電子署名に関して「第10回 成長戦略ワーキング・グループ 議事概要」を読んでみた(業者ヒアリング部分)

さて、リモート署名を電子署名であると認め、3条の推定効が及びうるのではないか、と示唆してる5月12日の規制改革推進会議 第10回 成長戦略ワーキング・グループ ですが、その議事概要が公開されているので、ちょっと読んでみます。

この会議は、「クラウド上の契約に法的リスク 20年前施行の法が壁に」という記事のもとにもなったもので、ネガティブに書こうとすると日経の記事に、法的にニュートラルに書こうとすると、楽観的になり、私のエントリのようになるというものです。

議題については、電子署名についてフォーカスします。

最初は、事業者ヒアリングです。出席者は、略。

日本組織内弁護士協会(榊原理事長)のヒアリング内容は、「現在主流であるクラウド型電子署名が電子署名として法律上保護されているのであれば、移行への懸念点が減り、突破口になります」ということ、「技術的中立性が本日のディスカッションの中で最大のキーワードになると考えています。」ということだそうです。法令改正の要望点としては、「事前・事後の公的監督が期待できます。このように、本件は法令を改正したとしても十分な許容性があると考えております。」となっています。

むしろ、立会人型についての産業標準を確立して、認定認証業務として規制をかけてほしい、といっているのですね。

次は、帝国データバンク小田嶋氏からです。ここでは、場面ごとに適する電子署名がことなっています、という説明ですね。、タイムスタンプ、eシールとも国際的な相互認証、その一方で、「国内の事情、特に提供者側の論理だけを取り上げるとガラパゴスになりかねないと思っています」という認識が表されています。(EUが先行しているととらえるかはいろいろあるかと思いますが)。

弁護士ドットコム株式会社(橘取締役)は、「説明コストが高いということと行政のところで使えない。この2つが問題」「電子契約の法制度要件が分かりにくい」といっています。そして、「たった赤い丸い判子があるだけで、その文書が偽造されていないと推定効を与える。」と民訴法228条を批判します。(「ある認定事業者から発行を受けなければ電子署名法が適用されませんとか、ほかにも品質の基準が厳格に定められています。」などという電子署名は、デジタル署名のドグマを前提とした表現もあります)そして、「2020年現在クラウドサインをはじめとした普及実態のあるクラウド型の電子契約というのが、電子署名法から法の外になってしまうというようなことが生じております」といっています。「米国のe-Sign法という連邦法がございます。これは、電子契約に関しても公的効力を否定してはならないという明文がございます。EUにも同様の法令がございます。」などというコメントもあります。

法律家の議論としては、落合先生から「電子署名法の要件というのは、実印を押印しているような推定が働く場合と対比して議論しているのではないかと思っております。」として、三文判について推定効をえられない場合もあるのではないかという質問、武井先生からは「海外ではクラウドサインを電子署名と認めていないという意味なのか、どういうことを官庁から言われたのかを教えてください。」という質問がなされています。

質疑では、「海外でこのような推定効を認めるような法令がないというこ
とを間接的に伝聞したことがございます。」といっています(渡部理事)。

20年前には、立法する際に調べていたんですよシンガポールは、構造も似ているし。批判するときには、きちんと先人にリスペクトを払ってからやるべきでしょう。

岩下先生からの鋭い質問「電子署名をつけてとおっしゃったのは、例えばRSAやECDSAといった形のいわゆるデジタルシグネチャーなのでしょうか。その場合の秘密鍵の管理は誰がどうやっているのですか。」というのに対して、デジタルシグネチャーかどうかというのにきちんと答えが出ていなかったりしています。セキュリティ昔から、やっていると、デジタルシグネチャーというのに、リアクションがでたりするのですが、橘取締役は、シマンテックが電子署名会社と回答して、直されたりしています。

でもって、岩下直行先生から、「電子署名という言葉が該当するのかどうかということがここでは問題だと思います」とまとめられています。

この業者ヒアリング部分をどう読むかだと思いますが、やはり、業者がデジタル署名という用語自体もしらないで、かつ立法の時の経緯を知らずに、勝手に電子署名は、デジタル署名(それも認定認証業者のもの)に限られているので、自分たちにも認定の枠組を作って保護してほしいといっているように思えます。

この議論には、いろいろな落とし穴がありますね。

基本的な知識を欠いている、立法の経緯をまじめにフォローしていないということは別として(というか、年寄りには、近頃若者は、××というようにしか見えなかったりします)、認定による規制が自分たちの利益になるというような認識をしているように思えます。

韓国は、電子署名について公認認証業者を廃止する法制を定めました。むしろ、規制は、価格の高止まりを及ぼすことになるかと思います。

正しい知識とすれば、

を覚えていただければ、いいかと思います。

官公庁からのヒアリングででてきますが、3条推定効は、技術に紐付く(シンガポールだとセキュアな電子署名とされています)ので、認定認証業務かとどうかとは関係しませんし、まずは、自らの依ってたつ技術基準とその監査を明確にすることが先かと思います。

その上で、むしろ、プロバイダーにおいて、

  • 技術の正確な把握と自らの準拠している技術標準の開示、
  • それに対する監査の実行、そして、
  • それらの結果の透明性の確保

こそが、利用者の信頼を増すものであろうと思います。

岩下先生から「デジタル署名と電子署名を混同していないの?」というのを上品に説明してもらえたというのは、いい経験かと思うのですが、出席者は、それに気がついたのでしょうかね。

