金融業界における書面・押印・対面手続の見直しに向けた検討会(第2回)の資料

第2回「金融業界における書面・押印・対面手続の見直しに向けた検討会」議事次第です。

この回は、電子契約プラットフォームのそれぞれのご説明ということかと思います。

電子契約プラットフォームについては、どのようにモデルを分類するのかという問題があります。

当事者が、デジタル署名を使うかどうか、また、ドキュメントがローカルかどうか、クラウドに保存するかどうか、また、クラウドでも個人の真正性担保のためにどの程度の確認労力を使うかで、分かれるかと思います。モデルとして、実際に行われるのは、ローカルのデジタル署名、立会人型、リモート署名型かなと考えています。

でもって、この検討会は、それぞれ、ドキュメントがローカルな型(帝国データバンク)、リモート署名型(セコムトラストシステムズ)、立会人型(弁護士ドットコム)となっていて、勉強になります。

「⾦融業界の手続における電子化について  押印不要化に貢献する電⼦署名」の資料です。

個人的には、法人代表者として、TypeAを従来、保有しておりました。いろいろと必要書類を送って、個人が受け取るので、受領した記憶があります。

あと、DigiCertで、Class2の電子認証サービスがあるんですね。知りませんでした。classについては、このページがいいですね。電子メールアドレスの認証で、どうのと若い先生からいわれたときに電子メールアドレスの認証ってしょせんは、そのアドレスから認証されるだけですよといったのですが、通じなかったという苦い思い出があるのですが、このページを次には紹介することにします。

法的な効力としては、行政機関への電子申請に使えますね。入札の申請に使おうとして保有しました。

また、実際の利用状況としては、ローカル署名とリモート署名の双方に対応するということが紹介されています。

ローカルだと、関係先が多くない組織間において利用回数が少数の場合に適して、一方、リモート署名は、利用回数が多大である場合、関係先が多い場合に適するとされています。

なお、電子署名法の改正についての意見も記載されています。「物件」の解釈問題について、物件は、批判が誤解しているといっています。この点は、私も同意見です。

立会人型を「クラウド署名」の「第三者による署名タイプ」という表現をしていますね。ここら辺は、現場の人たちが用語にもっと、注意を払ってもらいたかったりするところですが、マーケ的な要素がはいって、自分たちのこそが「電子署名」といいたいのだろうと見えます。ただ、それが「数奇な運命」を引き起こしたものなのですが。

法的なものについての要請については、電子署名法に認証用途を追加すべきという表現があります。個人的には、これは、今後、考えてみます。

次は、「リモート署名サービスについて」です。

J2TAの定義でもって、リモート署名の定義がなされていすま。

リモート署名事業者のサーバに署名者の署名鍵を設置・保管し、署名者の指示に基づきリモート署名サーバ上で自ら(署名者)の署名鍵で電子署名を行うサービス

特色として

・リモート署名サービス(「セコムあんしんエコ文書サービス」など)に利用申請するだけでワンストップで利用可
・別途本人確認が不要。金融機関の口座開設や融資契約審査時の本人確認に基づき、高い信頼レベルの電子証明書と秘密鍵を自動発行(金融機関へ登録された印鑑と同レベルの信頼性)
・メールアドレス認証ではなく、2要素認証(ID/パスワード+ワンタイムパスワード)により本人が電子署名
を行うため、書面への記名・押印と同レベルの証拠力を持つ(※1)
・会社のPCやメールアドレスからのアクセスに限定されないため、リモートワークが可能

とされています。典型的なモデル図は、3ページですね。金融機関と利用者がいて、ともに、リモート署名型電子契約サービスで電子契約サービスのプラットフォームの上で合意をしています。

また、アレンジとして、クラウド上ではなく、金融機関のローカルで、リモート署名をする、利用者からは(ネットの向こう側ではありますが)、金融機関にとっては、ローカルな場合もありますすね。この場合の署名については、クラウドが使われることになります(4ページ)。

この部分は、いままで、リモート署名は、当然にクラウド上のドキュメントに署名するよねといっていたのですが、訂正します。

また、リモート署名ガイドラインで、レベル1からレベル3までが紹介されています。それぞれ、「最低限必要なレベル」「認定認証業務と同等の信頼性レベル」「eIDASの適格電子署名と同等レベル」に対応するそうです。

この資料によると適格電子署名について、欧州の適格電子署名と同等性を確保するためのプロジェクトが進んでいるそうです。興味深いです。あと、相互運用の実証実験が開始されています(10ページ)。

