【コロナ特集:IT法】新型コロナウイルスの流行下でのテレワークと電子署名
1.はじめに
新型コロナウイルスによる感染症(COVID-19)の流行拡大を受けて発出された新型インフルエンザ等対策特別措置法に基づく緊急事態宣言は、2020年5月4日に同月31日までの延長が決定しました。弊所HP同月1日付けコロナウイルス関連特集記事「新型コロナウイルスの流行下でのテレワークと情報セキュリティ」でも触れたとおり、同宣言の延長決定前から、企業における在宅勤務を含むテレワークの導入が進んでいたところですが、テレワークの長期化に伴い、契約書類等への署名押印が必要な場面で、オフィスに保管されている代表者印等を使用するために出勤しなければならない役職員の負担が問題視され始めました。そこで、以下では、代表者印等の押印に代わる手段として注目される電子署名について、その仕組みと基本的な法的論点を概説します。
2.電子署名とは
⑴ 電子署名の定義と機能・目的
電子署名及び認証業務に関する法律(平成12年法律第102号。以下「電子署名法」といいます。)は、「電子署名」について、電磁的記録に記録することができる情報(いわゆる電子データ)について行われる措置であって、①当該電子データが当該措置を行った者の作成に係るものであることを示すためのものであること、②当該電子データについて改変が行われていないかどうかを確認することができるものであること、という2つの要件を満たすものと定義しています(同法2条1項)。
世間一般で電子署名と呼ばれる技術は、電子データの作成者へのなりすまし、内容の改ざん及び作成事実の否認をそれぞれ防止する機能を有するとされています[1]。上記②の要件は、このうち改ざん防止機能を備えていることを要求したものといえます。一方、上記①の要件は、なりすまし及び否認防止機能に着目したものといえますが、そのような機能を備えていることではなく、電子署名を行った者が電子データの作成者であることを証明するためという利用目的を要件としている点に特徴があります。このため、世間一般で電子署名と呼ばれていない技術でも、そうした目的さえあれば電子署名法上の電子署名に該当する可能性がある一方、世間一般で電子署名と呼ばれている技術でも、電子署名法上の電子署名には該当しないことがあります。例えば、一般的なクラウド型電子契約サービスでは、サービス提供事業者が管理するサーバにアップロードされた契約書類の電子ファイルに対し、サービス提供事業者が「電子署名」を行うものとされていますが、これは、サービス提供事業者が契約書類の作成者であることを示すためではなく、いわばサービス提供事業者が証人となって、契約当事者が契約書類を作成したことを証明するために行うものですので、電子署名法上の電子署名には該当しない可能性があります[2]。
(2020年6月4日追記)
本稿の初版公開後、契約当事者ではなくサービス提供事業者が「電子署名」を行うクラウド型電子契約サービスが電子署名法2条1項の「電子署名」に該当するか否かに関し、法務省が重要な見解を出しました。
すなわち、株式会社の取締役会議事録が電磁的記録をもって作成されている場合に、出席した取締役及び監査役は、署名又は記名押印に代わる措置として、「電子署名」を行わなければならないとされているところ(会社法369条4項、同法施行規則225条1項6号)、この「電子署名」は、電子署名法2条1項と同様の文言で定義されています(会社法施行規則225条2項)。法務省は、この取締役会議事録への「電子署名」について、「サービス提供事業者が利用者の指示を受けて電子署名を行うサービス」であっても、取締役会に出席した取締役又は監査役の意思に基づいて当該措置がとられている限り、「電子署名」として有効とする見解を出しました(法務省の見解の全文は、一般社団法人新経済連盟「取締役会議事録に施す電子署名についての法務省見解」(2020年6月2日)で確認できます。)。
