eIDAS規制

欧州におけるeIDAS規制と電子署名の合法性の紹介

eIDAS規制とは何ですか?

EUでは2016年7月1日に「Electronic Identification, Authentication and Trust Services」の規制が施行されました。 電子署名や取引に関する規制を標準化するために作られたものです。 法律的には、EU規則No.910/2014として知られています。

eIDASは、電子署名に関する1999年の指令に代わるものです。 eIDASは、電子署名や取引に関連して、矛盾を是正し、躊躇を減らし、国内市場の信頼を築くために設計されました。 その目的は、電子署名が施された電子文書が、EUのすべての加盟国で認識され、受け入れられるようにすることでした。

eIDAS規制は何を対象としていますか?

1999年の電子署名指令と比較して、eIDASはより幅広い内容となっています。 eIDAS規則は、電子署名に加えて、電子的な識別、配送、アーカイブサービス、ウェブサイトの認証なども対象としています。

eIDASは、電子証明書や信託サービスに関する標準的な規制を定めたものです。

電子証明書

電子証明書の章の範囲内で、eIDASは、電子証明書がすべてのEU加盟国で認められるようにするためのガイダンスを提供しています。

信託サービス

1999年の電子署名指令は、主に電子署名とその証明書に焦点を当てていた。

eIDAS規則にはトラストサービスの章があり、認証や署名のためのトラストサービスに関連して、以下のような標準化が進められています。

  • 電子署名
  • 電子署名用証明書
  • 電子シール
  • タイムスタンプ
  • ウェブサイトの認証
  • 電子書留配信サービス

適格な信託サービスプロバイダーは、加盟国が定めた要件を満たし、標準的なEUトラストマークで識別できなければなりません。

eIDAS規制のメリットは何ですか?

電子署名に関する指令では、EU全体で統一性が取れていませんでした。 それぞれの国が独自の解釈をしていた。 そのため、要求されるセキュリティや認証のレベルには大きなばらつきがありました。

eIDASは、企業や市民にメリットのあるガイドラインを、以下のような形で提示しています。

  • オンライン・電子取引に対する信頼性の向上
  • 全加盟国での電子証明書の承認
  • クロスボーダー取引の迅速化と合理化の実現
  • EUで統一された電子署名規制

eIDASの影響を受けるのは誰ですか?

EUで電子署名を用いた電子取引を行う者は、eIDAS規制の対象となる。 これにより、企業や消費者は物理的にその場にいなくても取引を行うことができます。

電子取引を行う消費者は規制に注意する必要がありますが、コンプライアンスの負担は一般的に信託サービスプロバイダーにかかっています。

A series of rectangles floating in the air, connected by a thin line some of which have checkmarks on them. Closest to the viewer is a rectangle with the symbol of a monochrome white hammer and gavel

eSignature Legality Guide

Learn the facts about electronic signature laws and local regulations that govern digital identities and digital certificates for e-signatures among EU member states and around the world.

Read More


eIDAS規制では何が電子署名とみなされるのですか?

eIDASの電子署名には、他の電子データに添付された、または論理的に関連付けられた電子データで、署名者が署名のために使用したものが含まれます。 eIDASで電子署名を認定する際に、特定の種類の技術を使用する必要はありません。

eIDASでは、識別情報の保証レベルを「低」「相当」「高」の3段階に分けています。 同様に、eIDASでは電子署名を3つのカテゴリーに分類しています。

  1. 電子署名
  2. 高度な電子署名
  3. 適格な電子署名

これらはすべて電子署名として有効ですが、署名の種類によって、その署名が本物であることを証明するために必要な証拠の数が変わってきます。

ここでは、3種類のサインの主な違いをご紹介します。

電子署名の種類

電子署名は、まず第一に、法的な概念です。 一般的には、署名者の意図を永続的に記録することです。 デジタル署名は、電子署名とは異なります。 デジタル署名とは、e-ビジネスや電子商取引のアプリケーションで使用される暗号化技術のことで、e-signアプリケーションもその一つです。  

電子署名は、基本的な電子署名または単純な電子署名とみなされます。 それは、タイプされた名前であったり、手書きのサインのコピーであったりします。 この種の署名は偽造される可能性があるため、裁判所は署名が真正であることを証明するために、より多くの追加証拠を要求することがあります。


基本的または簡単な電子署名

基本的な電子署名は、技術的に中立です。 つまり、出来上がった電子署名が署名のための3つの基本的な要件を満たしていれば、どんな電子的な形式やプロセスも一般的に受け入れられます。 電子署名の要件は、署名が次のとおりです。

  • 署名に関連する人が使用する
  • 署名者の意図を示す方法で使用される
  • 署名者が署名しようとした文書やデータに関連するもの

アドバンスト・エレクトロニック・シグネチャー(AES)

高度な電子署名は、基本的な電子署名を超えて、認証を署名と文書に結びつけるものです。 これにより、署名の真正性を検証するための追加の証拠を提供することで、商取引におけるリスクを軽減することができます。偽造がより困難であり、署名の意図と真正性を証明するために裁判所が必要とする証拠も少なくて済みます。

