UNCITRALと比較して3条Q&Aをもう一回読んでみる

総務省・法務省・経済産業省の電子署名法を所管する三省の合同での「利用者の指示に基づきサービス提供事業者自身の署名鍵により暗号化等を行う電子契約サービスに関するQ&A(電子署名法第3条関係)について、ブログでは、「三省共同電子契約サービスQ&A(3条関係)を読む」で読んでみました。

そこで、「これを行うために必要な符号及び物件を適正に管理することにより、本人だけが行うことができることとなるもの」というのが、「暗号化等の措置を行うための符号について、他人が容易に同一のものを作成することができないと認められることが必要」としていることをもう一回考えてみます。

UNCITRAL 電子署名モデル法6条3項の4つの要件は、上のブログであげているとおりです。

ところで「電子署名」であることによって

  • (a)署名作成データは、利用されるコンテキスト内で、署名者にリンクされており、他の人物にはリンクされていないこと、
  • (c)署名後において、電子署名に対する変更が検出可能であること、
  • (d)署名を法的に必要とすることの目的が、署名に関連する情報のインテグリティに関する保証を提供することである場合、署名後にその情報に加えられた変更が検出可能であること。

の三つの要件は、満たされているのか、という問題に直面することになります。

(c)と(d)は、いいでしょう。「二 当該情報について改変が行われていないかどうかを確認することができるものであること。」という電子署名の要件に該当するものと考えられます。

(a)は、「一意的なリンク性」とでもいうべきものです。

電子署名法の要件の一つである

「一 当該情報が当該措置を行った者の作成に係るものであることを示すためのものであること。」

という要件は、何を意味するのか、という解釈問題があります。

これについては、比較法的な見地からは、「(作成者が)署名をするという意思を示すこと」であるという解釈をとることがてきます。英国2000年電子通信法7条や 米国の連邦法であるESIGN法は、このような立場でしょう(広義説としておきます)。

一方、これは、「署名作成データは、利用されるコンテキスト内で、署名者にリンクされており、他の人物にはリンクされていないこと」を意味する。要は、上の「一意的なリンク性」の要件とでもいうべきことができます(狭義説としておきます)。ちなみにこの要件の解説では、

(a)項では、署名作成データの客観的な特徴に焦点を当てており、「署名者とそれ以外の者との間にリンクしていない」ことが求められています。技術的な観点からは、署名作成データは、それ自体が「一意」でなくても、署名者と一意に「リンク」されている可能性があります。署名の作成に使用されるデータと署名者との間のリンクは、本質的な要素です。そのデータは、各電子署名の文脈において、一人の利用者を明確に識別することができなければなりません。

ということになります(電子署名モデル法の解説・パラ121)。

2条の解釈論としては、上の二つの解釈がどちらであってもあまり意味はありません。というのは、制定法によって「電子署名」が利用されている場合には、各制定法の解釈の段階で議論されるので、その制定法の趣旨にしたがって解釈されればいいからです。(制定法との関係については、「制定法における電子署名の概念」のエントリを参照のこと)

ちなみに、この解釈上の論点は、ブログでは、上記の広義説をとっておきました。一方、「即実践!!電子契約」では、狭義説をとっておきました。

ここで、3条Q&Aをみてみます。3条Q&Aは、3条推定効のために「暗号化等の措置を行うための符号について、他人が容易に同一のものを作成することができないと認められることが必要」としています。そして、この要件は、3条の推定効の場合に初めて問題になるという表現をしています

では、「暗号化等の措置を行うための符号について、他人が容易に同一のものを作成することができないと認められること」(「固有性の要件」といっています)というのは、上記の一意的なリンク性の要件との関係でどのようになるのでしょうか。署名作成データが、「他人が容易に同一のものを作成することができ」るような場合については、一意的なリンク性の要件については、これを満たさないと解されるでしょう。

