現在、政府の記録や企業の文書などは、ほぼすべての取引がオンライン化され、電子署名されていることが当たり前になってきています。デジタルドキュメントサインは、手書きの署名を不要にし、セキュリティの向上とコストの削減を実現します。さらに、時間の節約にもなり、環境への負荷も少なくなります。

従来はインクによる署名で合意を示していましたが、電子署名はさらに進んで、暗号を使って署名者のIDを結びつけ、個人や組織の電子的なIDを文書に暗号的に結びつけ、誰もが内容を改ざんできないようにすることで、セキュリティと信頼性を高めることができます。

しかし、電子署名という新しい世界では、すべてのタイプが同じように作られているわけではなく、特定のユースケースに適したものもあります。今日は、この新しいタイプの署名について、知っておくべきことをおさらいしましょう。

電子サインと電子署名

電子サイン(e-signatures)の要件は法律で定められており、オンライン署名が法的に有効であるために必要なことが記載されています。米国では、主に連邦政府のE-Sign法や各州の統一電子取引法(UETA)、欧州ではeIDASがこれにあたります。

電子サインと電子署名という言葉は、しばしば同じ意味で使われていますが、両者は全く異なります。米国をはじめとする多くの法律では、最も基本的な電子サインは、「レコードに添付された、または論理的に関連付けられた、レコードに署名する意図を持って人が実行または採用した電子音、記号またはプロセス」とすることができます。電子サインには、手書きの署名のコピー、入力または描かれた署名、あるいは「同意する」ボタンのクリックなどがあります。電子メールやウェブ上で基本的な書類に署名する際に、電子サインを使ったことがあると思います。

一般的に、電子署名は、以下を保証するために暗号化技術を使用する、より安全な電子サインの形態を表します。

  1. 署名者のID。署名者の正体は、私たちが思っている人なのか?
  2. ドキュメントの整合性。ドキュメントが改ざんされていないか?
  3. 否認防止の確立。そのサインは署名のものなのか?

電子署名は、署名を無効にすることなく文書を変更することができないため、電子サインに高いセキュリティを付加し、電子署名された文書に法的拘束力を持たせることができます。

電子署名を使用するのは、より高いセキュリティが必要な場合です。例えば、法律関係、医療関係、人事関係の文書に使用します。ここでは、様々な分野での電子署名の利用例をご紹介します。

  • 人事:従業員やベンダーのオンボーディング、確認書、税務申告書など
  • リーガルサービス:保持/手数料契約、秘密保持契約、委任状契約
  • 保険:保険契約書、保険金請求処理書類、契約更新契約書
  • 一般企業:マスターサービス契約、販売契約、秘密保持契約、ベンダー契約
  • ファイナンス: 開示受理、電信送金、ローン申請、アカウント 開設
  • 調達:サプライヤーとの契約、見積書、発注書

標準 vs 高度 vs 認定済み電子サイン

電子署名の世界的な基準としては、欧州連合(EU)のeIDAS規則が最も厳しく、Standard、Advanced、Qualifiedの3種類の電子サインの概要が示されています。

Standard Electronic Signatures(SES)は、必ずしも電子署名である必要はなく、ユーザーIDの認証も必要ありません。スキャンされた署名や「同意する」ボタンの使用などです。

Advanced Electronic Signatures (AES)は、法的に有効な電子署名の基準です。署名者と一意に結びついていること、署名者を特定できること、署名者の唯一の管理下で高い信頼性を持って作成されていること、そして署名されたデータのその後の変更を明らかにすることです。

最後に、eIDASのQualified Electronic Signatures(QES)は、電子署名の最高の法的裏付けとなるものです。QESとは、デジサート+QuoVadisのようなQTSP(Qualified Trust Service Provider)が発行する認定済み電子証明書を用いて作成されたAESのことです。QTSPは、セキュリティ、ユーザー認証プロセス、署名者の鍵の保護など、eIDASに規定された認定・監督プロセスを経ています。有資格者の署名は、不動産譲渡、法的契約、法人設立、その他多くの企業や政府とのやりとりなど、高いセキュリティを必要とする文書に必要となります。

署名の種類

Standard Electronic Signatures(SES)

