1 / 54

法とメディア

法とメディア.  電子署名・電子認証. 電子署名・電子認証. 論点   電子署名はどのような仕組みで行われるか?   電子署名法は、どのような目的で制定されたのか?. メッセージの信頼性・安全性の確保. 従来の紙文書が広く利用されてきた理由 1 署名や押印は、これをまねることが難しい。 2 署名や押印は、紙の上に記されるので、真正な署名や押印を別の無断で作られた書面に結合しにくい。 3 他人が改ざんすれば、物理的な痕跡が残る。 4 本人にとっても、一旦作成したものを後になって否認することが難しい。 . 電子メッセージのあやうさ. 1 盗聴されやすい。

jered
Télécharger la présentation

法とメディア

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 法とメディア  電子署名・電子認証

  2. 電子署名・電子認証 論点   電子署名はどのような仕組みで行われるか?   電子署名法は、どのような目的で制定されたのか?

  3. メッセージの信頼性・安全性の確保 従来の紙文書が広く利用されてきた理由 1 署名や押印は、これをまねることが難しい。 2 署名や押印は、紙の上に記されるので、真正な署名や押印を別の無断で作られた書面に結合しにくい。 3 他人が改ざんすれば、物理的な痕跡が残る。 4 本人にとっても、一旦作成したものを後になって否認することが難しい。 

  4. 電子メッセージのあやうさ 1 盗聴されやすい。 2 改ざんされやすい。 3 なりすましが容易である。 4 本人自身も後で否認しやすい。 ↓   これらの問題をいかに克服するかが問題   これを暗号技術を用いて克服する。

  5. 暗号と電子署名   暗号と電子署名はどのような関係があるのか?   暗号の役割は、秘密を保持して情報を伝えるためだけではないのか?

  6. 暗号の意味   暗号とは、本来のメッセージを暗号化し、されにこれを複合化する技術   従来、暗号技術は、通信の秘密を保持するために使われてきたことは確かである。   今でもその役割は非常に大きい。   電子取引でも、決済するための口座番号などの重要情報を暗号によって保護している。 

  7. 暗号の方式  対象鍵暗号システム   暗号化と復号に共通の内容の鍵を用いるシステム(あたかも、複数人が同じ形の部屋の鍵をコピーして持っているのと同じ)。  公開鍵暗号システム   相関する一対の鍵(暗号化する鍵と復号する鍵は別の形をしており、片方の鍵を見ても、対になっているもう片方の鍵の形はわからない)を作り、片方を秘密にし、もう片方を公開して用いるシステム。

  8. 暗号の役割    この公開鍵暗号方式を用いることにより、以下の機能を有するようになる。 ① 秘密保持      (情報の秘密性を保持する) ② 認証      (本人であることの確認) ③ デジタル情報の固定      (情報に改ざんがないことを証明する)

  9. 秘密保持    平文(ひらぶん)    ↓(暗号化)    暗号            ↓(復号)           平文

  10.  平文 : あすこい   ↓ 暗号化  暗号 : うそしえ   ↓   発信   ↓  送信  受信 : うそしえ   ↓ 複号  平文 : あすこい 鍵はなに?  50音で2字ずらす

  11.  鍵は何か?    50音 3文字ずらす

  12.  Aさん 共通鍵 Bさん  AさんがBさんに手紙を暗号をかけて送りたいのだが。

  13. 共通鍵方式の不都合    この方式だと、インターネットを通じて鍵を送信すると、誰かに盗られる(実際にはコピーするだけで盗られたことがわからない)。    別の方法で送るしかない。    そもそも別の方法で鍵を送れるのだったら、本文だけわざわざインターネットで送る必要がないということになる。    使われる場面が限定される。    そこで公開鍵暗号方式が開発された。

