エストニアの電子署名法について

日本とは大きく事情が異なるエストニアでは、電子署名が日常的に使われていますが、その根拠となる法律について日本語で詳しく解説されたことは、あまり無いと思います。今回は、エストニアの電子署名法について整理しておきたいと思います。

日本では、新型コロナ問題を契機として、ハンコの議論が活発になっているようです。政府の方でも、2020年6月19日付けで「押印についてのＱ＆Ａ（内閣府、法務省、経済産業省）」を公表し、改めて現政府としての方向性を示しています。

こうしたハンコの議論に先駆けて、政府の重要な動きいくつかありました。それは、「行政手続におけるオンラインによる本人確認の手法に関するガイドライン（2019年2月）」の策定や、総務省の「プラットフォームサービスに関する研究会」の最終報告書、同研究会のトラストサービス検討WGにおける検討などです。

今後は、国際動向を含む現状を踏まえた、日本における電子署名法の改正やトラスト制度の確立が待たれるところです。
​

（１）エストニアにおける電子署名法の歴史

エストニアの電子署名法の制定から現在までの流れは、およそ次のようなものです。

1999 電子署名のコミュニティフレームワークに関する指令（1999/93/EC）
2000 身分証明書法の施行（デジタルIDの規定）
2000 デジタル署名法の施行（タイムスタンプも対象）
2001 Xロードの開発、行政機関等の認証基盤整備など
2002 IDカードの発行開始
2002 改正デジタル署名法の施行（行政手続への適用）
2004 改正デジタル署名法の施行（所管省庁の組織変更に対応）
2007 モバイルIDの開始
2008 改正デジタル署名法の施行（旧DB法の廃止、公共情報法の施行）
2009 改正デジタル署名法の施行（デジタルシールの開始、安全な署名作成装置の規定）
2010 ヨーロッパ2020戦略の公表
2011 改正デジタル署名法の施行（ユーロの導入）
2014 改正デジタル署名法の施行（サービスプロバイダーの監督の修正）
2014 eIDAS規則の制定（EU）No 910/2014
2015 EUデジタル単一市場戦略の公表
2016 eIDAS規則の発効
2016 デジタル署名法の廃止
2016 電子IDおよび電子取引トラストサービス法の施行（関連法の一括改正を含む）
2017 スマートIDの開始
2019 改正電子IDおよび電子取引トラストサービス法の施行（監督官庁の修正）

日本で「電子署名及び認証業務に関する法律（電子署名法）」が施行されたのが2001年ですから、電子署名法のスタート時期だけを見れば、エストニアと日本はほとんど差がありません。

年表を見てもわかると思いますが、エストニアの電子署名法を理解する上で、電子署名法や電子取引に関するEUの動向の理解が欠かせません。官民における電子署名の利用が進んだエストニアは、EUにおけるデジタル戦略や電子署名のルール策定にも大きな影響を与えています。

エストニアの電子署名法の正式名称は、「デジタル署名法」です。技術的に中立なEU電子署名指令や日本の電子署名法と異なり、PKI電子署名に特化しているのが大きな特徴です。2000年公布・施行のデジタル署名法は、その後、何度かの改正を経て、2016年に廃止されました。

廃止と言っても、電子署名の法律がなくなってしまったわけではなくて、EU加盟国に対して強制力を持つ「eIDAS規則」の発効に伴い、「電子IDおよび電子取引トラストサービス法」という新しい法律へ受け継がれました。

そのようなわけで、現在のエストニアにおける電子署名の法律は、「eIDAS規則（EU共通の総論、実体法）」＋「電子IDおよび電子取引トラストサービス法」（国内の各論、手続法）という組合せになりました。同じ形態の法律として、「GDPR（一般データ保護規則）」＋「データ保護法」の組合せがあります。

eIDAS規則については、手塚先生による解説記事「日本のデジタル化政策推進の鍵、「電子契約」の有効性とリスク - 手塚悟教授に聞く」が参考になると思います。

​（２）エストニアの電子署名

eIDAS規則の適用により、エストニアにおける電子署名は、次の4クラスに分類されます。

1 適格電子署名（QES：Qualified Electronic Signature）
2 適格電子証明書付きの高度電子署名（AdES/QC：Advanced Electronic Signature with a Qualified Certificate）
3 高度電子署名（AdES：Advanced Electronic Signature）
4 その他の電子署名（Other electronic signatures）

