狠狠撸

狠狠撸Share a Scribd company logo

サルオフ#1 リモート署名は電子署名法の夢を見るか

?
?
OsSAL
OsSAL

主流になりつつあるリモート署名を中心に认証も含めた法的な観点で弁护士の宫内先生による発表资料です。

1 of 10
Download to read offline
リモート署名は 電子署名法の夢を見るか? 2019年6月19日 宮内?水町IT法律事務所 弁護士 宮内 宏 サルオフ#1 “署名ブタ野郎は認証先輩の夢を見ない” Do Remote Signatures Dream of the Electronic Signature Law ?
概要 ■民事訴訟での証拠力 ●真正な成立と,その推定 ■電子署名(ローカル署名の場合) ●本人による電子署名(本人性は電子証明書で証明) ■認証+DB管理の場合 ●登録時,ログイン時の本人確認とその記録 ●DB管理の正当性の証明 ■リモート署名の場合 ●認証の正当性,リモート署名サーバの正当性 ●電子署名はどう役立つ? ●リモート署名サーバの正当性があらかじめ認められて いれば,署名検証だけでよい。 2019/6/19 宮内?水町IT法律事務所 2
民事訴訟での証拠力 ■民事訴訟で,書証(電子文書を含む)が証拠力を 持つためには,「真正な成立」(文書の名義人が, 実際にその文書を作成したこと)を証明する必要が ある(民事訴訟法228条1項)。 ■推定規定: 以下の条件が満たされれば,真正な 成立が推定される。 ●紙文書については,本人又は代理人の署名又は押印 があるとき(民事訴訟法228条4項) ●電子文書については,本人による電子署名(他人に偽 造できない等の制限あり)があるとき(電子署名法3条) ■推定規定によらずに,他の方法で真正な成立を 証明してもよい。 2019/6/19 宮内?水町IT法律事務所 3
カード リーダ IC カード 利用者側で管理する コンピュータで署名を生成 署名生成 AP 利用者の 秘密鍵 ローカル署名 ■従来型の(本来の)署名方式 ■リモート署名と対比して「ローカル署名」と呼ばれる。 ■利用者が秘密鍵を管理するのは大変だし,安全性に も疑問がある。 2019/6/19 宮内?水町IT法律事務所 4
電子署名(ローカル署名)の場合 ■本人による電子署名 ●本人の電子署名であることは,電子証明書で証明(発行機 関により,信頼性は異なる) ●本人「による」は,印鑑に関する最高裁判例(最判S39?5?12。 本人の印鑑による印影があれば,本人による押印を推定す る)の類推適用が可能ではないか,と考えられている。カー ドやパスワードは,印鑑と同様に,本人がきちんと管理する はずなので,類推できそうである。 ■電子署名(これを……に限る)は,電子証明書にもとづ くデジタル署名なら問題はない。 2019/6/19 宮内?水町IT法律事務所 5 電子署名法3条 電磁的記録であって情報を表すために作成されたもの(公務員が職務上作成したもの を除く。)は、当該電磁的記録に記録された情報について本人による電子署名(これを 行うために必要な符号及び物件を適正に管理することにより、本人だけが行うことがで きることとなるものに限る。)が行われているときは、真正に成立したものと推定する
認証+DB管理における証明 ■システムにより作成者情報が管理されており,システ ム管理者等の証言により,真正な成立を証明する。 ●ログイン時の本人確認,システム運営の正当性などを,証 言又は文書で示す。 ●登録時の本人確認の資料により,本人性を確保 2019/6/19 宮内?水町IT法律事務所 6 ファイルアップロード ログイン 利用者PC サーバ (電子契約サービス等) インターネット ログイン時の 本人認証 ファイル登録 指示の確認 文書 DB ログ
リモート署名のモデル ■ログインの認証 → サーバが保管している秘密鍵で署名生成 2019/6/19 宮内?水町IT法律事務所 7 署名生成指示 ログイン 利用者PC サーバ (電子契約サービス等) インターネット 秘密情報保持装置 (HSMなど) ログイン時の 本人認証 署名生成指 示の確認 署名生成 利用者の秘密鍵を 保管 署名済み文書
リモート署名における真正な成立の証明 ■本人による電子署名(→電子署名法3条による推定) ●本人の電子署名であることは,電子証明書で証明(発行機 関により,信頼性は異なる)。これはローカル署名と同じ。 ●本人「による」は,少し怪しい。明らかにサーバで署名生成し ているのだから。 ●「本人によるものと同視できる」と言えればよさそう。そのた めには,以下が必要。 ?ログイン時の本人確認,システム運営の正当性などを,証言又は 文書で示す。 ?登録時の本人確認の資料により,本人性を確保 ■赤字部分は,認証+DB管理と同じ。 ■だったら,リモート署名は必要なのか? ●電子署名法3条なんて,使わないんじゃないの? ●リモート署名は,電子署名法の夢を見ないのでは? 2019/6/19 宮内?水町IT法律事務所 8
電子署名法の夢を見ようよ ■リモート署名サーバが,(わざわざ証明しなくても) 信頼できるものと認められていれば,ローカル署 名と同じように,電子署名+電子証明書で,電子 証明法3条の要件を満たすといえそう。 ■そうすると,リモート署名サーバが信頼できるとい えるための制度が望まれる。たとえば,公的機関 や業界団体による認定制度が考えられる。 ※ DB+認証 についてもサーバの電子署名をつけ ることにより,そのサーバが処理した文書であると 示すことが考えられる。このような方式についても 認定制度を検討可能。 2019/6/19 宮内?水町IT法律事務所 9
まとめ ■PKIベースのデジタル署名をローカル署名でつけ ていれば,真正な成立の推定を受けられる(電子 証明書発行時の本人確認は必要) ■認証+DB管理,リモート署名については,サーバ の運営の正当性を証明する必要がある。 ■サーバの運営について,認定制度等があれば, 運営の正当性証明は省ける ●リモート署名は,ローカル署名と同様に扱える ●認証+DBは,当該電子文書の成立についてのサーバ 発行の証明書が必要。なお,このような証明文を電子 ファイルにつけてサーバの署名をつける方法も考えら れる。 2019/6/19 宮内?水町IT法律事務所 10

More Related Content

サルオフ#1 リモート署名は電子署名法の夢を見るか