 

 

 

 

 

 

 

電子署名法へのシンガポール電子取引法の影響

「電子署名法の数奇な運命」で、電子署名法について、海外の法制が影響を与えていたことについては、触れました。

いろいろいと調べた結果、シンガポールの1998年電子取引法が強い影響を与えているのではないか、という節が見えたので、すこしメモします。

シンガポールの1998年電子取引法( Electronic Transactions Act 1998 (No. 25 of 1998)は、電子署名についての取扱を定めています。リンクは、こちら

同法は、序、電子記録および電子署名一般、ネットワークセキュリティプロバイダ、電子計訳、安全な電子記録および電子署名、デジタル署名の効果、デジタル署名に関連する一般義務、認証機関の義務、加入者の義務、認証機関規則、政府機関の利用などを定めています。

同法の目的は、3条に記載されています。

具体的には、信頼性の高い電子記録により電子通信を容易にすること、書面と署名の要求から生じる不確実性に起因する障壁を排除し電子商取引を促進する/安全な電子商取引を実施するために必要な法的・ビジネス的なインフラストラクチャ促進すること、 電子記録の認証と完全性以下の事項に関する規則、基準の統一性を確立するのに役立つこと、 電子的な記録と電子商取引の完全性と信頼性に対する国民の信頼を促進すること及びあらゆる電子媒体での通信の真正性とインテグリティを確保するために電子署名の利用を通じて電子商取引の発展を促進することを目的とすることが明らかにされています(3条)

定義は、2条で定められています。
「電子署名」とは

デジタル形式の文字、文字、数字、その他の記号で、電子記録に添付されているか、電子記録に論理的に関連付けられており、電子記録の認証(authenticating)または承認(approval)を意図して実行または採用されているものを意味する、

とされています。
また、「デジタル署名」とは、

非対称暗号システムとハッシュ関数を使用して電子記録を変換し、最初に変換されていない電子記録と署名者の公開鍵を持つ者が
(a) 署名者の公開鍵に対応する秘密鍵を使用して変換が作成されたかどうか;および
(b) 最初の電子記録が変換されてから変更されたかどうか
を正確に判断できるように構成される電子署名を意味する

とされています。

また、署名者についての定義はありません。しかしながら、後述するように、署名に関する当事者については、自然人であるというような表現は一切なされていません。

電子署名については、同法8条が定めており、

8.-(1) 法律の規則が署名を要求している場合、または文書に署名がない場合の一定の結果を規定している場合、電子署名はその法律の規則を満たす。
(2) 電子署名は、電子記録が当該当事者のものであることを検証する目的で当事者がシンボルまたはセキュリティの手続きを実行するためになされたことは、あらゆる方法で証明することができる。これは、取引をさらに進めるために当事者にとって必要な手続きが存在したことを示すことによって証明することを含む

ことが明らかにされています。

また、シンガポール法の特徴は、セキュアな電子署名(Secure electronic signature)という概念があることです。
同法17条は、

所定のセキュリティ上の手続きを経た場合、または関係者によって合意された合理的なセキュリティ手順に基づいて商業的に行われた場合であって、電子署名は、その作成時において
(a) 使用する者に固有のものであること。
(b) 当該個人を識別できること。
(c) それを使用して本人の単独の管理下にある方法または手段を使用して作成されたもの。
(d) 記録が変更された場合、電子署名は無効になるような方法で、関連する電子記録にリンクされていること。
を検証しうる場合には、そのような署名は、セキュアな電子署名として扱われるものとします。

としています。

そして、セキュアな電子記録と電子署名に関連する推定について、18条がさだめます。

18.-(1) 安全な電子記録が関与するいかなる手続においても、それは 反する証拠が出ない限り、安全な電子記録は、安全な状態に関連する特定の時点から変更されていないと推定される。


(2) セキュアな電子署名が関与するいかなる手続においても、反する証拠が出ない限り、


(a) セキュアな電子署名は、それか関する相手の署名であること、

および
(b) セキュアな電子署名が、電子記録に署名又は承認する意図を有して貼付したものであること、

が推定されるものとする。

(3) 安全な電子記録またはセキュアな電子署名がない場合には、本条のいかなる部分も、電子記録または電子署名の真正性とインテグリティに関連する推定を生じさせるものではありません。
としています。

同法の第6部(PaertⅥ)は、デジタル署名の効果です。
20条は、セキュアなデジタル署名という条文です。

電子記録の任意の部分がデジタル署名で署名されている場合であり、もし、


(a) デジタル署名は、有効な 証明書の運営機関において生成され、電子証明書に記載されている公開鍵を参照して検証され、かつ
(b)


(ⅰ)証明書が、42条のもとの規則に準拠して認可を受けた認証局が発行したものである、
(ii)証明書が、43条のもとの規則によるコントローラーによって認証されたシンガポール外の認証局によって発行されたものである、
(iii) 証明書が、省庁又は大臣の許可を得て規則で定められた条件のもと認証機関となることのできる国または法による組織の機関によって発行されたものである、

または

当事者間(送信者と受信者)で、セキュリティ手順としてデジタル署名を使用するように明示的に合意しており、そして、デジタル署名が、送信者の公開鍵によって適切に検証されている

場合においては、人のアイデンティティの公開鍵は、正確に関連づけられており、その証明書は、信頼できると考えられることから

デジタル署名は、その部分に関して、セキュアな電子署名であるととされる

とされています。

ここで、日本法の構造と比較してみましょう。

 

