先週、圓道先生が以下のようなツイートをされていました。
体感として、そろそろ「電子契約」は、実務家として、仕組みや問題の所在を知っていないとまずいレベルにまで普及してきたように思われる。各社のウェブサイトに参考となる資料やQ&Aが掲載されているので、それらを比較しつつ、「そもそも電子契約とは何か」「電子署名とは何か」(続く
— 圓道至剛(まるみちむねたか) (@marumichi0316) 2021年6月11日
「いわゆる事業者署名型と当事者署名型の違いは何か」「タイムスタンプとは何か」「長期署名とは何か」「2段の推定との関係は」「訴訟になった場合にどのように証拠提出するか」などをひととおり確認しておく必要があるように思われる。近時の行政見解の意味合いの理解も含めて。
— 圓道至剛(まるみちむねたか) (@marumichi0316) 2021年6月11日
どこまで理解できているか、復習がてらまとめてみます。
電子契約とは何か
初っ端から難しい問いです。
「電子ファイルが原本になる契約」という感覚で実務上は問題なさそうですが、法務パーソンなら2つの定義を知っておくといいのではと考えます。
ひとつは、電子委任状法における電子契約の定義です(電子委任状法2条2項)。
この法律において「電子契約」とは、事業者が一方の当事者となる契約であって、電子情報処理組織を使用する方法その他の情報通信の技術を利用する方法により契約書に代わる電磁的記録が作成されるものをいう。
かなり幅広ですね。
もうひとつは、JIIMAの電子契約活用ガイドラインの定義(以下)。
電子的に作成した契約書を、インターネットなどの通信回線を用いて契約の相手方へ開示し、契約内容の合意の意思表示として、契約当事者の意思表示として電子署名を付与することにより契約の締結を行うもの
こちらは、電子委任状の定義に加えて電子署名の付与を要件としています。
電子署名とは何か
では、電子署名とは何か。こちらは、電子署名法を押さえておけばよく、他の法律に出てくる電子署名の定義もほぼ同様です。
この法律において「電子署名」とは、電磁的記録(電子的方式、磁気的方式その他人の近くによっては認識することができない方式で作られる記録であって、電子計算機による情報処理の用に供されるものをいう。以下同じ。)に記録することができる情報について行われる措置であって、次の要件のいずれにも該当するものをいう。
一 当該情報が当該措置を行なった者の作成に係るものであることを示すためのものであること。
二 当該情報について改変が行われていないかどうかを確認することができるものであること。
重要なことは、電子署名法で求められている電子署名の要件はわずかに2つ、
- 作成者表示機能
- 改ざん検知機能
であって、書類の作成名義人本人が署名することや、改ざんされないことが求められているわけではないということです。
書類の作成名義人(=契約の締結権限者)本人が電子署名しなくていいのか?というのは、法的に有効な電子署名であるかとは別の問題です。
現在、上記2点を確保する手段として、公開鍵暗号技術が広く使われています(JIPDECなどを参照)。
事業者署名型と当事者署名型の違いは何か
これはとても重要な論点です。しかし、正確に理解した上でサービス選定に生かすのは、かなり難易度が高い。私自身、正直にいって優劣をつけられる自信はありません。
まず、「事業者署名型」と「当事者署名型」の違いは、「誰の署名鍵で電子署名するか」という点です。結果として、電子証明書の名義も変わります。「読んで字のごとく」ですが、奥は深い。
一般に普及している事業者署名型では、事業者の署名鍵で電子署名を行います。しかし、鍵をかけるのはあくまでユーザーであって、事業者がユーザーの代わりに電子署名するわけではありません。このことは、2020年7月の2条Q&Aにより政府の見解も明らかになっています。
当事者署名型では、ユーザーが署名鍵と電子証明書を手配するので、事業者署名型よりセキュアに思われます。しかし、実際には電子証明書発行時の本人確認が緩い事業者もあり、「当事者署名型だから本人確認はバッチリ」と盲信することはできません*1。
タイムスタンプとは何か
これは、ひとことで言えば「デジタルな確定日付」ですね。
現在用いられるデジタルな電子署名は、「誰が」「何に」電子署名を施したかを正確に記録するものの、「いつ」を正確に記録することができません。そこで、「いつ」「何が」存在したかを証明してくれるタイムスタンプを電子契約に付与することで、「誰が」「いつ」「何に」合意したかをデジタルに記録し、証拠化することができます。
