最近は、契約や様々な文書をオンラインで完結させることが増えたため、必然的に電子署名をする機会も多くなっています。
しかし、実際に電子署名を利用していても電子署名の仕組みまで理解している人は少ないです。
電子署名は、改ざんを防ぐために複雑な仕組みになっていることも理解が難しい大きな要因でしょう。
他にも「 電子署名の正当性 」についても不安があるはずです。紙の文書であれば本人がサインした所を見ていれば正当性を確認することが出来ます。
しかし、電子署名の場合には、いまいち正当性があるように感じない人も多いのではないでしょうか。
実際には、電子署名は紙の書面でのサインや印鑑に相当するものなので、法的にも問題のない署名方法となっています。
この記事では「 すでに電子署名を始めている 」「 これから電子署名を進めたい 」という方向けに、電子署名の仕組みを簡単に理解できる内容になっています。
これから電子署名が普及してくることは明確なので、この機会に電子署名への理解を深めてみてください。
電子署名の役割
最初に電子署名の役割から見ていきましょう。
主に2つの役割がありますが、まずは電子署名について簡単に説明していきます。
電子署名とは
電子署名は紙の書面でのサインや印鑑に相当する法的効力を持っています。
電子署名はまだまだ浸透していないため、紙ではなく電子文書に署名することに不安を感じる人も少なくないはずです。
紙であれば、サインや印鑑で自分がサインしたということを証明することが出来ますが、電子署名の場合には確認することが出来ません。
しかし、電子署名の場合にも電子証明書を使うことで本人が署名し、改ざんされていないことを証明できます。
電子証明書については後の項目で詳しく解説していきます。テレワークが当たり前になりつつある現代では、電子署名は紙の書類と変わらないようになってくるでしょう。
作成者と日時の証明
電子署名は電子の文書とはいえ、本人が署名したかどうかの確認が必要です。
そこで利用されるのが「 電子証明書とタイムススタンプ 」です。
電子証明書については後の項目で詳しく解説していきますが、簡単には第三者機関によって本人の書類と認定された文書と考えてもらえれば良いでしょう。
他にも電子署名をした日時を証明することで改ざんされていない書類という証明になります。これには「 タイムスタンプ 」を利用します。
タイムスタンプは書類を作成し署名した日時が記録されるため、本人が作成し署名したという証明になると言えるでしょう。
電子署名は「 電子証明書とタイムスタンプ 」の2つを使用して作成者と日時の証明をすることになります。
関連記事:電子署名とタイムスタンプの組み合わせ|タイムスタンプの役割も
改ざん防止
電子署名のもう一つの役割が「 改ざん防止 」。
紙の書類の場合には本人がサインと押印を行うため、本人の証明力が強く安心と思われがちですが、実際には改ざんが可能なものです。
特に送付した場合には本当に本人の署名なのかどうかを確認する術はありません。しかし、電子署名の場合には「 電子証明書とタイムスタンプ 」の使用により、実は紙の文書よりも改ざん防止に効果があります。
第三者機関が介入することで、「 本人が署名した 」という証明に加えて、時間も記録されるため、実際には紙の文書よりも電子のほうが改ざんの防止には向いていると言えるでしょう。
改ざん防止などの詳しい仕組みは最後の項目「 電子署名の基礎知識 」で解説していきます。
電子署名の仕組み
電子署名は利用する分には難しくありませんが、仕組みを理解しておくことで有効な使い方が出来るようになります。反対に仕組みを理解していない場合には、第三者による文書改ざんのリスクもあります。
電子署名の仕組みを理解することで文書によって使い方も変えることが出来るため確認していきましょう。
電子署名の流れ
続いて電子署名の流れを解説していきます。
大きくは4つのステップで完結します。
①ハッシュ値の作成( データの圧縮 )
出典:電子署名のしくみと機能 ~本人証明と非改ざん証明~ | 電子契約
まずはハッシュ値の作成です。
これは送信者と受信者の双方が行う行程になりますが、主にデータの圧縮をハッシュ関数と呼ばれる関数で電子文書を文字列化します。
データの圧縮と考えてもらえれば良いでしょう。
そのままの文書を送信してしまえば改ざんのリスクが高くなってしまうため、ハッシュ値を作成し簡単な暗号化をすることで次の行程に進めるようになります。