日本法の構造について、一般には、どのような認識がなされているのか、というのは、非常に把握しにくいのですが、私の認識としては、「リモート署名は電子署名である&クラウド型電子契約にお墨付き」などのエントリでで記載しています。

でもって、シンガポールも一定の推定効を、特定の技術とは、関係なしに合理的なセキュリティ手順を踏んでいたかということで、認めているというので似ているということがいえます。

そうだとすると、わが国における電子署名法の概念の解釈の問題は、「セキュアな電子署名」の概念と、わが国の概念との対応性になるのかと思います。

わが国の「作成に係るものであることを示すためのもの」「改変が行われていないかどうかを確認することができるものであること」が、シンガポールでいう「使用する者に固有のものであること」「 当該個人を識別できること」「 それを使用して本人の単独の管理下にある方法または手段を使用して作成されたもの」「 記録が変更された場合、電子署名は無効になるような方法で、関連する電子記録にリンクされていること」と同じレベルを求めているのか(そうだとすると、わが国の電子署名は、セキュアの電子署名のみをさすことになる)、それとも、むしろ、わが国のは、そのような高いレベルを求めていないと解するか(この場合は、シンガポールと同様の三層構造になる)という問題になりそうです。

電子署名法の数奇な運命

規制改革推進会議のWGの議論などをもとにして、急に電子署名法への注目が集まっていきます。そこで、一見、支持を集めそうな議論がありますが、実は、それを支持するとぽっと出さんだということがわかるので、注意しましょうという話です。

そのような議論の代表は、電子署名法は、既に20年たっており、時代遅れであるという論調です。例えば、このような表現は、そのような思想をもとにしているように思えます。

電子署名の定義は、20年にわたり「物件」(当時、ICカードとカードリーダーを想定)を要件としており、現在主流であるクラウド型電子署名の利用を「電子署名」として保護するに至っていない。

私のブログでは、なんども触れているのですが、電子署名法は、そもそもきわめて広い定義規定をもっており、ローカル署名であろうと、リモート署名であろうと、クリックであろうと、スタイラスでの署名までも取り込みうる柔軟なものであったわけです。

それを90年代のローカルのICカード型を定めているのにすぎないと思っているのは、逆に2000年代以降にこの話にやっと追いついている人たちです。

その証拠に、1999年11月19日の通産省・郵政省・法務省の「電子署名・認証に関する法制度の整備について」(当時のurl-https://www.soumu.go.jp/main_sosiki/joho_tsusin/pressrelease/japanese/denki/991119j605.html )というパブリックコメントをもとめたドキュメントをみてみましょう。

そこでは、郵政省における「暗号通信の在り方に関する研究会」(平成11年1月〜6月)、通商産業省における「電子商取引の環境整備に関する勉強会」(平成11年2月〜7月)、法務省における「電子取引法制に関する研究会(制度関係小委員会)」(平成8年7月〜10年3月)における検討結果をもとに、電子署名法の論点が提示されています。

そこで、電子署名法として論じられるべきは

  • (1) 対象となる電子署名の範囲について
  • (2) 国による民間認証機関の任意的な認定制度について
  • (3) 電子署名のある電子文書の取扱い
  • (4) 外国の電子署名や認証機関との関係

の4点であるとされていました。

特に電子署名の概念が問題となるので、(1)について、引用すると、

(1) 対象となる電子署名の範囲について
法整備の対象となる電子署名の範囲は、法整備の内容に照らして過不足のないように定める必要があるが、現在の主流となっているデジタル署名(公開鍵暗号方式による電子署名)のほか、今後、技術開発により新しい電子署名が実用化されたときに、これを法整備の対象に取り入れることができるよう、できる限り、電子署名の機能に着目し、技術的に中立な観点からの定め方をしてはどうか。
なお、欧米諸国においては、デジタル署名等の高度な電子署名のほか、ID(個人識別番号等)、バイオメトリクス等で認証手段としての役割を果たすものについても、その国の法制下における法的位置付けを法律で規定している例(例えば、手書きの署名・押印がないという理由のみによって法律効果を否定されない旨の規定を設ける例)があるが、一般に、法律行為に手書きの署名・押印を要するものとされていない我が国においても、このような広義の電子署名の取扱いについて検討してはどうか。
さらに、電子的形態の情報としては、人の意思等を表す文字情報による典型的な電子文書のほか、電子商取引等のネットワークを通じた社会経済活動において画像(図画、写真等)、音声等あらゆる形態の情報が流通しているが、このような情報に対する電子署名の利用可能性を踏まえ、電子署名の対象となる情報の範囲をどのように考えるべきか。

というのが問題提起とされています。

また、海外の法制度についても紹介されており、(法案として)EU、英国、アイルランド、ウランス、UNCITRALが、法としては、ユタ州法、イリノイ州法、ドイツ、イタリア、マレーシア、シンガポール、韓国が参考とされた立法例としてあがっています。

---

(追加)法として検討したものの一覧はこちらです。

でもって、推定規定は、イリノイ、シンガポールが注目でしょうか。

法案として参考にしたものは、こちらです。

行為者の意図と非改ざん性を意識していた様子が伺えます。ただし、この非改ざん性が、何を意味するのか、というのは、調査する必要があります。

--

それで、もって、この(1)のところについては、パブリックコメントの結果、

(1) 対象となる電子署名は、特定の技術に限定せず将来の技術開発を阻害し
ないよう技術中立性を確保すべきとの意見が多く寄せられた。また、電子
署名の対象となる情報についても、マルチメディア化の進展に対応し、電
子文書に限定する必要はないとの意見も相当数みられた。

