-第2章- 暗号と電子商取引

    暗号と電子商取引

−パソコン通信

 コンピュータネットワークを使った売買で一番早く普及したものは、やはりパソコン通信上の売買だろう。パソコン通信初期は、自作のソフトを只で提供するいわゆるPDS(パブリックドメインソフトウェア)や、安価で提供するシェアウェアが便利なツールとして広く使われていた。当初は振込等の送金で支払いが処理されていたが、そのうちパソコン通信事業者が、これを代行して翌月の通信費から引き落とすシステムを作り上げ、ソフトウェアのダウンロードから決済までネットワーク上ですべてが終わるシステムが出来上がった。不正アクセスでない限りは登録した会員からのアクセスであること、会員間のみでの売買であることから、赤の他人よりは比較的信頼関係を持ちやすいというパソコン通信の特質を生かしたものということが出来るだろう。

 しかし、既にパソコン通信の時代から、この信頼関係を逆手にとって詐欺を働くケースがあった。典型的なものは、パソコンを安価で売ると掲示して、たくさんの人からお金を事前に振り込ませてそのまま逃げてしまうというケース。あるいは、とんでもない質の低いものやひどいときはまったく別の物を送って、苦情を無視するケース等である。  後者はともかくとして前者は少し常識を働かせると、避けることが出来る事柄である。街角の掲示板の匿名での販売の申し込みに応じて、お金だけ払う人はほとんどいないと思うのだが・・・。もっとも、街角の掲示板やキャッチセールスと違い、一度に非常にたくさんの人に見せることが出来るネットワークの特質を生かせば、非常に効率よくごく少数の引っかかる人を見つけることが出来るという面ももちろんある。

− インターネット

 日本の隠れたベストセラーとして通信販売のカタログがある。共働きや晩婚化等の生活習慣の変化もあり、非常に多くの人が利用している。この通信販売が、実はインターネットに非常に馴染みやすい。わざわざカタログを製本して配布しなくても、元データをウェブサイトに置けば、インターネット利用者すべてに見せることが出来、経費を節約することが出来る。さらに、もともと、特約店や、卸・小売と続く複雑な流通経路にのせていない直販形態のため、流通業界からの反発が少ない。特に、宣伝費をあまりかけることの出来ない小さな地方の名店が、ウェブサイトを置いて注文を受け付けるようになり、さらに、「楽天市場」のように、そういった店を数多く集めた有名なサイト(サイバーショップ、サイバーモール)が出来るようになった。当初はモデムの画像処理の余りの遅さになかなか普及しなかったが、通信回線の高速化に伴って非常に普及している。

− 認証・公証・電子署名
 ここでの問題は、「相手を特定することが出来ない」こと、仮に住所氏名等がかかれていて相手を特定することが出来たとして、「相手が本当にその人ないし会社なのかが判らない」こと、契約書もなく署名もないため「もめた時の証明に困る」ことである。さらに、せっかくサイバーモールでオンライン上探して注文することが出来ても、その支払いは、ほとんどが面倒な振り込み等の送金、不安なクレジットカード決済である。出来ればオンラインですべてを済ませることが出来れば便利なのだが、オープンな構造のインターネットではセキュリティに不安が残り、カード番号と共に求められる自分の個人情報が漏れてしまう可能性がある。

 ここでは、決済の問題は後述する「電子決済」「個人情報保護」の章に譲るとして、それ以外の問題を考えてみよう。

 平成一二年、この問題を解決するために三つの制度が作られた。「電子認証制度」「電子公証制度」「電子署名制度」である。理解しやすいように一覧にしてみよう。

従来型制度 新制度
個人 印鑑登録 電子署名
電子認証
戸籍・住民票
法人 印鑑登録 電子署名
電子認証
商業登記
個人・法人 公証制度 電子公証制度

− 従来型制度

 ネットワーク上ではない普段の生活では、個人の特定はパスポートや運転免許証といった証明書でなされる。どちらも持っていない場合は、市役所・区役所等で住民票・身分証明書を発行してもらえるが、写真がなく他人でも取ることが出来るので、証明力はそれほど強くない。普通は保険証を代わりに使ったりする。これらに組み合わせて、個人の持つ実印と呼ばれる印鑑を、同じく役所に印鑑登録したものの写しの印鑑証明を使って、その人が間違いなく契約したことを推定する制度をとっている。これも、大切な契約でなければ三文判と呼ばれるどこにでも売っている印鑑を使うことのほうが多いだろう。