適格電子署名は、手書き署名と同じ法的効力があり、そのことを証明する必要がありません。

1999年のEU電子署名指令において、『「高度な電子署名」＋「認定された証明書」＋「安全な署名作成デバイス」の組合せであれば、法的な効力は書面への手書き署名と同等であり、法的な証拠として認められる』としていたので、その流れを受け継いだものと言えるでしょう。

現在のエストニアで使用される電子認証・署名の形態は、IDカード、モバイルID、スマートIDの３つですが、３つすべてが適格電子署名（QES）になっており、官民のサービスで広く利用されています。

適格電子署名（QES）で必要となる、「適格な電子署名作成デバイス（QSCD：Qualified Electronic Signature Creation Device）」は、eIDAS規則第29条および付録2で定めていますが、スマートIDはリモート署名（クラウド署名）であるため、少し苦労したようです。

スマートIDの「適格な電子署名作成デバイス」は、ソフトウェアコンポーネント、モバイルクライアント、および暗号化キーを管理するためのハードウェアセキュリティモジュール（HSM）の組合せです。

サイバーネティカ社が提供する「SplitKey」という技術を採用しており、「秘密鍵の分散管理」により、「適格な電子署名作成デバイス」の要件となる「電子署名の作成に使用される電子署名作成データ（秘密鍵）は、正当な署名者によって他人による使用から確実に保護できる」を満たすようにしています。

なお、日本でサービスを提供しているblockhive（ブロックハイブ）社の電子契約サービス「e-sign」やデジタル身分証アプリ「xID（クロスID）」は、エストニアのスマートIDとは全く関係がありません。

「e-sign」や「xID」は、エストニアの電子政府における利用実績は無く、eIDAS規則による適格電子署名等の認定を得たものではないことを理解した上で、ご利用ください。
​

（３）エストニアの電子シール

eIDAS規則の適用により、エストニアにおける電子シールは、次の4クラスに分類されます。

1 適格電子シール（QESeal：Qualified Electronic Seal）
2 適格電子証明書付きの高度電子シール（AdESeal/QC：Advanced Electronic Seal with a Qualified Certificate）
3 高度電子シール（AdESeal：Advanced Electronic Seal）
4 その他の電子シール（Other electronic seals）

電子署名と異なり、「適格電子シール」だけでなく、「適格な電子署名作成デバイス」を必要としない「適格電子証明書付きの高度電子シール」も利用されています。Xロードで利用可能な電子シールも、「適格電子証明書付きの高度電子シール」または「適格電子シール」となっています。

電子シールの発行枚数や（特に民間企業における）利用状況等のデータについては、私も把握していないので、ジェアディスの今後の調査対象にしたいと思っています。Xロード以外では、エストニアの官報「Riigi Teataja」でも電子シールが利用されており、 eヘルスの分野では家庭医が利用していると聞いています。

エストニアの電子シールの歴史は古く、すでに2001年のXロードで使用されていましたが、当時は「電子シール」といった名称はありませんでした。その後、2009年の改正デジタル署名法により、法律上の地位を確立しています。

この時の名称が「デジタルシール」だったので、エストニアでは、電子シール（eシール）のことを、「デジタルシール」とか「デジタルスタンプ」と呼んだりします。特に「デジタルスタンプ」は「タイムスタンプ」と間違いやすいので注意しましょう。

日本では、電子シールは、「法人の電子印鑑」といった説明がされます。確かに、その通りなのですが、より重要なのは「自動処理を可能にする」という点です。

eIDAS規則の付録3「電子シールの認定証明書の要件」にも、『少なくとも自動処理に適した形式で（at least in a form suitable for automated processing）』という表現が見られます。

Xロードは、「コンピュータ間で自動処理によりデータを参照しあう仕組み」なので、自動処理を止めてしまう「自然人による電子署名」は、できる限り少ない方が良いのです。

「自動処理を可能にする」ことの重要性については、セコムＩＳ研究所の松本さんが「EUの技術標準 -- デジタル単一市場戦略の中核となるトラスト」の中で、次のように説明されています。

デジタル社会への移行に伴う「技術標準」の要求(要求の変化）
・電子署名指令(1999年）からeIDAS規則(2016年）の決定的な違い??
（過去）人の目視による判断／検証 → ヒューマンリーダブル → 人の判断による曖昧な技術仕様を許容する
（現在）マシンが（構造化されたルール等により）検証・判断 → （署名データが）マシンリーダブル → 曖昧さをなるべく排除したい  → そうした要求のための相互運用性を確保した技術標準の重要性

