は じ め に
本稿で紹介するのは、九九年一一月三〇日にEUの電気通信相理事会で決定されたEUの電子署名指令である。同指令は、EU構成国が、電子署名制度についての統一的な国内措置をとることを求め、EU全域での電子署名制度の法的な効力の承認とその制度化についての基本的な方針を示すものである。すでに、EUにおいてもドイツ、イタリアなどでは、電子署名法制が整備されてきているが、EU全域において、その基本的な法制が統一化されることは、国際的な電子署名の普及にとっても、その法制の整合化にとっても、今後極めて大きな影響を及ぼすものと考えられる(1)。
わが国でも、現在、通商産業省の研究会および郵政省の研究会等の報告に基づき電子署名制度および認証制度についての基本的な法制化の方針について、パブリックコメント手続を経た段階であるが、わが国のかかる法制化に際しても、EUなどの制度を正確に比較法的に検討しておくことは極めて重要な作業であると考えられる。本稿では、とりあえず、EU指令の試訳を掲げるとともに、その基本的な骨子を紹介し、とりあえずの電子署名法制の比較法的検討の準備的作業としておきたい。
(1) ドイツのデジタル署名法については、拙稿「ドイツ流サイバースペース規制ー情報・通信サービス大綱法の検討ー」立命二五五号一四一頁以下(一九九八年)一八六頁以下の試訳、拙稿「ドイツ・デジタル署名法と電子認証ーサイバースペースの不確定性克服の制度基盤の検討ー」立命二五六号三一頁以下(一九九八年)を参照。イタリアの電子署名法については、さしあたり、ジョバンニ・ツィカルディ著(米丸訳)「イタリアにおける電子文書およびデジタル署名に関する立法」法セミ五三一号一二七頁以下(一九九九年)参照。また、サイバー法研究会編『サイバースペース法』(日本評論社、二〇〇〇年)に所収の電子署名関連の論稿(二ー二ーC一−C四)も参照。
EU電子署名指令の特徴
指令の特徴は、次の点である。
1 電子署名の法的効力の承認
指令は、電子署名が、電子的な形式によるものであるだけの理由で、手書きの署名とその効力において差別されてはならないことを定める(五条二項)。そして電子署名製品、証明証および認証サービスプロバイダ(認証サービス事業者)が、指令の定める特別な要件を満たせば(指令は、それぞれ「先進電子署名」、「安全署名作成装置」、「適格証明証」として区別している)、それらにより作成される電子署名を、法的には手書き署名と同等の効力を持つものとして扱うことを求めている。また手書き署名が、争訟手続において証拠としての証明力を認められるのと同様に、電子署名も証拠能力が認められるべきであることを定めている。
こうして指令は、手書きの契約書等に記された署名と電子署名を基本的な法的効力の点で同等のものとして扱うことにより、電子的な通信の中での電子署名の法的意義を認めるのである。
2 電子署名製品および認証サービスの自由な流通
指令は、電子署名に関する製品が、事前の許認可なく自由に流通させることができ、認証サービスも許認可なしに営むことができることを定める(三条)。特に、EUにおいては、たとえばある構成国に属する認証サービスプロバイダは、他の構成国で改めて許認可や事前の統制を受けることなく、そのサービスを提供することができることを保障することにより、EUの内部市場における製品とサービスの自由流通を保障することとしている。この点は、従来より、人、もの、資本の自由流通により内部市場を形成してきたEUの共通市場政策の延長といってよい。
3 認証サーピスプロバイダの責任
第三に、指令は、認証サービスプロバイダの責任についても、最小限の規定をおいている(六条)。それが発行する証明証に記載された事項についての法的責任を明示している。責任の明確化を通じて、認証サービスの信頼性を高めると同時に、自由な流通を保障された証明証および認証サービスについての最低限の基盤的な保障を行い、また一方でプロバイダが参入をい縮しないような効果もめざされているものと思われる。
4 技術中立的な枠組
第四に、指令は、電子署名の信頼性を高めるための技術については、技術中立的なアプローチを取っている。署名作成データと署名検査データの二組のデータを用いて、署名の確認を行い、また認証サービスプロバイダにより発行される証明証を用いて署名者の同一性を確認するスキームを取ってはいるが、技術的には非対称暗号技術によるデジタル署名やバイオメトリクスを利用した署名技術など、技術的な発展に応じた柔軟な法的枠組を用意している。
5 適用の重点
