電子署名法とは？

電子署名法とは、2001年4月1日より施行された法律で、正式名称を「電子署名及び認証業務に関する法律」といいます。（※1）

主に電磁的記録の真正な成立の推定や、特定認証業務に関する認定制度について定めています。電子署名法が定められた背景には、電子文書を用いたやりとりの増加が挙げられます。PCやインターネットの普及により、契約書や請求書といったビジネス文書は、紙文書でのやりとりからPCで作成した電子データをネットで送受信するのが一般的になりました。

しかし、電子文書は手軽にやりとりできる反面、署名や押印のある紙文書よりも容易に偽造や改ざんをおこなえるため、セキュリティ面で不安がありました。そこで国は、電子署名法の施行により、一定の要件を満たした電子署名を付することで、その文書の真正な成立を認めることにしました。

電子署名法に基づき、真正に成立したものと推定される電子文書は、署名や押印のある紙文書同様、法的な効力を有することが可能となります。

（※1）電子署名法の概要と認定制度について｜法務省

関連記事：電子署名法とは？ガイドラインや関連する法律をわかりやすく解説

電子署名法第3条の内容

電子署名法は、電磁的記録の真正な成立の推定および特定認証業務に関する認定の制度について定めることを目的に制定された法律ですが、このうち「電磁的記録の真正な成立の推定」について定めているのが電子署名法第3条です。電子署名法第3条では、電子署名の真正な成立について、以下のように定めています。

電磁的記録であって情報を表すために作成されたもの（公務員が職務上作成したものを除く。）は、当該電磁的記録に記録された情報について本人による電子署名（これを行うために必要な符号及び物件を適正に管理することにより、本人だけが行うことができることとなるものに限る。）が行われているときは、真正に成立したものと推定する。

引用：電子署名及び認証業務に関する法律｜e-Gov法令検索法令検索

ここでいう「本人による電子署名」は、同法第2条に基づき、以下2つの要件を満たす措置を指します。（※2）

• 本人の作成に係るものであることを示すためのものであること
• 当該状について改変がおこなわれていないかどうか確認できるものであること

1の要件を満たすための業務を「認証業務」といい、電子署名法第4条以降では、主務省令で定める基準に適合するものについておこなわれる「特定認証業務」の認定について規定されています。特定認証業務を経て認証された電子文書は、上記1および2の要件を満たすものとして、法的な証拠力を有することができます。

（※2）e-Gov法令検索「電子署名及び認証業務に関する法律」

電子署名法第3条で定められている要件とは？

電子署名法第3条で定めた要件を満たすためには、主務大臣の認定を受けた認証事業者による特定認証業務を受ける必要があります。特定認証業務の基準として採用されている認証技術は、電子署名及び認証業務に関する法律施行規則（電子署名法施行規則）第2条により、以下のように定められています。

ほぼ同じ大きさの二つの素数の積である二千四十八ビット以上の整数の素因数分解
大きさ二千四十八ビット以上の有限体の乗法群における離散対数の計算
楕円曲線上の点がなす大きさ二百二十四ビット以上の群における離散対数の計算
前三号に掲げるものに相当する困難性を有するものとして主務大臣が認めるもの

引用：電子署名及び認証業務に関する法律施行規則｜e-Gov法令検索

以上の基準を満たす代表的な技術が、RSA方式（SHA-1）1024bit以上などに代表される公開鍵暗号方式です。（※3）

公開鍵暗号方式とは、公開鍵と秘密鍵という2つのキーを用いて文書データの暗号化や復号化をおこなう方式のことです。認証事業者は、公開鍵暗号と、データを固定長の数値に変換するハッシュ値を用いて、電子署名に必要な本人認証と非改ざん性の証明をおこないます。

具体的な手順は以下の通りです。

• 送信者が電子文書のハッシュ値を計算する
• 認証事業者から取得した秘密鍵を用いてハッシュ値を暗号化する
• 公開鍵を含む電子署名付きの電子文書を受信者に送る
• 受信者は受け取った電子文書のハッシュ値を計算する
• 受信者は電子署名に付された公開鍵を用いて電子文書を復号化する
• 4で計算したハッシュ値と、5で復号化したハッシュ値を照合し、一致するかどうか確認する

公開鍵を用いて暗号化された文書は、対になる秘密鍵でないと復号することができません。そのため、受信者が秘密鍵をきちんと管理していれば、送信の途中で第三者に電子データを取得されたとしても、その内容を盗み見られたり、データを改ざんされたりする心配はなくなります。

また、ハッシュ値は元データが少しでも改ざんされるとまったく異なるハッシュ値が生成されるため、ハッシュ値の照合によって改ざんの有無をチェックすることが可能です。

（※3）電子署名・認証業務の概要｜内閣府　p2　

電子署名法第3条を理解するポイント

電子署名法第3条の内容を理解する際、最も重要となるポイントは「本人による電子署名」がどこまで認められるのかという点です。電子文書に電子署名を付するには、公開鍵暗号およびハッシュ値を用いた本人認証ならびに非改ざん性を証明する必要があります。

しかし、実際にこれらの認証業務を個人がおこなうことは難しく、現実にはクラウド型の電子契約システムなどを提供する事業者が、利用者の指示を受けて公開鍵を用いた電子署名をおこなうのが一般的です。