  14.  Aさん  Bさんが一対の鍵を作成する。暗号化する鍵と復号する鍵は別の形をしており、片方の鍵を見ても、対になっているもう片方の鍵の形はわからない  暗号化鍵(公開鍵)をAさんに送る。  Bさん 暗号化鍵 (公開鍵) 復号鍵 (秘密鍵)

  15. 暗号化鍵 (公開鍵)  Aさん   Aさんがこの鍵で暗号化し、メッセージをBさんに送る。  Bさんが手元に持っている鍵でしか復号できないので、秘密が守られる。もし途中で公開鍵が誰かにとられても、さしつかえない。暗号化にしか使えないのだから。 Bさん 復号鍵 (秘密鍵)

  16. 認証に利用   秘密保持のやり方を逆に利用すると認証システムになる。

  17. 暗号化鍵 (秘密鍵) 復号鍵 (公開鍵)  Aさん Bさん  AさんがBさんに送ったメッセージがAさんが書いたものであることを証明したい。 

  18. 暗号化鍵 (秘密鍵)  Aさん 復号鍵 (公開鍵) Bさん   Aさんが一対の鍵をつくり、公開鍵をBさんに送る。  Aさんは、手元にある秘密鍵で暗号化してBさんに送る。  Bさんは送られてきたメッセージをこの鍵で開ける。

  19. デジタル署名   発信者によるメッセージの発信後に、そのメッセージが改ざんされていないことを確認するシステム。  通常の文書の場合   署名や押印が同じか否かの確認措置  デジタルデータの場合(テキストファイルなど)   通常、いつでも改変することができる。   その痕跡を残さない。特殊な措置が必要

  20. メッセージ メッセージ ハッシュ関数による圧縮 ハッシュ関数による圧縮 メッセージダイジェスト ハッシュ関数:データを圧縮する関数だが、圧縮されたデータから元のデータに復元することが困難な関数  比較:一致すれば改ざんなしの証明 メッセージダイジェスト メッセージダイジェスト 暗号化 復号 暗号 暗号

  21. 電子署名法制定の背景  2000年(平成12年)5月31日、「電子署名及び認証業務に関する法律」(通称「電子署名法」、以下本法という)が公布され、2001年(平成13年)4月1日施行された。  まず、この法律が制定された背景を見てみよう。

  22.    近年、インターネットを媒介とした取引が拡大しているが、日本ではまだ、インターネットが取引のプロセスの一つである通信の手段としての役割以上のものを果たしているとはいい難い状況にある。   近年、インターネットを媒介とした取引が拡大しているが、日本ではまだ、インターネットが取引のプロセスの一つである通信の手段としての役割以上のものを果たしているとはいい難い状況にある。    場所的、時間的制約をなくしたインターネットの特色は、インターネットそれ自体で完結した取引が日常的に行われてはじめて生かされる。    そのためには、より一層インターネット取引における信頼性が確保されなければならない。

  23.    取引の相手方が本当にめざす相手であり、また、その相手方から受け取った電子情報の内容が後になって相手方から否定されることがないという信頼性の確保はそのひとつである。   取引の相手方が本当にめざす相手であり、また、その相手方から受け取った電子情報の内容が後になって相手方から否定されることがないという信頼性の確保はそのひとつである。    通常の取引においては、契約を締結する際、当事者が対面したり、電話で声を聴くことにより、互いに相手方を確かめ合う。    取引における相手方の確認は重要なことだ。    ところが、インターネット取引は、まさにこのような場所的、時間的制約をなくすところに意味があるのだから、このような方法に代えて、電子的方法により相手方を確認し改竄を防止する方法が必要となる。

  24.    すでに、いわゆる公開鍵暗号方式を用いて、誰が発信したメッセージであるのか、作成後書き換えられていないかを確認する方法が確立してきている。   すでに、いわゆる公開鍵暗号方式を用いて、誰が発信したメッセージであるのか、作成後書き換えられていないかを確認する方法が確立してきている。    あたかも書面にサインし、押印するかのごとく、作成者を特定し、改竄を防止する措置をとる電子的な処理を「電子署名」と名付け、この電子署名を認証するサービスを行う会社が現れるようになった。