指令は、その適用対象の重点を、電子データの送信者の特定を目的として公に発行される証明証、認証サービスにおいている。したがって、契約当事者間または既知の通信当事者間で、技術的な通信方式について合意が得られているような場合にも基本的にはその効力を認める(五条二項、考慮事項(16))が、多くの規制をおいているわけではない。たとえば、いったん当事者間で相互の信頼の下に通信が成立した後は、共通キー方式の暗号技術を用いた通信が行われることも当然予想されるし、それを指令は排除するものではない。その場合も、通信に付される署名データは、電子署名としてその法的な効力は認められることになろう。企業内、同一組織内のイントラネットなどでの通信方式についても同様である。
6 国際的な観点
指令は、EU域内の共通の制度枠組を示すと同時に、域外との通信についても言及している。それによれば、第三国との関係では、証明証および認証サービスの二国間または多国間での相互認証により、相手国の認証サービスプロバイダが発行した証明証を相互に受け入れ、法的にその効力を認めることとしているのである(七条)。
〔資料〕
EU電子署名指令
米丸恒治(訳)
電子署名のための共同体の枠組に関する一九九九年一二月一三日の欧州議会および欧州連合理事会の指令
1999/93/EC
欧州議会および欧州連合理事会は、
欧州共同体設立条約、および特に第四七条第二項、第五五条および第九五条を考慮し、
委員会からの提案(1)を考慮し、
経済社会委員会の見解(2)を考慮し、
地域委員会の見解(3)を考慮し、
条約第二五一条に定める手続にのっとり(4)、
(1) OJ C 325, 23. 10. 1998, p. 5.
(2) OJ C 40, 15. 2. 1999, p. 29.
(3) OJ C 93, 6. 4. 1999, p. 33.
(4) Opinion of the European Parliament of 13 January
1999 (OJ C 104, 14.4.1999, p. 49), Council Common Position of 28 June 1999
(OJ C 243, 27. 8. 1999, p. 33) and Decision of the European Parliament
of 27 October 1999 (not yet published in the Official Journal). Council
Decision of 30 November 1999.
以下の諸点を考慮したがゆえに、
(1) 一九九七年四月一六日に、委員会が、欧州議会、理事会、経済社会委員会および地域委員会に対し、電子商取引における欧州のイニシャチブについての連絡文書を提出したこと、
(2) 一九九七年一〇月八日に、委員会が、欧州議会、理事会、経済社会委員会および地域委員会に対し、電子通信におけるセキュリティーおよび信頼性確保についての連絡文書ーデジタル署名および暗号のための欧州枠組に向けてーを提出したこと、
(3) 一九九七年一二月一日に、理事会が、委員会に、欧州議会および理事会のデジタル署名についての指令案を可及的速やかに提案することを要請したこと、
(4) 電子通信および電子商取引が、「電子署名」およびデータの真正確認(Authentication)を許容する関連サービスを必要としていること、構成国における電子署名の法的承認および認証サービスプロバイダの認定(Accreditation)に関する異なった規定が、電子通信および電子商取引の利用にとっての明白な障害を生み出すかもしれないこと、他方、電子署名に適用される条件に関する明確な共同体枠組が新技術への確信およびそれの一般的な受容を強めるであろうこと、構成国における立法が内部市場における財およびサービスの自由な移動を妨げてはならないこと、
(5) 電子署名製品の互換性(interoperability)が促進されるべきであること、条約第一四条にしたがい内部市場は財の自由移動が確保される内部境界なき区域から成り立つこと、二重利用製品の輸出統制のための共同体体制を構築する一九九四年一二月一九日の理事会規則
EC3381/94(5) および二重利用製品の輸出統制に関して理事会により採択された共同行動についての一九九四年一二月一九日の理事会決定
94/942/CFSP(6) に関わらず、内部市場内での自由移動を確保しかつ電子署名に対する信頼をえるために電子署名製品に対する必須要求事項がみたされなければならないこと、
(5) OJ L 367, 31. 12. 1994, p. 1. Regulation
as amended by Regulation (EC) No 837/95 (OJ L 90, 21.4.1995, p. 1).