「認定タイムスタンプ」とそうでないタイムスタンプがあるようですが、前者のほうが信頼度が高いのはいうまでもありません。なお、タイムスタンプ事業者の認定は、これまで(一社)日本データ通信協会が行っていましたが、今後は総務省が行うことになります(タイムスタンプ認定制度に関する検討会取りまとめ)。
長期署名とは何か
電子署名は、公開鍵暗号技術に支えられていますが、技術の進歩により暗号がいつ破られるかわかりません。暗号が破られるかもしれないリスク(危殆化リスク)があるので、電子証明書の有効期限は長くて2年程度であり、以降は「改ざんされていないこと」のチェックができなくなってしまいます。
契約書の中には、2年よりずっと長生きするものも多いので、改ざん検知の機能が2年しかもたないのでは困ります。その「困った」を解決してくれるのが長期署名で、長期署名があれば10年間は改ざんされていないことを確認できます。さらにありがたいことに、長期署名は何度も施すことができ、事実上半永久的に危殆化リスクを回避できます。
多分、普通の法務パーソンはここまで知っていれば十分だと思いますが、もっと学びたい方はクラウドサインの記事を読むのが◎。
二段の推定との関係
これは、語り出すとキリがありませんが、電子署名法3条とそれに対する政府の見解(3条Q&A)は知っておくべきでしょう。「事業者署名型である」というだけで推定効が働かないわけではなく、2要素認証とかを使って「本人だけが電子署名できるようになっている」ことが重要です。
電子署名法3条は以下のように定めます。
電磁的記録であって情報を表すために作成されたもの(公務員が職務上作成したものを除く。)は、当該電子的記録に記録された情報について本人による電子署名(これを行うために必要な符号及び物件を適正に管理することにより、本人だけが行うことができることとなるものに限る。)が行われているときは、真正に成立したものと推定する。
これは、民事訴訟の分野では常識といえる以下の「二段の推定」をデジタルの世界に転用した定めです。
- (ハンコというのは本人が大事に保管しているので)文書に本人のハンコの印影があれば、本人の意思により本人が押印したと推定する(一段目の推定)
- 本人が自分の意思で押印したのなら、その文書は真正に成立した(=本人は内容を理解し同意した)と推定する(二段目の推定)
電子契約がこんなにアツくなる前は、電子署名を行うために必要な「符号」と「物件」を本人が適切に管理しないといけなくて、いわゆるローカル署名だけが3条の要件を満たし、推定効を受けられると理解されていたようです。ただ、よく条文を読むと、管理する主体は「本人」である必要はないし、「物件」もなんでもいい=事業者のサーバでOKというのが現在の通説的見解だと思います。
とにかく、本人しか電子署名できないようになっていればよさそうですが、3条Q&Aでは新たに「固有性の要件」が追加されていて混乱します。2要素認証を備えておけば盤石そうですが、法務パーソンとしては、推定効を得るためだけにどこまでするのか?(ほかの方法で立証できるのではないか?)という現実的な問題に向き合う必要があります。このあたりも、最近は電子契約サービス事業者のメディアや書籍・雑誌で多く取り上げられていますね。
訴訟になった場合
圓道先生が掲げた問いの中でこれが一番自信がありません。。
しかし、書証として出せるものを出すしかないので、電子契約の仕組みを説明した資料(事業者がきっとくれる)、電子証明書のスクショ、合意締結証明書、締結までの交渉経緯(電子メール)といったものを出していくのかなと想像しています。
クラウドサインの記事によれば、電子契約が証拠として採用された裁判例はもちろんのこと、最近ではその有効性が争われた事例で有効性を認める裁判例も出てきたとのこと。裁判所は、電子証明書の検証といった技術的裏付けを具にとることなく、電子署名の有効性を認めたそうです。
また、国が違いますが、DocuSignのホワイトペーパーによれば、アメリカでもAudit trail(合意締結証明書にあたると思われます)で契約成立を立証できているようです。
そもそも、契約の成立は、電子署名したかどうかの手前、「じゃ、これで電子契約しましょうね」という時点で決まるような気がするので(たとえ代表者が交渉に参加していなくても)、企業間の紛争でなりすましが問題になる可能性はどれだけあるのか…?と思わずにおれません。
80点くらいの解答は書けたかな…
2020年が激動だったので、わかりやすい書籍も記載が完璧でないところが、さらに理解を難しくしていますよね。。
*1:個人的には、そんなところまで疑っていたら契約締結ができないし、結論、事業者署名型と当事者署名型に有意な差があるのだろうか?と思っています…