eIDAS(イーアイダス)規則とは
2016年7月に施行されたeIDAS(イーアイダス)規則は、電子署名に関する指令(eSignature Directive 1999/93/EC)に置き換わるもので、EU(ヨーロッパ連合)全域にわたる電子署名の法的枠組みと、新たに定義された電子署名、タイムスタンプ、eシールを含むトラストサービスの範囲を定めています。
eIDAS規則(EU規則 No 910/2014)は、2016年7月1日に施行されました。この規則は相反するあらゆる国内法よりも優先されるもので、すべてのEU加盟国に「直接の効果」があり、すなわち強制的に完全適用されます。eIDAS規則は電子署名に関する指令(eSignature Directive 1999/93/EC)に置き換わるもので、EU全域にわたる電子署名の法的枠組みと、電子署名、タイムスタンプ、eシールなどを含む新たに定義された「トラストサービス」の範囲を定めています。
eIDAS規則は、EU加盟国の国境を越えて市民、ビジネス、公的機関のために便利で安全な電子取引を可能にすることを目的としています。
EUにおける電子署名の定義
eIDAS規則では、電子署名は次の3つのレベルで規定されています。
Standard Electronic Signature(標準電子署名)
eIDASの定義では、「他の電子的なデータに添付または論理的に紐付けられた全ての電子的なデータであり、署名者が署名するときに使用されるもの」を含む、あらゆる電子署名をカバーしています。言い換えれば、署名者が同意あるいは承認の証拠として文書に適用する署名の電子的な形式です。これには、署名のスキャン画像、Webサイト上の[同意する]ボタンのクリック、および一般的に広く利用されている「Docusign eSignature」が含まれます。
Advanced Electronic Signature(高度電子署名)
よリ高レベルで署名者の同一性、セキュリティ、改ざん防止用のシールなど特殊な要件を満たすことが義務付けられた電子署名です。eIDAS規則では、以下の要件が定められています。
固有の署名者に関連付けられること
署名者の同一性を確認できること
署名者が独自に制御可能な署名生成データを用いて生成されること
署名時のデータに関連付けられ、署名後の改ざんが検出可能であること
Qualified Electronic Signature(適格電子署名)
EU加盟国において特別な法的ステータスを持ち、手書きの署名と法的に同等とみなされる電子署名です。これは特殊な電子署名で、Advanced Electronic Signature(高度電子署名)の要件を満たし、かつ正規の認証、つまりEUトラストリスト(ETL)に掲載され、EU加盟国に認証されたトラストサービスプロバイダーが発行した証明書によって裏付けられたものでなければなりません。トラストサービスプロバイダー(TSP)は、署名者の同一性およびその署名の信頼性を保証しなければなりません。Qualified Electronic Signature(適格電子署名)は署名者の同一性と署名者認証が非常に厳しいため、一般的なビジネス取引にとっては実用的でない場合があります。
eIDAS規則はまた、eシールの生成と検証についても定めています。eシールは、法人(企業など)のみが発行および使用できるものです。
eIDAS規則に基づく電子署名の認容性と法的有効性
eIDAS規則は、電子署名の各形式はEUの法廷における証拠としての認容性があると保証しており、電子形式であることのみを理由として法的有効性が否定されることはないとしています。
電子署名を用いて締結された取引の強制力は、使用された署名の種類とそれに組み込まれた証拠を含む、さまざまな要素により異なります。たとえば、メールの末尾に入力された名前の法的有効性は、トラストサービスプロバイダー(TSP)による裏付けやEU加盟国による規制など、複数のEU技術標準を満たし、有意な署名者情報が組み込まれたQualified Electronic Signature(適格電子署名)よりも劣ると考えられます。
eIDAS規則では、取引のどの場面で実際に署名が必要であるか、またどのような種類の署名が必要であるかについては述べられていません。つまり、EU加盟諸国は、(i)電子的に署名できない取引や(ii)Advanced Electronic Signature(高度電子署名)やQualified Electronic Signature(適格電子署名)などの高レベルな形式の電子署名が必要になる取引について、各国の法律で定めなければならないということです。
Qualified Electronic Signature(適格電子署名)は手書きの署名と同等の法的有効性を持ち、EU加盟各国において相互に認められています。しかしながら実際は、加盟各国(またはその法廷)がQualified Electronic Signature(適格電子署名)を使って取引を認証することはほとんどありません。また同様に、法的要件によってほかの特殊な種類の署名が必要であったり、電子署名の使用が妨げられるようなこともありません。
つまり、EU法の下では、企業、通商、消費者、人材、および財務関連のほとんどの署名プロセスで、特定の種類の電子署名が法的に求められることはありません。Advanced Electronic Signature(高度電子署名)またはQualified Electronic Signature(適格電子署名)が必要とされる場合、および電子署名を使用できない場合の例については、ドキュサインの電子署名 - 法的有効性に関するガイドを参照してください。
eIDAS規則と欧州の電子署名技術標準
eIDAS規則は、その前身となる電子署名に関する指令(eSignature Directive 1999/93/EC)同様、技術的に中立です。ただし、欧州委員会による電子署名の勧告技術基準に照らして認定されたトラストサービスプロバイダーは、eIDAS規則について「準拠していると仮定」できます。実際のところは、加盟国全てではなくとも大半の国で、適格トラストサービスプロバイダーに対してEUトラストリスト(ETL)に含まれる前にこの技術標準を満たすことを求めています。
この技術標準はEUのトラストサービスプロバイダーを規制し認定するもので、次に対応する標準を含んでいます。
Advanced Electronic Signature(高度電子署名)やQualified Electronic Signature(適格電子署名)を含む、eIDAS規則の定義する様々な電子署名の仕様
トラストサービスプロバイダーならびにEU信頼リストの認定と管理についての仕様
電子IDおよびその保証レベルの技術仕様
eIDAS規則が従来の指令と置き換えられた背景やメリット、さらにドキュサインの対応については「eIDAS規則によって何が変わるのか?」をご覧ください。
ドキュサイン製品に関するご質問は、弊社営業担当までお電話(03-4588-5476)または専用フォームにてお問い合わせください。
関連記事