電子署名法への対応
QuickSignは立会人型電子署名を採用し、
電子署名法の要件に沿った電子契約サービスを提供しています。
電子署名法とは
電子署名及び認証業務に関する法律(電子署名法、平成12年法律第102号)は、電子署名の法的効力を定める法律です。第3条において、電子署名が付された電磁的記録は「真正に成立したものと推定する」効果が認められています。
この法律により、紙の契約書に署名・押印した場合と同等の法的推定効を、電子署名によって得ることが可能になりました。
電子署名及び認証業務に関する法律(e-Gov法令検索)電子署名法 第2条の要件
電子署名法第2条は、電子署名に該当するための2つの要件を定めています。QuickSignは両方の要件を満たしています。
本人性の要件
電磁的記録に記録することができる情報について行われる措置であって、当該情報が当該措置を行った者の作成に係るものであることを示すためのもの
QuickSignの対応
署名者のメールアドレスに固有のセキュアリンクを送信し、メール認証+OTP(ワンタイムパスワード)で本人確認を実施。署名者本人の意思に基づく操作でのみ署名が実行される設計です。
非改ざん性の要件
当該情報について改変が行われていないかどうかを確認することができるもの
QuickSignの対応
署名済みPDFにPKCS#7形式の電子署名を埋め込み、SHA-256ハッシュ値を記録。署名後の文書改変を技術的に検知可能にしています。
3省Q&Aと立会人型電子署名
令和2年9月4日に総務省・法務省・経済産業省が公表したQ&A(通称「3省Q&A」)において、以下の重要な見解が示されました。
利用者の指示に基づきサービス提供事業者自身の署名鍵により暗号化等を行う方式であっても、技術的・機能的に見て、利用者の意思のみに基づいて電子署名が行われたと認められる場合には、電子署名法第2条第1項に定める電子署名に該当しうる。
QuickSignはこの見解に基づき、署名者本人のメール認証+OTP認証による本人確認を経た上で、署名者の意思に基づく操作でのみ電子署名を付与する設計としています。これにより、立会人型電子署名であっても電子署名法の要件を満たすことが可能です。
立会人型電子署名の仕組み
QuickSignが立会人として電子署名を付与するまでの流れです。
署名依頼の送信
送信者が契約書PDFをアップロードし、署名者のメールアドレスに署名依頼を送信します。
本人確認
署名者がメール内の固有リンクにアクセスし、OTPコードによる追加認証を経て本人確認を完了します。
契約内容の確認・署名
署名者が契約書の内容を確認し、署名操作を実行します。この操作は署名者本人の意思に基づいて行われます。
電子署名の付与
QuickSignが立会人としてPKCS#7形式の電子署名をPDFに付与します。Adobe Acrobatで署名の有効性を検証可能です。
監査証跡の記録
署名日時・IPアドレス・User-Agent・操作履歴を監査証跡として自動記録。完了証明書も自動生成します。
証拠性の確保
電子契約の成立過程を事後的に立証するために、以下の情報を監査証跡(Audit Trail)として自動的に記録・保全しています。
| 記録項目 | 目的 |
|---|---|
| 署名者のメールアドレス | 署名者の特定 |
| OTP認証の実施記録 | 本人確認の証拠 |
| 署名日時(サーバー時刻) | 合意時点の証明 |
| 署名者のIPアドレス | アクセス元の特定 |
| 署名者のUser-Agent | 利用環境の記録 |
| 契約書PDFのSHA-256ハッシュ値 | 文書の同一性証明 |
| 監査証跡のハッシュチェーン | 記録の改ざん検知 |
本人確認の方法
メール認証
署名依頼ごとに暗号論的に安全な固有URLを自動生成し、署名者のメールアドレスに送信します。メールアドレスの持ち主のみがアクセスできます。
OTP認証(ワンタイムパスワード)
署名時に4桁のOTPコードをメールで送信し、正しいコードを入力した場合にのみ署名操作が可能になります。メール認証に加えた二段階の本人確認です。
認定タイムスタンプについて
電子署名法においてタイムスタンプは必須要件ではなく、タイムスタンプの有無は契約の法的効力に直接影響しません。QuickSignでは現在、SHA-256ハッシュチェーンによる内部的な改ざん検知機能を提供しており、認定タイムスタンプの付与機能は今後のアップデートで対応予定です。