取締役会議事録に施すべき「電子署名」の範囲は、電子署名法上の「電子署名」の範囲と同様に解されること(規制改革推進会議第11回成長戦略ワーキング・グループ資料1-3「論点に対する回答(法務省提出資料)」(2020年5月22日)2頁参照)からすれば、上記のようなクラウド型電子契約サービスについても、一般的に電子署名法上の「電子署名」に該当すると解される可能性が高くなったといえます。
⑵ 電子署名の仕組み
電子署名法上の電子署名に該当し得る技術の一つに、公開鍵暗号方式の電子署名(いわゆるデジタル署名)があります。その仕組みについては、総務省「電子署名・認証・タイムスタンプ―その役割と活用―」(2009年3月)2頁で図解されていますが、契約書類の電子ファイルに一方当事者(ここではAとします。)が電子署名を行い、他方当事者(ここではBとします。)に送信する場面を念頭に、その手順を説明すると、概ね以下のようになります(丸数字は上記総務省資料の図中下部の青色丸数字に対応)。
① まず、Aが、契約書類の電子ファイルをハッシュ関数により変換し、ハッシュ値を生成します。ハッシュ関数とは、任意長の電子データから固定長の数値(ハッシュ値)を計算する関数です。
② Aは、①のハッシュ値を、予め認証局から取得した電子証明書に記録されている公開鍵に対応する秘密鍵で暗号化します(この行為が一般に「電子署名」と呼ばれます。)。
公開鍵と秘密鍵は、一定の法則に従ってペアで生成される桁の大きな数値です。「秘密鍵で暗号化」するとは、具体的には、暗号化の対象となるデータ(ここでは①のハッシュ値)と秘密鍵を変数として、一定の関数(暗号アルゴリズム)に代入し、出力結果を得ることをいいます。秘密鍵で暗号化されたデータは、その秘密鍵に対応する公開鍵によってのみ復号できます。秘密鍵は、前記(1)の電子署名の目的に照らし、それによる電子署名によって作成者を一意に特定できなければなりませんので、他人に使用されないよう、厳重に管理する必要があります(ゆえに「秘密」鍵)。一方、公開鍵は、その数値から秘密鍵を推測することが困難という性質があるため、特に厳重に管理する必要はなく、誰に知られてもかまいません(ゆえに「公開」鍵)。
認証局は、ある公開鍵の保有者が誰であるかを証明する機関です。主に、申込者の本人確認等を行い、問題がなければ当該申込者とその保有する公開鍵をデータベースに登録する登録局としての役割と、登録情報をもとに、公開鍵とその保有者の情報を記録した電子証明書を発行する発行局としての役割を担います。
③ Aは、契約書類の電子ファイルと②の暗号化の結果(この結果自体も「電子署名」と呼ばれます。)を結合します。
④ Aは、③の結合結果を電子証明書とともにBへ送信します。
⑤ Bは、受信した電子証明書を検証し、発行者とされている認証局が確かに発行した電子証明書であること、失効していないこと等を確認します。
⑥ Bは、受信したデータを契約書類の電子ファイルと電子署名にわけ、契約書類の電子ファイルから①と同じハッシュ関数を用いてハッシュ値を生成します。
⑦ Bは、電子署名を、受信した電子証明書に記録されているAの公開鍵で復号し、ハッシュ値を取得します。
⑧ ⑥と⑦で得たハッシュ値を比較し、一致していれば、契約書類の電子ファイルが確かにAから送信されたものであること(なりすましがないこと)及び途中で改ざんされていないことが確認できたことになります。
[1] 各府省情報化統括責任者(CIO)連絡会議「行政手続におけるオンラインによる本人確認の手法に関するガイドライン」(2019年2月25日)https://www.kantei.go.jp/jp/singi/it2/cio/kettei/20190225kettei1-1.pdf 38頁参照。
[2] 弁護士ドットコム株式会社「クラウドサインによる電子契約の締結等に関する説明書(第2版)」(2019年12月26日)https://www.cloudsign.jp/pdf/litigation_support_documents.pdf 17-20頁参照。
3.電子署名と文書の成立の真正
