウドサインの運営者さんがおっしゃるようなパスワードあるいは生体認証等を付与して、自分たちのシステムを通っていたものについては、実際の署名者は別の人だけれども、その人の権限によって生成されたものである、これは疑わなくていいと。それは先ほどから出ているガイドラインもそうなっているのだと思うのですけれども、その場合に、いわゆるデジタル署名を生成したという意味、あるいは秘密鍵を管理しているという意味と、それから、そういうプロセス全体で本人が関与したということを何とか証明しようとしているものというのは、電子署名法的には、そういう理解をした場合に、それが適用できるのかということについて改めて御意見をお伺いできないでしょうか。

という質問がなされています。上で書いたように、エンロールの時に、アイデンティティとの紐付けを付したとすれば、その限りで、かなりのことを認めていいのではないかという質問かと思います。本質的なものですが

大橋座長 ところどころ微妙に聞こえたような聞こえていないような感じだったので、もし省庁のほうで改めて御質問があればしていただければと思います。

ということで、質問としては聞きたくなかったのでしょうか(?)。うーん、残念です。

夏野委員の物件ICカード質問は、パス。藤原政務官は、裁判のIT化と委任状の件についての質問と、あと、228条に「最高裁なりの研究会をつくって、そこでガイドラインを出していって実務に影響を与えていく」べきという質問がなされています。

この流れで、奥家さんから、

ややこの法律の理解についても、恐らく当時の立法精神のところが正しく伝わっていないところがあって、ITの世界、システムの世界は高度化していくので、これ自体は技術中立性を意識した規定ぶりになっています

として、「二要素認証みたいなものが排除されているというわけではありません。」ときっちりをコメントしています。Good Jobですね。後述ですが、立会人型のサーバであっても、「物件」と解されることが確認されています(27頁)。なのでICカードだ、古いという批判が的外れなことが明らかになっています。

あと、jGrantsという仕組みで真正性のレベルの説明がなされています。

昨年から経済産業省のほうではGビズIDという形で、企業さんのほうから印鑑証明を一回出してもらったらそこでIDを振り出して、そのIDで行政手続をできるようにしようじゃないかと。そのときには二要素認証をやることで本人認証を行って、それで手続を行えるようにしようと。その取組を
またつなげていくことができないだろうかということで、昨年から既に補助金申請はこのGビズIDをベースにしたjGrantsという形でシステム化したりしてきています

という紹介がなされています。3条推定効ばっかり議論していますが、行政手続においては、それは、また、別個のレベルで考えていて、その場面ごとに「取組を積み重ねていくということが非常に大切になっていくのだろうと思っています。」ということで、おっしゃるとおりですね。特に3条推定効が肥大化して、それで、逆にいろいろな思惑に巻き込まれているように見えるときには、このような議論の整理は、非常に重要だと思います。

次、落合先生から

この電子署名法3条では一体何をしようとしているのかということを教えていただければと思っております。主に法務省なのではないかと思います

という質問です。私としては、この質問の趣旨としては、上のように要件事実として考えたときに何が前提で、何が、推定されるのかというのをはっきり教えてほしいという質問と理解しました。しかしながら、要件事実的な考えをもっていない人には伝わらないので)篠原氏からは

何を電子署名法3条で確認しようとしているのかという点でございますけれども、電子署名法3条につきましては、裁判所に提出された証拠としての取扱い、誰がその情報を作成したのかを推定する効力を与えている条
文でございます。したがいまして、情報を作成したのは誰かということを捉えようとしていることが実質的な内容ではなかろうかと考えております。

という回答がなされています。個人的には、アーア、という感じなのですが、この点は、実は、ペーパーで

同条は、電子署名を行ったのが本人であること自体を推定するものでなく、電子署名を行ったのが本人であると裁判所により認定されることを要件として、電磁的記録の成立の真正を推定するものである。

と書かれています。

なので、行為者が電磁的措置をなしたことを立証しなければなならないし、それは、電子署名の性質とは関係しないのですとなります。すると「誰がその情報を作成したのかを推定する効力を与えている条文」ではないということになるわけです(法律要件としては、別の要件)。この点は、私も誤解していました。もうすこし検討したいと思います。

あと、武井先生からは

判子をなくしたからって何でもかんでも電子署名にいくわけではなくて、文書の真正性というのはいろいろな証明の仕方があるわけです。例えば契約書でも、別に電子署名をやらなくても、メールにPDFをつけてそれをやり取りすれば本人性は確認できるし、タイムラインもちゃんと取れるわけです。ですので、何でもかんでも電子署名だけというわけではないので、電子署名という世界を開拓していただくことももちろん大事なのですけれども、それ以外にもいろいろな真正のやり方があるのだということを是非行政を挙げてやる一つの礎をつくっていただければと思います。

というコメントもなされていて、これは、「押印についてのQ&A」につながっているようですね。

岩下先生からは、登記所における立会人型の活用の質問がなされています。これに対しては、私のブログでも検討したように

商業登記、不動産登記につきましては、登記法という手続法がございまして、そこで使える書面や申請に必要なものを規定してございます。そうい
ったところを見直さなければいけないという趣旨でございます

という説明がなされています。

でもって、議事は、「押印」の問題に移っていきます。エントリを変えることにしましょう。

リモート署名、3条推定効の議論は、非常に興味深かったです。

落合先生、岩下先生からの質問が非常に本質的なところをついていたのにもかかわらず、通信環境のせいなのか(?)、本質的な回答が得られていなかったのが議事録でよく分かりました。

要は、

  • リモート署名は、2条の電子署名の要件である
  • (実は)3条推定効は、その意味が明確ではない(本人が措置をしたことを推定するかのような理解が蔓延しているようにみえる
  • 3条推定効は、特定認証業務であるとは無関係であって、技術の実態によって社会通念から「本人以外が使用不可能な方法で管理されているのであれば、」認められるとされており、これは、担当する三省の共通の理解とされている
  • 立会人型の理解について、当事者の電磁的な措置が重要であるが、法務省の理解は微妙
  • 本人の真正性については、政府対する関係ては、登記やから補助金申請などの関係で、別個に考えれば、足りる。

あたりが、この議論のまとめになるのかなあと思います。

こうやって見たときに、自分でいうもなんですが、「リモート署名は電子署名である&クラウド型電子契約にお墨付き」というエントリは、ポイントをついていたなあと思っていたりしています。