組織が発行するデータの信頼性を確保する制度に関する検討会取りまとめ(案)の公表について

総務省から、いわゆるeシール(法人の電子署名)に関して、「組織が発行するデータの信頼性を確保する制度に関する検討会取りまとめ(案)」が公表されるとともに、eシールに係る指針(案)に対する意見募集がなされています。

報道発表のページはこちらです。とりまとめ案については、「組織が発行するデータの信頼性を確保する制度に関する検討会取りまとめ(案)」になります。

当社としては、「トラストサービスに関する調査の請負」(平成30年度)」という調査で、総務省様に報告書を納品する機会をいただきまして、その際に、詳細な検討をさせていただきました。残念ながら、報告書自体は、公表されていなものでありますが、その後の議論のお役に立てていれば、幸いだなあと思っているところです。

わが国におけるeシールについては、議論について、実は、もともとは、国会審議(参議院 法務委員会 第5号 平成12年3月21日)において、

これは大事な取引にはやはり代表者個人のまず代表者資格を明らかにした証明が必要だという場合がありますので、それを最新情報に基づいて間違いなく提供できるのは商業登記法に基づいたものしかありませんので、それをつくる必要があるということになるわけです。

他方、民間の場合は、民間の会社同士が取引する場合、常に代表者の実印を交換しているわけではなくて担当者同士の認印でやっている場合もございますから、そういう場合には民間の認証機関で認証を受けた電子署名でもいいということになります。ですから、これは双方が両方相まって電子取引社会の基盤をつくる制度になるものというふうに考えております

と議論されていたところです。この点については、私の「電子署名法の数奇な運命」(第3章 日本の電子署名法の制定 2.2 参議院 法務委員会 第5号 平成12年3月21日)をご参照ください。しかしながら、その後、電子署名の概念自体が、「数奇な運命」をたどるのと同様に、「法人自体の電子署名」の概念も「数奇な運命」をたどることになります。

これは、

  • 「署名」とは、自署をいうと解されている。この署名という行為を考えた場合には、人が例えば、紙の上に自分で自分の名前を書くことを言い、自然人しか行い得ないものである。
  • 電子署名法2条2項における「利用者」は、「自らが行う電子署名について認証業務を利用する者という意味であり、自然人に限られる」のであって、認証業務によって証明される事項は、当該自然人が電子署名を行ったものであることを確認するために用いられる事項であると解されている。代表者の記載・顕名がないままでの法人自体に効果を帰属する形での「電子署名」は、認められていない。

とされて、それから、いつのまにか、「法人の電子署名」というものは、認められない

といういわば、ドグマが発展していったのです。

国会審議の方向性のままでいけば、

法人の意思表示があり、それを真正性を付与する措置としての電子署名は、当然に認められる。それは、担当者を示そうが、示されることを問わない

となっていたということになります。しかしながら、何故にか、そのような解釈は認められることがなく、上記のように「法人の電子署名」自体が認められないことになりかけていたのです。

もっとも、いったんは、国会審議の方向で、いわば、広義の電子署名が認められる方向性の議論で収束しかけたことがありました。経済産業省 平成22年度 「電子署名法における制度研究会報告書」7頁(https://www.meti.go.jp/policy/netsecurity/docs/esig/h22-esig-amd-report.pdf)は、

電子署名法は、認定認証業務以外の認証業務において法人名や役職名を電子証明書の発行対象とすることは、なんら妨げられていない

という認識が確認されたところです。これは、電子証明書の記載事項の議論になりますが、認定認証業務以外の事項については、技術の発展等に鑑み、市場に委ねるという1990年代当時の動向を再確認するという意味で、重要なものと考えています。

しかしながら、

当該事実・情報が作成しようとした通りのものかなどの証明(発行元証明)が必要である

という議論がなされます(データ戦略タスクフォースの議論)。そして、法人の電子署名について、詳細に定めるべきであるという方向に議論が進んでいきます。

個人的には、国会での回答の方向性のままに法人についての電子署名についても署名者の真正性付与の意図でもって足りるとして、それ以外は、市場における競争に委ねればいいと思うのです。

が、第三者が何らかの形で、客観的な表示されているものとの同一性の証明を付けたい、それを法的な裏付けをもちたいという議論の方向になっていっているようにおもえます。

ここで8ページの定義を見ていきましょう。定義としては、

電子文書等の発行元の組織等を示す目的で行われる暗号化等の措置であり、当該措置が行われて以降当該文書等が改ざんされていないことを確認する仕組み。

とされています。この定義については、二つの事項を考えることになります。

「示す目的」

ひとつは、電子署名法2条との関係です。電子署名法2条については、「署名の意図」があれば足りるのではないか、ということを「電子署名法の数奇な運命」で論じました。署名の意図で足りるのか、一意の識別があればいいのか、という問題です。これについては、同書を参照ください。

