三省共同電子契約サービスQ&A(3条関係)を読む

9月4日に総務省・法務省・経済産業省の電子署名法を所管する三省の合同での「利用者の指示に基づきサービス提供事業者自身の署名鍵により暗号化等を行う電子契約サービスに関するQ&A(電子署名法第3条関係)」が公表されています。公表のページは、こちらです。

「即実践!!電子契約」(日本加除出版)にも関連するテーマなので、当社のブログでも、電子署名法をめぐる解釈については、たびたびとりあげてきました。

当社のブログでは、比較法的な見地から、電子署名法の制定や解釈の変遷を追うということで、

(1)制定時においては「技術的中立性」に対して非常に注意が払われており、世界的には、とくに、UNCITRALやシンガポールの規定の影響が強いものと考えられること

(2)2条の電子署名と3条の電子署名の概念は、別個のものであること

などについて、フォーカスしたところかと思います。これらの点は、上記の「即実践!!電子契約」でも取り上げてきたところです。

一連のブログにおいて、3条の電子署名については、特に「7月2日の「規制改革推進に関する答申」と電子署名」というエントリで触れておきました。

そこでは、真正性 (authenticity)と認証(authentication)に関するリスクを低減するサービスをという観点から、3条推定効を「技術的効力によって、一定の技術的措置がなされた場合に、それが、他人による変更・改竄を受けていないこと、そして、そのメッセージ全体に対する本人の確認の意図がなさたことを明らかにすることを確かにすること」という観点でとらえることとして、私の周波数と、明らかにされるであろう解説が一致するのか、という問題提起をしておきました。

ここで「周波数が一致するのか」といっていたのは、そもそも、立会人型を「利用者の指示に基づきサービス提供事業者自身の署名鍵により暗号化等を行う電子契約サービス」(長いので、以下、立会人型とします)と表現していたりして、国際的なセンスがなさそうだったのに懸念をもっていたのです。

ということで、このような観点から文章を見ていきましょう。

タイトルについては、さておきます。

まずは、このサービスについて「電子契約において電子署名を行う際にサービス提供事業者が自動的・機械的に利用者名義の一時的な電子証明書を発行し、それに紐付く署名鍵により暗号化等を行う電子契約サービスを含むものとする。」という解説をしています。

この文言についていえば、「利用者名義の一時的な電子証明書を発行」といっていますね。この電子証明書が「利用者名義」であるか、という問題があるでしょうね。利用者の作成にかかるという第三者の宣誓書みたいなのですので、法律的には、利用者「名義」ではないでしょうね。「利用者作成にかかるという」あたりに修正すべきでしょ。

「国際標準との整合性や他の国の制度との調和なども踏まえた検討を行う必要がある。本Q&Aの作成に当たっても、国際標準との整合性等の観点も踏まえ、検討を行った」ということだそうです。方向性としては、いいですね。

問1です。

電子署名法第3条における「本人による電子署名(これを行うために必要な符号及び物件を適正に管理することにより、本人だけが行うことができることとなるものに限る。)」とは、どのようなものか。

というのが問いです。

この問について、Q&Aは、まず、3条の電子署名が、2条の電子署名についての要件を過重しているものであることを認めています。

では、3条の効果は、実際に、何で、それを可能にする効果というのは何なのでしょうか、という問題になります。

事実の認定については、ア)誰が、イ)どのような資料に基づいて、ウ)どのような事実を、エ)どのような基準で、判断するのか、という問題があるわけです。

3条は、裁判での規範ということになるので、「誰が」というのは、裁判官が、ということになります。そうだとするとこの場合は、民事事件についての話でしょうから、「証拠資料の無制限」のもと、証拠の優越(これは、エ)に関連する)で、その文書が、(a) 特定人の意思を表示するものであって、 (b)その文書の内容を作成者が承認したことを確認すること、が判断されることになります。

 

特に、一定の定めがない場合については、データメッセージの発信者と受信者の間での

  • (a)各当事者が使用する機器の高度化
  • (b)取引活動の性質
  • (c)当事者間で行われる商取引の頻度
  • (d)取引の種類と規模
  • (e)所定の法定・規制環境における署名要件の機能
  • (f)通信システムの能力
  • (g)設定された認証手順の遵守
  • (h)仲介者が提供する認証手続きの範囲
  • (i)貿易慣習や慣行の遵守
  • (j)未承認のメッセージに対する保険適用の仕組みの有無
  • (k)情報の重要性と価値
  • (l) 代替的な識別方法の利用可能性及び実施コスト
  • (m)識別方法が合意された時点及びデータメッセージが伝達された時点における関連業界又は分野における識別方法の受入れ又は不受入れの程度
  • (n) その他の関連する要因

などを考慮に入れて、判断がなされることになります。これらの要因は、電子商取引に関するUNCITRALモデル法制定の手引き、パラグラフ53及び56-58)。53 及び 56-58)で論じられています。

では、「推定効」というのは、どういうものか、というと、これらの諸般の事情のうち、「電子署名」がなされているということのみであって、事実認定をしても経験則に反することはないのが一般ということなのだろうと思われます。

3条推定効については、「電子署名が本人すなわち電子文書の作成名義人の意思に基づき行われたものであることを要求する」のが前提ということになるので、上の「(a) 特定人の意思を表示するもの」については、その電子署名自体ではなくて、上記の総合的な判断によってこの要件事実が証明されることが必要になるということになります。(要は、この推定効は、「文書の作成者を特定すること」という要件にはおらばないということです)。