(1) 成立の真正の推定
民事訴訟法上、文書や、電子データを記録したいわゆる電子文書を含む準文書(同法231条)を証拠として提出する場合、その成立の真正(文書の作成者として主張されている者が真実その文書を作成したこと)を証明しなければなりません(同法228条1項)。
ここで、前記2(1)のとおり、電子署名法上の電子署名は、電子署名を行った者が電子データの作成者であることを証明することを目的としており、前記2(1)の2つの要件のほか、電子署名を行うために必要な符号及び物件を適正に管理することにより、本人だけが行うことができることとなるものであるという第3の要件を満たせば、本人による電子署名が行われている電子文書について成立の真正が推定されます(同法3条)。
前記2(2)で紹介したデジタル署名は、秘密鍵という「符号」やそれが格納されたICカード等の「物件」を適正に管理すれば、本人だけが電子署名を行うことができるので、「本人による」デジタル署名であるとさえ証明できれば、これを行った電子文書について成立の真正が推定されると考えられます。
一方、一般的なクラウド型電子契約サービスは、そこで行われる電子署名が仮に電子署名法上の電子署名に該当するとしても、利用者認証の方法によっては、同法3条の推定効は及ばない可能性があります。例えば、パスワードを用いてサービスにログインしなければ電子署名を行うことができないという場合は、パスワードという「符号」を適正に管理すれば、本人だけが電子署名を行うことができるので、推定効が及ぶ可能性が高くなりますが、登録したメールアドレスあてに送信されるメール上のURLをクリックすれば、それ以上の認証なく電子署名を行うことができるという場合は、メールの転送等により本人以外の者が電子署名を行うことも可能であるため、推定効が及ばない可能性もあります[3]。もっとも、推定効が及ばないとしても、電子署名を行うまでの当事者間のやり取り等から、成立の真正を直接立証することは十分可能と考えられます[4]。
⑵ 成立の真正の争い方
前記2(2)で紹介したデジタル署名とそれを支える基盤は、秘密鍵を実印、公開鍵を印影、認証局を市区町村役所、電子証明書を印鑑登録証明書と置き換えて考えると、印鑑登録制度と近いものであることがわかります。
そして、私文書は、本人の押印があるときは成立の真正が推定される(民事訴訟法228条4項)ところ、この推定は、私文書の作成名義人の印影が当該名義人の印章によって顕出されたものであるときは、反証のない限り、当該印影は本人の意思に基づいて顕出されたものと事実上推定され、その結果、当該文書の成立の真正が推定される[5]という、いわゆる二段の推定の二段目を表したものと解されます。
これをデジタル署名に当てはめると、電子署名法3条の推定は、①電子文書中の電子署名が本人の秘密鍵によって行われたものであるときは、反証のない限り、当該電子署名は本人の意思に基づいて行われたものと事実上推定され、②その結果、当該電子文書の成立の真正が推定されるという、二段の推定の二段目(②)を表したものと考えることができます。
この理解を前提に、以下、デジタル署名が付された電子文書の成立の真正の争い方を簡単に検討します。
ア 一段目の推定(①)の不成立を主張
まず、一段目の推定(①)の前提である、「電子署名が本人の秘密鍵によって行われたものである」ことは、実印の印影と印鑑登録証明書を照合するのと同様、本人名義の電子証明書による電子署名の検証に成功したことをもって一応の立証が可能と考えられますが、これに対する反証を行い、一段目の推定(①)が成立しない(よって二段目の推定(②)も成立しない)と主張することが考えられます。具体的には、認証局が適切な本人確認を怠り、本人の名義で別人の公開鍵を登録した、あるいは問題の電子証明書は発行者とされている信頼できる認証局が発行したものではなく、悪意を持った第三者が偽造したものである、といった主張が考えられます。
