利用者の指示に基づきサービス提供事業者自身の署名鍵により暗号化等を行う電子契約サービスに関するQ&A（電子署名法3条に関するQ&A）

令和２年９月４日
総務省
法務省
経済産業省

Q1．電子署名法第３条における「本人による電子署名（これを行うために必要な符号及び物件を適正に管理することにより、 本人だけが行うことができることとなるものに限る。）」とは、どのようなものか。

• 電子署名法第３条の規定は、電子文書（デジタル情報）について、本人すなわち当該電子文書の作成名義人による電子署名（これを行うために必要な符号及び物件を適正に管理することにより、本人だけが行うことができることとなるものに限る。）が行われていると認められる場合に、当該作成名義人が当該電子文書を作成したことが推定されることを定めるものである。
• この電子署名法第３条の規定が適用されるためには、次の要件が満たされる必要がある。

  ①電子文書に電子署名法第３条に規定する電子署名が付されていること。
  ②上記電子署名が本人（電子文書の作成名義人）の意思に基づき行われたものであること。

• まず、電子署名法第３条に規定する電子署名に該当するためには、同法第２条に規定する電子署名に該当するものであることに加え、「これ（その電子署名）を行うために必要な符号及び物件を適正に管理することにより、本人だけが行うことができることとなるもの」に該当するものでなければならない（上記①）。
• このように電子署名法第３条に規定する電子署名について同法第２条に規定する電子署名よりもさらにその要件を加重しているのは、同法第３条が電子文書の成立の真正を推定するという効果を生じさせるものだからである。すなわち、このような効果を生じさせるためには、その前提として、暗号化等の措置を行うための符号について、他人が容易に同一のものを作成することができないと認められることが必要であり（以下では、この要件のことを「固有性の要件」などという。）、そのためには、当該電子署名について相応の技術的水準が要求されることになるものと考えられる。したがって、電子署名のうち、例えば、十分な暗号強度を有し他人が容易に同一の鍵 を作成できないものである場合には、同条の推定規定が適用されることとなる。
• また、電子署名法第３条において、電子署名が「本人による」ものであることを要件としているのは、電子署名が本人すなわち電子文書の作成名義人の意思に基づき行われたものであることを要求する趣旨である（上記②）。

Q2．サービス提供事業者が利用者の指示を受けてサービス提供事業者自身の署名鍵による暗号化等を行う電子契約サービスは、電子署名法第３条との関係では、どのように位置付けられるのか。

• 利用者の指示に基づき、利用者が作成した電子文書について、サービス提供事業者自身の署名鍵による暗号化等を行う電子契約サービスについては、第２条関係Ｑ＆Ａにより電子署名法第２条に関する電子署名法上の位置付けを示したところであるが、更に同法第３条に関する位置付けが問題となる。
• 上記サービスについて、電子署名法第３条が適用されるためには、問１に記載したとおり、同サービスが同条に規定する電子署名に該当すること及び当該電子署名が本人すなわち電子文書の作成名義人の意思に基づき行われたことが必要となる。
• このうち、上記サービスが電子署名法第３条に規定する電子署名に該当するためには、その前提として、同法第２条第１項に規定する電子署名に該当する必要がある。この点については、第２条関係Ｑ＆Ａにおいて、既に一定の考え方を示したとおり、同サービスの提供について、技術的・機能的に見て、サービス提供事業者の意思が介在する余地がなく、利用者の意思のみに基づいて機械的に暗号化されたものであることが担保されているものであり、かつサービス提供事業者が電子文書に行った措置について付随情報を含めて全体を１つの措置と捉え直すことによって、当該措置が利用者の意思に基づいていることが明らかになる場合には、同法第２条第１項に規定する電子署名に該当すると考えられる。
• その上で、上記サービスが電子署名法第３条に規定する電子署名に該当するには、更に、当該サービスが本人でなければ行うことができないものでなければならないこととされている。そして、この要件を満たすためには、問１のとおり、同条に規定する電子署名の要件が加重されている趣旨に照らし、当該サービスが十分な水準の固有性を満たしていること（固有性の要件）が必要であると考えられる。
• より具体的には、上記サービスが十分な水準の固有性を満たしていると認められるためには、①利用者とサービス提供事業者の間で行われるプロセス及び②①における利用者の行為を受けてサービス提供事業者内部で行われるプロセスのいずれにおいても十分な水準の固有性が満たされている必要があると考えられる。
• ①及び②のプロセスにおいて十分な水準の固有性を満たしているかについては、システムやサービス全体のセキュリティを評価して判断されることになると考えられるが、例えば、①のプロセスについては、利用者が２要素による認証を受けなければ措置を行うことができない仕組みが備わっているような場合には、十分な水準の固有性が満たされていると認められ得ると考えられる。２要素による認証の例としては、利用者が、あらかじめ登録されたメールアドレス及びログインパスワードの入力に加え、スマートフォンへのＳＭＳ送信や手元にあるトークンの利用等当該メールアドレスの利用以外の手段により取得したワンタイム・パスワードの入力を行うことにより認証するものなどが挙げられる。
• ②のプロセスについては、サービス提供事業者が当該事業者自身の署名鍵により暗号化等を行う措置について、暗号の強度や利用者毎の個別性を担保する仕組み（例えばシステム処理が当該利用者に紐付いて適切に行われること）等に照らし、電子文書が利用者の作成に係るものであることを示すための措置として十分な水準の固有性が満たされていると評価できるものである場合には、固有性の要件を満たすものと考えられる。
• 以上の次第で、あるサービスが電子署名法第３条に規定する電子署名に該当するか否かは、個別の事案における具体的な事情を踏まえた裁判所の判断に委ねられるべき事柄ではあるものの、一般論として、上記サービスは、①及び②のプロセスのいずれについても十分な水準の固有性が満たされていると認められる場合には、電子署名法第３条の電子署名に該当するものと認められることとなるものと考えられる。したがって、同条に規定する電子署名が本人すなわち電子文書の作成名義人の意思に基づき行われたと認められる場合には、電子署名法第３条の規定により、当該電子文書は真正に成立したものと推定されることとなると考えられる。