というまとめになっています(2000年1月31日、「電子署名・認証に関する法制度の整備について」へのパブリックコメントの募集結果)。

でもって、EU、英国、アイルランド、フランス、UNCITRALのように電子署名を広義でとらえて、認証手段としての要件(ただし、これは、きわめて広い意味)を付したものが、わが国の電子署名の定義になっているものと考えられます。

このような経緯で定められたのが、

電磁的記録(略)に記録することができる情報について行われる措置であって、次の要件のいずれにも該当するものをいう。
一 当該情報が当該措置を行った者の作成に係るものであることを示すためのものであること。
二 当該情報について改変が行われていないかどうかを確認することができるものであること。

という条文になっています。ちなみにUNCITRALは、定義として

(a) “Electronic signature” means data in electronic form in, affixed to or logically associated with, a data message, which may be used to identify the signatory in relation to the data message and to indicate the signatory’s approval of the information contained in the data message;

(「電子署名」は、データメッセージに関して、署名者を識別し、かつ、署名者が、データメッセージに含まれた情報を認容することを示すために用いうる、電子的形態のデータであって、付与され、または、論理的に関連づけられるものをいう)

としています。多分ここらへんと定義は、同一のものにしていると思われます。

しかしながら、わが国においては、「電子署名」とデジタル署名の用語の使い分けに無頓着で、むしろ、デジタル署名こそが電子署名で、それ以外の電子署名は使えない(=電子署名ではない)という刷り込みがなされた、というふしがあります。

そうしたら、時代が過ぎ、デジタル署名を使わない手法の電子署名(広義)プロバイダーが、電子署名法は、狭すぎる、という批判をしているというのが現状であると認識します。

このような先人の努力を無視して、勝手にいうのは、自由なのですが、でもやっぱり先人の努力は、リスペクトしておかないといけないと思います。世界的な視野もないし、時代へのリスペクトもないというのは、わが国ではよく起こりがちですが、やはり避けたいですよね。ロスト・イン・トランスレーション/ジェネレーションなわけです。

----

なお、「電子署名・認証に関する法制度の整備について」等については、国立国会図書館 インターネット資料収集保存事業 https://warp.da.ndl.go.jp/advancedsearch/#searchCondition_contentCollectUrl から検索ください。


ちょっと、追記です。「これを行うために必要な符号及び物件を適正に管理することにより、本人だけが行うことができること」という3条の要件ですが、「物件」というのをICカードのみに限るというのは、どうなのでしょうか。通信のためのコンピュータ、スマートフォンの管理も物件なのではないかという解釈もできるかと思います。

電子署名について5月18日 規制改革推進会議 議事概要を読んでみた

「5月18日 規制改革推進会議 議事概要」を電子署名という観点からみてみました。

資料2では

(3)電子署名については、デジタル時代の有効な手段として、その利用が適した場面における利用拡大に向けて、周知徹底を図る。他方で、クラウド技術を活用した電子署名の取扱いが不明確であるなど使い勝手改善の余地があり、早急の見直しが必要。

という記載があります。

なので、これについて、どのような議論がなされているのかは、興味のあるところです。成長戦略ワーキンググループでは、5月12日18日と、電子署名やデジタル署名が整理されているので、親会では、どんな感じでしょうか、というのが主な関心です。

興味深いのは、夏野委員から

民訴法の228条の話、押印そのものの位置づけ、手続とか、契約書、請求書、納品書、こういったものの押印の位置づけを、法務省さんなり、あるいは、ほかの省庁との連名で、ガイドラインあるいはQ&Aの形で文章で発出していただけると、実効性が物すごく大きくなると思います。

というコメントがなされています。民訴228条は、裁判における裁判官の心証の話なので、自由心証主義といってですね、もともとは、証拠力の自由評価で、その場合に印鑑の場合の真正性の推定の規定なので、省庁がガイドラインをだせる性格ではないです。

でもって、これにすべての委員が賛成しているみたいです。

武井委員も

だいそれたガイドラインをつくるのでは時間がかかるでしょうから、本当に簡単な事例的なQ&Aでもよいので、示していただくことが大事かと思います。その観点で、経産省、法務省、さらには電子署名の絡みがあれば総務省などにも関与していただいて、この民民での考え方のボトルネックをなくしていくことが重要だと思います

ということで、ガイドライン案に賛成ですね。

法律専門家ならば、実は、制定法は、JIS準拠を求めている場合もあるし、また、推定効は、JISとは別の話であるとか(リモート署名に推定効を示唆しています)言ってもらいたかったところです。

あと、民訴法228条が、ハンコを推進しているという認識が委員に多いみたいです。例えば、大橋委員

2点目には、将来的な法改正をしていただく方向をきちんと迫っていったほうがいいのかなと思います。とりわけ押印の問題は民事訴訟法の改正が伴うのだと思いますけれども、これも、私が聞いているところ、2022年ぐらいに予定がされているということであれば、そこで法改正を束で出してもらう形で検討を詰めていただくことも検討に値するのかなと思っています。

とか言っています(11頁)。

個人的には、ハンコが生き延びているのと、民訴法は、全く関係がないと思っていますし、ワーキンググループでもそのような資料が出ているのですが、それでも理解できない委員がいるわけで、専門家と素人有識者とのコミュニケーションギャップというのは、大きな問題だなあと思ったりします。

 

 

 

 

制定法における電子署名の概念

電子署名法は、2条1項としては、行為「者」が、ドキメュントに法的効果を与えるとして電気通信的な信号を与えることで足りるのではないか、というのを書いたのですが、そうなると問題なのは、実際の制定法が、デジタル署名を前提に電子署名といっているのではないか、バランスを失しないかという懸念かと思います。

制定法を調べると163になります。ちなみに、ここでも調べていますね。(私が調べると163だったんですけど?)