成立の真正を主張する当事者としては、本人確認の厳格さ等の点で総務大臣、経済産業大臣及び法務大臣の認定(電子署名法4条1項)を受けた認定認証事業者(同法8条本文)[6]が発行した電子証明書を利用する(又はさせる)ことで、こうした反証をある程度封じることが可能と考えられます。
イ 一段目の推定(①)に対する反証
次に、一段目の推定(①)に対しては、紙の書類への押印の場合[7]と同様、主に秘密鍵の保管・管理状況に関する事実(秘密鍵を複数人の間で共有していた、秘密鍵に対するアクセス制御が不十分で、誰でも秘密鍵にアクセスできる状況であった、等)を主張して反証することが考えられます。
ウ 二段目の推定(②)に対する反証
紙の書類への押印の場合、二段目の推定に対しては、押印後に内容を改ざんされた等の事実を主張して反証することが考えられますが、デジタル署名の場合、電子文書の内容たる電子データ自体を元に電子署名が作成される(前記2(2)参照)ので、電子署名を行った後に電子文書の内容を改ざんすることは事実上不可能です。したがって、二段目の推定(②)に対する反証は、電子文書の内容を認識しないで電子署名を行った等の事実の主張に限定されるものと思われます。
[3] 高橋郁夫ほか編『デジタル法務の実務Q&A』(日本加除出版、2018年)332頁〔木佐優〕。これとは別に、利用者自身ではなくサービス提供事業者が「電子署名」を行うクラウド型電子契約サービスにおいては、いかなる場合に「本人による電子署名」が行われたといえるのかが明らかでないという問題もあります。
[4] 高橋・前掲注3・同頁参照。なお、東京地判平成30年9月20日金法2119号76頁は、私文書の成立の真正の推定(民事訴訟法228条4項)によることなく、文書作成時に意思確認がなされた事実等を根拠として、文書の成立の真正を認めており、参考になります。
[5] 最判昭和39年5月12日民集18巻4号597頁。
[6] 2018年11月10日現在、8事業者が10の認定された認証業務を行っています。経済産業省「電子署名及び認証業務に関する法律による認定認証業務一覧」(2018年11月10日)https://www.meti.go.jp/policy/netsecurity/esig-srvlist.html参照。
[7] 例えば、東京地判平成30年9月20日・前掲注4参照。
4.電子署名と代表権・代理権
(1) 代表者の資格の確認
電子署名法上の認定認証事業者が発行する電子証明書には、公開鍵保有者の氏名、住所及び生年月日のほか、所属法人名、役職名等も記録することができますが、国による認定の対象となる(すなわち、情報の正確性について法的な裏付けが存在する)のは、氏名、住所及び生年月日のみです(同法6条1項3号、同法施行規則6条8号参照)。したがって、例えば、契約相手企業の代表者を名乗る者が契約書類の電子ファイルに電子署名を行っており、その者個人が当該契約書類を作成したことは証明できるとしても、その者が実際に契約相手企業の代表権を有しているのか否かについては、別途商業登記簿の情報と照合する等して確認する必要があります。もっとも、これは紙の書類への署名でも同じことであり、電子署名に特有の論点ではありません。
なお、法務大臣の指定する登記所(電子認証登記所)の登記官は、印鑑登録を行った会社の代表者に対し、その請求に応じて電子証明書を発行するものとされている(商業登記法12条の2第1項、第5項、商業登記規則33条の4)ところ、この電子証明書には、代表者の登記事項の一部も記録することができ、かつ、登記官による証明の対象となります(商業登記法12条の2第3項、商業登記規則33条の5)。したがって、電子署名を行った者がこの電子証明書を利用していれば、その者が少なくとも商業登記簿上は代表者として記載されていることを確認することができます[8]。
(2) 無権限者による電子署名
