電子署名の適法性ガイド

OneSpanの見解

ここに記載されている情報はOneSpanが作成したものです。電子署名を導入する際の法令遵守への最良の方法をまとめ、電子署名法が制定されている国の電子署名要件にOneSpan Signがどのように対応しているかについて説明しています。

OneSpanは、世界中で電子署名の普及を促進するために多くの管理団体と積極的に関わってきました。また、ワークショップや大規模の会議への参加など各地域へも積極的に働きかけ、グローバルに電子署名の法規制に対応している組織を支援しています。

電子署名コンプライアンス

オンラインで法的に拘束力のある契約締結が可能になれば、顧客満足度の向上、法令やコンプライアンスの強化、従業員の生産性向上、業務効率の改善など、さまざまなメリットを享受できます。電子署名は、多くの点で手書きの署名よりも優れていることが証明されているものの、電子署名のコンプライアンスに関しては依然として疑問が残されています。

一般的に世界中で認められている電子署名は、次の3種類(SES、AES、QES)です。

 

SES(標準電子署名)

AES(高度電子署名

QES(適格電子署名)

SESは、自然人(タイプされた署名、電子メールの貼り付け署名など)と関連付けられた電子データです。

AESは、固有の署名者に関連付けられた電子署名で、データにリンクされているため署名後のデータへの改ざんが容易に識別できます。

QESは、適格な電子署名作成装置(適格トラストサービスプロバイダーが発行する証明書で担保)にて生成されており、手書きの署名と同様の効力を持ちます。

SESは署名者の本人確認を証明する必要が最も少なく、QESは最も高くなります。QESについては、手書きの署名と同様に法的効力を持つものとみなされます。各国の法令や規制に遵守し、ユースケースや取引の種類によって必要となる電子署名は異なります。

OneSpan Signは、3種類の電子署名すべての必要要件に対応しており、シンプルな社内取引や企業間取引から複雑な消費者向けの取引まで、幅広いビジネスに使用できるようサポートしています。

 

OneSpan Sign:

  • アクションやプロセスを取り込み、その情報を電子署名のデータとして電子署名済ドキュメントの監査証跡に保存します。
  • 電子署名のデータを電子署名済ドキュメントに安全に関連付けるためにデジタル署名を使用しています。関連付けの解除や別の文書へのコピーはできません。
  • 電子署名を識別し署名者に帰属させるために複数認証が実装されています。
  • 署名者がクリックして、または、デバイス上で署名を描くことで署名を取り込みます。どちらの方法でも、通常、署名が表示される位置にあるボタンをクリックすることで有効となり、手書きの署名のように署名者の意図を確実に伝えることができます。

トラストサービスプロバイダー(TSP)

OneSpan Signは、トラストサービスプロバイダー(TSP)とグローバルに連携しており、ID管理サービスはネイティブまたはサードパーティから選択できます。TSPは、電子IDとトラストサービスに関する業務を行い、OneSpan Signを介してAESやQESで電子署名を提供します。当社のTSPパートナーはEU トラストリストに掲載されています。EU加盟国各国で国境を越えた電子署名の認証が可能となります。

当社のグローバルなTSPパートナーは以下の通りです。

Asseco Firmaprofesional aruba it Uanataca logo
TrustPro Itsme logo Swisscom logo  

 

ローカル・リモート環境によるデジタル証明書

デジタル証明書は、トラストサービスプロバイダー(TSP)や認証局(CA)によって発行された電子文書で、デジタル署名の公開鍵が格納されており、個人や組織の名前など鍵に関連するIDが指定されています。デジタル証明書は、その公開鍵が特定の個人や組織のものであることを確認するために使用されます。

OneSpan Signは、世界標準に沿ったローカル・デジタル証明書やサーバー・デジタル証明書を幅広くサポートしています。TSPやCAが発行するX.509 PKI(デジタル証明書とその署名技術)と米国政府機関のCACやPIVスマートカードに保存されているデジタル証明書との相互運用も可能です。詳細な監査証跡がドキュメントに直接埋め込まれた、安全で改ざん防止に優れた電子署名済PDFドキュメントが作成されます。

ローカル環境によるデジタル証明書

  • ローカル環境でドキュメントに電子署名をする方法は次の通りです。
  • ローカルのスマートカードをラップトップ、モバイルデバイス、またはスマートカードリーダーに挿入します。
  • 電子署名が必要なドキュメントを開きます。
  • ドキュメントが表示され、署名の準備ができたら、署名欄をクリックし署名を確認します。
  • リストから適切な証明書を選択します。プロンプトが表示されたら、選択した証明書に関連付けられたPINコードを入力します。PINコードが確認されると、OneSpan Signは署名時のお客様の情報(氏名、日時、IPアドレス、署名時に使用した証明書など)のそのドキュメント固有のハッシュを生成します。

