なぜユーザIDとパスワードを入れるだけで電子署名と見なされるか？

デジタル署名と電子署名

まず言葉の整理から始めましょう。 Part 11[1]も日本の ER/ES指針[2]も、デジタル署名と電子署名を区別しています。

ER/ES指針の定義は次のようになっています。

電子署名：「電磁的記録に対し、手書き署名又は捺印と同等のものとして行われる署名で、個人又は法人が作成、採用、確認、承認する一連の記号を電子化して構成したデータ」

デジタル署名：「署名者認証の暗号化技術等に基づく電子署名」

ご拝察の通り、世の中では一般的に両者は区別していません。そもそも日本の電子署名法[3]で定めている署名は、上記の区別で言えば明らかにPublic Key Infrastructure (PKI)をベースにした署名、すなわちデジタル署名のことです。

では、電子署名法で定めている署名がデジタル署名だとしたら、デジタル署名を使わなくてよいのでしょうか？なぜユーザIDとパスワードを以て電子署名だと言ってよいのでしょうか？

ｅ文書法とｅ文書省令

ER/ES指針は単独で存在しているわけではなく、2000年のｅ文書法[4]を根拠にしています。ｅ文書法は、民間で作成・交付する書面を電子的にする条件を定める法律です。このｅ文書法第四条（電磁的記録による作成）で、

「氏名又は名称を明らかにする措置であって主務省令で定めるものをもって当該署名等に代えることができる。」

としています。

その主務省令とは、厚生労働省がｅ文書法を受けて発行した、ｅ文書省令[5]です。そして、e文書省令第七条（作成において氏名等を明らかにする措置）で、

「（前略）記名押印に代わるものであって、法第四条第三項に規定する主務省令で定めるものは、電子署名（電子署名及び認証業務に関する法律（平成十二年法律第百二号）第二条第一項の電子署名をいう。）とする。」

としています。

あれあれ。電子署名法に戻ってきてしまいました。電子署名法はデジタル署名の法律と書いていたのでは？

電子署名の定義

電子署名法の第二条第一項と書いてあることに着目してください。第二条第一項を引用します。

「この法律において「電子署名」とは、電磁的記録（電子的方式、磁気的方式その他人の知覚によっては認識することができない方式で作られる記録であって、電子計算機による情報処理の用に供されるものをいう。以下同じ。）に記録することができる情報について行われる措置であって、次の要件のいずれにも該当するものをいう。

一　当該情報が当該措置を行った者の作成に係るものであることを示すためのものであること。
二　当該情報について改変が行われていないかどうかを確認することができるものであること。」

これならPKIを使うかどうかは関係なく、いわゆる電子署名もデジタル署名も両方に適用できますね。

従って、ユーザIDとパスワードの組み合わせでも、一、二の条件を満たせばよいということになります。

一は、一般的に監査証跡により満たされます。

二については、電子署名された文書を書き換えると電子署名が無効になるという機能が必要になりますが、実はPart 11もER/ES指針も明確には定めていません。従って、電子署名の機能を評価する場合は、この要件も加えておくとよいと思います。

本稿では、ユーザIDとパスワードに限定して書きましたが、もちろん他の手段でも構いません。それについてはまた別の機会で述べたいと思います。

―　参考文献　―

[1] United States Code of Federal Regulations Title 21, Part 11 “Electronic Records; Electronic Signatures”, 1997【和訳】(A)

[2] 医薬品等の承認又は許可等に係る申請等における電磁的記録及び電子署名の利用について, 平成17年4月1日, 薬食発第0401022号【英訳】(A)

[3] 電子署名法：電子署名及び認証業務に関する法律, 平成12年5月31日法律第102号

[4] e文書法：民間事業者等が行う書面の保存等における情報通信の技術の利用に関する法律,平成16年法律第149号

[5] e文書省令：厚生労働省の所管する法令の規定に基づく民間事業者等が行う書面の保存等における情報通信の技術の利用に関する省令, 平成17年厚生労働省令第44号

【注】
(A) : アズビル株式会社様が翻訳したものです。
アズビル株式会社様には、本サイトで掲載することをご承諾いただいております。