「電子契約サービスを利用して契約締結をする場合、メール認証を利用することによるリスクがあるのでは?」
「メール認証を利用することによって、発生しうるリスクに対する施策って何があるの?」
と疑問に感じていませんか。
メール認証は電子契約サービス立会人型でよく利用される本人認証方式です。立会人型自体は法的に有効であるものの、メール認証方式はその本人認証の仕組み上、いくつかリスクを内包していますので、リスクに対応したシステム選びが重要でしょう。
当記事では、電子契約サービスにおけるメール認証方式の概要、メール認証を利用する上で発生しうるリスクとその対策、リスクに対応できているおすすめの電子契約サービスまでご紹介します。
電子契約サービスにおけるメール認証方式とは
メール認証方式のリスクと対策をご紹介する前に、メール認証方式の概要をご紹介します。
電子契約サービスは大きく2分類される
そもそも、電子契約サービスはユーザが電子証明書を発行するか否かによって以下に分類することができます。
- 立会人型
- 当事者型
当事者型はユーザが電子証明書の発行が必要な一方で、立会人型は電子証明書の発行が不要であるため、比較的導入が容易な点が特徴的です。多くのユーザが立会人型の電子契約サービスを利用している様子が確認されます。
メール認証は立会人型で主に利用される
この立会人型では一般的に以下の流れのメール認証によって本人確認を実施します。
- 電子契約サービスの利用者が契約書をサーバにアップロードし、相手方のメールアドレスを入力。
- 電子契約サービスが入力したメールアドレス宛に契約締結用のURLを生成し、メールに記載の上、相手方に送付。
- 相手方は受領したメールに記載のURLをクリックし、電子署名を実施。(メール認証)
上記のような本人確認の仕組みを電子契約サービス上のメール認証と呼んでいます。相手方のメールアドレス宛に発行されるURLは長く複雑なユニークなものですので、総当たり攻撃など外部からの攻撃に強いと考えることができます。
また、生成されたURLは有効期限が設定されているため、外部からの不正アクセスされるリスクは非常に低いと考えることができます。
このように生成されたURLにアクセス可能な相手方は認証用のメールへアクセス権を持つメールアドレスの所有者本人であることを前提に立会人型は成り立っているのです。
メール認証(立会人型)は法的に有効
上述でも紹介した通り、メール認証が一般的に利用される立会人型はユーザ自身で電子証明書を発行しません。したがって、立会人型の法的有効性に懸念を持つ方もいるのではないでしょうか。
結論、立会人型も当事者型と同様に法的に有効です。なぜなら、「利用者の指示に基づきサービス提供事業者自身の署名鍵により暗号化等を行う電子契約サービスに関するQ&A(電子署名法3条に関するQ&A)」Q2にて以下の記載を確認できるからです。
以上の次第で、あるサービスが電子署名法第3条に規定する電子署名に該当するか否かは、個別の事案における具体的な事情を踏まえた裁判所の判断に委ねられるべき事柄ではあるものの、一般論として、上記サービスは、①及び②のプロセスのいずれについても十分な水準の固有性が満たされていると認められる場合には、電子署名法第3条の電子署名に該当するものと認められることとなるものと考えられる。したがって、同条に規定する電子署名が本人すなわち電子文書の作成名義人の意思に基づき行われたと認められる場合には、電子署名法第3条の規定により、当該電子文書は真正に成立したものと推定されることとなると考えられる。
つまり、本人の意思に基づいてサービス事業者が電子署名を付与する場合には真正性が成立すると考えることができるため、立会人型の電子契約は法的に有効であると考えることができます。
電子契約サービスにおけるメール認証方式のリスクと対策とは?
