HiÐΞClassic

Web3電子署名の法的有効性に関する考察

Heguim
2 years ago
1.電子署名法の概要2.Web2の電子署名サービスの法的整理3.EthSignの仕組みと法的該当性EthSignの仕組みEthSignの「電子署名」該当性と推定効の成否4. 最後に

 

Web3初の電子署名サービスEthSignが資金調達を受けました。

https://www.neweconomy.jp/posts/200634

昨今Web2の電子署名サービスは多々ありますが、Web3の電子署名サービスになると何が変わるんでしょうか?日本での法的有効性を検討してみたいと思います。

1.電子署名法の概要

そもそも契約書の署名押印は、契約当事者において契約書通りの意思表示が行われたことを示すためになされるもので、署名押印がないからといって契約は無効になりません。あくまでトラブル防止目的になされるものです。実際に署名押印が重要になるのは裁判の時です。
裁判上では、当事者による署名押印の存在により、契約書通りの意思表示がなされたものと推定されます(民事訴訟法228条4項)。

正確にいうと、契約書は処分証書に該当し、当事者所有の印章と契約書内の印影が一致すると、当事者による押印であることが事実上推定され、契約書全体について当事者の意思が及んでいることが推定される結果、契約書の真正が推定されるため、当事者により契約書通りの意思表示がなされたものと推定できることとなります。
詳しくは、「二段の推定」と検索してみてください。

上記民事訴訟法上の規定は紙の契約書を想定しているため、電子署名の場合には必ずしも民事訴訟法の規定をそのまま適用することはできません。そこで、電子署名の場合にも契約書通りの意思表示がなされたと推定されるように規定されているのが電子署名法です。

電子署名法上重要になるのは「電子署名」の定義と、どのような場合に契約書が真正と推定されるかです。これらについて規定しているものが以下の条文になります。

第二条 この法律において「電子署名」とは、電磁的記録(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式で作られる記録であって、電子計算機による情報処理の用に供されるものをいう。以下同じ。)に記録することができる情報について行われる措置であって、次の要件のいずれにも該当するものをいう。
 当該情報が当該措置を行った者の作成に係るものであることを示すためのものであること。
 当該情報について改変が行われていないかどうかを確認することができるものであること。
第三条 電磁的記録であって情報を表すために作成されたもの(公務員が職務上作成したものを除く。)は、当該電磁的記録に記録された情報について本人による電子署名(これを行うために必要な符号及び物件を適正に管理することにより、本人だけが行うことができることとなるものに限る。)が行われているときは、真正に成立したものと推定する。

2条により電子署名の定義が定められており、その要件として、

①電磁的記録に記録することができる情報について行われる措置であること。
②当該情報が当該措置を行った者の作成に係るものであることを示すためのものであること。
③当該情報について改変が行われていないかどうかを確認することができるものであること。

が必要になります。

また、3条の電子契約の真正については、その要件として、

①電子文書に電子署名法第3条に規定する電子署名(2条の要件+「これ(電子署名)を行うために必要な符号及び物件を適正に管理することにより、本人だけが行うことができることとなるもの(いわゆる固有性の要件)」)が付されていること。
②上記電子署名が本人(電子文書の作成名義人)の意思に基づき行われたものであること。
  

が必要となります。

各要件の詳細内容については次の項目で深掘りたいと思います。

2.Web2の電子署名サービスの法的整理

すでにWeb2の電子署名サービスは、数多くあり、国内でもかなり普及してきました。
事業会社や著名な先生方のおかげで法的整理も進んでいます。
現在多く利用されているのが、事業者署名・指図型です。当人で署名鍵を作成、保管する必要がなく、認証局による電子証明書の取得も不要であるため、迅速・簡便に電子署名できます。

