そもそも電子証明書とは?
電子証明書とは、個人または法人の本人確認やデータ改ざん防止のために利用する、電子的な証明書のことです。ビジネスシーンでは、商業登記の電子申請や電子契約、税務申告、行政手続き、電子入札など幅広い場面で使われます。
電子証明書は、電子署名法に基づき総務大臣や法務大臣の認定を受けた認証局(CA)などが発行します。第三者機関が認定・発行することで、客観的な正当性を保つのです。
平成13年「電子署名及び認証業務に関する法律(電子署名法)」が施行されました。電子署名法では、本人による電子署名が行われている場合、その電磁的記録(電子文書等)が真正に成立したものと推定されることが定められています。これにより、書面と同様に電子文書が法的効力を持つことが可能になります。
電子署名が本人のものであることを証明する業務は、認証局が担います。認証局に公開鍵を登録し、本人確認が行われると、証明書が発行されます。これが電子証明書です。利用する電子証明書の認証レベルが十分でない、正規の手続きによらずに発行されたなどの理由で電子証明書によって本人確認が保証されない場合には、電子署名が法的に有効とされないこともあります。その場合、電子署名が本人の作成に係るものであることを別途証明する必要が生じます。
電子証明書の仕組み
電子証明書はインターネット上での本人確認や、情報の安全性を保証します。送信側では暗号化された文書に付与された電子署名の正当性を保証するほか、受信側が電子署名や文書の信頼性を確認するときにも役立ちます。
電子証明書の仕組みを、送信側・受信側でまとめました。
電子証明書を送信する場合
電子証明書は、オンラインでの機密情報取引を安全に行うためなどに「公開鍵暗号方式」という仕組みで使われます。電子証明書は、「公開鍵」とその所有者情報(氏名や法人名など)を紐づけたデジタル証明書です。電子署名を付与した文書と、公開鍵の情報を含む電子証明書を相手方に送付します。この公開鍵暗号方式に基づく電子認証の技術基盤を、公開鍵暗号基盤(PKI)と呼びます。本人であることが第三者機関である電子認証局によって確認されると、証明書が発行されます。
電子証明書は、e-TaxやeLTAX上での納税時、商業登記、法人登記、電子契約など幅広い場面で使用されます。
電子証明書を使用するには、まずは必要な書類をそろえて認証局に申請する必要があります。
電子証明書の発行には、発行機関や証明書の種類によって手数料が必要です。さらに申請・届出等手続によっては、利用できない電子証明書もありますので、必要に応じて、所管する行政機関等に問合せてください。
また、電子証明書には有効期限が定められています。期限が切れた証明書は無効となるので、継続したい場合は期限切れの前に更新手続きを行う必要があります。
電子証明書を受信した場合
通信相手から受け取った電子証明書は、証明書検証を行うことで、信頼できる証明書かどうかを確認できる仕組みになっています。証明書検証の手順は、以下のとおりです。
- 正当な認証局から署名者本人に発行された証明書であるか?
- 署名時に証明書は有効期間内であったか?
- 署名時に証明書は失効していなかったか?
(引用:電子認証局会議 https://www.c-a-c.jp/about/knowledge.html)
電子証明書には発行した認証局の電子署名があります。この電子署名にも電子証明書がついているので、認証パスを辿り、信頼性のある認証局が発行したものかどうかを確認します。認証パスとは、電子署名の発行先をたどるプロセスです。電子署名には、発行元である認証局の電子署名が付与されています。さらにこの認証局の電子署名にも、上位の認証局の電子署名が付与されています。この認証の連鎖をたどり、最上位の認証局(ルート認証局)にたどり着く過程が認証パスです。
電子証明書自体の正当性が確認できたら、有効期限や失効していないかどうかも確認します。電子証明書が失効していないかどうかの確認は、認証局の失効リストで行います。こうした検証をクリアした電子証明書および証明書に含まれる公開鍵は信頼できるものと判断され、法的にも有効なものとして扱われます。
失効リスト(CRL:Certificate Revocation List)とは
失効リストとは、有効期限内に失効となった電子証明書を一覧にしたものです。秘密鍵が外部に漏洩した恐れがあるときなど、正当な理由に基づき失効手続きがなされた電子証明書がリストアップされ、誰でも確認できるようになっています。
使用された電子証明書が失効リストにリストアップされている場合、その電子証明書に基づいた電子署名は有効性が認められない場合があります。このような電子証明書による電子署名を信用するとトラブルに巻き込まれる危険がありますので、必ず送付元に確認をしてください。
ビジネスシーンにおける電子証明書の活用方法
それでは、実際の活用方法を見ていきましょう。ビジネスシーンにおける電子証明書の主な活用方法は、以下の2つです。
- 公開鍵暗号基盤(PKI)により公開鍵の信頼性を確認する
- 電子署名の正当性を保証する
それぞれ詳しく見ていきましょう。
① 公開鍵暗号基盤(PKI)により公開鍵の信頼性を確認する
公開鍵暗号基盤(PKI)で使われる公開鍵暗号方式(非対称暗号)では「秘密鍵」と「公開鍵」という一対の鍵が使われます。公開鍵で暗号化されたデータは、対応する秘密鍵でのみ復号が可能です。
例えばAさんの公開鍵で暗号化されたメッセージは、Aさんの秘密鍵だけが解読できます。Aさんから公開鍵を受け取ったBさんは、それを使って暗号化した文書をAさんに送ります。Aさんは自分の秘密鍵を使って、それを複号するのです。
公開鍵は一般に広く公開されています。ただし秘密鍵は、Aさんしか持っていません。つまりAさんに暗号文を送ることは誰でもできるけれど、文書を複号して読むことができるのはAさんだけ、という仕組みです。