「組織等」

「組織等」という形で、個人事業主も含む形で、考えられていて、上の法人自体の署名は、考えられないというドグマとは、関係ない形で整理され始めているところがあります。

法律的な議論がなされるのであれば、本来であれば、署名というのが自然人の行為に限られるのか、電子署名法の用語は、むしろ、法人のためであることが示されていれば、署名者(措置をなしたもの)の表示がなされる必要はないと考えることができると思います。

理屈としては、手形法82条によれば、「本法ニ於テ署名トアルハ記名捺印ヲ含ム」としており、我が国の法律体系の上からいえば、署名に記名・捺印を含むとして制度を構築することも可能になります。この場合は、法人自体の電子署名を構想することになります。

比較法的な理由からすれば、英国における法人の意思表示は、むしろ、法人の名称と法人の捺印であるコモンシールです。また、韓国の電子署名法は、その3条1項に、「他の法令で文書に署名または署名捺印または記名押印を要する場合は、電子文書に公認電子署名があるときは、これ満たしたものとみなす。」としており、電子署名が、署名のみならず、署名捺印、記名押印を代替するものであることを認めています。

実質的な観点からすれば、特に、当事者の間同士で、そのような方式でデータの由来を確認したいというのであれば、これを拒絶する理由はありません。しかも、欧州において、法人自体のシールが、自国において署名の要式性を満たすものとしている場合には、我が国でも、その効力が認められるものとなるが、同様のものに対して、我が国で、認定の効力を付与しない制度として設計するのは、バランスを失するのではないか、と考えられるということになります。

もし、「組織が発行するデータの信頼性を確保する制度に関する検討会」が、いわゆるeシールの問題を扱うことが前提問題であったとすれば、この問題についての言及が必要になるものと考えています。

報告案に戻ります。報告案の方向性として、興味深いのが、レベル1ないし3にわけて、提案がなされているところです。具体的なレベルとしては、

  • レベル3: レベル2に加えて、十分な水準※1を満たしたトラストアンカー※2によって信頼性が担保されたeシール(発行元証明として機能することに関し、第三者によるお墨付き(将来的には国による認定制度等の要否を検討)があるものを想定)
    主な用途例:国際取引等における証憑類、法的に保存義務が課されているデータ、排他的独占業務とされている士業の証明書等
  • レベル2: 一定の技術基準を満たすeシール(技術的には発行元証明として十分機能することが確認できるもの)
    主な用途例:行政手続における提出書類※3、民民の契約に関連する書類、IR関連資料等の公開情報等
  • レベル1: 裸のeシール(eシールの定義(P8参照)には合致するが、レベル2の要件を満たす保証がないもの)

となっています(9ページ)。ここでは、もはやeシールが、上の電子署名法2条の用語の範疇を越えて、デジタル署名(と、それに添付される証明書)的な信頼される第三者による証明書の話になっています。これの意味するところは、上で図で示しています。左下の署名のドメインの議論がいつのまにか右上の第三者による証明の議論がなっていってしまうのです。

それは、さておき、次にeシール用電子証明書の対象の法人等は何か、ということについて11ページで論じられています。法人に限らないところが興味深いところです。

ところで、電子証明書に議論がフォーカスしているわけですが、実定法上、種々の電子証明書が準備されています。この点については、「電子署名法の数奇な運命」(第6章 3.4  実体法にみる2条電子署名の効果)で触れておきました。

電子証明書の方式としては、制定法上

  • 産業標準化法(昭和24年法律第185号)に基づく 日本産業規格(以下「日本産業規格」という。)X5731一18の附属書Dに適合する方法であって同附属書に定めるnの長さの値が2048ビットであるものを講ずる措置
  • 地方公共団体情報システム機構の署名用電子証明書
  • 商業登記法に規定する電子証明書
  • 電子署名法の認定認証事業者が作成した電子証明書
  • その他の電子証明書であって、氏名、住所、出生の年月日その他の事項により電子署名を行った者を確認することができるものとして法務大臣の定めるもの
  • 官庁又は公署が作成した電子証明書であって、登記官が電子署名を行った者を確認することができるもの