例えば、いろいろとうるさそうな「戸籍法施行規則」をみてみます。

同規則79条の3をみてみると、

 前条第一項の交付の請求又は同条第二項の届出等をする者は、戸籍法又はこの省令の規定により交付の請求書又は届書若しくは申請書に記載すべきこととされている事項に係る情報を市町村長の使用に係る電子計算機に送信しなければならない。この場合において、戸籍法又はこの省令の規定により交付の請求又は届出等の際に添付し、又は提出すべきこととされている書面等(以下「添付書面等」という。)があるときは、当該添付書面等に代わるべき情報を併せて送信しなければならない。

2 前項に規定する者は、同項の規定により送信する情報に電子署名(電子署名及び認証業務に関する法律(平成十二年法律第百二号)第二条第一項に規定する電子署名をいう。以下同じ。)を行わなければならない。証人を必要とする事件の届出については、当該証人も、前項前段の情報に電子署名を行わなければならない。

3 第一項後段に規定する添付書面等に代わるべき情報は、作成者(認証を要するものについては、作成者及び認証者)による電子署名が行われたものでなければならない。

4 前三項の規定により電子署名が行われた情報を送信するときは、当該電子署名に係る電子証明書(当該電子署名を行った者を確認するために用いられる事項が当該者に係るものであることを証明するために作成された電磁的記録をいう。以下同じ。)であって次の各号のいずれかに該当するものを併せて送信しなければならない。

一 電子署名等に係る地方公共団体情報システム機構の認証業務に関する法律(平成十四年法律第百五十三号)第三条第一項の規定に基づき作成されたもの

二 商業登記法(昭和三十八年法律第百二十五号)第十二条の二第一項及び第三項(これらの規定を他の法律の規定において準用する場合を含む。)の規定に基づき作成されたもの

三 その他市町村長の使用に係る電子計算機から当該電子署名を行った者を確認することができるものであって、前二号に掲げるものに準ずるものとして市町村長が定めるもの

となっています。この規定は、電子証明書について、個別の定めがあり、そこで結局は、デジタル署名であることが必要になります。すると解釈としては電子署名自身について、デジタル署名に限られないとしても、影響は一切ないです。

いま一つ、みてみます。消費者の財産的被害の集団的な回復のための民事の裁判手続の特例に関する法律施行規則
(平成二十七年内閣府令第六十二号)です。

これは、条文で24条9項です

9 前項の場合において、当該特定適格消費者団体は、第一項各号に掲げる事項についての情報に電子署名(電子署名及び認証業務に関する法律(平成十二年法律第百二号)第二条第一項に規定する電子署名をいう。)を行い、当該電子署名を行った者を確認するために必要な事項を証する電子証明書(同法第八条に規定する認定認証事業者が作成した電子証明書(電子署名及び認証業務に関する法律施行規則(平成十三年総務省・法務省・経済産業省令第二号)第四条第一号に規定する電子証明書をいう。)であって、国民生活センターの使用に係る電子計算機から認証できるものをいう。)と併せてこれを送信しなければならない。

となっているので、これは、認定認証業務の電子証明書という限定が付されています。なので、163のうち、電子証明書が限定されていないで単に電子署名といっている条文がどれだけあるのかというのを洗い出す必要があります。

ちょっと、調査についてお金をいただかないと調べられないですね。というか、人力で調べないさいね>規制改革会議?

「今回の法務省の新解釈は、これら180の法令に定義された「電子署名」の解釈をクラウド型電子署名にも広げたに等しい」

クラウドサインがいっているんですが、ひとつひとつ洗って言ってほしいです。セールストークとしては、ちょっと言い過ぎなんだろうと思います。

アップデートしました「新型コロナウイルス対プライバシー-コンタクトトレーシングと法」

好評発売中の「新型コロナウイルス対プライバシー-コンタクトトレーシングと法」(アマゾン・キンドル出版)ですが、5月26日発表の仕様書、プライバシー等評価・留意事項をも検討対象にした版にアップデートしました(6月2日)。

わが国で接触確認アプリとして提案されており、それとコンタクトトレーシングとの関係はどうなのか、また、具体的なクラウドの活用が提案されているが、それとの具体的な個人情報保護との関係はどうなるのとかの点に興味をお持ちの方にも、お役にたてるかと思います。

過去にダウンロードいただいた方は、最新版をダウンロードいただけると幸いです。

第1章  コンタクトトレーシングの基礎

1 概念と必要性

1.1 コンタクトトレーシングとは
1.2 コンタクトトレーシングの実際
1.3 COVID-19とコンタクトトレーシング
1.4 実際の作業の課題
1.5 コンタクトトレース機能拡大のために
1.6 出口戦略との関係