 ヨーロッパ式の本人の写真・署名付のパスポートを兼ねた身分証明書のない日本では、証拠に関しては、それほど厳格なものがないといってもいいだろう。

 日本独特の印鑑はどういう働きをしているのだろうか。郵便局へ行っても、役所へ行っても、銀行へ行っても、ともかく印鑑がないと書類が出来上がらない。忘れて行って、慌てて隣の文具店で三文判を買った経験をした人も多いことだろう。

 意外かもしれないが、民法で印鑑を求める条文は遺言の条文だけである。契約をするのに印鑑は必要ない。それどころか、ほとんどの契約が口頭で有効に成立し、効果を生じる。契約書を作るのは、争いになったときのために証拠を作るのが目的で、例外的に、消費者保護のために求められることがあるだけである。さらに、商法では「商法中署名スヘキ場合ニ関スル法律」が「商法中署名スヘキ場合ニ於テハ記名捺印ヲ以テ署名ニ代フルコトヲ得」として、法律上の原則が「署名」であるとしている。

 印鑑が意味を持つのは、民事訴訟法二二八条で「私文書は、本人又はその代理人の署名又は押印があるときは、真正に成立したものと推定する」という推定効を受けることが出来ることにある。さらに、他人の署名・印鑑(印章)を勝手に使って、権利、義務若しくは事実証明の書類を作成すると、刑法一五九条で私文書偽造罪になる可能性がある。  普段の生活でも、いかにアバウトな制度しかないかという点は、理解していただけると思う。結局偽造・変造することが出来ても、全体としてみたときにその手間と刑罰の威嚇で社会的に問題がなければ制度として利用されているのである。

 平成一二年に作られた三つの制度もこれらをネットワーク上で実現したものになっている。

【電子署名の定義】

− 電子署名制度

電子署名制度は、「電子署名および認証業務に関する法律(以下「電子署名法」と略す)」(平成一二年五月三一日法律第一〇二号)によって定められた。二条に「電子署名」の定義がある。

電子署名法の解説
http://www.law.co.jp/okamura/jyouhou/e-sign.htm#

「この法律において「電子署名」とは、電磁的記録(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式で作られる記録であって、電子計算機による情報処理の用に供されるものをいう。以下同じ。)に記録することができる情報について行われる措置であって、次の要件のいずれにも該当するものをいう。 1.当該情報が当該措置を行った者の作成に係るものであることを示すためのものであること。

2.当該情報について改変が行われていないかどうかを確認することができるものであること。」

非常に難解だが、機能から定義しなおすと、「文書の作成者を特定し、かつ、文書に表示された意思がその者により真正に表示されたことを推認させるという署名と同一の効力を有する一定の電子的な暗号処理等の手続」といえるだろう。

解かりにくい条文になったのは、変化の早いITの領域で特定の技術のみに法的な効果を認めることはできないため、現在普及しているデジタル署名に限定しないように規定しなければならず(技術的中立性)、かつ証拠として採用されることが予見できる(予見可能性)ようにしなければならなかったためである。

− 暗号とデジタル署名

これだけでは解かりにくいので、現在普及しているデジタル署名の構造を簡単に説明しよう。
まず、なぜ署名と暗号が関係するのだろうか。
 歴史的に見ると、暗号は、軍事外交面での情報の「秘匿」のために利用されてきた。一九七〇年代になって、ネットワーク上の署名に変わる本人確認(「認証」)のために暗号利用が提唱されるようになった。秘密の確保(秘匿)の長い歴史を持つ暗号が真正性の確認という認証という新しい機能を持つようになったのである。