下記表は電子署名の方式ごとの技術・法的整理について、「電子契約のサービスの動向と概論」より引用しました。
非常に分かりやすくまとめられています。

事業者署名・指図型の「電子署名」に該当性について、経産省のQ&Aでは、

利用者が作成した電子文書について、サービス提供事業者自身の署名鍵により暗号化を行うこと等によって当該文書の成立の真正性及びその後の非改変性を担保しようとするサービスであっても、技術的・機能的に見て、サービス提供事業者の意思が介在する余地がなく、利用者の意思のみに基づいて機械的に暗号化されたものであることが担保されていると認められる場合であれば、『当該措置を行った者』はサービス提供事業者ではなく、その利用者であると評価し得るものと考えられる。そして、上記サービスにおいて、例えば、サービス提供事業者に対して電子文書の送信を行った利用者やその日時等の情報を付随情報として確認することができるものになっているなど、当該電子文書に付された当該情報を含めての全体を1 つの措置と捉え直すことよって、電子文書について行われた当該措置が利用者の意思に基づいていることが明らかになる場合には、これらを全体として1 つの措置と捉え直すことにより、『当該措置を行った者(=当該利用者)の作成に係るものであることを示すためのものであること』という要件(電子署名法第2条第1項第1号)を満たすことになるものと考えられる。

として、暗号化のプロセスで事業者の意思を介在させないことがポイントとなっています。

また、3条の推定効の適用該当性については、固有性の要件が特に問題となるところ、

十分な水準の固有性を満たしていると認められるためには、①利用者とサービス提供事業者の間で行われるプロセス及び②①における利用者の行為を受けてサービス提供事業者内部で行われるプロセスのいずれにおいても十分な水準の固有性が満たされている必要があると考えられる。
①及び②のプロセスにおいて十分な水準の固有性を満たしているかについては、システムやサービス全体のセキュリティを評価して判断されることになると考えられるが、例えば、①のプロセスについては、利用者が2要素による認証を受けなければ措置を行うことができない仕組みが備わっているような場合には、十分な水準の固有性が満たされていると認められ得ると考えられる。
②のプロセスについては、サービス提供事業者が当該事業者自身の署名鍵により暗号化等を行う措置について、に照らし、電子文書が利用者の作成に係るものであることを示すための措置として十分な水準の固有性が満たされていると評価できるものである場合には、固有性の要件を満たすものと考えられる。

として、固有性の要件を掲げています。ここでいう固有性とは、当事者である本人しか署名できないシステム、フローになっていたかを意味するもので、契約締結に至るまでのフローをユーザ・事業者間と事業者内部の2段階に分類し、各段階において固有性の要件を満たすことが求められています。

そのほか、3条の推定効の適用には「②上記電子署名が本人(電子文書の作成名義人)の意思に基づき行われたもの」であることが必要なところ、要件充足のためには本人の身元確認が必要なのではないかが問題となっていました。


この点、経産省のQ&Aでは、

電子契約サービスの利用者と電子文書の作成名義人の同一性が確認される(いわゆる利用者の身元確認がなされる)ことが重要な要素になる

として、例示列挙するにとどまり身元確認を必須とはしていないように読めます。論文等でも身元確認は必須要件ではないと解する人が多いですが、この点について裁判例で判断を示したものはなく、議論に決着はついていません。
仮に身元確認を不要と解する場合でも、身元確認と同等程度に、本人の意思に基づいて電子署名がなされたことが客観的に担保されるような仕組みを構築する必要があります。

 

3.EthSignの仕組みと法的該当性

前置きがかなり長くなりました。いよいよ本題なのですが、Web3の電子署名であるEthSignは電子署名法上の2条の「電子署名」に該当し、3条の推定効を受けることができるのでしょうか。

EthSignの仕組み

公式サイトによれば仕組みは以下の通りのようです(英文をDeepLで訳しつつ書いてるので誤訳があったら申し訳ないです)。

  • 自分のWalletと連携する
  • 契約書をアップロードする
  • 契約当事者のEthereum address 又は ENS aliasをCo-Signersとして追加して招待を送る。
  • 当事者は契約書を修正、再UPすることが可能であり、修正履歴の確認も可能。
  • 契約チェックが終了した場合、ボタンクリックによりサインできる。
  • EthSign上では、ユーザーは文書の保存コンテンツID、オーバーレイされた注釈のID、および文書の署名フィールドのインデックスを結合したハッシュに署名することになるため、この3つが一致しない場合、アルゴリズムがエラーを検出し、署名者以外には電子署名が送信されないようになっている。そのため、サイン(電子署名)は電子記録(= 署名された文書)に論理的に紐づけられることとなる。
  • 電子記録はIPFS と Arweave により永久的に保存される。
  • EthSignは、eIDASの下で高度な電子署名(AES)の要件に準拠している。EthSign上では、署名者が一意に識別されるほか、後のデータ変更を検出できる方法で署名されたデータと署名自体がリンクされる。
  • 各当事者は他の当事者のサイン状況を確認可能。