ただ、サービス提供事業者が関わっているのは電子署名の実施のみで、電子署名を付する文書そのものの作成には関与していません。

電子署名法第3条では、電子署名は電磁的記録を作成した本人がおこなうものと定義しているため、文書作成者と電子署名の実行者が異なる場合、真正に成立したものと推定されないことになります。

この問題について、総務省や法務省、経済産業省が共同で発表した質疑応答集では、以下のような見解を述べています。（※4）

• 電子署名について、必ずしも物理的に当該措置を自らおこなう必要はない
• 実行者の意志が介在されることなく、電磁的記録の作成者の意思のみに基づいて当該措置がおこなわれた場合は、電磁的記録の作成者を当該措置をおこなったものと考える

電子契約システムの場合、その機能や性質上、サービス提供事業者が利用者の意思に介在する余地はありません。そのため、電子契約システムを用いた電子署名の実施は、上記2つの要件を満たすものとみなされます。電子契約システムは電子署名を手軽に実行できる便利なシステムなので、積極的な検討をおすすめします。以下ではここまで紹介した内容以外に関するQ&Aを抜粋し、チェックすべきポイントをまとめました。

（※4）利用者の指示に基づきサービス提供事業者自身の署名鍵により暗号化等を行う電子契約サービスに関するQ&A　p2｜総務省

「これを行うために必要な符号及び物件を適正に管理すること」について

電子署名法第3条では、本人による電子署名について「これを行うために必要な符号及び物件を適正に管理することにより、本人だけが行うことができることとなるものに限る」と補足しています。（※5）

Q&Aでは「これを行うために必要な符号及び物件を適正に管理すること」の具体例として、以下の適正な管理を挙げています。

• サービス提供事業者の署名鍵
• 利用者のパスワード（符号）
• サーバー及び利用者の手元にある2要素認証用のスマートフォンまたはトークン等

もちろん、上記は一例で、具体的な内容に関しては個別のサービス内容によって異なります。

上記の例に準ずる符号および物件を適正に管理する体制が整っているサービス提供事業者であれば、電子署名を問題なくおこなうことが可能です。

（※5）利用者の指示に基づきサービス提供事業者自身の署名鍵により暗号化等を行う電子契約サービスに関するQ&A（電子署名法3条に関するQ&A）｜経済産業省

電子契約サービスを選択する際の留意点について

裁判において電子署名法第3条の推定効が認められるには、電子文書の作成者の意思に基づいて電子署名がおこなわれている必要があります。そのため、電子契約サービスを選択する際は、電子契約サービスの利用者と電子文書の作成者の同一性が確認できる体制が整っているかどうかが重要なポイントになります。

具体的には、電子契約サービスを利用する際の身元確認の有無や、身元確認の方法、なりすましなどを防ぐセキュリティレベルなどが十分に備わったサービスを利用することが推奨されます。

電子署名法第3条でよくある誤解

電子署名法に限らず、法律の解釈はしばしば誤解を生みがちです。電子署名法第3条の場合、以下のような誤解が生じることがあります。

第3条の推定効に特定認証業務は必須ではない

電子署名法は、第3条で電磁的記録の真正な成立の推定、続く第4条で特定認証業務の認定について定義しているため、両者を関連付けて考えられがちです。しかし、第3条では第4条に定めた特定認証事業者による電子署名を受けることを要件として定義していません。

第4条は電磁的記録の真正な成立の推定を可能にする手段の一つですが、その手法を採用するかどうかは利用者の自由です。実際には本人認証や非改ざん性のレベルなどを考慮すると、特定認証事業者による電子署名を利用した方が安心ですが、必須要件ではないことに留意しましょう。

第3条の推定効に署名者の身元確認は必須ではない

前節で紹介したQ&Aでは、電子契約サービスの利用者と電磁的記録の作成者の同一性を確認することが重要と説明しました。しかし、電子署名法第3条では電子契約サービスの利用者と電磁的記録の作成者の同一性を証明する身元確認を求めてはいません。実際、総務省と法務省、経済産業省の3省は、この点について「論点に対する回答」で以下のように述べています。

第３条Ｑ＆Ａでは、第３条に規定する電子署名に該当する要件として、電子署名サービスの利用者と電子文書の作成名義人の同一性の確認（いわゆる利用者の身元確認）は求めていない。しかしながら、実際の裁判において電子署名法第３条の推定効が認められるためには、電子文書の作成名義人の意思に基づき電子署名が行われたことが必要であり、これを担保する手段の１つとして身元確認がされているものと考えられる。利用者間でどの程度の身元確認を行うかはサービスを利用して締結する契約の重要性の程度等を考慮して決められるべきものと考えられる。

引用：論点に対する回答｜内閣府　p4

つまり、同一性の確認が取れるに越した事はないものの、必須条件ではないということです。しかし、実際の裁判では電子署名の同一性の証明が求められています。電子署名の法的効力をもたせるためには、署名者の身元確認が必要なのです。

電子署名法第3条を正しく理解して業務に適用しよう

電子署名法では、電子文書が真正に成立したものと推定するための要件として、本人による電子署名がおこなわれていることを掲げています。本人による電子署名の条件には、本人認証と非改ざん性の証明をおこなう必要があります。電子署名に対応した電子契約システムを利用すれば、手軽に法的な効力を有する電子文書を作成することが可能です。

業務に電子文書を利用する際は、電子署名法第3条をよく理解したうえで、電子契約システムの導入を検討することをおすすめします。

関連記事：【最新版】主要な電子契約サービス比較14選｜価格や機能を紹介！