「電子契約サービス利用時、二要素認証は必要?」
立会人型の電子契約サービス利用時には、電子署名法3条で求められる固有性の要件を満たすために二要素認証機能の設定が推奨されています。
二要素認証機能を利用することで厳密に本人性を確保できるため、固有性の要件を満たせるのはもちろん、なりすましリスクに対応ができる点がメリットです。
当記事では、二要素認証の概要や電子契約サービス利用時に二要素認証を利用する必要性、推奨される二要素認証の方法までご紹介します。
二要素認証とは
最初に二要素認証の概要について解説します。
2つ以上の要素を組み合わせた認証方法が二要素認証
二要素認証とは以下の認証方法のうち2つを利用する認証方法です。
- 記憶
- 所有
- 生体情報
上記の要素に具体的な例として以下があります。
- パスワード(記憶)
- トークン(所有)
- 指紋(生体情報)
より具体的にIPA(独立行政法人情報処理推進機構)が公表している二要素認証の定義は以下の通りです。
認証するための要素を大別すると3つの要素があり、これらを認証の3要素としています。それぞれ、「記憶」、「所持」、「生体情報」を指します。そしてこれらの3つの要素のうち、2つの要素で認証することを二要素認証、2つ以上の要素で認証することを多要素認証といいます。例えば「記憶」とはパスワードやPINコード等の”覚えている情報”、「所持」はキャッシュカードやワンタイムパスワードトークン等の”所持しているもの”、「生体情報」は静脈や指紋、顔の情報等の”身体的特徴等”を指します。
例えば最近では、ログイン画面でパスワードを入力後、自身の携帯電話にワンタイムパスワードが記載されたSMSが送信され、そのワンタイムパスワードをさらに入力することでログインするサービスが増えています。パスワードを2回入力するため、一見二要素認証ではないように思えますが、SMSは電話番号宛に送信されるので、携帯電話を所持している人にしか見られないという性質を生かして二要素認証の要件を満たしていると言えます。
電子契約でよく利用される二要素認証の組み合わせは以下の通りです。
- ログインパスワードの入力(記憶)
- スマホによるSMS送信やトークンを利用したワンタイムパスワード(所持)
その他にもスマホを利用した指紋認証(生体情報)を利用する場合も考えられますが、記憶*所持による認証が大多数のようです。
二段階認証とは異なる
二要素認証と似た概念として二段階認証がありますが、別物です。二段階認証は文字通り、二段階を経て認証をします。よくある二段階認証としては、パスワード+秘密の質問があります。
つまり、上述で紹介した記憶の要素を2回、段階的に実施しているということです。二段階認証と二要素認証は間違えられやすいですが別物ですので注意しましょう。
電子契約サービスに二要素認証がなぜ必要か
そもそも、なぜ電子契約サービスを利用する際に二要素認証が必要なのでしょうか。関連する法律を含めて解説します。
そもそも電子契約に電子署名が必要な理由
民法522条に記載の契約方式の自由により、契約はいかなる形式でも成立します。
2 契約の成立には、法令に特別の定めがある場合を除き、書面の作成その他の方式を具備することを要しない。
つまり、電子契約ももちろん契約は法的に成立しています。ただし、契約が成立することと、契約を訴訟時の証拠として利用できることは別問題である点に注意が必要です。
民事訴訟法228条1項によれば、係争時の契約書を証拠として利用するためには真正性を確保する必要があります。
1.文書は、その成立が真正であることを証明しなければならない。
では、電子契約において真正性をどのように確保するかというと電子署名を付与することで真正性を確保します。この旨が電子署名法3条に記載があります。
電磁的記録であって情報を表すために作成されたもの(公務員が職務上作成したものを除く。)は、当該電磁的記録に記録された情報について本人による電子署名(これを行うために必要な符号及び物件を適正に管理することにより、本人だけが行うことができることとなるものに限る。)が行われているときは、真正に成立したものと推定する。
つまり、電子契約を万が一係争があった時に証拠として利用するために電子署名を付与しているのです。
電子契約サービスには2タイプある
そもそも、電子契約サービスには以下の2タイプがあります。
- 当事者型
- 立会人型
当事者型は電子契約サービスの利用者自身が電子証明書を発行し、電子署名を付与するタイプの電子契約サービスです。
一方で立会人型は電子契約サービス利用者に代わり、サービス事業者が電子署名を付与するタイプの電子契約サービスです。
電子契約サービス業界で世界No1シェアのDocuSign(ドキュサイン)が立会人型であることからも、世間一般で広く利用されるのがこの立会人型です。
立会人型の場合、固有性の要件を満たす必要がある