ローカル環境でドキュメントに電子署名する方法の詳細については、このビデオをご覧ください。

リモート環境によるデジタル証明書

当社のTSPパートナーが発行するデジタル証明書によるクラウド上で電子署名する方法は次の通りです。

  • OneSpan Signで電子署名のトランザクションを作成し、署名方法としてTSP選択します。
  • 署名者は、組み込みのソフトウェアやウェブのサービス、または電子メールのリンクを介してドキュメントにアクセスします。
  • 署名者の本人確認が完了すると、署名への同意を求めるメッセージが表示され、OneSpan Signから署名者にOTP(ワンタイムパスワード)が送信されます。
  • 署名が完了されると、OneSpan Signは署名者の署名時の情報(氏名、日付、時刻、IPアドレス、署名に使用した証明書など)のハッシュと、そのドキュメントに特有なハッシュを生成します。

ここでは、OneSpan Signにおける既知の署名者(クレデンシャルを既に発行している既存の顧客など)と未知の署名者(本人確認がされていない、クレデンシャルを発行していない新規申請者)の両方に対するワークフローの例をご紹介します。

Signing-Process-JP

適切なタイムスタンプ

電子署名済ドキュメントには、署名者のデジタル証明書(ローカル署名証明書またはサーバー署名証明書など)、タイムスタンプ、および署名者の情報(電子メールアドレスやIPアドレスなど)の詳細情報が記載されています。ほとんどの電子署名には署名時の日付や時間を示す標準的なタイムスタンプが適用されますが、ハイリスクや高額なトランザクションなどの際には、信頼できる第三者が案件ごとに生成したタイムスタンプである「適格なタイムスタンプ」の利用を希望される企業や組織もあります。

OneSpan Signでは、適格なタイムスタンプのサーバーに接続することで、タイムスタンプをサポートしています。電子署名データと信頼できるタイムスタンプを関連付け特定のトランザクションがいつ行われたかを独立して証明することから、電子署名の完全性をさらに強化することができます。

本人保証

I本人保証とは、ある個人が主張する本人性の確実性(または確信の度合い)を判定するものです。「電子署名のトランザクションで本人性をどうやって確認するのか?」 という疑問に答えています。本人保証には色々なレベルがあることで、企業や政府機関はリスクレベルに応じたトランザクションを行うことができます。つまり、あるサービスではリスクのレベルは低く(LoA1、保証レベル1)、あるサービスではリスクのレベルが高くなります(LoA4、保証レベル4)。

米国国立標準技術研究所(NIST) は、本人保証の各レベルの要件を満たすためのガイダンスを決定する枠組みを確立しました。詳細については、NIST のデジタルIDのガイドラインを参照してください。

電子署名のトランザクションを利用する際には、署名者をどのように確認するかが重要となります。OneSpan Signは、署名者の本人確認するために、企業にとって既知か未知かに関わらず、さまざまな本人確認や認証方法を提供しています。また、OneSpan Signでは、お客様のユースケースに合わせた最適なモデルをご提案しています。

次のようなオプションがあります。

  • OneSpan Signには、署名者が政府機関で発行されたIDの真正性を自動的に確認することができるID認証機能があります。また、顔認証や生体検知を組み合わせることで、署名者が本人であることを高い確度で証明できます。本人確認の際に必要なドキュメントの種類を国別に示したマップがありますのでご覧ください。
  • ローカル・リモート環境で署名された証明書(上記参照)
  • SMSワンタイムパスコード
  • 共有秘密鍵(Q&A)
  • 知識ベース認証(KBA)
  • 米国政府機関のCAS・PIVスマートカード
  • 署名者の添付ファイル:署名者は確認のために署名をする前に公的な身分証明書(運転免許証やパスポートなど)をアップロードする必要があります。
  • OneSpan Sign API は、カスタムID認証の統合を可能にします。

保持および有効性

OneSpan Signでは、電子署名のトランザクションすべての参加者が電子署名済PDFドキュメントをダウンロードできます。企業は電子署名済レコードをOneSpan Signに保存する必要はありません。危殆化せず、追加のプログラムの必要もなく、電子メール、ストレージ、アーカイブシステム(SharePoint、eOriginal、CDC Arkhineo、Box、Laserficheなど)を介して安全に移動することができます。電子署名済ドキュメントは、選択した記録システムにインデックスを付け、保存し、再び取り出すことができます。お客様は電子署名のトランザクションを削除するオプションなど、アカウント保持ポリシーを設定でき、それにより電子署名済レコードを長期的なレコード保持ポリシーに沿って管理するために必要な柔軟性が提供されています。