技術面に関しては知識がないので深入りせず、上記の仕組みを前提に法的該当性について検討してみたいと思います。

EthSignの「電子署名」該当性と推定効の成否

まず、「電子署名」該当性について、

①電磁的記録に記録することができる情報について行われる措置であること。

電磁記録としての契約書に電子署名することとなるので、問題なく要件①を満たすと思われます。

②当該情報が当該措置を行った者の作成に係るものであることを示すためのものであること。

電子署名をした当事者の addressが表示される仕組みとなっているので、契約当事者が作成したことを示す仕様となっています。また、電子署名はコントラクトに則って実行され、その過程で第三者の意思が介在されることはないと考えられます。したがって、要件②も満たすと思われます。

③当該情報について改変が行われていないかどうかを確認することができるものであること。

文書の保存コンテンツID、オーバーレイされた注釈のID、および文書の署名フィールドのインデックスを結合したハッシュに署名することとなるので、電子署名後の改竄は事実上不可能ですし、修正履歴も確認可能であることから、要件③も満たすと思われます。。

以上から、EthSignのサインは「電子署名」に該当すると考えられます。

 

では、EthSignにより3条の推定効は発生するでしょうか。

①電子文書に電子署名法第3条に規定する電子署名(2条の要件+「これ(電子署名)を行うために必要な符号及び物件を適正に管理することにより、本人だけが行うことができることとなるもの(いわゆる固有性の要件)」)が付されていること。

2条の要件は満たすので問題になるのは固有性の論点です。固有性の要件は2段階(ユーザ・事業者間、事業者内部)に分けて検討することとされているので、それぞれ検討してみたいと思います。

ユーザ・事業者間

ユーザはメタマスク等のウォレットを接続する形でEthSignにログインするため、各ウォレットのセキュリティに依存する形となります。ウォレットへのアクセスや他のサービスとの接続が自動ログインにより行われる場合、Web2サービスへのアクセスに2要素認証を求めていたこととの平仄からすると、固有性の要件を満たさないこととなるように思われます。

事業者内部

事業者内部の固有性に関しては、経産省のQ&Aでは、「暗号の強度や利用者毎の個別性を担保する仕組み(例えばシステム処理が当該利用者に紐付いて適切に行われること)等」と記載があります。
署名自体は各アドレスに紐づいてコントラクトに基づいて処理されることとなるので「システム処理が当該利用者に紐づいて」いると言えると思われます。
また、暗号の強度に関しては、どの程度かQ&Aには記載がないのですが、この点について、酒井氏は公開鍵方式を前提として、「公開鍵から秘密鍵を解読することができない程度」と説明しており、この説明を前提とすると、EthSign内部での固有性の要件は満たされるように思います。

 

②上記電子署名が本人(電子文書の作成名義人)の意思に基づき行われたものであること。

当該要件では、身元確認を列挙事由に挙げていましたが、身元確認の要件について、EthSignではこのように見解を述べています。(DeepLで訳しながら書いているので誤訳があれば申し訳ないです。)

分散型署名プラットフォームであるEthSignは、署名者の身元確認や証明書の発行を行うサードパーティのトラストサービスプロバイダや政府機関と協働していません。これは、当社の電子署名がEUのeIDASフレームワークの適格電子署名(QES)または他の管轄区域のQES相当として認定されないことを意味します。

しかし、EthSignは、eIDASの下で高度な電子署名(AES)の要件に準拠しています。電子署名がAESとして認定されるためには、eIDASは署名者を一意に識別し、署名がその後のデータ変更を検出できる方法で署名されたデータにリンクされることを要求しています。

ここでの法律用語は技術的に中立な方法で定式化されているため、必ずしも政府発行の証明書による身元確認を必要としません。世界がWeb 3.0段階に移行しているため、電子メール、電話番号、さらには公開鍵や秘密鍵など、あらゆる形態のオンラインIDを使用して本人確認を行うことができます。したがって、EthSignは、名前、フェイスID、政府発行IDなどの重要なユーザー情報を収集または保存せずに本人確認要件を満たすことができるのです。

