3条Q&Aの罪「悔い改め」たのか？-第３回デジタルガバメントワーキング・グループ議事次第(3)

ホーム
電子商取引, 電子署名
3条Q&Aの罪「悔い改め」たのか？-第３回デジタルガバメントワーキング・グループ議事次第(3)

3条Q&Aの罪「悔い改め」たのか？-第３回デジタルガバメントワーキング・グループ議事次第(3)

2020.11.25
電子商取引, 電子署名
投稿者: Ikuo

第３回デジタルガバメントワーキング・グループの資料3-2-1の分析の続きです。

3条Q&Aについては、こちら。

「数奇な運命」本においては、3条Q&Aは、

筆者としては、「本人」を作成名義人ととらえるという解釈は、電子署名法の構造についての配慮がなされておらず、テジタル署名の呪縛にかかった上でのものであり、かつ、その作成名義人と署名者の同一というのは、法の推定効によって確保されるものでもなんでもない、という大事なことについて、誤解を招きかねないものと批判されるべきとおもわれます。その意味で、罪なドキュメントであるといっていいでしょう。

と書いておきました。

実際的にも、

電子署名法第３条の適用を受けるためには、電子署名サービスを提
供する事業者は署名者の実在性（「どこの誰であるのか」）を担保す
る「身元確認」の機能を有することが必要であるとの見解もみられ
る（身元確認必要説）。

と読まれること(上の部分は、この資料3-2-1の質問部分)から、混乱が引き起こされたようです。

「数奇な運命」本でこの部分を図解しているので、それを用いて解説しましょう。

3条Q&Aは、上の図の(主張された)作成名義人が、署名人として電磁的措置をなしたことを前提事実として、その場合に、その電磁的措置によって、作成名義人の真正な電子署名がなされたことを推定することを3条電子署名の効果としています。

挙証者(上だと、依拠当事者)は、作成名義人が電磁的措置をなすことを前提事実として、証明してければならない構造になっています。この場合に、電子署名のセキュリティ措置によって、「真正性」が推定されるわけです。

なので、本当は、署名人の措置から、裁判所提示までの間のセキュリティ措置で足りるところを、3条Q&Aは、「本人」を作成名義人と解釈したことから、この者が、間違いなく電磁的措置をなしたことまでもセキュリティ措置で確保しなければならないと解釈していたように読めたわけです。

3条Q&Aは、3条の電子署名は、「固有性の要件」が必要であるとして、そして、この固有性は、

①のプロセスについては、利用者が２要素による認証を受けなければ措置を行うことができない仕組みが備わっているような場合には、十分な水準の固有性が満たされていると認められ得ると考えられる

と表現されていて、素直に解すれば、二要素認証が必要であると考えていたと解釈されるわけです。

しかしながら、これについては、今回の回答で、この上の二要素認証の表現は、

２要素認証については、御指摘のとおり十分な水準の固有性を満たすため
の措置の例

の一つにすぎないとして、

同レベル又はそれ以上の固有性を満たす措置が他に存在するのであれば、これを排除するものではない

としています。個人的には、3条Q&Aは、身元確認必要説にしか読めないので、これは、実質的に、3条Q&Aの表現の誤りをごまかしているように思えます。この二要素認証の説明の部分は、3条Q&Aから、実質的に撤回された、と解釈します。

①利用者とサービス提供事業者の間で行われるプロセスについて「本人でなければ行うことができないものでなければならないこと」というのは、何か、というのは、印章で、

二段目の推定と書いてある部分(白紙への押印・他人への委嘱)と同等な抗弁を否定しうる技術的な措置になるわけです。(電子署名においては、一段目の推定は及ばないです-多数説)

するとこれは、二要素認証ではなくて、「押印した場合に、その紙が、途中ですり替えられた/措置のときに見ていたドキュメントと完成したドキュメントが異なっていた」のと同等な攻撃ということになるはずです。そうだとすると、他人のなりすましではなくて、中間者攻撃(など)を排除しうる技術的レベルになるはずです。

ということで、

①のプロセスについては、利用者が２要素による認証を受けなければ措置を行うことができない仕組みが備わっているような場合には、十分な水準の固有性が満たされていると認められ得ると考えられる。２要素による認証の例としては、利用者が、あらかじめ登録されたメールアドレス及びログインパスワードの入力に加え、スマートフォンへのＳＭＳ送信や手元にあるトークンの利用等当該メールアドレスの利用以外の手段により取得したワンタイム・パスワードの入力を行うことにより認証するものなどが挙げられる。

という部分は、全面的に以下のように書き換えられるべきだろうというのが、私の説になりますね。

①のプロセスについては、署名人が、電磁的措置をなすプロセスにおいてサーバーからの通信によってなされる意思表示にかかる表示された意思表示について他人がこれをなし得ないような仕組みが備わっていなければならず、そのような備えがなされた場合には、十分な水準の固有性が満たされていると認められうると考えられる。(以下、略)

そうすると確立されたSSL通信のお作法にのっとっており、中間者が、通信の途上において、なりすましや改ざんをなすことができないように確保するための手法が尽くされていることが必要と考えます。

私の解釈としては、実は、3条Q&Aが、電子署名法の構造についての根本的な誤解をしているのに気がついた当局が、二要素認証は、固有性の説明に過ぎなかったんですといいわけをしているようにしか思えないのです。

そろそろ、「罪を悔い改めて」ほしいところですが、ルパンの娘にいわれないといけないのでしょうか。