無資格者による電子署名のリスクとは別に、例えば、契約相手企業の真実の代表取締役が電子署名を行っているものの、実は必要な機関決定を経ていなかったとか、契約相手企業の事業部長が電子署名を行っているものの、実は代表取締役から代理権を授与されていなかったといった、いわば無権限者による電子署名のリスクも存在します。電子署名法上の認定認証事業者が発行する電子証明書はもちろん、電子認証登記所の登記官が発行する電子証明書によっても、代表権又は代理権の範囲又は制限については証明できない(商業登記法12条の2第1項但書き、商業登記規則33条の3第1号)ので、電子署名を行った者が必要な授権を得ているのか否かについては、別途取締役会議事録や委任状の提示を要求する等して確認する必要があります。もっとも、これも紙の書類への署名の場合に考慮すべきことと基本的には変わりません。
なお、実際に無権限者による電子署名がなされ、契約相手企業から契約の効果の帰属を否認された場合でも、権限がないことを知らず、かつ、そのことに過失がなかったといえれば、契約相手企業に契約の効果を帰属させることができる場合があります[9]。ここで、紙の書類への押印の場合、一定の重要性を持つ書類には会社代表者印を押印するという実務慣行が存在することから、重要な契約書類に会社代表者印以外の印影が顕出されていること(及びそれにもかかわらず押印者の権限を調査・確認しなかったこと)は、過失の評価根拠事実となり得ます[10]。一方、電子署名について、例えば、所属法人名や役職名等が記録されていない電子証明書を利用した電子署名が行われていたという場合に、これを紙の契約書類に会社代表者印以外の印影が顕出されていた場合と同視できるかは、電子署名に関する実務慣行や裁判例に乏しい現時点では不明確な部分があります。保守的に考えれば、電子署名の場合も、所属法人名や役職名等が記録されていない電子証明書が利用されていた場合は、電子署名を行った者の権限についてさらに調査・確認するのが望ましい対応といえます[11]。
なお、電子署名を行った者の権限を確認する方法として、電子委任状の普及の促進に関する法律(平成29年法律第64号)に定める電子委任状(同法2条1項)を利用すれば、契約書類への署名押印だけでなく代理権の付与・確認も電子的に行うことができ、契約手続のペーパーレス化をさらに徹底することが可能です。
[8] 法務省「商業登記に基づく電子認証制度の概要・ご利用の手引き」http://www.moj.go.jp/ONLINE/CERTIFICATION/GUIDE/guide.html参照。
[9] 代表取締役が取締役会の決議を経ずに重要な財産の処分(会社法362条4項1号)等を行った場合につき、最判昭和40年9月22日民集19巻6号1656頁を、その他代理人がその権限外の行為をした場合につき、民法110条を、それぞれ参照。なお、代表取締役やある種類又は特定の事項の委任を受けた使用人の包括的権限に内部的な制限が存在したに過ぎない場合は、そのような制限の存在を知らなかったことにつき軽過失があっても、契約相手企業に契約の効果を帰属させることができると考えられます(会社法349条5項、14条2項参照)。
[10] 契約書に会社名を刻したゴム印及び角印が押捺されていたが、会社代表者を示す記名・押印はなかったという事案で、最判昭和49年4月30日金法722号30頁は、契約の相手方には、取引担当者に会社を代理する権限があったかどうかを会社に一応照会するなどして、その意思を確かめる義務があると判示しています。
[11] 電子署名法上の認定認証事業者が発行する電子証明書の場合、所属法人名や役職名等が記録されていても、それらの事項は認定の対象外であるため、所属法人名や役職名等が記録されているからといって直ちに調査・確認義務が免除されるわけではないと考えられますが、相対的には義務が軽減されると考えられます。
5.おわりに
今般の状況下で、電子署名の必要性・有用性は多くの経営者が認めるところと思われますが、その一方で電子署名に関する実務慣行や裁判例は未だ乏しく、リスクの算定が難しいことから、導入に躊躇を覚える企業も少なくないと思われます。本稿が、そのような企業における検討の一助となれば幸いです。