まとめは、11ページです。結局は、電子契約サービスは、サービス利用の文脈(コンテキスト)に応じて、利用者にとって最適なものをお選びください、ということになります。きわめて当たり前のメッセージなのですか、「電子署名」という用語の混乱とも相まって、うまく伝わっていないというのが私の感想ですね。

業務の重要度に応じて、電子証明書の審査レベル(松、竹、梅)や組織証明書を選択することで簡易的な利用から重要業務への利用へ応用可能
(簡易利用例:eシールによる証書配信、重要利用例:融資契約の電子締結)

JT2Aの「リモート署名ガイドライン」では3つのレベルが示されており、適用する業務の重要度に応じて、適切なレベルのサービスを選択することが重要。ただし、(上位レベルのサービスで下位レベルの業務への利用は可能)(簡易利用:Level 1、重要利用:Level 2、国際利用:Level 3)

個人的には、上の帝国データバンクさんとも合わせて考えると、業務の重要性がキモになって、利用者同士の取引関係、利用回数、公的機関への利用の可否、その他を考えましょうということになるかと思います。

次は、弁護士ドットコム「電子契約「クラウドサイン」のご紹介」です。

クラウドサインは、自分たちのサービスを

 受信者がメール認証を経て同意すると、弁護士ドットコムが、書類に電子署名と認定タイムスタンプを付与する

仕組みと定義しています。当事者は、弁護士ドットコムの行為に対する同意でしかないと考えています。個人的には、このプラットフォーム上で、契約の相手方と同意しているようにおもえるのですが、これは、あまり意味がないと考えているようです。理由は、よくわかりません。

認証については、二段階認証(具体的な手法は、調べてません)やIP制限も可能だといっています。個人的には、アドレス保持者がssl通信をするあたりは、私たちの世代だとインパクトがあるのですがスルーされています。

あとは、タイムスタンプ・デジタル署名によって、非改ざん性を担保することが書かれています。「署名日以降、改ざんされていないことを公開鍵暗号技術によって、技術的な担保します」と説明されています。まさにそのとおりですね。

あと、興味深いのは、28ページ、2条電子署名を署名者表示機能と改ざん検知機能にわけて説明するところでしょうか。これは、私も大賛成です。

「署名者表示機能」について、表示していればいい、というか、私の解釈の立場は、ある程度のリンクがあればいい、意図があればいいという立場です。2条電子署名ですよ、といってます。クラウドサインさんは、前は、自分たちの立場を「電子サイン」で「電子署名じゃない」といっていたのを、豹変したように思います。個人的には、いいと思います。

30頁で、「印鑑ならタダなのに」というのがなかなか秀逸かなあと思ってみてました。

Q4の「認定認証業者」でないのは、なぜかというのを時代のせいにするのは、誤導の可能性がありますね。

高度な電子署名(セキュアな電子署名)の代表例を認定認証業者にして、3条電子署名の代表例とするという建て付けなので、高度な電子署名の一つの要件である「表示者の署名」であることの技術的担保を欠いているので、ここの建て付けが変わらない限り、認定認証業者にはならないでしょう。

ただし、3条の推定効が、実は、技術による改ざん防止効果のみにかかっているようにおもえて、それだけあれば、認定認証事業たりうるということはありうるので、今後の議論動向によっては、特定認証業務となりうることはありえます。

このところなのですか、「電子署名に関して「第10回 成長戦略ワーキング・グループ 議事概要」を読んでみた(関係省庁ヒアリング部分)」でもふれたのですが、

同条は、電子署名を行ったのが本人であること自体を推定するものでなく、電子署名を行ったのが本人であると裁判所により認定されることを要件として、電磁的記録の成立の真正を推定するものである。

という認識が明らかにされていて(第10回 の資料 1-2)、これは、誰々が、電子署名の操作をなした、ということを立証したのであれば、裁判所は、その電子署名からなされたのを、操作者のなした意思表示(すなわち、改ざんされていないし、全部について認容した)と推定しましょうということにおもえます。(既に本人が操作したということを認定しているので、だれが操作したか、というのは、関係ない)

この推定というのは、(電子署名業界関係者)皆が思っているよにも実は狭いようにおもえます。一方、このクラウド上の合意書面に付したデジタル署名で、技術的にこの推定部分は、100パーセント担保されるようにおもえます。そこで、3条の効果について、上のように何が推定されるのかをきちんとはっきりさせれば、上のような立会人型のモデルについて、推定されるということも可能におもえます。