送信者と受信者のハッシュ値が同じであれば、同一の文書であることの証明になります。
ハッシュ値は100%改ざん防止が出来るわけではありませんが、意図的に全く同じハッシュ値を生成することは不可能に近いと言えます。
②文書の暗号化と送信
出典:電子署名のしくみと機能 ~本人証明と非改ざん証明~ | 電子契約
ハッシュ値だけでも十分な改ざん防止になりますが、さらに文書を複雑化させ第三者の改ざんを防ぐのが「 文書の暗号化と送信 」です。
後ほど解説する「公開鍵暗号基盤( PKI )」を使うことになりますが、公開暗号基盤は「 公開鍵・秘密鍵 」の2種類の鍵に分かれています。
公開鍵は「 広く公開されている 」秘密鍵は「 誰にも公開しない 」と考えてください。
送信者は文書をハッシュ値で圧縮し、秘密鍵を使って送信します。秘密鍵を使って送信した文書は公開鍵を持つ人意外は複合することが出来ません。
- 秘密鍵と公開鍵は2つで1つのペア
- どちらか片方では文書が複合されない
③受信したハッシュ値の複合と比較
出典:電子署名のしくみと機能 ~本人証明と非改ざん証明~ | 電子契約
受信者は公開鍵を使い送られてきた文書のハッシュ値を複合します。
まず、受信者は文書を含めた3つを送信者から受け取ります。
- 電子文書
- ②で暗号化されたハッシュ値
- 暗号を複合するための公開鍵
まずは文書をハッシュ関数を使ってハッシュ値に変換します。
ハッシュ値の変換は送信者だけではありません。
実際には受信者も文書をハッシュ値に変換する必要があり、自身で作成したハッシュ値と受信したハッシュ値を公開鍵で複合します。
2つのハッシュ値を照合することで、同じ文書であることが証明され、公開鍵が暗号化した秘密鍵とペアであることが証明されます。
簡単に流れを確認しておきましょう。
①受信した文書のハッシュ値を作成
②公開鍵を使ってハッシュ値を確認
③①と②のハッシュ値を照合して文書の正当性を確認
④電子証明書の検証
ここまでで、電子署名された文書が正当であると十分に証明されたように感じると思います。
しかし、100%文書が正当というわけではありません。
文書を送信する前や途中で第三者が介入し、公開鍵や秘密鍵を入手していれば文書の改ざんが出来てしまいます。
ここで重要になってくるのが「 電子証明書 」になるでしょう。
電子証明書は第三者機関の認証局が発行しているもので、送信者が発行を依頼し、文書に添付して受信者へ送信します。
受信者は送信者本人が作成した文書なのかを認証局に問い合わせて確認することが出来ます。
電子署名を利用する際には電子証明書の利用も必須になると言えるでしょう。
電子署名と電子サインの違い
電子署名と電子サインは同じものと考えられがちですが、明確な違いがあります。
まず電子サインですが、電子署名よりも広い分野で使用されていると考えましょう。
例えば、インターネット上での会員登録や商品の購入時に名前の入力やID、パスワードの設定を行いますが、これも電子サインになります。
電子サインは、電子署名と比べて利用される範囲が広く、法的な効力は小さくなっています。
ビジネス面では重要な契約書などではなく、簡易的な認印の代わりとして使用されることが多いでしょう。
電子署名と電子印鑑の違い
続いて、電子署名と電子印鑑の違いについて解説していきます。
電子印鑑は、その名の通り印鑑を電子化したもので、基本的には印影を画像データにしてパソコンに取り込んだものを使います。
電子サインと同様、簡単に複製が可能なため重要な文書には向いていません。
こちらも認印と同等程度に考えておくのが良いでしょう。
契約といった面ではなく、社内で使用したり、取引先では提案書程度に使用を抑えておくのがおすすめです。
- 電子サインと電子印鑑は電子署名よりも簡易的
- 重要な書類には正当性を担保できる電子署名を使う
電子署名の基礎知識
最後に電子署名の基礎知識を解説していきます。
ここまでの解説でも電子署名の重要度が分かってもらえたと思いますが、電子署名の仕組みが分かりづらく感じることも多いはずです。
電子署名の基礎知識をつけることで、これから電子署名を利用する場合には利用しやすくなるでしょう。
公開鍵暗号見出しの小分けと追加
鍵を使った暗号化のシステムは他にも「 共通鍵暗号 」があります。
共通鍵暗号はあくまで1つの鍵で暗号化と複合を行うため、公開鍵暗号よりもセキュリティは甘くなります。