2  基本的な仕組み
2.1 コンタクトトレーシングのアプローチ
2.2 シンガポールのTraceTogether
2.3 英国NHSXのNHS COVID-19 App
2.4  COVIDSafe
2.5 PEPP-PT
2.6 DP-3T
2.7  グーグルとアップルの枠組

2章 世界におけるコンタクトトレーシング

はじめに

1 コンタクトトレーシングに関する欧州の動向
1.1 欧州における実体法的枠組
1.2コンタクトトレーシングと法についての分析について

2 イギリス

2.1 イギリスにおけるプライバシーに関する実定法的な枠組み
2.2 イギリスにおけるコンタクトトレーシングの議論

3 オーストラリア

3.1 オーストラリアのプライバシーに関する実定法
3.2 COVIDSafeの開発
3.3  アプリに関する法的整備

4 アメリカ

4.1 アメリカにおける個人情報保護法制について
4.2 米国におけるデジタル・コンタクト・トレーシングのプロジェクト
4.3 法的問題点について

第3章 わが国における検討

1 検討されるべき法
1.1 感染症関係の法律
1.2 プライバシー関係の法律
1.3 ヘルスソフトウェアについての問題

2 わが国における選択
2.1 具体的な判断にいたるまで
2.2  第3回 新型コロナウイルス感染症対策 テックチーム会議と有識者委員会

2.3  接触確認アプリ及び関連関連システム仕様書

3 わが国のコンタクトトレーシングシステムに対して求められる要求事項
3.1 要求事項についての考察
3.2  異論がない諸原則
3.3 プライバシー尊重の原則について
3.4 その他

4 プライバシー問題解決のために
4.1 プライバシー問題についての基本的なスタンス
4.2 最適なバランスを探すための考え方
4.3 プライバシーに関するナッジ
4.4 データ保護の最優越的地位?

5 透明性原則と影響評価
5.1 設計と運営における透明性の確保
5.2 プライバシー影響評価の意義
5.3 プライバシー影響評価のプロセス (COVIDSafeを例に)
5.4 プライバシーアセスメントの実際
5.5 法的に特に注目のなされるべき事項

6 わが国におけるコンタクトトレーシングシステムについて検討するべき事項
6.1 わが国において検討するべき事項について
6.2 検討すべき趣旨

6.3 プライバシー等評価・留意事項

6.4 わが国の接触確認アプリについて

最後に
筆者紹介

ということでよろしくお願いします。

商業登記法と電子署名

電子署名法2条の定義は、非常に幅広いものだったのではないか、という話を書きましたが、登記の際に、それでだせたら、印鑑証明つけられるのとバランスがおかしくないのという話があるので、すこしまとめました。

まずは、申請書に添付すべき電磁的記録は、商業登記法19条の2

登記の申請書に添付すべき定款、議事録若しくは最終の貸借対照表が電磁的記録で作られているとき、又は登記の申請書に添付すべき書面につきその作成に代えて電磁的記録の作成がされているときは、当該電磁的記録に記録された情報の内容を記録した電磁的記録(法務省令で定めるものに限る。)を当該申請書に添付しなければならない。

となっています。これは、商業登記規則36条1項で

第十九条の二の法務省令で定める電磁的記録は、第三十三条の六第四項第一号に該当する構造の電磁的記録媒体でなければならない。

とされています。そして、同じく4項

 4 第一項の電磁的記録には、当該電磁的記録に記録された次の各号に掲げる情報の区分に応じ、当該情報の作成者が前項の措置を講じたものであることを確認するために必要な事項を証する情報であつてそれぞれ当該各号に定めるものを、法務大臣の指定する方式に従い、記録しなければならない。
一 委任による代理人の権限を証する情報 次に掲げる電子証明書のいずれか
イ 第三十三条の八第二項(他の省令において準用する場合を含む。)に規定する電子証明書
ロ 電子署名等に係る地方公共団体情報システム機構の認証業務に関する法律(平成十四年法律第百五十三号)第三条第一項の規定により作成された署名用電子証明書
ハ 氏名、住所、出生の年月日その他の事項により当該措置を講じた者を確認することができるものとして法務大臣の指定する電子証明書
二 前号に規定する情報以外の情報 次に掲げる電子証明書のいずれか
イ 前号イ、ロ又はハに掲げる電子証明書
ロ 指定公証人の行う電磁的記録に関する事務に関する省令(平成十三年法務省令第二十四号)第三条第一項に規定する指定公証人電子証明書
ハ その他法務大臣の指定する電子証明書

さらに印鑑を提出している場合には、5項

前項の場合において、当該作成者が印鑑の提出をした者であるときは、当該電磁的記録に記録すべき電子証明書は、同項第一号イに掲げる電子証明書に限るものとする。ただし、第三十三条の三各号に掲げる事項がある場合は、この限りでない。

となります。「イ 第三十三条の八第二項(他の省令において準用する場合を含む。)に規定する電子証明書」って何とみると

2 前項の規定により送信する情報(以下この章において「電子証明書」という。)には、法務大臣の指定する方式に従い、次に掲げる事項を表さなければならない。
一 第三十三条の六第五項第一号から第三号まで及び第六項の規定により同条第一項の電磁的記録に記録された事項
二 電子証明書の番号
三 電子証明書の作成年月日時
四 法第十二条の二第一項の登記所
五 電子認証登記所及び登記官
六 その他法務大臣の指定する事項