  25.    しかし、技術的な確立や実際の利用実績だけではなく、一定の信頼性のある電子署名に対して、正式な法的位置付けを与えられなければ、広く一般の信頼を得るようにはならない。   しかし、技術的な確立や実際の利用実績だけではなく、一定の信頼性のある電子署名に対して、正式な法的位置付けを与えられなければ、広く一般の信頼を得るようにはならない。    本法は、公開鍵暗号方式をはじめとする一定の電子認証システムとその業務に法的裏付けを与えることを目的として制定されたのである。

  26.   アメリカ合衆国では、2000年6月に連邦法としての電子署名法(The Electronic Signatures in Global and National Commerce Act)が成立し、同年10月1日から発効している。   EUにおいても1999年12月に電子署名指令が成立している。これらの国々との電子データの流通を確保するためにも、早急に法律を成立させ運用する必要があった。

  27.    2、電子署名法の重要条文解説

  28. ■第1条(目的)  第1条には、本法の目的が規定されている。  本法の目的が、電子署名に関し  1、電子署名の効力としての電磁的記録の真正な成立の推定  2、特定認証業務に関する認定の制度  3、その他必要事項   を定めることにより、電子署名の円滑な利用の確保による  イ、情報の電磁的方式による流通  ロ、情報処理の促進   を図り、もって、国民生活の向上及び国民経済の健全な発展に寄与する ことであるとしている。

  29. 第2条(定義)  本条では、   1、電子署名   2、認証業務   3、特定認証業務  についての定義が規定されている。

  30. 「電子署名」は、次の二つの要件を備える電磁的記録に施される「措置」である。「電子署名」は、次の二つの要件を備える電磁的記録に施される「措置」である。 •  電子署名にあたるか否かは、次の二つの目的、機能を有する措置であるか否かによって決せられる。 •  一つめは、当該電磁的記録を作成した者を特定するものであること •  二つめは、当該措置(つまり、電子署名)を行った後は、その電磁的記録が書き換えられていないかどうかを判別することできるということである。 •  電子署名は、暗号技術を利用して行われるが、情報内容を他に漏れないようにするだけであれば、以上のいずれの措置にも該当しないから電子署名ではないことになる。

  31.  なお、現時点において実際に利用されている電子署名は、公開鍵暗号方式によるものであるが、本法は必ずしも公開鍵暗号方式に限定していない。 なお、現時点において実際に利用されている電子署名は、公開鍵暗号方式によるものであるが、本法は必ずしも公開鍵暗号方式に限定していない。 •  技術的中立性に配慮し、将来、公開鍵暗号方式に代わる有力な方式が考え出されたときには、それも本法にいう電子署名にあたると考えられる。 •  本法は機能を基準として電子署名か否かを区別するのである。

  32.  「認証業務」とは、前項の「電子署名」が誰によってなされたものであるかを確定し、対外的にそれを証明する業務である。 「認証業務」とは、前項の「電子署名」が誰によってなされたものであるかを確定し、対外的にそれを証明する業務である。 •  あたかも区役所や市役所で印鑑証明の交付を受けるがごとく、ある電子署名が誰のものであるかを証明するのである。 •  公開鍵暗号方式においては、復号化する公開鍵が誰の暗号化の秘密鍵に対応したものであるかを証明することが認証業務になる。

  33. 「特定認証業務」とは、前項の「認証業務」のうち、本法に基づいて認定されるものを意味する。「特定認証業務」とは、前項の「認証業務」のうち、本法に基づいて認定されるものを意味する。 •  認定を受けるためには、一般的な信用と一定の技術的信頼性を有するものでなければならない。 •  設備基準や本人確認に関する基準、業務方法一般についての基準などが本法第6条に規定されている。 •  この「特定認証業務」として認定を受けなければ認証業務を行えないというわけではないが、認定を受けることにより、次条の成立の真正の推定がより強くはたらくということになるであろう。