高度な電子署名は、単純な電子署名に必要な要件に加えて、以下の点が求められます。

  • 署名を使用する人に一意にリンクされる
  • 署名者の識別が可能であること
  • 署名者が単独で管理していると確信できる方法で作成されていること
  • ドキュメントにリンクされているため、その後の変更が識別可能であること

多くの企業や銀行が電子署名を利用する際、標準的な電子署名としてAdvanced Electronic Signatureを選択しています。 認証保証を内蔵することで、お客様の体験に影響を与えることなく、セキュリティを向上させることができます。

適格な電子署名(QES)について

適格な電子署名」という言葉は、eIDASの規定に基づいていますが、認定機関が発行する証明書を必要とする世界の多くの法律と同様です。

OneSpanの適格電子署名は、他のすべての標準要件に加えて、個人の電子証明書も必要とする高度な電子署名です。 電子証明書は、安全で個人的かつ固有の電子IDクレデンシャルであり、署名者が管理できる形で発行されなければならない。

適格な電子署名は、電子署名と高度な電子署名の両方の要件に加えて、以下の点が求められます。

  • 適格な電子文書作成装置または署名作成装置を用いて作成されたもの
  • 適格な証明書によるサポート(適格なトラストサービスプロバイダーが発行したもので、ベルギーのitsmeがその例です)

進化した電子署名のように、手書きのサインと同等に認識されます。 しかし、紛争で異議を唱えられた場合、eIDASの第25条により、このタイプの署名は裁判所による追加の証拠を必要としません。

Qualified e-signatureは、デジタル取引の際に通常発生する証明責任を逆転させます。 シンプルな電子署名や高度な電子署名では、取引を開始する組織が署名者を認証する必要があります。 しかし、適格な電子署名では、署名者は自分自身を認証するために使用したデジタル証明書を提示する必要があります。

実際には、他の形式の電子署名が法的手続きで争われる可能性があり、取引を開始する組織は、信頼できるオリジナルであること、つまり法的効果があることを裁判所に証明する必要があります。 国によっては、電子証明書に基づく電子署名の許容性を支持する場合もありますが、署名がベーシックまたはアドバンスド電子署名の形式であるという理由だけで、署名された文書の法廷での許容性を否定することはできません。

eIDAS and E-Signatures: A Legal Perspective

eIDAS and E-Signatures: A Legal Perspective

Lorna Brazell of Osbourne Clarke LLP navigates new eIDAS Regulation

Download the whitepaper

eIDASではどのような署名が必要ですか?

使用すべき署名の種類は、取引の種類と、組織が取ることができるリスクのレベル(認証リスク、法的リスク、コンプライアンスリスク、採用リスクなど)によって異なります。 ホワイトペーパー「 eIDAS and E-Signatures: A Legal Perspective」によると、文書が合法であるために適格な電子署名が必要であると法律が規定していない場合、高度な電子署名で十分であるとしています。

ヨーロッパの組織であるベルギーのP&V Insurance社のユースケースと、同社の法務チームがどのようにして適格電子署名の代わりに高度な電子署名を採用することを決定したかについて、実際に聞いてみましょう。 P&V保険では、ユースケースごとに適切なタイプの電子署名を選ぶにはどうすればよいか、という問題がありました。 最初の使用例は、生命保険の申請です。これはリスクが低く、コンプライアンス要件が最小限のプロセスです。
"保険申込書は、保険契約と同じレベルのリスクを持っていないので、Advanced E-Signatureで十分です。 しかし、保険契約書や受取人変更書など、法的な強制力が必要な文書については、適格電子署名やインクによる署名が必要となります」と、シニアITプロジェクトマネージャーのMarc Lucionは語る。

保険会社のジェネラル・カウンセルによれば、「当社は、リスク、センシティビティ、または金額に応じて、少なくとも特定の行為や契約については、適格電子署名(政府発行のeIDとPINを使用)を使用するようアドバイスしました。 しかし、Advanced E-Signature(認証とSMSワンタイムパスコード付き)は、ほとんどの保険申請に法的に十分であるという点でも合意しました。 すべてのケースにおいて、電子署名された文書は我々のシステムに保管され、アーカイブされなければなりませんでした」 続きはこちらのケーススタディ:P&V Insurance lays groundwork for Enterprise esignatureをご覧ください。

要約すると

eIDASは、EU加盟国間での電子取引の不整合を解決します。 複雑に見えるかもしれませんが、基本的な規格を設定することで、eIDASはシームレスな電子環境を実現します。 電子的なプロセスへの信頼が高まることで、EU全体の長期的な経済・社会の成長が促進されます。 企業としては、eIDASをよく理解し、組織が準拠していることを確認することが重要です。

OneSpanの電子署名ソリューション「OneSpan Sign」は、eIDAS規制のすべてのタイプの署名に対応しています。 電子署名法が制定されている国の電子署名要件に対応したOneSpan Signの設計についてはこちらをご覧ください。

電子署名法、およびビジネス取引や特定のタイプの契約書での電子署名の法的有効性と執行可能性についての詳細は、電子署名合法性 ガイドをご覧になり、法律顧問にご相談ください。

お問い合わせはこちら

お客様のデジタル・セキュリティ・ニーズに対する当社のソリューションの詳細については、当社のセキュリティ専門家にお問い合わせください。