ちなみに、「第三十三条の六第五項第一号から第三号まで及び第六項の規定により同条第一項の電磁的記録に記録された事項」

は、

5 第一項の電磁的記録には、法務大臣の指定する方式に従い、次に掲げる事項を記録しなければならない。
一 第二項第一号及び第三号に掲げる事項(出生の年月日を除く。)
二 第三十三条の四の附属書Dに定める公開かぎの値
三 第三十三条の四に定める措置を特定する符号として法務大臣の指定するもの
四 法務大臣の指定する方式に従つて申請人が定める識別符号(第三十三条の十三第一項の規定による届出をする者を他の者と区別して識別するためのもの)

となります。

ここで、「第三十三条の四に定める措置を特定する符号として法務大臣の指定するもの」ということが、議事録署名人の秘密鍵ということになりそうです。(すみません。ここら辺は、まだ、確認してません)

でここで、33条の4の

 法第十二条の二第一項第一号の法務省令で定める措置は、電磁的記録に記録することができる情報に、産業標準化法(昭和二十四年法律第百八十五号)に基づく日本産業規格(以下「日本産業規格」という。)X五七三一―八の附属書Dに適合する方法であつて同附属書に定めるnの長さの値が二千四十八ビットであるものを講ずる措置とする。

がでてきます。

JIS X5731-8 の付属書Dですが

JIS詳細表示
規格番号 JISX5731-8
規格名称 開放型システム間相互接続-ディレクトリ-第8部 認証の枠組み
主務大臣 経済産業
制定年月日 1997/10/20
最新改正年月日 2003/10/20 最新確認年月日 2019/10/21

となります。付属書Dは、Privilege Policy and Privilege Attribute Definition Examplesを引いています。

現行は、こちら。ISO/IEC 9594-8:2017
Information technology — Open Systems Interconnection — The Directory — Part 8: Public-key and attribute certificate frameworks

ということで、商業登記は、きちんとJISにのっとった仕組みとして完成しているわけです。なので、電子署名法の解釈で登記の話を出してくるのは、ちょっと場違いということになります。

取締役会の議事録承認 クラウドで電子署名 法務省、手続き簡素に

「取締役会の議事録承認 クラウドで電子署名 法務省、手続き簡素に」という日経新聞の記事がでています。この記事のポイントは、いわゆる立会人型であっても認められるというところです。

私のブログ(「電子署名の概念整理(当事者型対クラウド型(リモート署名・立会人型)」)で書いておきましたが、現在の主流は、クラウドで、意思表示がなされて、それが改ざんされていないことを確かにする手法です。

でもって、立会人型が入るとすると、具体的に、条文との関係は、どう整理されているのでしょうか。そもそも、リモート署名と立会人型の関係がチャントわかった上での記事なのでしょうか、という疑問がでてくるわけです(すみません>日経新聞さん)

まず、この整理をきちんと考えるのには、第11回 成長戦略ワーキンググループの資料をみないといけません。

論点に対する回答(1-3)です

法律上,出席した取締役及び監査役の署名又は記名押印に代わる措置をとらなければならないこととされているが(会社法(平成17年法律第86号)第369条第4項),省令において,その措置は電子署名の方法によるものとされている(会社法施行規則(平成18年法務省令第12号)第225条第1項第6号)。当該電子署名の要件としては,電子署名及び認証業務に関する法律(平成12年法律第102号。以下「電子署名法」という。)第2条に規定する電子署名の要件と同じ要件が定められており(会社法施行規則第225条第2項),その範囲は電子署名法における電子署名の範囲と同様に解される。

そのとおりです。ただし、ここでポイントなのは、2条の広義の電子署名によっていることです。この点については、「リモート署名は電子署名である&クラウド型電子契約にお墨付き」というエントリで分析しています。

要は、「措置を行った者の作成に係るものであることを示すためのもの」とは、「何か「効果意思」をもって、表明すること」で足りるのであって、特定の技術的なもので確保する必要はない、ということかと思います。

アメリカですと、電子メールとかでも大丈夫ですし、電話のイエスの時は、※でも、電子署名になります。わが国ですと、もうすこし、意味があることを求めているように思いますが、特定の技術的措置(公開鍵暗号技術とかのようなもの)は、必要ないとしめされていると思われます。

そうだとすると、上の回答(1-3)の続きの趣旨がわからなくなります。

「電子契約事業者が利用者の指示を受けて電子署名を行うサービス」
は,電子契約事業者が自ら電子署名を行うサービスであって,当該サービスによる電子署名は,電子契約事業者の電子署名であると整理される。

このように整理される場合には,出席した取締役又は監査役が「電子契約事業者が利用者の指示を受けて電子署名を行うサービス」を利用して電磁的記録をもって作成された取締役会の議事録に電子署名をしても,当該電子署名は取締役等の電子署名ではないこととなり,会社法第369条第4項の署名又は記名押印に代わる措置としては認められないこととなると考えられる。

となります。

しかしながら、この「当該サービスによる電子署名は,電子契約事業者の電子署名であると整理される」という文言は、実際の立会人型を誤解している整理であるように思えます。

実際の運用では、署名欄がでてきて、最後にサインをマウスでしたりしますし、そうでなくても、「以上のような書類にサインします。間違いないですか」という問がでて、それをクリックするという画面の作りになっています。これを「プロバイダに指示をして、措置をする」と理解するのは、私としては、考えられません。ここで、立会人型の図をもう一度出します。