すなわち、3条Q&Aは、一意的なリンク性の要件は、2条電子署名の要件ではないと解していることになります。

これをわが国でなされている押印の印影のpdfについて考えてみましょう。印影のpdfは、それ自体として、押捺した人からみれば、一意的なデータになります。しかしながら、これを第三者が、たとえば、送信メールを途中で取得し、コピーして、自分の文書にコピー&ペーストすれば、第三者が、簡単に、その対象ドキュメントの作成者たることを示すことができます。その意味で固有性の要件はみたさないことになります。

ここで、

「これを行うために必要な符号及び物件を適正に管理することにより、本人だけが行うことができることとなるものに限る。」

というのは、どういうことか、ということを考えてみましょう。

まず、「必要な符号及び物件を適正に管理する」というのは、UNCITRALの6条3項の要件の

(b)署名作成時のデータは、署名時において、署名者の管理下にあり、他人の管理下にないこと

というのを思い出させます。この要件は、上でふれた解説によるとき

(b)項は、署名作成データが使用される状況について規定しています。署名作成データが使用される時点では、署名者の単独管理下になければなりません。署名者の単独支配という概念に関連して、署名者が署名作成データを他人に使用させる権限を保持しているかどうかが問題となります。企業がデータを共用している場合においては、署名人たる組織が関連しており、署名作成データを管理していることになるでしょう。そうでなければ、電子署名モデル法は、取り扱う問題ではない(パラ122)。

とされているところです。

でもって、ここで、「ことにより、本人だけが行うことができることとなるもの」という用語の意味が問題です。この文言が、性質的に上記の一意的なリンク性を示していると解釈することができると思われます。すなわち、電子的措置の措置によって「署名者にリンクされており、他の人物にはリンクされていないこと」が技術的に確かにされていることを意味するということになるかと思います。

何回か、示した図をもう一度みてみます。

この図は、実は、「即実践!!電子契約」と違っていたりするわけです。(そこでは、2条の要件のなかで、上の一意性のリンクを読み、3条の「これを行うために必要な符号及び物件を適正に管理することにより、本人だけが行うことができることとなるものに限る。」というのを具体的な状況のもとにおいて、署名作成データ等が、署名時においてに、適正に管理されていたことと解していました-2条・3条ともに信頼できる電子署名の要件を定めており、3条が、署名作成データの管理を追加することにより裁判における効果を定めたという立場でした)

「即実践!!電子契約」の説を改説して、2条が広範で、3条が信頼できる電子署名を定めたものとすることにします。

結局、わが国の電子署名の概念は、

広義の電子署名の概念(2条)

  • 「署名者の表示(2条1項1号)」
  • 「改変の確認の可能性(同2号)」

3条の電子署名

  • 「固有性」(もしくは、「一意のリンク性」)の追加

がなされ、さらに、具体的な

  • 署名作成時のデータが、署名時において、署名者の管理下にあること

が、署名の文脈のもとで明らかにされることによって3条の推定効が及ぶものとされるということになると考えます。

3条の推定効が、電磁的措置をなした者が特定されているのを前提に、その者のなした措置によって改竄がなされていないこと、と、その対象データ「全体」に対して、措置をなした者の意思が現れているとすること、を意味するというのは、「三省共同電子契約サービスQ&A(3条関係)を読む」でみました。

電子署名の効果は、作成者の特定と内容に対する作成者の承認という二つの意味があるわけです。

この作成者の特定は、上でふれたように3条推定効の問題ではありません。もっとも、デジタル署名において、デジタル証明書が付されていて、それが、措置者の実在等を前提とした証明書であれば、特定にきわめて役立つことがあるでしょうが、それは、3条推定効の範囲ではないわけです。

内容に対する作成者の承認という意味は、対象データにたいしての署名(電磁的措置)ではなかったという主張、措置は、自分がなしたが、措置が技術的に、なりすましを許容するものであったという主張を否定するものになります。(推定に対する抗弁か?)

いままで、2条の解釈と3条の解釈との関係、もしくは具体的な文言の意味を比較法的に耐えうる形で提示できていなかったのですが、これで、すっきりしたように思えます。