ここで、立会人型の場合、電子署名法3条で求められるような「本人による電子署名」が付与されていないのではと疑問に感じる方もいるかと思います。なぜなら、立会人型は電子契約サービス利用者に代わって、事業者が電子署名を付与しているからです。
この疑問に対して総務省、法務省、経済産業省による「利用者の指示に基づきサービス提供事業者自身の署名鍵により暗号化等を行う電子契約サービスに関するQ&A(電子署名法3条に関するQ&A)」にて回答がされています。
結論、立会人型電子契約サービスを利用したとしても、「本人による電子署名」とみなすことが可能です。ただし、この時に固有性の要件を満たす必要があります。
固有性の要件を満たすために二要素認証機能が必要
「利用者の指示に基づきサービス提供事業者自身の署名鍵により暗号化等を行う電子契約サービスに関するQ&A(電子署名法3条に関するQ&A)」によれば、立会人型電子契約サービスが「本人による電子署名」であるとするためには、固有性の要件を満たす必要があります。
固有性の要件とは、「暗号化等の措置を行うための符号について、他人が容易に同一のものを作成することができないと認められること」というものです。つまり、電子署名が本人だけが行うことができるようするために、厳密な本人性確認が必要ということです。
上述のQ&Aでは固有性の要件を満たす方法の一例として、二要素認証を挙げています。したがって、固有性の要件を手っ取り早く満たすためには二要素認証機能がある電子契約サービスを利用するとよいです。
結局は二要素認証を利用することで、本人性を担保し、電子契約におけるなりすましリスクを低減しましょうという要件が固有性の要件となっています。
推奨される本人確認方法とは
一口に二要素認証機能の利用といっても、認証の仕方によって多少安全性に違いがあります。
SMSを利用した二要素認証はやや安全性に懸念がある
電子契約サービスでよく利用されている二要素認証はSMS認証です。ログインパスワード(記憶)機能+SMS(所持)による本人確認機能、による認証方法を指します。
携帯電話さえあればSMS認証機能は簡単に利用することができる一方で、その安全性に懸念を示す声がある点に注意が必要です。
米国政府機関であるアメリカ国立標準技術研究所(NIST)が定める「Electronic Authentication Guideline(電子的認証に関するガイドライン)」の最新版「NIST SP 800-63-3」の中でSMS認証は非推奨であるとの記載があります。
なぜなら、SMSが公衆電話網を活用した仕組みであるため、外部からの不正侵入がされやすいリスクが高いと見込まれているからです。
システム上でトークンを利用した二要素認証がより安全
では、電子契約においてどのような二要素認証方法が推奨されるかというと、以下のようなユーザーが管理するトークンを利用した二要素認証を推奨しています。
- スマホのトークンアプリ
- ハードウェアトークン
トークンの活用であれば外部からの侵入のリスクが低いとみられているため、本人性担保の方法として推奨されています。
なりすましリスク以外のリスク
二要素認証機能を利用することでなりすましのリスクを低減できます。一方で電子契約サービスの利用時には他にも気を付けたいリスクがいくつか存在しますので解説します。
無権代理のリスク
なりすましでない場合であったとしても、そもそも電子署名を付与した本人に契約を締結する権限がない場合があります。このリスクが無権代理のリスクです。無権代理のリスクに対応するためには電子署名を付与する前に、契約者の権限情報を確認する必要があります。
例えば、書面で契約者の所属、役職などを確認する、電子上のフォーマット上で同様の内容を確認する、そもそも役職者以上の署名のみをするようにするなどです。
法対応のリスク
電子契約は電子とはいえ、契約書ですので各種税法に基づいた保存が必要です。法人税法や電子帳簿保存法などの各要件を満たした保存をしてください。
2022/1に改正された電子帳簿保存法電子取引要件などでは、要件を満たして保存をしていなかった場合に青色申告の承認取り消しのリスクがあると国税から公表されています。
したがって、法対応がおろそかになると企業の信用や実務運用に重大な影響がある点がリスクといえるでしょう。
電子契約サービスの製品の中にはシステム上で法対応に求められる要件を容易に満たせられるものがあります。例えば、システム上でタイムスタンプ付与、主要三項目(取引先名、取引年月日、取引金額)の属性情報の付与、7年以上の長期保存などが可能な機能を搭載しているものです。
法対応へのリスクに容易に対応ができる機能が搭載されているかもシステム選びのポイントになります。
まとめ 電子契約を導入して契約業務を効率化しよう!
立会人型の電子契約サービスを利用する際には二要素認証を利用できるものの選択を推奨しています。電子署名法3条の固有性の要件を満たす方法は二要素認証だけではありませんが、現状、もっとも簡単に満たす方法は二要素認証であろうと考えているからです。
二要素認証が利用可能な電子契約サービスを利用して契約業務を効率化しましょう。