その他、総務省サイバーセキュリティ統括官室の「組織が発行するデータの信頼性を確保する制度（eシール）の検討の方向性について」も参考になります。


（４）エストニアのタイムスタンプ

eIDAS規則の適用により、エストニアにおけるタイムスタンプは、「適格な電子タイムスタンプ（qualified electronic time stamp）」と、それ以外のタイムスタンプになりますが、実際に利用されているのは「適格な電子タイムスタンプ」だけになります。

エストニアのタイムスタンプには、少し複雑な事情があります。

エストニアでは、2000年のデジタル署名法で、すでにタイムスタンプサービスやタイムスタンプサービスプロバイダーの認定制度などを確立していました。それと同時に、デジタル署名（とその使用のためのシステム）の3要件を次のように定めました（法2条3項）。

1 署名が発行された名前の人物を明確に識別できるようにする。
2 署名の発行時刻を決定できるようにする。
3 署名が付与された後、データまたはその意味を識別不能に変更する可能性を排除する方法で、デジタル署名をデータに関連付ける。

1は否認防止、3は改ざん防止と言えますが、2の「署名の発行時刻を決定」は、2000年当時はあまり一般的なものではありません。

デジタル署名に「署名時刻の情報」が含まれるのであれば、一見すると、「タイムスタンプは不要なのでは？」と思われそうです。しかし、タイムスタンプは「特定の時点での文書の存在を証明する技術的および組織的手段のシステムによって形成されるデータのセット（法23条1項）」なので、「電子署名の無い電子文書の作成・保存」や「電子署名された電子文書の長期保存」といった場面で必要になります。

エストニアのデジタル署名法が、電子署名だけでなく、タイムスタンプも対象にしていたのは、エストニア政府が考える電子政府の基盤にタイムスタンプが必要だったからでしょう。

デジタル署名法を読み解くと、デジタル署名やタイムスタンプの実際の利用を想定した作りこみがされていることがわかります。具体的には、電子署名やタイムスタンプの有効性に争いが起きた時の判断の仕方、成りすましにより電子署名が行われた時の法的効力、電子文書（特に公文書）の長期保存やアーカイブといったことへの配慮です。
​

（５）エストニアの電子識別

eIDAS規則では、第3条の1項において、「電子識別（electronic identification）」を「個人または法人を、または法人を代表する自然人を、一意に表す電子形式の個人識別データを使用するプロセス」と定義しています。

これだけでは、ほとんど意味不明ですが、同条2-5項の「電子識別手段」「個人識別データ」「電子識別スキーム」「認証（authentication）」などの定義を見ることで、「認証用の証明書」（公的個人認証サービスにおける利用者証明用電子証明書）をイメージできると思います。「電子ID」や「デジタルID」を言っても良いでしょう。

エストニア政府が2002年に発行を開始したIDカードには、すでに認証用の証明書が含まれており、電子政府サービスへのログイン等に利用されましたが、デジタル署名法には、電子識別や認証用の証明書についての規定はありませんでした。

認証用の証明書の法的根拠はどこにあるかと言えば、それは「身分証明書法」にあります。認証用の証明書については、1999年に施行された身分証明書法の中に、政府が発行するIDカードへ「デジタル識別（デジタルID）および署名を可能にする情報」を記録するという規定（同法9条5項）が追加されました。


（６）エストニアの認定サービスプロバイダー

2020年6月現在のエストニアにおける認定トラストサービスプロバイダーは、次の2社です。

SK ID Solutions社
・適格電子署名
・適格電子シール
・適格電子タイムスタンプ

GuardTime社
・適格電子タイムスタンプ

SKは、IDカード、モバイルID、スマートIDの3つ全てを発行する機関で、この分野をほぼ独占しています。GuardTime社は、KSIブロックチェーンで有名な企業です。

詳細は、監督官庁であるエストニア国家情報システム局が提供する「信頼済みリスト」、またはEUの「Trusted List Browser」を参照してください。

​（７）エストニアの民事訴訟法における電子署名の取り扱い

エストニアの民事訴訟法では、「文書の信憑性の争い」について、次のような規定があります（法277条3項）。

デジタル署名を備えた電子文書の真正性は、その文書がデジタル署名の保持者によって作成されていなかったと推定できる根拠となる状況を立証することによってのみ争うことができる。これは、作成者と作成時刻を識別できる別の安全な方法により作成された電子文書にも適用される。

ここで言う「デジタル署名」は、「適格電子署名」と考えて良いでしょう。「作成者と作成時刻を識別できる別の安全な方法」とは、例えば「適格電子証明書付きの高度電子署名」＋「タイムスタンプ」の組合せなどが考えられます。