(6) OJ L 367, 31. 12. 1994, p. 8. Decision as last
amended by Decision 99/193/CFSP (OJ L 73, 19. 3. 1999, p. 1).
(6) 本指令が公共の秩序または公共の安全にかかわる国内規定が適用される範囲の情報の秘密に関するサービスの提供を整合化するものでないこと、
(7) 内部市場が人の自由移動を確保し、その結果欧州連合の市民および住民はその住所を有する国以外の国の行政庁により取り扱われる必要のある機会がますます増加しているがゆえ、電子通信の有用性はこの点について大きな役割を果たし得るであろうこと、
ョ 急速な技術発展およびインターネットのグローバルな性格が、データの電子的な真正確認を可能とするさまざまな技術およびサービスに対して開かれたアプローチを必要としていること、
ッ 電子署名が極めてさまざまな環境および応用の中で、したがって電子署名に関するかまたはそれを用いるさまざまな新サービスおよび製品の中で用いられるであろうこと、かかる製品およびサービスの定義が証明証の発行および管理に限定されるべきものではなく、電子署名を用いたまたはそれに補助的なその他のサービスおよび製品、電子署名に関わる登録サービス、タイムスタンプサービス、ディレクトリサービス、コンピューティングサービスまたは相談サービスをも含むべきであること、
(10) 内部市場が、認証サービスプロバイダの競争力を向上させるために、そして国境にかかわらず安全な方法で電子的に情報および取引を交換する新たな機会を消費者およびビジネスに提供するために、認証サービスプロバイダに国境を越えた活動を展開することを可能ならしめること、オープンネットワークを通じて認証サービスの共同体全域での提供を刺激するために、認証サービスプロバイダは、事前の許認可なくそのサービスを提供する自由を有すべきものであること、事前の許認可とは、当該認証サービスプロバイダがその認証サービスを提供するまえに国内行政庁から得なければならないあらゆる許可のみならず、同一の効果を有するその他の措置をも含まねばならないこと、
(11 サービス提供の水準強化を目指す任意認定制度が、進展する市場が求めるレベルの信頼性、セキュリティーおよび質に向けたプロバイダのサービスのさらなる発展のための適切な枠組を認証サービスプロバイダに提供すると思われること、かかる制度が、認証サービスプロバイダ間における最善の実践の発展を促進すべきであること、認証サービスプロバイダが、かかる認証制度への参加およびそれからの便益の享受については自由に任されているべきであること、
(12) 認証サービスが、公共団体または法人もしくは自然人が国内法に適合して設立されているときには、それらのいずれによっても提供されることができること、構成国が任意認定制度の範囲外で活動することを認証サービスプロバイダに禁止すべきでないこと、かかる認定制度が認証サービスについての競争を低減しないよう確保すべきであること、
(13) 加盟国が、本指令において定められた規定の遵守の監視をどのように確保するかは決めてもよいこと、本指令が、民間部門に基礎をおく監視システムの構築を阻むものではないこと、本指令が適用可能なあらゆる認定制度のもとで監視されるよう申請することを認証サービスプロバイダに義務づけるものではないこと、
(14) 消費者ニーズとビジネス・ニーズとのバランスをとることが重要であること、
(15) 付属書Vが、先進電子署名の機能を確保するための安全署名作成装置の要求事項を定めていること、それが、かかる装置が作動する完全なシステム環境をカバーするものではないこと、内部市場が機能するために、委員会および加盟国に、安全署名装置の付属書Vとの適合性評価を委ねられた機関の指定を可能にするよう迅速な行動を求めていること、市場ニーズに適合するためには適合性評価は適時かつ能率的でなければならないこと、