しかし公開鍵単体では、本当にAさんが送って来たのかどうかわかりません。悪意ある別人が、偽の文書や公開鍵を送付してきた可能性もあります。
そこで必要になるのが、電子証明書です。
電子証明書には公開鍵の所有者や発行者の情報が含まれています。電子証明書と公開鍵をセットで送付することで、それが本当に正しい相手から送付されたものであることを証明できるのです。
なお公開鍵は誰でも入手できる情報であり、単体ではその公開鍵の本人性を証明できません。そこで公開鍵に所有者情報などが紐づけられ、第三者機関である認証局がその正当性を証明する電子証明書を発行するのです。
電子証明書と公開鍵の標準規格「X.509」
X.509とは、電子証明書のフォーマットとそこに含める情報の内容(公開鍵や所有者情報など)や構造、形式を定めた標準規格です。国際標準化機構(ISO)と国際電気通信連合(ITU)が共同で策定しました。X.509に準拠した電子証明書は、証明書本体と、それを認証局が自身の秘密鍵で署名した「認証局署名」によって構成されます。公開鍵は証明書本体の一部として含まれており、電子証明書はこの「証明書本体」と「認証局署名」を合わせたものを指します。
② 電子署名の正当性を担保する
電子署名は公開鍵暗号基盤を使用した、電子上の「押印」「サイン」に該当するシステムです。秘密鍵を用いて電子契約書などに署名を行い、作成者を証明したり、内容の完全性を保証したりします。署名された文書を受け取った側は、署名者の公開鍵を使って署名の検証が可能です。
電子署名の公開鍵にも、電子証明書が使われます。データを送付した人が間違いなく署名の人物であることを証明し、署名の正しさを保証するのです。
さらに電子署名では、公開暗号方式と組み合わせて「ハッシュ」という技術が使われます。ハッシュとは元のデータを異なるデータに変換する技術です。変換後のデータは「メッセージダイジェスト」と呼ばれ、以下のような特性を持ちます。
- 元に戻せない
- 元データが変わると、メッセージダイジェストも変わる
もしも元データに改ざんが行われた場合、元のメッセージダイジェストと見比べることで、改ざんを発見できます。つまりハッシュを使用することで、文書が改ざんされた場合にそれを検知でき、電子証明書で本人の署名であることを保証できるようになる、という仕組みです。
電子証明書はなぜ安全なの?
電子証明書には証明書の発行者名と、発行した「認証局」の情報が入っています。認証局は電子署名法に基づき、国の認定を受けた機関です。最も厳格な「ルート認証局」と、下位に位置する「中間認証局」があります。電子証明書の用途や種類にあわせ、より厳しい発行基準を設けることで、安全性を高めているのです。そのため認証局から発行された電子証明書は高い信頼性を持ち、マイナポータルをはじめ、国や自治体の申請制度にも広く活用されています。
また認証局は年に一度、指定調査機関による調査を受けます。調査の結果、何らかの指摘を受け、指摘に基づいて業務改善を行わない場合には、認定が取り消される場合もあります。
電子証明書や認証局の信頼性は、国が確認しているのです。
電子証明書を取得するには?
電子証明書を取得するには、まずは認証局を選択する必要があります。用途や条件、発行費用などを比較しながら検討してください。
必要な書類をそろえ、Webや対面で申請を行います。
登記所が発行する商業登記電子証明書の場合、取得の大まかな流れは、以下のとおりです。
① 専用ソフトをインストールする
電子証明書を取得するための、専用ソフトウェアをインストールします。なお法務省が提供する「商業登記電子認証ソフト」は、無償で利用可能です。
② 申請に必要なファイルを作成する
「鍵ペアファイル」と「証明書発行申請ファイル」を作成してください。
なお電子証明書発行申請に際し、「証明書発行申請ファイル」は、会社・法人の本店または主たる事務所の所在地を管轄する登記所(管轄登記所)に提出します。
③ 電子証明書の発行申請
電子証明書の発行申請は、以下のいずれかで行います。
- 書面
- オンライン
申請後、登記所での処理が完了するとシリアル番号が通知されます。
④ 電子証明書の取得(ダウンロード)
インターネット経由で電子認証登記所にアクセスし、電子証明書をダウンロードしてください。なお手続によっては、ICカード形式の電子証明書のみ使用可能となっている場合があります。
まとめ
デジタル化が進む現在において、電子証明書はネット上の情報の信頼性を保証するものとして普及しています。
電子証明書の仕組みは、秘密鍵と公開鍵という一対の鍵を使った公開鍵暗号方式(非対称暗号)に基づいています。秘密鍵で署名されたデータは、ハッシュ値によって改ざんを検知できるようになり、電子証明書と組み合わせることで送信元が本人であることを担保するものです。電子証明書によって本人性が確認できる電子署名は、電子署名法において真正に成立したものと推定され、法的効力を持つことが示されています。
電子証明書はビジネスシーンでやりとりをはじめ、マイナンバーカードを使った電子申請や電子契約など、多くの場面で使われています。DXや多様な働き方・生き方が認められつつある現代社会では、今後ますます、電子証明書の重要性は増していきそうです。
電子証明書をはじめとする電子データのセキュリティのための技術はリーガルテックの分野でも活用され、安全性に関する開発も進んでいます。LegalOn Cloudは、AIテクノロジーを駆使し、法務業務を広範囲かつ総合的に支援する次世代のリーガルテックプラットフォームです。高いセキュリティ性を確保した電子契約サービス他、必要な契約業務支援サービスを選んで導入できるため、初めてリーガルテックの導入を検討する方にもおすすめです。
<関連記事>