Advanced Electronic 署名 (AES)

eIDAS Qualified Electronic 署名 (QES)

要求事項

電子サインは、それが電子的な形式であるという理由だけで、法的効力や法的手続きにおける証拠としての許容性を否定することはできません。

署名法で定められている署名者IDの検証、管理、セキュリティ、整合性に関する要件を満たしています。

Adobe Approved Trust Listの署名はAESです。

EU Trusted  Listによって監督・確認された認証済みTrust Service Provider (TSP)が発行する認定済みデジタル証明書を利用した高度な署名。

法的有効性

立証責任は署名者にあります。

立証責任は署名者にありますが、その作業は簡単です。

法的な否認防止;手書きの署名と同じ法的価値。

立証責任は、署名に異議を唱える当事者にあります。

署名者IDの検証

要件はありません。

要件はありません。署名者IDが検証されます。

署名者IDは、規格に準拠して監査された方法によって確実に検証されています。Face to Faceまたはそれに準ずるチェックが必要です。

信憑性

要件はありません。

署名は、署名者と一意に結びついていなければなりません。

署名が署名者と一意に結びついているという高い信頼性。

制御およびハードウェア要件

要件はありません。

署名の作成は、署名者の唯一の管理下にあること。安全な署名作成デバイス (SSCD)の使用が義務付けられています。

署名者が単独で管理しているという高い信頼性。認定された署名作成デバイス(QSCD)の使用が必要です。

データの整合性

要件はありません。

署名後のデータの変更は、検出可能です。

署名後のデータの変更は、検出可能です。

米国には欧州のeIDASのような認定制度はありませんが、認定基準に準拠していることを主張できるプロバイダーは、電子サインをサポートするための「立証責任」を果たすことができます。

eSignatureとeSealの比較

eSignaturesとeSealsはどちらも電子サインですが、その違いは誰が使うかということです。eSignatureという言葉は、個人が署名する際に、「合意をする」という特定の意図を含む場合に使用されます。例としては、銀行のフォームへの署名、医療行為の承認、契約書への署名などがあります。

一方、eSealは組織が署名するときに使われます。その違いは、eSealは合意ではなく、起源/正当性と完全性を主張することを目的としていることです。eSealsは、卒業証書の発行、顧客への請求書の発行、その他の組織的なニーズなど、大量の署名を行う場合によく見られます。

ドキュメント署名にDigiCert Document Signing Managerを使用する理由

世界的に信頼されている認証局(CA)として、デジサートは、あなたやあなたの組織が、あなたが言うとおりの人物であることを保証します。私たちは信頼できるサービスプロバイダーであり、現地の専任リソースや専門知識とともにEUやその他の法的な最高基準を満たす電子署名ソリューションを提供することができます。さらに、世界中のどこにいても、数十年にわたる電子署名の経験から、デジサートはお客様のユースケースに合った署名ソリューションを提供します。

また、デジタルドキュメント署名のための簡単なオールインワンソリューションであるDocument Signing Managerにより、電子署名証明書を管理する方法を最新なものにしています。 Document Signing Managerは、EUのeIDAS、スイスのZertES、Adobe Approved Trust List(AATL)の技術要件など、厳しいグローバルスタンダードに準拠した電子署名を実現します。

さらに、クラウドソリューションとして、セキュリティが組み込まれており、ハードウェアを追加する必要がありません。デジサートは、ワークフローの実現や大量の署名のユースケースを支援することができます。Document Signing Managerは、Adobe Sign、DocuSign、Ascertia SigningHubなどの他の署名システムと連携し、安全で監査可能なドキュメント署名プロセスを実現します。

詳細はdigicert.com/jp/signing/document-signingでご確認いただくか、jpn-info-pki@digicert.comまでご連絡ください。

UP NEXT

証明書を使用してIoTデバイスをMICROSOFT AZURE IOTのようなクラウド・プラットフォームに接続する方法

特集記事

VMC Blog Featured Image

ユーザーの受信トレイに貴社のロゴを表示する:VMC GMAIL PILOTから学べるヒント

デジサートのPKIオートメーション調査から見えてきた3つのこと

証明書のピンニングはやめましょう