電子署名とは、電子文書での契約において、その文書が「作成者本人による正式なもの」であり、かつ、その内容が「改ざんされていないこと」を証明するための技術的措置です。
「電子署名＝紙文書でのサインやハンコに相当するもの」と考えるとイメージがしやすいかもしれません。

なぜこれが必要になるかと言えば、紙文書と違い、電子文書には直接印を押したり、署名したりすることができないからです。そして、紙文書に比べて、電子文書は複製したり、書き換えたりといったことが容易にできてしまうからです。
電子文書も紙文書と同様に、ある契約においてトラブルが発生した際に、作成した本人によるウソ偽りのない文書であることを証明できなければ、その契約自体に法的な効力が認められないリスクがあります。

そこで問題になるのが、どのようにして「作成者本人によるもの」であることや「改ざんされていないこと」を証明するかということです。
具体的な技術については後述しますが、ここでは簡単に、その仕組みについてご説明します。

まず「作成者本人によるもの（本人性）」であることを証明する手段として使われるのが、電子証明書というものです。電子証明書は、認証局という信頼できる第三者機関が発行し、その持ち主が本人であることを証明するインターネット上における身分証明書のようなものです。「電子署名＝ハンコ」だとすれば、「電子証明書＝印鑑証明書のようなもの」と言えるでしょう。電子署名をした文書と電子証明書とをセットにすることによって、その電子署名が本人によるものであると証明することができるのです。

次に「改ざんされていないこと（非改ざん性）」を証明する手段として使われるのが、タイムスタンプという技術です。電子文書に対して電子的にスタンプを付すことで、その時間をデータとして記録します。これにより、スタンプが付された時間にその文書が確かに存在していたことと、その時間以降に内容が改ざんされていないことを証明できるのです。

電子サインとの違い

電子サインとは、電子的に署名をするものだけでなく、契約の合意や本人確認の認証を電子上で行うプロセスを広く指し示す言葉です。
代表的な例としては、店頭でサービスを契約する際に、タブレット端末に表示された契約文書にタッチペンで署名をするものが挙げられますが、それ以外にも、メールや電話での認証や、指紋や声紋による生体認証も、電子サインに含まれています。

電子サインは、従来の紙文書にしていた手書きの署名の代わりとして利用されており、もちろん法的な効力はあります。しかし、そのためにはやはり、本人によるものであるかが確認できること、かつ、改ざんされていないことを証明できるものでなければなりません。

また、電子署名は、電子サインと混同されることが多い言葉ですが、厳密には違いがあります。
電子署名は、多様な電子サインの中でも電子署名法で認められているものを指す言葉であり、電子サインの一種なのです。
電子署名は、電子署名法によって厳格に要件が定められているため、それだけ真正性が高く、証拠能力が高いと言うことができます。

前述のとおり、電子署名には「本人性」を証明するために電子証明書が必要であり、「非改ざん性」を証明するためにタイムスタンプが必要です。（なお、厳密には、電子証明書にも「非改ざん性」を証明できる側面がありますが、電子証明書だけではカバーできない部分があるため、ここではより強力なタイムスタンプが必要としています。）

ここからは、その仕組みを解説します。

まず、電子証明書についてです。
電子証明書では、「公開鍵暗号基盤（PKI）」と呼ばれる暗号技術を利用します。PKIでは、公開鍵と秘密鍵という2種類の鍵を用いるのですが、前提として、公開鍵と秘密鍵はいずれもデータを暗号化することができます。秘密鍵で暗号化したものは、対になる公開鍵でないと復号できません。そして、公開鍵は、他人に渡すことができますが、秘密鍵は本人のみが保有することができます。

1. 電子文書を送信するAさんが、認証局に対して、電子証明書の発行を申請します。

2. 認証局では本人確認を行ったうえで、公開鍵と公開鍵の持ち主の情報を含んだ電子証明書（公開鍵証明書）を発行します。

3. Aさんは、自身が保有する秘密鍵で文書を暗号化し、公開鍵証明書とあわせてBさんに送ります。

4. Bさんは、受け取った公開鍵証明書が正当なものであるかを発行元である認証局に確認します。

5. 正当であると確認ができれば、その公開鍵で暗号化された文書を復号します。
   そして、復号できた場合には、その公開鍵の対になる秘密鍵は Aさん本人しか保有していないはずなので、暗号化したのは Aさん本人に間違いないということが確認できるのです。

次に、タイムスタンプについてです。
タイムスタンプの仕組みには、ハッシュ値が利用されています。ハッシュ値は、あるデータからハッシュ関数というアルゴリズムによって算出される値のことで、元になるデータ固有の値です。また、タイムスタンプは、信頼できる第三者の時刻認証局が発行しています。

1. 電子文書の作成者であるAさんは、時刻認証局に電子文書のハッシュ値を送って、タイムスタンプを要求します。

2. 時刻認証局は、送られてきたハッシュ値に時刻情報を結合させたタイムスタンプをAさんに発行します。

3. Aさんは、電子文書と一緒にタイムスタンプを保管します。

改ざんされていないかどうかを検証する際には、検証したい電子文書のハッシュ値を算出し、それとタイムスタンプに結合されているハッシュ値を比較。その値が一致していれば、タイムスタンプを作成した時刻にその電子文書が存在していたことが証明でき、なおかつ、その時刻から改ざんされていないことが証明できるのです。

なお、電子署名には、契約をしようとする本人が電子署名を付与する「当事者型」と、契約を行う当事者ではない第三者が、当事者の指示にもとづいて電子署名を付与する「立会人型」があります。

電子署名は、その仕組みこそ複雑ですが、運用自体はそれほど難しいものではありません。そして、業務が円滑に進み、従来の紙文書でかかっていた費用や手間を削減できるなど、導入した場合のメリットは多数あります。
今後さらにテレワークが進み、さまざまな業務がオンラインで完結できる時代になっていきます。ペーパーレス化を進めるうえで、安全に契約業務を行いたい場合に、電子署名は非常に有効な手段であると言えるでしょう。

日立ソリューションズでは、グローバルスタンダードな電子署名サービス「DocuSign（ドキュサイン）」の導入・定着化を支援しています。
「DocuSign（ドキュサイン）」を導入することで、契約書類や申請書、申し込み書といった各種書類の署名・承認・処理などを、オンラインで簡単に済ませることができます。是非ご検討ください。