電子署名の有効期限について | 電子署名

2020年11月07日 電子署名 行政書士

説明

電子署名の有効期限とは

 紙の契約書では、押印と署名を慣習的に行っています。
この行為により、

民事訴訟法 第二百二十八条 「私文書は、本人又はその代理人の署名又は押印があるときは、真正に成立したものと推定する。」

により、契約書が、真正に成立したものと推定され法的に効果が発生します。

 口頭でも有効な契約ですが、証拠として契約書を作成し、署名押印する行為はこれにより合理的な意味が生じます。

近年、利用される電子の契約書(形式は、PDF、Wordなど様々)は、同様の効果を法的に発生させることができるのでしょうか?

 答えは、YESです。

 電子署名法 第三条 電磁的記録であって情報を表すために作成されたものは、当該電磁的記録に記録された情報について本人による電子署名(これを行うために必要な符号及び物件を適正に管理することにより、本人だけが行うことができることとなるものに限る。)が行われているときは、真正に成立したものと推定する。

イメージは次の通りです。

紙の契約書 + 署名又は押印 = 電子契約+電子署名

と考えると、

印鑑 =  電子署名 ?

と思われないでしょうか? 実は細かいことを言うと誤りです。

正しくは、

印鑑 =  {秘密鍵+公開鍵+公開鍵証明書}(Windowsでは、p12拡張子ファイル 本文中は電子証明書と記す)

で、

押印(印鑑を押す行為) =  電子署名(電子署名する行為)

印影(押印結果) =  電子署名値(電子署名した結果)

になります。

それゆえ、電子署名法 第三条の括弧書きのように、動作を修飾する注意書きとなります。

「これを行うために必要な符号及び物件を適正に管理することにより、本人だけが行うことができることとなるものに限る。」

実印のように適正に管理された、秘密鍵で電子署名したら真正に成立したものと推定されます。

即ち、

電子署名するときに、適正に管理された有効な電子証明書であれば真正に成立

です。

真正に成立してしまうと、電子署名値自体に有効期限はありません。

もう一度、法的要件を書くと

①適正に管理されていること(電子証明書が)。

②本人だけが行うことができるもの(当事者を示す電子証明書を使った電子署名)。

となります。

もう一つ注意が必要なのが、電子署名の定義です。

電子署名法 第二条 
「電子署名」とは、電磁的記録に記録することができる情報について行われる措置であって、次の要件のいずれにも該当するものをいう。
一 当該情報が当該措置を行った者の作成に係るものであることを示すためのものであること。
二 当該情報について改変が行われていないかどうかを確認することができるものであること。

これより、電子契約時に相手が電子署名した時に、相手の電子署名が正しくされているか確認する必要があります。

③電子署名した者を特定することができる有効な電子証明書であるか?

 契約相手を特定できる電子証明書か?

 有効期限内の電子証明書を使用しているか?

 適正に管理されている電子証明書を使用したか?

 失効していない電子証明書か?

④電子署名した後に改変が行われていないかどうか?

 電子署名値を公開鍵で検証すれば、電子証明書の有効期限外でも正しく検証できます

 

 正確には、電子署名(sign)の有効期限ではなく,秘密鍵+公開鍵の有効期限となります。

その有効期限が、公開鍵の電子証明書(Certificate)に記録されています。

 

電子署名し、時間が経過した後に確認する場合は?

電磁的記録が真正に成立したと推定されるか否か見極めるポイントをもう一度まとめると、

①電子証明書が適正に管理されているか否か。

②本人だけが行うことができるものであるか否か。

③電子署名した者を特定することができる有効な電子証明書であるか?

④電子署名した後に改変が行われていないかどうか?

となります。

 

④に関しては、

いつでも問題なく論理的に証明可能です。

 

①に関しては、

少なくとも、PINコードは自分しか知らないや、〇〇に保存してある電子証明書を使用して電子署名したか?が問われると思います。

<ダメな例>

自由にファイル削除できないような、他人管理のコンピュータシステム内に保存された電子証明書を利用した。

電子証明書をコピーし、複数の場所に保存して使用している。

<因みに>

地方公共団体情報システム機構が発行している、マイナンバーカード内の電子証明書は、ダメな例は物理的に起こりえないような仕組みです。

なぜなら、マイナンバーカードから電子証明書(秘密鍵)を取り出すことができないようにな仕組みとなっています。

しかも、電子証明書(秘密鍵)のパスワードを間違うとロックされる仕組みまであります。

士業の電子証明書のようにp12形式ファイルを、色々なコンピュータ上で使用している場合は危ないです。PINコードが分からなければ大丈夫と思っている人もいますが、何度間違ってもロックされないので総当たり攻撃で解析することが容易です。

<良い例>

自分が管理し、自分しかアクセスできないファイルシステム領域で、p12形式ファイルを管理している。

 

②、③に関しては、

色々総合的に考える必要があります。

電子証明書を発行する者(認証局 電子証明書に記載してあります。)が、次のダメな事例を生じさせないか?

電子証明書が自分を識別することができる単位で作成されているか?

有効期限内の秘密鍵を使用して電子署名したか?失効リストに載っていないこと

<良い例>

住民票を確認し、住民票記載事項を電子証明書に記し、住民票記載本人に1つしか発行していないこと。

<ダメ例>

住民票を確認せず、同じ住民票記載事項が記された電子証明書を何個も発行された電子証明書。

 

有効期限が切れた電子証明書で電子署名したか否か?分かるためには?

①電子署名した瞬間に、電子証明書の有効期限と失効リストを確認する。

②電子署名し時間が経過した後は??????? 
 そもそも電子証明書を確認して有効期限内であれば問題にはならない。
 有効期限が切れていた場合はどうする?

※余談ですが、一般の人の契約相手がマイナンバーカードで電子署名した場合、電子証明書で有効期限は確認できますが、失効していないか?確認することはできません。 
 失効リストを得らえることができる人は法律で決まっています。
 

ではもう一度、

電子署名し、時間が経過した後に確認する場合は?

現状は、概ね次のような手段をとっています。

電子署名するときにタイムスタンプを付与する。(時間を証明する電子署名。タイムスタンプの発行者が時間を証明)

本人を証明する電子署名+時間を証明する電子署名
(※この時の本人用電子証明書の失効リストも保存しておく方が良いです。)

現状の証明方法は技術的な見地からこうなっていますが、法的には原則タイムスタンプを要求しているわけではないです。

(※ 因みに電子帳簿法の一部に要件になっている箇所があります。)

 

結論

電子署名値には有効期限はなく、電子署名した後に改変が行われていないかどうか?検証することはできますが、

電子署名するときに使用する電子証明書には有効期限があります。

電子証明書(Certificate)の有効期限と失効リスト(有効期限内でも例外的に駄目な奴)には注意しましょう。

 

 

関連サービスはこちら