この点がWeb3における電子署名サービスの大きな特徴だと思っています。
従来のWeb2のサービスであれば、法律に基づいて認証を受けた機関や政府が発行した電子証明書で身元確認を行っていました。
これは、現実世界の法人格に信頼が生じており、その信頼を付与する主体が国家等の公正性が担保された機関であると考えられていたためです。


しかし、Web3での契約取引においては、必ずしも現実世界の法人格に信頼が生じるわけではありません。接続されたウォレットのアドレスが所持しているNFTやこれまでのオンチェーン上での活動に信頼が生じるようになるはずです。
その過程で、政府や公的機関がmintするNFTを所持していることが重要になる場面(つまり、現実世界での活動をオンチェーンで証明する手段としてのNFT)もあるかと思われますが、Web3の普及次第でその重要性は低下していくように思われます。

このように考えるとウォレットは単なるトークンの管理ではなく、自己のIdentityを示す重要なツールとなり、電子署名サービスがウォレットと接続することで、身元確認と同等の信頼性を担保することが可能となると思われます。現段階では、EthSignが、「②上記電子署名が本人(電子文書の作成名義人)の意思に基づき行われたものであること。」をシステムとして担保できているとは言い切れないですが、今後のウォレットをはじめとしたIdenityサービスの向上により、この要件を充足することも十分あり得るように思います。

なお、上記のようなWeb3でのIdentityに関する問題とWalletの考えについては、「Off Topic #106 Web3のアイデンティティについて考えみる(原文ママ)」のポッドキャストがかなり詳しく説明してくれています。Off Topicの解説でもあるように、「Wallet 2.0」の考えはWeb3での取引が普及していくためには必須だと思うので、今後の動向は要チェックです。

また、最近だとENS間の繋がりとオンチェーン活動を可視化する φ(phi)というサービスもできましたが、こちらもweb3のIdentityになりうるものとして大変興味深いサービスです。

https://philand.xyz/

 

4. 最後に

今回はWeb3の電子署名サービスの法的有効性について考えてみました。
電子署名の有効性が明確になると、今度は契約の自動執行が可能となり、まさにCode is Lawの世界になります。EthSignも、EthSign Smart Agreements (ESA) というサービスを提供する予定です。契約の自動執行が可能になると、投資契約でのトークンの付与やトークン機能の転換(優先株→普通株みたいなイメージです)が、取引所のトークン価格や発行枚数等を条件にして自動的に執行されるようになります。ESAではエスクローの自動執行を掲げていますが、事業者からすればエスクローに伴う手数料をカットできるので非常に魅力的だと思います。

なお、今回検討した電子署名法3条の適用については、あくまで契約の有効を推認するものであるため、紛争となった際には、有効性について相手方から反証が出た場合には契約の有効性に争いが生じることとなります。この点は、Web2でも同じですので、今回は記載を省略しました。

 

以上になります。誤り等あれば指摘してもらえると喜びます!
お読みいただきありがとうございました!

*参考文献

電子署名法3条に関するQ&A
電子署名法2条1項に関するQ&A
「電子契約サービスの動向と概論」
加藤新太郎「電子契約実務の論点研究」
酒井英夫「電子署名及び認証業務に関する法律」
「電子署名法第3条Q&A」の読み方とポイント—固有性要件と身元確認・2要素認証の要否
EthSign (Legaglity)
EthSign(Getting Started with EthSign)
EthSign(How to use EthSign on iOS/Android)

 

コメント
いいね
投げ銭
最新順
人気順
Heguim
2 years ago
1.電子署名法の概要2.Web2の電子署名サービスの法的整理3.EthSignの仕組みと法的該当性EthSignの仕組みEthSignの「電子署名」該当性と推定効の成否4. 最後に
コメント
いいね
投げ銭
最新順
人気順
トピック
アプリ

Astar Network

DFINITY / ICP

NFT

DAO

DeFi

L2

メタバース

BCG

仮想通貨 / クリプト

ブロックチェーン別

プロジェクト

目次
Tweet
ログイン