などの定め方がなされています。

そうすると、eシールを議論しているように見えて、 日本産業規格(以下「日本産業規格」という。)を追加しろという主張をしているのかなあ、というような気もします。そうでなければ、基本的には、「認定認証事業者」のリストの補充ということになります。12頁以降は、電子証明書の発行実務の事項ということになりますが、そのような趣旨として理解すればいいのかなあと思ってみたりしています。具体的な事項としては、

  • 識別子(12頁)
  • 対象となる組織等(13頁)
  • 実在性・申請意思の確認方法(14頁-16頁)
  • 記載事項(17頁)
  • 設備の基準(19頁-28頁)
  • リモート方式(29頁-32頁)
  • その他(失効にかかかる事項)(33頁)

ですね。

ここで、最大の問題点は、実は、このような「電子署名法の認定認証事業者が作成した電子証明書」の拡充というアプローチが、

市場の競争に勝てるのですか?

ということだろうと思っています。

国会(経済産業省報告書でも)で、民間の話であれば、自由にやっていいのではないか、ということになっていたのにも関わらず、そのような電子署名・電子証明書が、普及したとはいえません。

昨年の立会人型の議論でなされたように「当事者の真正性付与/確認」と「改ざんの防止/検知」という機能についていえば、「当事者の真正性付与/確認」については、電子メールによる当事者確認でだって、「実用上」十分なのではないか、ということになっているわけです。

実際のユースケースに負う辞してかんがえるべきなのではないか、というのが、私の見立てです。

そこで、9頁の 「eシール」に求められる要素をみていきましょう。

レベル3で「法的に保存義務が課されているデータ」について

国際取引等における証憑類、法的に保存義務が課されているデータ、排他的独占業務とされている士業の証明書等

は、これらが用いられるべきとしていますが、私にとっては、よくわからない例示となるかと思います。国際訴訟は、証拠方法の無制限が一般です。「国際取引等における証憑類」といっているのは、?ですね。ディスカバリでそんなことをいったら、素人扱いですね。

あと、訴訟については、PKIで、訴訟のITシステムは、構築されていないかと思います(シンガポールとアメリカは、現地でみているので断言)。なので、?な記述です。

レベル2ですね。

 行政手続における提出書類、民民の契約に関連する書類、IR関連資料等の公開情報等

行政手続における提出書類につてい考えてみます。上の実定法では、たとえば、

行政手続における特定の個人を識別するための番号の利用等に関する法律(平成二十五年法律第二十七号)第二条第七項に規定する個人番号カード又は旅券、運転免許証その他官公署が発行した免許証、許可証若しくは資格証明書等(本人の写真が貼付されたものに限る。以下「個人番号カード等」とい。)であつて閲覧者が本人であることを確認するため市町村長が適当と認める書類

とか

総務省施行規則(総務省関係法令に係る情報通信技術を活用した行政の推進等に関する法律施行規則)4条2項は

2 前項の規定により申請等を行う者は、入力する事項についての情報に電子署名を行い、当該電子署名を行った者を確認するために必要な事項を証する電子証明 書と併せてこれを送信しなければならない。ただし、行政機関等の指定する方法により当該申請等を行った者を確認するための措置を講ずる場合は、この限りでない。

にLINEによる証明システムが該当すると判断できるのかというのが、紛争になっていますね。

このような実定法の枠組に、この報告書は、レベル2を強制すべきといっているのでしょうか。

「民民の契約に関連する書類」についてですが、立会人型でいいじゃないのといっているときに、

レベル2が必要

というのでしょうか。

こうやって考えていくと、行政機関が、上のような「本人であることを確認するため市町村長が適当と認める」ための方法として対面が必要なの?とか、電子メールって十分なの?とかのほうが論点として重要なような気がしています。

要するに認定認証業者の枠組を整備するための議論としては成り立ちうるけど、市場は、別のところで動いているというような気がしています。どうでしょうか。

関連記事

  1. 「関西空港にドローン?」と空港の施設管理者の排除措置の法的位置づ…
  2. デジタル時代の刑事法-第9回 成長戦略ワーキング・グループ
  3. 北朝鮮のサイバー攻撃、国連安保理も対象に 専門家パネル報告書
  4. 金融業界における書面・押印・対面手続の見直しに向けた検討会(第2…
  5. 欧州電気通信コードのもとでの通信プロバイダのセキュリティ手段ガイ…
  6. 国立研究開発法人情報通信研究機構の中長期目標の改正案に対する サ…
  7. Cycon 2019 traval memo day2 (4)
  8. NotPetyaによる損害と保険の適用
PAGE TOP