 暗号を解くには、従来、解読表や解読機械によってなされ、これ自体厳重に秘密を保つ必要があった。解読が認められた人だけにこの秘密の鍵(秘密鍵)を共有させたのである(共有鍵)。この方法でも、例えば、知らせたい相手だけにあらかじめ秘密鍵を渡しておけば、自分のファイルを暗号化して送ることにより、情報を秘匿することは出来る。しかし、不特定多数の人に認証してもらうために使うのは大変である。そこで、すべての人に公開する鍵(公開鍵)を作り、その中に秘密鍵を入れ込むという手法がとられた。

 これには素因数分解を利用する。不特定の相手に利用して貰う「公開鍵[231]」の中に、自分だけが知っている「秘密鍵[3×7×11]」を含ませる。「鍵を二重構造にし、外側の鍵を公開して不特定多数の人々に使わせ、内側の鍵は自分だけの秘密とする方式で、公開鍵から秘密鍵を割り出せないようにするという発想である。

231程度の数だと簡単に組み合わせがわかってしまうが、コンピュータ処理を前提とした数百桁の数だから、理論的に解読が不可能ではなくても現実には最速のコンピュータを使っても数十年単位の時間がかかるようにしておけば、現実の利用には問題がない。コンピュータが非常なスピードで進化しているため、暗号自体もそれに応じたスピードで大きなものになっていっている。

− 電子署名の効力

 このような構造をもつ電子署名は、「認証機関」によって発行されることになる。  そして、電子署名の付された電子には文書の真正な成立が推定される(電子署名法三条)。認証機関は、国の許可制ではなく単に認定する形をとる。また、国の認定を受けていない認証機関でも推定効を受けることができるが、その場合、必要な立証は自分ですることになる。

 このあたりの制度の作り方は、国によって異なっている。
ウェブサイトで取引が出来る以上、ある国の電子署名が他の国で認められなければ意味がない。国際的な整合性が強く求められるのだが、今のところはばらばらになっている。

 例えば、認証機関に認定制を採るか許可制をとるかという点では、EUでは指令で任意の認定のみ認め、ライセンス制・許可制を否定し、イギリスは登録制のみを採り、韓国・シンガポール・マレーシアは 任意の認定制をとる。アメリカに至っては、民商法が州の管轄であるため、認定制の州と認定制がない州に分かれている。

   電子署名の法的効果としては、文書が真正に作成されたものとの推定する効力(文書真正推定効)、本人が作成したものと推定する効力(本人性推定効)、改ざんされていないことを推定する効力(非改竄性推定効)の三つがありえる。
 これも、日本の場合、民事訴訟法二二八条と同等の法的効果(文書真正推定効)を認めるだけだが、韓国・シンガポールでは、本人性の推定まで認め、イギリスでは登録制度だけで推定の効果は与えない。アメリカでは推定効・任意の認定制度も不要とし、署名を求める規定に、電子署名を有効とするだけでも良いとする考え方である。イギリス、アメリカでは、裁判官が個々のケースごとに判断し、その積み重ねでルール化するという「判例主義」の発想からこのような取り扱いになる。また、EUでも、国によって関与の度合いが違う。現実の署名・押印に与えている効果の違いから生じる差異と考えれば判りやすいだろう。

   結局、海外の認証機関を相互にどう認証するか(「国際相互認証」)の問題が残るが、これも、これからの課題として残されている。

− 認証機関の責任

 もう一つ残された問題が、認証機関が誤った認証をした場合の責任をどうするかという点である。消費者契約法との関係で、認証機関の責任を免除する約款があった場合、これが有効かどうかという問題ある。

また、認証制度発展のために、認められる一定程度に限定すべきという考え方と、認証機関が証明している以上、認証機関の過失を推定、または、無過失でも責任を負うべき(EU指令)という考え方が対立している。