週刊アスキー

  • Facebookアイコン
  • Twitterアイコン
  • RSSフィード
home >  ICT >  コロナで進むDX変革の中、電子証明書・電子契約サービスの導入で気を付けるべきポイントは?

インハウスハブ東京法律事務所の足立 昌聡氏に最低限知っておくべき知識を聞いてみた

コロナで進むDX変革の中、電子証明書・電子契約サービスの導入で気を付けるべきポイントは?

2020年06月26日 09時00分更新

文● 松下典子 編集●ASCII STARTUP

信頼のおけるベンダーかどうかを見分けるには

 さて、電子契約における業務用の証明書を発行してもらう場合、ベンダーが信頼できるものであるかどうかを関係者が容易に確認できるかどうかという観点で選択することが重要です。

 たとえば、PDFに付与するデジタル署名としては、AATL(Adobe Approved Trust List)のベンダーリストに含まれる事業者を利用すると、当事者はAdobe Acrobat Reader上で簡単に電子証明書の信頼性を確かめられるので安心です。AATLのリストに含まれる日本の認証局としては、地方公共団体組織認証基盤のLGPKIと政府認証基盤のGPKI(なお、政府系の認証基盤も、ルートは民間事業者が認証局となっています)のほか、民間ではセコムトラストシステムズとサイバートラストだけです。

 ただし、目的によっては、認証は必ずしもパブリックなものである必要はなく、たとえばメガバンクなどでは、自社内の取引に自前の認証基盤を使っています。利用目的や範囲を考慮して、費用対効果を判断していくといいでしょう。

 大量の反復継続的な署名が発生するような場合で署名コストを抑えたいのであれば、署名の都度課金されるような立会人型ではなく、当事者型での署名を選択することも考えられます。一方で、自身で署名鍵を管理するセキュリティコストを考慮すれば、リモート署名を提供するクラウドサービスを利用も検討できるでしょう。

 この点にておいて、サイバートラスト社のiTrustでは、署名用の電子証明書をクラウド環境上の電子契約ベンダー(サイバートラスト社)に預けており、電子証明書の取得、署名鍵の管理や署名プロセスを契約ベンダーが代行しています。ルートに近いベンダーのデジタル署名でなくとも、PKI(公開鍵暗号基盤)の仕組み上、ルートをたどった先の上位が信頼できることが確認できれば、信頼性についても懸念はほとんどありません。

 なお、AATLのほかにも信頼できるルート証明書や認証事業者のリストは存在し、国が事業者を認定するケースとしては、日本では電子帳簿保存法や電子署名法による認定事業者の登録制度がありますし、EUのeIDASでもベンダーの認証認定制度を設けています。

スタートアップ系のサービスは使っても大丈夫?

 国内外でスタートアップ系のデジタル署名サービスも出てきていますが、いくつかは自己署名による証明書が使われているものが散見されます。カジュアルな社内文書の改ざん防止に使うのであればかまいませんが、信頼できる認証がなければパブリックな用途には推奨されません。契約の当事者双方がその事業者を使うことに納得している場合であれば、安価なプラットフォームを利用するのもありでしょう。

 なお、スタートアップであっても、事業規模が大きくなれば、より広く受け入れられるトラストなサービスへと移行していく可能性もあります。例えば、国内最大手の弁護士ドットコム社は、(AATLにも掲載されている)サイバートラスト社との協業を発表しています。

アフターコロナは、電子署名・電子契約の普及はさらに加速する?

 今後、電子化の流れは加速する一方で、さまざまな不都合が顕在化してくると考えています。最近、法務省が発表した会社法施行規則の新解釈では、取締役会議事録への取締役の電子署名に立会人型のクラウドサービスの使用が認められています。ただしこの電子署名については、“各取締役が立会人である業者に指図していることを法務局側で検証可能なこと”が要求されており、すべての電子契約サービスベンダーが利用可能なわけではないので、注意が必要です。
 

まとめ:一般の利用者が電子契約サービスを使う際、確認するとよいポイント

●契約書のデータ自体を預ける必要がある仕組みか(ローカルかクラウドか)
●ベンダーの情報セキュリティ体制が検証できているか(SaaSの導入時の情報セキュリティレビューを実施する、外部のセキュリティ認証を確認する等)
●サービスの仕組みが、ユーザーの資格確認(法人実在や代理権の有無)をともなうのか、認証機能のみを提供しているのか
●立会型の場合は、当事者のベンダーへの署名の「指図」が、データ上に検証可能な形で記録されているか
●社内の署名権限を管理する機能が管理者へ提供されているか

お話いただいた専門家

足立 昌聡氏
 弁護士・弁理士・情報処理安全確保支援士。インハウスハブ東京法律事務所代表。民間の米国法律事務所、特許庁を経て、現職。専門は知的財産、技術法務、産学官連携・スタートアップ支援。LINE株式会社のセキュリティ&プライバシーカウンセルも務めるほか、MCPC認定IoTスペシャリスト、横浜市立大学データサイエンス学部非常勤講師、情報処理安全確保士会理事、トラストサービス推進フォーラム特別会員。
Twitter:@MasatoshiAdachi

この記事をシェアしよう

週刊アスキーの最新情報を購読しよう

カテゴリートップへ
この記事の編集者は以下の記事をオススメしています