公開鍵暗号は秘密鍵で文書を暗号化するため、ペアになっている公開鍵でしか暗号化された文書を複合することは出来ません。
公開鍵暗号を使うことで重要な文書でも不正や改ざんのリスクを下げることが出来ます。
ただし、あくまで文書を作成し、秘密鍵で暗号したのが文書を作成した本人といった証明は出来ないため完璧ではありません。
簡単にまとめると以下のようになります。
- 共通鍵暗号だと1つの鍵で複合が可能
- 公開鍵暗号では2つの鍵が必要になるため複合が困難になる
公開鍵暗号基盤( PKI )
次に、公開鍵暗号基盤( PKI )を解説していきます。先ほどの公開鍵暗号だけではセキュリティ面で完璧なわけではありません。
「 公開鍵暗号 」と「 電子証明書 」を組み合わせた方法が公開鍵暗号基盤です。
公開鍵は、あくまで文書を暗号化し第三者が間に入ったり改ざんするリスクを下げる方法です。
しかし、電子証明書を組み合わせることによって、より確実に文書の正当性を証明できます。
電子証明書については後の項目で詳しく解説していきます。少しまとめます。
- 公開鍵だけでは鍵を手に入れた第三者も複合が可能になる
- 電子証明書を組み合わせる「 公開鍵暗号基盤( PKI ) 」でより強固なセキュリティになる
ハッシュ値
続いてハッシュ値について解説していきます。
ハッシュ値は公開鍵や暗号基盤に関わるものと考えましょう。
まず、文書を作成した作成者はハッシュ関数を用いてハッシュ値へと変換する必要があります。
ハッシュ値は文書を圧縮して文字列へと変化させると考えておいてください。
ハッシュ値へと変換した文書をさらに秘密鍵を使って暗号化するため、文書の改ざんリスクが大幅に減少することになります。
文書を受け取った受信者は文書を同じようにハッシュ値に変換し公開鍵のハッシュ値と照合することで文書が送信者のものであることを確認することが出来ます。
少しややこしいので簡単にまとめておきましょう。
①文書をハッシュ値に変換して送信
②受信者もハッシュ値に文書を変換
③秘密鍵でハッシュ値に変換された文書を公開鍵で複合
④2つのハッシュ値を照合して本人が作成した文書の判断
基本的にはこの流れになります。
電子証明書
電子証明書は第三者機関の「 認証局 」が発行している証明書になります。
公開鍵暗号は、第三者の改ざんリスクを下げることは出来ますが、改ざんの可能性はある状態です。
しかし、文書の作成者が認証局に電子証明書の発行を依頼することで、文書の正当性を第三者機関が証明することになるため、文書の正当性が上がります。
文書の受信者側が公開鍵で文書を複合し、認証局に問い合わせることで文書の正当性を確認することが出来ます。
電子証明書は電子の印鑑証明の役割を果たすため、重要な文書では必要になるシステムです。
- 電子証明書を発行することで文書の正当性を担保できる
- 重要な文書では電子証明書の添付が必須
電子署名法の施行
電子署名法は2001年4月に施行されました。
これは、電子の文書でも本人確認の取れた電子署名があれば、文書( 契約書 )の内容が成立するといったものです。
簡単には紙の文書を使わなくても契約が成立するという内容の法律になります。
本人確認が取れるということは電子サインや電子印鑑ではなく、電子証明書などを使用した電子署名が必要になるでしょう。
ただし、最近では簡易的な電子サインのみによる契約も成立することが多くなってきているため、今後はより柔軟な署名方法が現れることも予想できます。
- 電子の署名でも法的に成立が認められている
- 本人確認であれば電子署名が一番有効度が高い
- 簡易的な契約などであれば電子サインでも対応は可能
関連記事:電子署名法の条文をわかりやすく解説
【まとめ】電子署名の仕組み
今回は電子署名の仕組みを解説してきました。
電子署名は利用するだけであれば非常に簡単になってきていますが、実際には文書によって向き不向きがあります。
重要な文書であれば電子署名を使い、社内や提案書といった簡易的なものであれば電子サインや電子印鑑でも十分でしょう。
しかし、文書を改ざんされては困るような内容であったり、重要な内容であれば電子証明書を使う必要があります。
今後はテレワークも加速し、電子署名の必要性は上がってくることが予想されます。
いざ電子署名が必要になってから始めても間に合わない部分も多いため、今から電子署名の導入を検討してみてはいかがでしょうか。