前回の投稿(「押印についてのQ&A」について)では、押印が法的に持つ意味について書きました。そして、その代替的な方法として、電子署名があるというところまで記載しました。
電子署名に関する法律としては、「電子署名及び認証業務に関する法律」があります。
そして、「電子署名」の定義は、第2条第1項にあります。
(定義)
第二条 この法律において「電子署名」とは、電磁的記録(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式で作られる記録であって、電子計算機による情報処理の用に供されるものをいう。以下同じ。)に記録することができる情報について行われる措置であって、次の要件のいずれにも該当するものをいう。
一 当該情報が当該措置を行った者の作成に係るものであることを示すためのものであること。
二 当該情報について改変が行われていないかどうかを確認することができるものであること。
つまり、電磁的記録に記録した情報の作成者を示し、その情報が改変されていないことが確認できる措置が「電子署名」ということになります。
なお、総務省では「電磁的記録に記録された情報について作成者を示す目的で行う暗号化等の措置で、改変があれば検証可能な方法により行うもの」と定義しています(https://www.soumu.go.jp/main_sosiki/joho_tsusin/top/ninshou-law/law-index_e.html)。
そして、その効果は第3条に定められています。
第三条 電磁的記録であって情報を表すために作成されたもの(公務員が職務上作成したものを除く。)は、当該電磁的記録に記録された情報について本人による電子署名(これを行うために必要な符号及び物件を適正に管理することにより、本人だけが行うことができることとなるものに限る。)が行われているときは、真正に成立したものと推定する。
これは、前回の投稿(「押印についてのQ&A」について)で引用した民事訴訟法第228条第4項とパラレルになっている規定です。
(文書の成立)
第二百二十八条 文書は、その成立が真正であることを証明しなければならない。
2 文書は、その方式及び趣旨により公務員が職務上作成したものと認めるべきときは、真正に成立した公文書と推定する。
3 公文書の成立の真否について疑いがあるときは、裁判所は、職権で、当該官庁又は公署に照会をすることができる。
4 私文書は、本人又はその代理人の署名又は押印があるときは、真正に成立したものと推定する。
5 第二項及び第三項の規定は、外国の官庁又は公署の作成に係るものと認めるべき文書について準用する。
民事訴訟法第228条第4項では、「本人又はその代理人の署名又は押印があるとき」に真正に成立したものと推定される、とされています。
電子署名法第3条では、「当該電磁的記録に記録された情報について本人による電子署名(これを行うために必要な符号及び物件を適正に管理することにより、本人だけが行うことができることとなるものに限る。)が行われているとき」に真正に成立したものと推定される、とされています。
ここで重要なのは、かっこ書き(「これを行うために必要な符号及び物件を適正に管理することにより、本人だけが行うことができることとなるものに限る。」)です。つまり、第2条第1項で定義されている「電子署名」の中でも、この第3条かっこ書の要件を満たしたものだけが、第3条の推定効を受けることができる、という構成になっており、逆に言えば、この要件を満たさなければ、第2条の「電子署名」であっても推定効が働かない、ということになります。つまり、印鑑に置き換えれば、認印のようなものということです。
では、この要件を満たすにはどうすればよいでしょうか。一つは、第2条第2項および第3項に定める特定認証業務を行っている認定事業者により特定認証業務を依頼して証明してもらうことです。
第二条
2 この法律において「認証業務」とは、自らが行う電子署名についてその業務を利用する者(以下「利用者」という。)その他の者の求めに応じ、当該利用者が電子署名を行ったものであることを確認するために用いられる事項が当該利用者に係るものであることを証明する業務をいう。
3 この法律において「特定認証業務」とは、電子署名のうち、その方式に応じて本人だけが行うことができるものとして主務省令で定める基準に適合するものについて行われる認証業務をいう。
特定認証業務を行っている認定事業者は法務省のこのページに掲載されています(平成30年11月10日現在)。
しかし、これらの業務依頼には当然ながらコストがかかります。
また、第3条かっこ書の要件として、特定認証業務により認証されなければならない(他の方法は利用できない)と定められているわけではないので、別の方法でも当該要件を満たせる限りは問題ないと考えられますが、技術的には特定認証業務で用いられているのと同等のものが求められることになりそうですので、すぐに別の方法を利用する、というわけにもいかないのが実情と言えそうです。
ここまでの話から、これから電子署名を導入しようとする企業においては、電子署名を導入するか否か、導入するとして第3条の推定効まで求めるか、ということを検討する必要があるだろうと思われます。そして、これらの検討は、段階的に行われるのではなく、一括で行われるのが望ましいと言えます。なぜなら、民事訴訟法第228条第4項と同等の効果を目論んで電子署名システムを導入すると決定した後で、コスト等の要因により、第3条かっこ書を満たす電子署名の導入はできないことが判明し、結局電子署名は導入したものの、電子署名法第3条の推定効(民事訴訟法第228条第4項と同等の効果)を得るまでに至らなかった、となれば、そもそも導入の意味がなくなってしまうからです。
したがって、電子署名の導入をする際には、電子署名法第3条の推定効まで求めるのか、そこまでではなく、単に押印の代わりの方法として電子署名を用いるのか、ということの検討が一つ大きな検討事項になると言えます。
なお、特に法務部門の方であれば、電子署名ではなく、これまでどおり書面での契約を考えてみたときにも、実は民事訴訟法第228条第4項の推定は働かない可能性があるのでは、との疑問が湧いてくる方もいらっしゃるかと思います。
前回の投稿(「押印についてのQ&A」について)のとおり、民事訴訟法第228条第4項の推定は、二段の推定となっていて、第1段階は本人の意思による押印かどうか、を印鑑証明書等により、本人所有の印鑑により顕出される印章であることをもって証明することで、本人の意思による押印であることが推定され、第2段階で民事訴訟法第228条第4項の推定を働かせる、という仕組みになっていました。つまり、書面上に顕れている印章が、印鑑証明書等の何かしらの手段をもって、本人の印鑑により検出されたもので、本人により押印されたことが確認できることが、民事訴訟法第228条第4項の推定を受ける上で非常に重要となっていました。
しかし、実務を考えてみますと、契約締結に際して、契約書を作成する都度、そこに顕れている印章が本当に本人の意思により押印されているか否かを確認しているわけではない場合がほとんどではないかと思われます(考えるだけでも、毎回印鑑証明書を取得するのは煩雑に過ぎます)。となれば、実印に見えても、実は印鑑登録されていないものだった、ということも可能性としては十分にあり得るわけです。
とすれば、電子署名の場合にだけ、本人による電子署名であることを担保する必要性もないのではないか、という疑問が生じてくるはずです。
この点は、押印の場合と電子署名の場合とで、その押印/署名に至るまでの社内プロセスの差異(社内規程など)、あるいは、基本的には印鑑は慎重に管理されており、印章管理規程も整備され、限られた者のみが使えるようになっていることに比して、(サービスによるかとは思いますが、一例として)電子署名は署名用のリンクが記載された電子メールを(署名を求められた)本人から他者に転送すればその他者が誰であっても「本人として」署名できるようになっている、などの違いに鑑みて、後に文書の成立の真正が争われた場合に、「本人しか電子署名できなかったはずだ」「仮に別の者が電子署名していても、本人に過失があったはずだ」とどの程度強く主張できるのか、ということを検討して、各社での考え方を整理し、利用の可否を判断していくことになろうかと思われます。あるいは、対象とする契約を限定する、ということも一つの方法であろうと思われます。
また、クラウド利用という特性も踏まえ、内容によっては、個人情報保護法等の他の法令の検討を要することもあり得ます。