では、このように考えたときに、3条の推定効は、その電子署名自体から、「文書の内容を作成者が承認したことを確認」することがてきるという意味になります。だとすると、「文書全体」に対する措置がなされていること、その作成者の措置であることが確かにされること、改変があれば、それが検知されること、などの対応がなされていることが必要になるのかと思われます。

翻ってQ&Aをみていきます。Q&Aは、ここで、「暗号化等の措置を行うための符号について、他人が容易に同一のものを作成することができないと認められることが必要」としています。

比較法的にみたときにUNCITRAL 電子署名モデル法6条3項の要件は、4つの要件をあげています。

(a)署名作成データは、利用されるコンテキスト内で、署名者にリンクされており、他の人物にはリンクされていないこと、
(b)署名作成時のデータは、署名時において、署名者の管理下にあり、他人の管理下にないこと、
(c)署名後において、電子署名に対する変更が検出可能であること、
かつ
(d)署名を法的に必要とすることの目的が、署名に関連する情報のインテグリティに関する保証を提供することである場合、署名後にその情報に加えられた変更が検出可能であること。

3条の電子署名が、一定の技術的措置であって、上記効果を満たすために一定の技術的措置がなされていなければならないのは、そのとおりであると考えられます。

ポイントとしては、署名者のなしている電子署名という技術的措置が、本人による措置であることが明らかになっている場合に、「その措置は自分のものであるが、改竄されているとか、他の人がかってに作成したものである」というのは、どういうものか、ということになるかと思います。

このためには、「暗号化等の措置を行うための符号について、他人が容易に同一のものを作成することができないと認められること」というのは、そのとおりということになるかと思います。ただし、これは、そのことが必要であるというだけで、それだけで十分であるということにはならないでしょう。

なお、この部分については、追加のエントリ(UNCITRALと比較して3条Q&Aをもう一回読んでみる)があります

—-

問2では、このような3条の推定効と「立会人」型の電子契約サービスの関係が質問されています。

Q&Aでは、2条電子署名との考え方について、利用者からみて事業者が「道具であること」をもとに、立会人型でも電子署名に該当するとしています。

同サービスの提供について、技術的・機能的に見て、サービス提供事業者の意思が介在する余地がなく、利用者の意思のみに基づいて機械的に暗号化されたものであることが担保されているものであり、かつサービス提供事業者が電子文書に行った措置について付随情報を含めて全体を1つの措
置と捉え直すことによって、当該措置が利用者の意思に基づいていることが明らかになる場合

というのが、その全体的に見て道具理論の部分です。

私のブログでは、2条で考える限り、利用者の技術的措置といえるであろうと考えていて、わざわざ、事業者の電子署名にこだわる必要はないだろうとしていたところです。

ただ、2条の電子署名が、署名の意思の表示のみでいいかというのは、解釈論としては、微妙だろうなと思っていて、文言としては、むしろ、上のUNCITRALの要件を満たすものを制定法上の電子署名といっているのではないか、という解釈論もありうるかなと思っていたところです。

それはさておき、Q&Aは、3条の推定効は、「符号について、他人が容易に同一のものを作成することができないと認められること」が必要であるとしています。

私の見解からいうと、「ドキメュントについては、改竄されているとか、他の人がかってに作成したものである」という主張を否定しうる技術的なレベルなので、必ずしも、上の要件のみで十分であるということとは思えませんが、その要素が必要な一つであるということはいえると思います。

Q&Aは、この要件を「固有性の要件」とよびかえています。「システムやサービス全体のセキュリティを評価して判断されることになると考えられる」として、この部分は、そのとおりですね。

「当該事業者自身の署名鍵により暗号化等を行う措置について、暗号の強度や利用者毎の個別性を担保する仕組み(例えばシステム処理が当該利用者に紐付いて適切に行われること)等に照らし、電子文書が利用者の作成に係るものであることを示すための措置として十分な水準の固有性が満たされていると評価できるもの」ことが必要とされています(6ページ)。

一般に、事業者は自ら、デジタル署名をするので、そのデジタル署名の効力がこの部分は確保されていますね。

むしろ、一番大切なのは、その署名が本人の作成にかかる(上のa) の要素)というのについては、推定の効力が及ばないです、ということのような気がします。

Q&Aは、きちんと読まないと、そのような分析をしないで、「事業者型は3条電子署名です(!!)。」というマーケ的利用が多発するような気がしています。


Q&Aのに要素認証の部分は、むしろ、署名が本人の作成にかかる(上のa) の要素)という部分ではないか、という疑問を呈したエントリを後日作成しています

—-

きちんと、問4において

電子署名法第3条の推定効が認められるためには、電子文書の作成名義人の意思に基づき電子署名が行われていることが必要であるため、電子契約サービスの利用者と電子文書の作成名義人の同一性が確認される(いわ
ゆる利用者の身元確認がなされる)ことが重要な要素になると考えられる。

と断り書きがなされています。要は、その部分は、推定効ではなくて、上の証拠資料の無制限のもとでの自由心証主義による立証課題ですということなのですが、その部分が、正しく理解されるのか、という問題があるわけです。

ところで、このQ&Aに参考文献が付されています。

NIST、「NIST Special Publication 800-63-3 Digital Identity Guidelines」、 2017 年 6 月

経済産業省、「オンラインサービスにおける身元確認手法の整理に関する検討報告書」、 2020 年 4 月

各府省情報化統括責任者(CIO)連絡会議決定、「行政手続におけるオンラインによる本人確認の手法に関するガイドライン」、 2019年 2 月

これらをみると、実際には、その署名が本人の作成にかかる(上のa) の要素)という要件の立証についてのリスク分析と対応が一番の論点なのだろうなと思い出しています。

これらのドキュメントは、機会があったら分析してみたいと思っています。