日本ネットワークセキュリティ協会の
「電子署名ワーキンググループ 保証レベルタスクフォース」に参画
～電子署名・電子契約業界の”安全基準”を参加企業・専門家とともに策定へ～

　GMOインターネットグループのGMOグローバルサイン・ホールディングス株式会社（代表取締役社長：青山 満 以下、GMOグローバルサイン・HD）と、GMOグローバルサイン・HDの連結企業群であるGMOグローバルサイン株式会社（代表取締役社長：中條 一郎 以下、GMOグローバルサイン）は、特定非営利活動法人日本ネットワークセキュリティ協会（会長：田中 英彦 以下、JNSA）が設立した「電子署名ワーキンググループ」（以下、電子署名WG）において発足した「保証レベルタスクフォース」（以下、保証レベルTF）に参画いたしました。

【JNSAの電子署名WG 保証レベルTFについて】

■JNSAについて（URL:https://www.jnsa.org/）
　JNSAは、日本国内において情報セキュリティ製品を提供する企業が集まり、セキュリティに関する課題解決やセキュリティ対策の必要性を広く社会に発信するための組織として2001年に設立された特定非営利活動法人（NPO）です。2021年10月時点で国内259社が会員企業として活動を行っています。また、国内のみならず、韓国・シンガポール・インドネシアの業界団体とも提携するなど、近年活動の場を広げています。

■電子契約・電子署名業界にこれまでなかった統一的な”安全基準”を策定
　JNSAでは、業種・業界・分野ごとに標準化・ガイドライン整備などを推進する「標準化部会」を設立しています。2013年に、標準化部会において、電子署名技術に関する検討を行う電子署名WGが発足しました。GMOグローバルサインは2019年、GMOグローバルサイン・HDは2021年より、電子署名WGに参加し、電子署名・タイムスタンプやPKIに関する標準化やガイドライン整備等の活動を、他の参加社・専門家とともに行ってまいりました。

　電子署名やそれを活用した電子契約の技術は、コロナ禍を受けたDXの進展や各種手続きのオンライン化を受け、急速に国内に普及しつつあります。一方で、セキュリティ技術の専門的知見に基づいたセキュリティに関する共通ルールや第三者による認証制度がないため、電子署名・電子契約サービスを提供する会社がそれぞれ独自基準を定めて独自のセキュリティ対策を進める状態が長く続いており、業界標準の”安全基準”の策定が喫緊の課題となっていました。

　この度、多様化する電子署名・電子契約の方式を整理し、各方式における安全基準を検討するために、JNSAの電子署名WG内に保証レベルTFが設けられ、GMOグローバルサイン・HDとGMOグローバルサインを含む参加企業12社と専門家の協働により具体的な検討を進めることとなりました。

　GMOグローバルサイン・HDとGMOグローバルサインは、これまでセキュリティ事業や電子契約事業などの電子署名関連事業を国内外で展開してまいりました。海外諸国のセキュリティ基準を満たした電子認証局運営など、各事業で蓄積してきた専門的技術と知見を活かし、海外の主要基準を参照した安全な電子署名利用のためのセキュリティレベル策定や電子署名方式の整理を支援することを通じて、日本社会全体のDX推進や電子署名・電子契約業界のセキュリティレベル向上に貢献してまいります。

■参加企業・専門家(五十音順、2021年10月末 時点)
　アドビ株式会社
　株式会社エヌ・ティ・ティ・データ
　NTTビジネスソリューションズ株式会社
　GMOグローバルサイン株式会社
　GMOグローバルサイン・ホールディングス株式会社
　セコム株式会社
　セコムトラストシステムズ株式会社
　株式会社三菱総合研究所
　三菱電機株式会社
　三菱電機インフォメーションシステムズ株式会社
　三菱電機インフォメーションネットワーク株式会社
　有限会社ラング・エッジ
　宮内 宏（弁護士）

■参考
・JNSAプレスリリース：「電子署名保証レベル作業提案」の公開と作業開始のお知らせ
　URL：https://www.jnsa.org/result/e-signature/2021/esal/index.html

・電子署名Q&A (2020年9月16日公開)
　URL：https://www.jnsa.org/result/e-signature/e-signature-qa/index.html

【なぜ電子署名・電子契約業界の”安全基準”が必要なのか】

■用途・目的に応じて本人確認の方法を使い分けるように、電子署名にも使い分けが必要
　企業が提供するサービスの利用者への本人確認には色々な方法がありますが、用途・目的に応じて使い分けがなされているのが一般的です。近年、用途・目的と合わない本人確認方法を用いたために、利用者の個人情報等の不正利用やインシデントにつながるケースが多発しており、本人確認方法の妥当性確認が企業・ユーザーのリスク管理に直結してきています。