  34. 認証業務 特定認証業務 本法に基づいて認定される 自由にできる 本法3条の成立の真正のより強い推定 がはたらく 本法3条の成立の真正の推定がはたらく

  35. ■第3条(電子署名の効力)   本人による電子署名が行われると、その電子署名が施された電磁的記録は、真正に成立したものと推定されるという効力が生じる。 •  民事訴訟法228条4項には、「私文書は、本人又はその代理人の署名又は押印があるときは真正に成立したものと推定する。」と規定されている。 •  これは、本来の私文書についての規定であるが、電磁的記録の情報についても同様の推定をはたらかせるというのが、本法の本条の趣旨である。 •  反証がない限り、本人が作成した電磁的記録たる情報と取り扱われるのである。

  36.  ただし、民事訴訟法228条4項は、署名、押印が本人・代理人の意思に基づき真正に成立したものであれば、それが記されている書面全体が本人の意思に基づき作成された真正なものと推定されるという趣旨の規定である。 ただし、民事訴訟法228条4項は、署名、押印が本人・代理人の意思に基づき真正に成立したものであれば、それが記されている書面全体が本人の意思に基づき作成された真正なものと推定されるという趣旨の規定である。 •  その印影が本人あるいは代理人の印影であるというだけで、ただちに文書全体の成立の真正を推定する規定ではない。 •  したがって、本法の本条の解釈も同様に、単に当該電子署名が本人が日頃使っている電子署名だと証明されただけでは、電磁的記録全体の真正な成立が推定されるものではないと解釈される。

  37.  条文に「本人による電子署名」とあるところからも、本人の意思によって施された電子署名があると証明された場合にはじめて電磁的記録全体の真正な成立についての推定がはたらくのである。 条文に「本人による電子署名」とあるところからも、本人の意思によって施された電子署名があると証明された場合にはじめて電磁的記録全体の真正な成立についての推定がはたらくのである。 •  もっとも、通常の文書について、判例(最高裁昭和39年5月12日)は、文書中の印影が本人または代理人の印章によって顕出された場合には、反証がない限り、当該印影は、本人または代理人の意思に基づいて成立したものとの事実上の推定がはたらくとしており、電子署名についても、ある人の電子署名が施されているときには、それが本人によって施されたものと事実上推定されることになろう。

  38. 署名押印が本人のもの (ここではたらくのは事実上の推定) 署名押印が本人の意思によって作成されたもの (民訴法第228条4項の推定がはたらくのはここ) 文書が本人の意思によって作成されたもの

  39. ■特定認証業務・認定認証事業者 •  電子署名法第4条から第16条には、認証業務について、主務大臣から認定を受けるための要件・手続などが規定されている。 •   認定制度は任意の制度であって、認定を受けなければ認証業務を行えないというわけではないが、認定を受けることにより、その認証業務に対するより大きな信頼を得られるという事実上の効果が認められる。

  40.  認証業務を行う者が主務大臣の認定を受けると、「認定認証事業者」となる。 認証業務を行う者が主務大臣の認定を受けると、「認定認証事業者」となる。 •  ここでいう主務大臣は、総務大臣、法務大臣、経済産業大臣である。 •  氏名または名称及び住所、法人の場合にはその代表者の氏名を明らかにし、業務の設備概要、業務の実施方法などを記載した書面を主務大臣に提出しなければならない。 •  認定を受けると公示される(第4条)。 •  ただし、禁固以上の刑に処せられたり電子署名法の罰則規定に違反して刑に処せられた者で、刑の執行を受け終わってから2年を経過していない者、認定の取り消しを受けて2年を経過していない者などは、認定を受けることができない。 •  法人の場合は、上記のような者が役員のなかにいると認定を受けることができない(第5条)。

