現在、本システムは電子署名法第3条のすべてに対応できているわけではありません。
電子署名法第3条とは
電子署名法第3条は以下の通りです。
電磁的記録であって情報を表すために作成されたもの(公務員が職務上作成したものを除く。)は、当該電磁的記録に記録された情報について本人による電子署名(これを行うために必要な符号及び物件を適正に管理することにより、本人だけが行うことができることとなるものに限る。)が行われているときは、真正に成立したものと推定する。
(e-Gov法令検索より引用)
本システムでの対応
電子署名法3条の推定効が働くためには以下の要件が満たされる必要があります。
(1)電子署名法2条1項の「電子署名」に該当すること
(2)利用者とサービス提供事業者の間で行われるプロセスにおいて「固有性の要件」を満たすこと
(3)利用者の行為を受けてサービス提供事業者内部で行われるプロセスにおいて「固有性の要件」を満たすこと
(1)(3)の要件については満たしていると考えられますが、現状、(2)については本システム単体では満たしていません。
補足
ただし、電子署名法3条の推定効が働かない契約書などの書類は、無効ではありません。あくまで第3条に基づく「推定」がされないだけであり、契約書などの成立の真正(形式的証拠力)については、契約締結前後のやり取りの記録などにより立証することが十分に考えられます。
仮に推定効が働いた場合であっても、推定事実について合理的な疑いを抱かせる程度の反証がなされた場合には推定が覆ることになります。そのため、契約書などの成立の真正が争われることの対策としては、推定効に頼るのではなく、以下のような準備が有効と考えられます。
- 契約締結行為者を指定する場合に、フリーメールなどアカウントのセキュリティ対策が不十分なアドレスは使わない。
- 契約交渉の際のメール等の証跡を残しておく。
(1)への対応
利用者の操作に基づきクラウド上で機械的に行われ、サービス提供事業者(弊社)の意思が介在する余地がなく、作成者(ユーザー・ゲスト)の意思のみに基づいて暗号化処理を行います。記録されている電子証明書の内容、作成者の氏名、メールアドレス、署名時刻が、作成者自身で記録したものであることが担保されます。
また、電子署名にはセコムパスポートplusを使用しています。このサービスは署名アルゴリズムにSHA-256 with RSAEncryption(鍵長2048bit)を使用しており、改変がされていないことを十分担保できる水準にあります。
なお、PDFファイルに付与された作成者の電子署名のデータは、Adobe AcrobatなどのPDFリーダーの「署名パネル」で確認できます。
(2)への対応
現時点では要件を満たしていません。今後、利用者の二要素認証を実装予定です。
(3)への対応
アクセスや操作ログなどの履歴が正しく適切に記録され、かつ、(1)の通り十分な暗号の強度を持ち、改ざんや削除ができない仕様です。