(16) 本指令が、共同体内部で電子署名の利用および法的承認に貢献すること、規制枠組が、特定数の参加者間の私法上の任意の合意に基づく閉鎖的なシステムの内部でのみもっぱら利用される電子署名については必要ないこと、電子的に署名されたデータを受け取ることについて当事者間で方式および条件について合意する自由が、国内法により認められた範囲で尊重されるべきであること、かかるシステムにおいて利用される電子署名の法的効力および争訟手続における証拠手段としての許容性を認めるべきであること、
(17 本指令が、国内の契約法、特に契約の締結および履行に関するそれ、または署名に関するその他の契約外の形式規定を整合化することを目標としてはいないこと、それゆえ、電子署名の法的効力についての規定は、契約の締結または契約締結の場所の確定に関する構成国の形式規定に関わらないものであること、
(18) 署名作成データの保存および複写は、電子署名の法的有効性を危殆化せしめる得ること、
(19) 電子署名が、公共部門においては、国家行政および共同体行政の内部で、ならびにこれら行政間、およびこれらと市民および経済参加者の間での通信において導入されること、それはたとえば公共調達、租税、社会保障、保健および司法の分野において用いられるであろうこと、
(20) 電子署名の法的効果に関する整合化された基準によって、共同体全域に統一性のある法的枠組が樹立されるであろうこと、構成国の国内法においては、手書き署名の法的有効性に関する多様な要件が定められていること、証明証は、電子的に署名する人物の同一性を確認するために用いられることができること、適格証明証に基づく先進電子署名は、より高度なセキュリティー水準を目ざしていること、適格証明証に基づきかつ安全署名作成装置により作成される先進電子署名は、手書き署名に関する要件が充足されるときにのみ法的に手書き署名と同等とみなされることができること、
(21) 電子的真正確認方法の一般的な受容を促進するために、電子署名がすべての構成国において裁判手続きにおいて証拠手段として利用されることができることが確保されねばならないこと、電子署名の法的な承認は、客観的な基準に基づくべきであり、当該認証サービスプロバイダの許認可と結び付けるべきではないこと、電子文書および電子署名を利用することができる法分野の確定は、構成国法に服すること、本指令は、本指令の要件との適合について決定する構成国の裁判所の権限には関わらないのであり、それは、証拠手段の裁判所による自由な評価に関する構成国の規定にも関わらないこと、
(22 認証サービスを公に提供する認証サービスプロバイダは、責任に関する構成国の規定に服すること、
(23) 国際的な電子商取引の発展は、第三国の関与の下での国境を越えた合意を必要としていること、世界的な互換性を確保するために、認証サービスの相互承認に関する、第三国との多数国間規則に関する合意が有益でありえようこと、
(24) ユーザの電子通信および電子商取引への信頼を強化するために、認証サービスプロバイダは、データ保護立法および個人のプライバシーを遵守しなければならないこと、
(25) 証明証における匿名の利用についての規定は、構成国が共同体法または国内法により人物の同一性確認を求めることを妨げるべきではないこと、
(26) 本指令の実施のために必要な措置は、委員会に付与された執行権限の行使のための手続を定める一九九九年六月二八日の理事会決議(1999/468/EC(1))によりとられるものとすること、
(1) OJ L 184, 17. 7. 1999, p. 23.