(参考)

• あるサービスが、①及び②のプロセスのいずれについても十分な水準の固有性を満たしているかは、サービス毎に評価が必要となるが、評価するための参考となる文書について以下に例示する。
• ①のプロセスにおいて、固有性の水準の参考となる文書の例。
  • NIST、「NIST Special Publication 800-63-3 Digital Identity Guidelines」、2017年6月
  • 経済産業省、「オンラインサービスにおける身元確認手法の整理に関する検討報告書」、 2020年4月
  • 各府省情報化統括責任者（ＣＩＯ）連絡会議決定、「行政手続におけるオンラインによる本人確認の手法に関するガイドライン」、2019年2月
• ②のプロセスにおいて、固有性の水準の参考となる文書の例。
  • NIST、「NIST Special Publication 800-130A Framework for Designing Cryptographic Key Management Systems」、2013年8月
  • CRYPTREC、「暗号鍵管理システム設計指針（基本編）」、2020年7月
  • 日本トラストテクノロジー協議会（JT2A）リモート署名タスクフォース、「リモート署名ガイドライン」、2020年4月
  • 総務省・法務省・経済産業省告示、「電子署名及び認証業務に関する法律に基づく特定認証業務の認定に係る指針」

Q3．サービス提供事業者が利用者の指示を受けてサービス提供事業者自身の署名鍵による暗号化等を行う電子契約サービスが電子署名法第３条の電子署名に該当する場合に、「これを行うために必要な符号及び物件を適正に管理すること」とは、具体的に何を指すことになるのか。

• 「これを行うために必要な符号及び物件を適正に管理すること」の具体的内容については、個別のサービス内容により異なり得るが、例えば、サービス提供事業者の署名鍵及び利用者のパスワード（符号）並びにサーバー及び利用者の手元にある２要素認証用のスマートフォン又はトークン（物件）等を適正に管理することが該当し得ると考えられる。

Q4．電子契約サービスを選択する際の留意点は何か。

• 実際の裁判において電子署名法第３条の推定効が認められるためには、電子文書の作成名義人の意思に基づき電子署名が行われていることが必要であるため、電子契約サービスの利用者と電子文書の作成名義人の同一性が確認される（いわゆる利用者の身元確認がなされる）ことが重要な要素になると考えられる。
• この点に関し、電子契約サービスにおける利用者の身元確認の有無、水準及び方法やなりすまし等の防御レベルは様々であることから、各サービスの利用に当たっては、当該各サービスを利用して締結する契約等の重要性の程度や金額といった性質や、利用者間で必要とする身元確認レベルに応じて、適切なサービスを慎重に選択することが適当と考えられる。

関連ページ

• 利用者の指示に基づきサービス提供事業者自身の署名鍵により暗号化等を行う電子契約サービスに関するQ&A（電子署名法3条に関するQ&A）（PDF形式：161KB）