電子契約サービスのメール認証(立会人型)が法的に有効である一方で、リスクがあります。想定されるリスクは以下の通りです。
- なりすまし承認のリスク
- 無権代理のリスク
なりすまし承認のリスクと対策
なりすまし承認のリスクとは、契約の当事者以外がメールサーバや受信アドレスに不正アクセスし、契約当事者になりすまして電子署名を付すなりすましが起こりうるリスクです。
ショルダーハッキングなどを理由としてメールアドレスへのログイン情報が洩れ、不正アクセスおよびなりすまし承認するリスクは十分考えることができます。
一般的な電子契約サービスでは二要素認証機能を搭載しているため、技術的になりすましを防ぐことができます。したがって、なりすまし対策として二要素認証などの機能が搭載されているかが確認ポイントの1つです。
メールアドレス所有者の無権代理のリスク
契約締結用のURLが記載されたメールを受領したのが相手方の本人だったとしても、受領者本人に企業から契約締結の権限を与えられていない、つまり、無権代理であるリスクです。無権代理で契約を締結した場合、契約の無効を主張される場合があります。
このリスクは電子契約固有のリスクではなく、契約業務一般のリスクです。したがって、電子契約のシステム上の機能のみで対応するのは難しいでしょう。相手方から提示されたメールアドレスの持ち主が本当に契約締結の権限を持つのか事前確認が必要です。
多くのユーザでは、以下の方法を通じてメールアドレスの所有者が契約締結の権限を保持するか事前確認をしているようです。
- 書面を通じてメールアドレスの所有者情報の確認
- 専用フォームを用意して、相手方に記入を要求
書面を通じて確認する場合は、電子契約に使用するメールアドレスとメールアドレスに紐づく人物の契約締結の権限の有り無しなどを記載して提出を求める方法が多いです。
一方で、専用フォームをシステム上に用意して相手方に記入を要求する場合は以下項目を入力してもらう企業が多いです。
- 企業名
- 契約締結者の氏名及び役職
- 契約締結用のメールアドレス
- 弊社側の契約締結の担当者氏名
システムを導入するならDocuSignがおすすめ
ここまで紹介してきた通り、メール認証(立会人型)は一部リスクがあるものの、リスクに対応したシステムさえ選べばリスクを低減しつつ、契約業務の効率化が期待することができます。
当記事では、メール認証方式を採用する電子契約サービスとしてDocuSignを推奨しています。メール認証方式を採用する電子契約サービスとして推奨する理由は以下の通りです。
メール認証のリスクに対応
DocuSignは世界180か国以上で利用され7割弱の世界シェアを誇る電子署名サービスです。米国では不動産契約の約90%が利用し、世界で66万社以上が利用しています。
DocuSignは世界No1シェアを裏付けるように豊富な機能性と使いやすいUIを搭載している点が特徴的です。
豊富な機能の1つとして、メール認証ももちろん可能であり、メール認証のリスクへも対応しています。DocuSign(日本法人)では以下の要素を用いた認証が可能です。
- メールアドレス
- アクセスコード
- SMS/電話
したがって、DocuSignであればメール認証をしつつ、固有のリスクを低減しながら運用ができることでしょう。
電子契約で必要な機能が網羅
メール認証に求められる機能のほか、電子契約に求められる機能を網羅しています。例えば、以下のような機能を搭載しています。
- モバイルアプリ
- テンプレート機能
- ワークフロー機能
- リアルタイム監査証跡
- dropboxやグーグルドライブなどのクラウド製品との統合
- 多言語対応 など
他システムとの連携実績が豊富である点も特徴的です。SalesforceやKintoneなど350以上のシステムと連携しています。したがって、電子契約サービスを利用するのであれば、”とりあえず”DocuSignでも問題ないとうことができるでしょう。
DocuSignを利用すれば、印紙税の削減や書面文書の作成・保管・管理コスト削減などのコストメリットやセキュリティの担保などの電子契約を導入することで得られるメリットは問題なく得られます。
業界最安水準の料金プラン
メール認証はもちろんのこと、多彩な機能と使いやすいUIを持つ一方で、1アカウント当たり10$~で利用できるためコストパフォーマンスに優れています。ただし、4名以上で利用する場合は別途問い合わせが必要ですのでご注意ください。
基本的には代理店経由での申し込みをおすすめしています。代理店経由であれば電子契約サービス導入時にサーポートが手厚く受けられるからです。
まとめ システムを比較検討する際はリスク対策も検討しよう!
電子契約サービスを導入する場合、多くのユーザは立会人型を導入しています。一方で、立会人型ではメール認証を行うことが一般的であり、署名時のなりすましリスクなどがあるため、リスクに対応したシステム選びが重要です。
メール認証のリスクに対応した電子契約サービスを導入することで、印鑑業務の削減など契約締結の業務を効率化していきましょう!