電子署名済PDFキュメンの有効性は、電子署名ごとにドキュメントにデジタル署名を付与することで保証されます。デジタル署名は、ドキュメントファイルに保存されているデータの完全性を保証する暗号化技術の一種で、ドキュメントのデータに変更が加えられると電子署名は無効になります。電子署名とデジタル署名のデータはPDFファイルとして保存されるため、いつでもどこからでもドキュメントの正確性を検証できます。 

OneSpan Signでは、ドキュメントの整合性を検証するためにワンクリックで署名やドキュメントの検証を行うことができます。検証作業が煩雑だと、参加者は適切な検証を行わずにドキュメントや署名が有効だと誤って判断してしまう可能性があります。OneSpan Signで電子署名したドキュメントを検証する際、参加者が署名欄をクリックすると監査証跡ファイルが開かれ、署名者の認証と文書の有効性の両方が自動的に検証されます。OneSpan Signで署名したドキュメントが何らかの方法で変更または改ざんされた場合、基盤となるデジタル署名技術がそれを検知し、PDFリーダーではそのドキュメントを無効とし、電子署名済PDFドキュメントには、そのドキュメントが信頼できないことを示す赤い「X」が表示されます。すべての電子署名のトランザクションには、詳細な監査証跡が付与されます。

OneSpan eSignature

ワンクリックでの操作は顧客体験を簡素化し、電子署名を行うことに対する信頼性を高め、エラーや不正行為が検出されるという安心感をもたらします。

監査証跡

電子署名の監査証跡とは、ドキュメントがいつ送信されたか、開かれたか、署名されたか、および署名者の氏名、電子メールアドレス、IPアドレス、署名者固有の署名IDを識別するデジタル記録です。監査証跡は、その電子署名が署名者のものであることを証明するための電子記録の認証に非常に有効であることが証明されています。

監査証跡は次のような質問に答えてくれます。

  • 署名者は必要とされる本人確認や認証の審査に受かったか?
  • 署名者は必要な情報開示を受けたか?
  • 署名者は意図を適切に示せるようドキュメントの必要な箇所すべてに署名したか?
  • プロセスの各段階で正しい手順が行われたか?

OneSpan Signでは、電子署名のアクション(何に、いつ、どこで署名したか)や署名者をどのように特定したかを証明する本人確認や認証イベントを取り込みながら、プロセス全体の単一の監査証跡を提供します。監査証跡は、電子署名済ドキュメントに埋め込まれており、詳細はEvidence Summary Reportに記載されます。Evidence Summary Reportは、いつでもダウンロードし閲覧できます。Evidence Summary Reportはすべてのトランザクション参加者が利用でき、個別でダウンロードすることも完了したトランザクションの一環として利用することもできます。

データレジデンシー(データの保存場所)

クラウドの採用が成長し続けているため、データが保護され、組織のローカルデータ常駐およびデータ保護法に準拠していることを確認する必要があります。銀行、保険、政府、医療などの規制に基づくコンプライアンス主導の業界では、トランザクションデータが存在する場所の透明性と制御が必要になることがよくあります。

現在、OneSpanは4つの電子署名サービスのインスタンスを維持しています。米国、カナダ、EU(アイルランド、ドイツ)、オーストラリアの各国で1つずつです。OneSpanがお客様のアカウントをプロビジョニングする際、お客様は希望する地域を選択することができます。これにより、電子署名済ドキュメントがどこで処理・保管されるかが決まります。

テクノロジーパートナーのグローバルデータセンターネットワーク(アマゾンウェブサービス、IBM Cloud、 Microsoft Azure)を活用し、OneSpan SignではSaaSとプライベートクラウドの両方のデプロイ方法があります。OneSpan Signのデータレジデンシー要件を満たす能力は、当社が統合しているサードパーティアプリケーションにも及びます。例えば、OneSpan Sign for Salesforceは、OneSpan Signのグローバルなインスタンスに柔軟に接続することができます。

また、OneSpan Signは、2016年にFedRAMP(米国政府機関におけるクラウドセキュリティ認証制度)に基づいた運用上のセキュリティ基準を満たしているとする認定のATO(Authorized to Operate)を受けた最初の電子署名ソリューションとなり、電子署名の導入を検討していた米国政府機関は、マイクロソフトが世界に誇るクラウドインフラストラクチャであるAzureをホストとする、FedRAMPに準拠した安全なクラウドを利用できるようになりました。

世界中のお客様のセキュリティ管理やコンプライアンス要件を満たし、超えるべく当社が実施している対策の詳細については、OneSpan Sign Trust Centerをご覧ください。

OneSpan Signは、企業のファイアウォールを利用したオンプレミスのデプロイや管理が可能です。最大限のコントロールを実現します。

電子署名を始めましょう

電子署名がどのようなものかクイックデモをお試しください。