送信者Aから、ドキュメントに対する矢印は、ドキュメントを確認して、Aが「効果意思」をもって、表明する電子的措置を、直接にドキュメントになしていることを意味しています。

このような仕組みを認識した上で、上のように整理していたのかはわかりませんが、実際の運用に対する誤解がある整理だと思います。

なので、反省したのかどうか、事実上、上の整理が撤回されて、結局、記事にあるように立会人型であっても、上の369条第4項の「署名」として認められると整理されたように思えます。

これで、回ってきたまとめが、以下のものです。

当該措置は,取締役会に出席した取締役又は監査役が,取締役会の議事録の内容を確認し,その内容が正確であり,異議がないと判断したことを示すものであれば足りると考えられます。したがって,いわゆるリモート署名(注)やサービス提供事業者が利用者の指示を受けて電子署名を行うサービスであっても,取締役会に出席した取締役又は監査役がそのように判断したことを示すものとして,当該取締役会の議事録について,その意思に基づいて当該措置がとられていれば,署名又は記名押印に代わる措置としての電子署名として有効なものであると考えられます

「議事録について,その意思に基づいて当該措置がとられていれば」という限定がついています。要は、プロバイダの作り込みで、ドキュメントの作成名義人が、議事録に署名するという「効果意思」をもって、そのドュキメントに対して表明する電子的措置を取っているのであれば、電子署名として有効ですよ、ということになるかと思います。

なので、私としては言外に、「当該サービスによる電子署名は,電子契約事業者の電子署名であると整理される」という文言は、実体を理解していませんでした、ごめんなさいと書いてあると理解しました。(これは、想像です)

WGでの何かやりとりがあったのかもしれませんが、それは、何か、エビデンスでわかるようになったら考えてみたいと思います。


なお、上の回ってきたまとめ文書については、新経済連盟さまより開示いただきました。ありがとうございます。

続きを読む →

検索市場の競争について-マイクロソフトポイント

競争分析もされずに、大きければ、叩いていいみたいな感じのプラットフォーム規制論ですが、検索市場の競争という観点から、見逃していましたマイクロソフトポイントです。

Bingを使っていて上の矢印のところをクリックすると、リワードのページがでてきます。

でもって、何と引き換えられるのかなというと、

悪くないですね。なんといっても、MSさんには、年貢というか、月貢を納めますので、それをそのまま引けるのであれば、かなり使えるだろうと。(ちゃんと寄付もしましょうね)

これをポイントサイトか、とつっこんでいる向きもあります。

でも、あなたの利用情報がお金をなるのをMSさんが素直に認めて、対価を支払ってくれているんですよ。確かにGさんに比べれば、検索サービスのクオリティについては、いいたいこともあるかもしれませんが、ならば、インセンティブをあげますというのは、きわめて素直なことです。

これを評価できないのは、自分の検索情報という無形の価値がきちんとお金に評価されるという仕組みを知らないこと、なので、自慢できないんですよ。

だから、規制にお金をかけるよりも、こういう競争状況をきちんと分析するほうが有意義なんじゃないのかなあと思っていたりします。

 

法務省、「はんこ社会」に引導

内閣府の「第10回 成長戦略ワーキング・グループ 議事次第」とかをみて資料を見ていくと、非常に面白い資料がてんこ盛りです。

でもって、

民事訴訟法第 228 条第4項において「私文書は、本人又はその代理人の署名又は押印があ るときは、真正に成立したものと推定する。」との推定規定があることにより、領収書や納品書、請求書等について押印を行う慣行が根強く残っ ている。

という要求に対して、法務省が、民訴228条は、そのような規定ではなく、むしろ、自分たちがデシタルに移行できないのを、法律のせいにするな(○-カ)、といっている回答をよむことができます。

1 (略)同条第4項は、これらのうち、形式的証拠力に関する規律である。

2.同項は、作成名義人により押印がされた文書については、その作成名義人が作成 したものであることを推定するものである。(略)

3 文書の真正な成立の証明は、その文書を書証として提出す る者において適宜行えばよく、必ずしも同項の推定の規律によらなければならな いものでもない。そのため、押印がない文書は成立の真正が認められないというこ とにはならない。

4.また、同項は、上記のとおり、形式的証拠力(文書の作成者)を確定するための プロセスに関する規律にすぎず、実質的証拠力(文書の真実さの程度)とは関係が ない。そのため、同項の推定が及ぶからといって、必ずしも実質的証拠力も有する もの(文書の内容が真実であるもの)とされるわけでもない。

でもって、

民事訴訟法第 228 条第4項の解釈として、いかなる場合に押印が必要であるかを導 き出すことはできない(業界慣行や取引当事者が決める問題である)。

とか

仮に押印の慣行のみが根強く残っており問題になっているとすれば、それは主として民事訴訟法第 228 条第4項以外の要因に基づく問題である(なお、 押印と同じ効果がある署名と電子署名に、押印と同様の慣行があるかは疑わしい)。

と回答しています。私なんかは、この回答は当然と思うのですが、世の中的には、違うのでしょうか。私の意見では、この回答に納得できないのであれば、それは、あまりにも、

  • 自分の頭で考えていないか、
  • 新しい技術を導入するリスクを評価せずにリスクをとりたくない人が、自分のいいわけに理解できないことを利用している

としか思えません。

民訴法のせいにしている人がいるので、いらすと屋のイラスト込みで説明してあげていますね。 「法律のせいにするなと。これでわからなければ、××につける薬はないね。」というつぶやきがきこえそうです。