  41.  特定認証業務の認定を受けるためには、認証業務を行う設備が、主務省令で定める一定の基準に適合しなければならない。 特定認証業務の認定を受けるためには、認証業務を行う設備が、主務省令で定める一定の基準に適合しなければならない。 •  適切なファイアーウォールが設置されているか、適切なバックアップ体制がとられているか等が問題となる。 •  認証を利用する本人を確認する基準についても主務省令で定める一定の基準に達していなければならない。 •  本人を確認する証明書として何を使うのかといったことが問題となる。

  42.  さらに、業務が主務省令で定める方法に適合していなければならない。 さらに、業務が主務省令で定める方法に適合していなければならない。 •  利用者との契約約款や業務管理の方法が問題となる(第6条)。これらの基準を満たすか否かの審査は、原則として主務大臣の実地調査に基づくものとされている(第6条2項)。 •  ただし、実際には、指定調査機関による調査によって運用されることになるだろう。 •  特定認証業務の認定は、7年ごとに更新を受けなければ失効する(第7条)。

  43. 認証機関の業務 1、申請の受理 2、電子証明書の発行 3、電子証明書の開示 4、取り消し情報の公表 5、記録の保存

  44. ■認証機関の責任 •  万一、認証が間違っていた場合に、認証機関が法的責任を負うか否かは重要な問題だ。 •  ある特定の電子署名がAのものであるという電子証明書を信じた第三者がAと取引をしたところ、実はBがAになりすましていたような場合に、認証機関がこの第三者の損害を賠償しなければならないかという問題である。 •  電子署名法には特別な規定はない。

  45. 取引行為 A 第三者

  46. 実は 取引行為 AになりすましたB 第三者 間違ってAの署名であると認証 認証機関

  47.  第三者と認証機関との間には契約関係はないと一応考えられるから(ただし、第三者が認証機関に依頼して証明書の交付を受ける場合などには契約関係があるといえる。さらに、これによく似た特殊な場合には契約関係があるといえる場合があるかもしれない。)、第三者が認証機関に対して、契約違反(債務不履行)を理由に損害賠償を求めることは困難だ。   第三者と認証機関との間には契約関係はないと一応考えられるから(ただし、第三者が認証機関に依頼して証明書の交付を受ける場合などには契約関係があるといえる。さらに、これによく似た特殊な場合には契約関係があるといえる場合があるかもしれない。)、第三者が認証機関に対して、契約違反(債務不履行)を理由に損害賠償を求めることは困難だ。   •  不法行為に基づく損害賠償請求をすることは可能だ。

  48.  その場合、認証機関の過失を証明しなければならない。 その場合、認証機関の過失を証明しなければならない。 •  本人を特定する資料が不十分なままで認証したり、資料を見誤った場合などには、認証機関に過失があるといえるだろう。 •  公の証明書を偽造するなど、手口が巧妙で誰であっても誤認したであろうといえる場合には微妙だ。 •  具体的事例の積み重ねがない状況では予測が難しい問題である。利用者においても一定のリスクを覚悟しておかなければならない。

  49.  この問題を認証機関の側からみると、損害賠償額がとてつもなく大きくなるのであれば、業務を行うことを躊躇する気持ちになる。 この問題を認証機関の側からみると、損害賠償額がとてつもなく大きくなるのであれば、業務を行うことを躊躇する気持ちになる。 •  利用者に対して、あらかじめ損害賠償責任を限定する旨(一切責任を負わないとか、一定の金額までしか責任を負わないとかを)予告する(直接の契約者に対しては契約や約款、一般第三者に対しては広く広告して)ことを考えることになる。 •  損害賠償額の限定に一定の効果があると考えられる。

  50.  しかし、故意や重過失があるときにでも責任を免れるとは解されない。 しかし、故意や重過失があるときにでも責任を免れるとは解されない。 •  また、むやみにそのような予告をすることは、自社の認証の信頼性を低下させることになるので、おのずから一定の調和が保たれるのではないかと考えられる。

More Related