デジタル署名や電子署名に関する判例は、判例データベースで探してみましたが、見つかりませんでした。署名の有効性に関する判例は数多くあるので、流通する電子署名が信頼性の高い「デジタル署名」という事情もあり、電子署名は証拠争いの争点になりにくいのではないかと思います。

機会があれば、エストニアの裁判官や弁護士に確認してみたいと思いますが、エストニアでは、実質的に「紙の文書＋手書き署名」よりも「電子文書＋電子署名（＋タイムスタンプ）」の方が、信頼性が高く争いが起きにくいと言えるかもしれません。

なお、エストニアの刑法では、重要な身分証明書の偽造、偽造された身分証明書の使用や付与だけでなく、「他の人の名前で発行された身分証明書の使用、自分の名前で発行された重要な身分証明書の他人への貸与（法349条）」なども罪に問われます。


（８）日本の電子署名法とエストニアの電子署名法との違い

日本の電子署名法とエストニアの電子署名法は、スタート時期こそ近かったものの、基本的な考え方や対象とする範囲も異なりました。最近では、「国境を超えたデジタル社会への対応」といった点でも、日本の電子署名法は遅れてしまっているように思います。

今振り返ってみても、、1999年のEU電子署名指令は、かなりよくできていて、同指令を踏まえたエストニアのデジタル署名法は、非常に実践的かつ挑戦的なものでした。

最近、日本では、弁護士ドットコム株式会社が提供する「クラウドサイン」が取締役会議事録作成に用いる電子署名としても適法であるとの認定を受けて、法務省の「商業・法人登記のオンライン申請」で、クラウドサインの電子署名済みファイルが、商業登記オンライン申請における「添付書類」として利用可能になりました。

「クラウドサイン」のサービスは、弁護士監修の「電子契約サービス」と説明されていますが、その業務内容を見ると「民間による電子公証サービス（本人確認、文書作成・保管等）」と言えるでしょう。公証事務は、公証人による独占業務ですから、法的根拠の無い「民間による電子公証サービス」に頼らざるを得ない日本の現状は、あまり良いものではないと思います。

タイムスタンプや電子署名が個人や企業に広く普及するエストニアでは、このようなサービスは成立しないでしょう。もちろん、契約書の作成等に弁護士が監修することはありますが、その場合も、電子署名をするのは契約当事者になります。

日本とエストニアの電子署名法に差が生まれた要因として、法慣習の違いはあると思います。日本のように印鑑が利用されていない国では、電子署名の法的効力を考える場合、手書き署名と比較すれば足ります。しかし、日本では、電子署名の効力等を考える際に、手書き署名以外の様々な手段を比較検討する必要があります。

「民間事業者等が行う書面の保存等における情報通信の技術の利用に関する法律（2004年成立）」の第2条7号に次のような定義があります。

署名等：署名、記名、自署、連署、押印その他氏名又は名称を書面に記載することをいう。

こうした「署名等」の利用実態は、民間取引だけでなく、行政手続き等の公的分野においても、数多く見られます。押印だけを見ても、実印、登録印、認印、シャチハタなど様々です。いまだに、「この電子署名は実印か認印か？」といった不毛な議論が話題になっています。

日本の電子署名法では、技術的中立性と共に、日本の実態に合った「署名等」を考慮する必要があり、その結果が第2条のような定義になったのではないかと思います。

EUやエストニアにおける電子署名法には、電子取引を進めるにあたって、「紙文書と手書き署名」という組合せが持つ「曖昧性の排除」への挑戦がありました。

しかし、日本では「紙文書と署名等」という、日本独自の「強度な曖昧性」に向き合うことなく、それを内包する形で電子署名法を作ってしまいました。電子署名法によってもたらされた「電子取引における強度な曖昧性」は、その後のe-文書法や電子帳簿保存法などにも影響を与えています。

eIDAS規則における電子署名の定義は、「電子形式の他のデータに添付または論理的に関連付けられ、署名者が署名に使用する電子形式のデータ」となっています。つまり、電子署名の正体は「電子形式のデータ」なのです。

エストニアのデジタル署名法の定義も同様で、「デジタル署名は、技術的および組織的手段のシステムによって形成され、署名の発行者がドキュメントとの関係を示すために使用する一連のデータ」とされています。

日本の電子署名法では、電子署名の正体は「電子形式のデータ」ではなく、「行われる措置」となっています。この違いは、デジタル社会に対する認識の差なのではないでしょうか。