　デジタル上の本人確認手段である電子署名についても同様に、用途に応じた使い分けが望ましいと考えられています。電子署名の方式も多様化しており、例えば、電子契約サービスでよく使われる方式として、メールアドレスなどによる利便性に優れた立会人型と、電子証明書による信頼性の高さと証拠力に優れた当事者型の2種類が知られています。しかし、実は広義の電子署名には、電子タブレットに手書きで署名したものも含まれるなど、方式により技術的な差異が大きく、セキュリティレベルもばらつきがあるのが現状です。

　これらは技術的な方式が異なる為に、簡単に比較検討することができません。電子署名・デジタル署名の定義や、利用ケースを想定しながら、用途目的に応じて、適切な利便性と安全性の信頼性のバランスを保つために、どのような場合に、どの電子署名を選ぶべきかについても整理が必要となっています。

■海外では電子署名使い分けのルール化が進む
　電子署名を活用した電子契約が普及している海外諸国では、既にこのような電子署名や電子契約に関連した標準化（ルール化）が進んでいます。

　電子署名による本人確認に関しては、米国では米国政府機関であるアメリカ国立標準技術研究所（NIST）が「Electronic Authentication Guideline（電子的認証に関するガイドライン）」の最新版である「NIST SP 800-63-3」を作成しています。欧州連合（EU）では、市民や組織やサービスを認証するための法律として2014年に成立し2016年7月から施行された、本人確認の電子ID（eID）や電子認証・電子署名などの電子トラストサービス（eTS）の統一基準である「eIDAS規則」を作成しています。また、PDF署名など電子署名のデータの国際標準化も合わせて進められています。

　日本を含む電子契約の世界では、まだこのようなセキュリティ技術の専門的知見から中立的に定められた最低限守らなければならない共通のルール、適切に運用されているか第三者が確認するような制度が十分に進んでおらず、電子契約サービスを提供する各社が、それぞれ独自の基準を定めてサービス提供している状態です。海外のルールも参照しつつ、日本の人々と日本企業各社が、安全に電子署名や電子契約を利用・提供できるよう、技術的に信頼できる、利用者が使い分けの判断ができるようにする為の保証レベルの整理が不可欠となっています。

【「電子印鑑GMOサイン」について】（URL：https://www.gmosign.com/）

　「電子印鑑GMOサイン」は、契約の締結から管理までをワンストップで行えるクラウド型の電子契約サービスです。2020年12月末時点で導入企業数が14万社を超え、国内電子契約サービスにおける導入企業数No.1^（※1）となり、2021年９月時点では31万社を超えています。

　国内向けに提供されている各種電子契約サービスの中で、「メールアドレス等により認証を行う立会人型（契約印タイプ）」と、「電子認証局による厳格な本人認証を行う当事者型（実印タイプ）」のハイブリッド契約にも対応している数少ない電子契約サービスです。

　また、2021年7月にはマイナンバーカードをスマホにかざすだけで厳格な本人確認を簡単・迅速に完了できる、日本初^（※2）の『マイナンバー実印』の提供も開始いたしました。今後、対面での本人確認や紙の各種証明書を用いた契約に代わる、便利かつスピーディで信頼性の高い本人確認ができる電子契約サービスとして、官民問わず幅広いシーンで活用頂けるよう、より一層サービスの拡充を進めてまいります。

（※1）2020年12月31日までの「当事者署名型」「立会人型（事業者署名型）」のいずれかに対応した「GMOサイン」の導入企業数。事業者（企業または個人）につき1アカウント。複数アカウントをご利用の場合、重複は排除。
（※2）マイナンバーカードによる個人認証（公的個人認証）をした上で、パブリック認証局が発行したAATL（Adobe Approved Trust List）証明書により、署名できるクラウド型電子契約サービスとしては日本初。

【GMOグローバルサイン・ホールディングス株式会社について】

　1996年のサービス開始以来、ホスティング事業者として11万を超える法人のお客様のサーバー運用実績と国内およそ6,700社の販売代理店を有しています。2011年2月にクラウドソリューションを立ち上げ、クラウドサービス事業に本格的に参入して以降、クラウド事業に主軸を置いて国内のみならず世界へ向けてサービスを展開し、グローバル企業を含む多くの企業に最適なITインフラを提供しております。

【「GlobalSign」について】

　1996年にベルギーでサービスの提供を開始し、ヨーロッパで初めてWebTrustを取得した認証局です。eID^（※3）(BELPIC)をはじめとするベルギー電子政府プロジェクトの最上位認証局である、ベルギー政府認証局への認証を行うなど政府レベルのセキュリティを、日本をはじめワールドワイドに販売展開しています。現在では、SSLサーバ証明書をはじめとした2,500万枚の電子証明書発行実績と、政府関連機関や大手企業へ多数の納入実績があります。
近年では、空飛ぶクルマ・ドローンの通信制御やオンライン発行された新型コロナウイルス感染症のPCR検査結果証明書にGlobalSignの電子署名が採用されるなど、活用の場が広がっています。
（※３）ベルギーの電子政府プロジェクトの一環として始まった国民ID カードプロジェクト。12歳以上のベルギー全国民に対して電子証明書入りのIDカードが配布される。