(27) 委員会は、本指令の施行後二年において、とりわけ技術進歩または法的環境の変化が本指令の宣言された目標の実現にとって障害をもたらさないことを確保するために点検を実施すること、委員会は、関連技術分野の影響を審査し、欧州議会および理事会にこの点に関し報告書を提出するものとすること、
(28) 条約第五条に定められた補完性および比例性の原則により、電子署名および関連サービスの提供に関する整合化された法的枠組の創出の目標は、構成国によっては十分には達成されることはできず、かつそれゆえ共同体によりよりよく実現され得ること、本指令は、この目標の達成のために必要な程度を越え出てはいないこと、
以下の指令を制定した。
〔適用範囲〕
第一条 本指令の目的は、電子署名の利用を促進しかつその法的承認に資することである。本指令は、内部市場の真の機能の確保のために電子署名および特定の認証サービスのための法的枠組を設定する。
本指令は、国内法または共同体法により定められた形式に関する要件がある契約またはその他の法的義務の締結および有効性との関連での観点を把握するものでなく、国内法または共同体法において定められた文書の利用に関する規定および制限にも影響を与えない。
〔定義〕
第二条 本指令においては、次の各号に掲げる用語の意義は、当該各号に定めるところによる。
一 「電子署名」 別の電子データに付加されまたは論理的にそれと結びつけられておりかつ真正確認の方法として用いられる電子的形式のデータ
二 「先進電子署名」 以下の要件を満たす電子署名
(a) それがもっぱら署名者のみに帰属させられており、
(b) 署名者の同一性確認が可能であり、
(c) 署名者がその唯一の統制の下に保持することのできる手段により作成されており、
(d) 事後的なデータの変更を認識させ得るように、その関連するデータにリンクされている。
三 「署名者」 署名作成装置を所持しかつ自らの名前でか、またはそれが代表する機関または法人もしくは自然人の名前で行動する者
四 「署名作成データ」 署名者により電子署名の作成のために利用されるコードまたは私的暗号キーのような唯一のデータ
五 「署名作成装置」 署名作成データの具現のために利用される設定されたソフトウェアまたはハードウェア
六 「安全署名作成装置」 付属書Vの要求事項を満たす署名作成装置
七 「署名検証データ」 電子署名の検証のために使われる、コードまたは公開暗号キーのようなデータ
八 「署名検証装置」 署名検証データの具現のために使われる設定されたソフトウェアまたはハードウェア
九 「証明証」ある者の署名検証データに関連させられかつその者の同一性を確認する電子的証明
一〇 「適格証明証」 付属書Tに定める要求事項に適合する証明証を意味し、かつ付属書Uに定める要求事項を充足する認証サービスプロバイダにより発行されているもの
一一 「認証サービスプロバイダ」 証明証を発行しまたは電子署名に関連するその他のサービスを提供する機関または法人もしくは自然人
一二 「電子署名製品」 認証サービスプロバイダにより電子署名サービスの提供のために利用されるよう意図された、または電子署名の作成または検証のために用いられることを意図されたハードウェアもしくはソフトウェアまたはそれらの一部
一三 「任意認定(voluntary accreditation)」 特殊に認証サービスの提供のための権利および義務を課すあらゆる許認可で、当該認証サービスプロバイダの申請に基づいて与えられ、かかる権利および義務の細目を定めかつそれら権利義務の遵守を監督する権限を与えられた公共団体または私的団体により与えられるものを意味し、認証サービスプロバイダが当該許認可団体による決定を受けるまでは許認可から生じる権利を行使する資格が与えられない場合のそれ。
〔市場アクセス〕
第三条 構成国は、認証サービスの提供を事前の許認可にかからしめないものとする。
(2) 第一項の規定にかかわらず、構成国は認証サービス提供の水準強化を目標とする任意認定制度を導入しまたは維持することができる。かかる制度に関連するすべての条件は、客観的で、透明で、比例的でかつ無差別なものでなければならない。構成国は、本指令の適用範囲内に含まれる理由のために、認定認証サービスプロバイダの数を制限してはならない。
(3) 各構成国は、その領土内で設立され公に適格証明証を発行する認証サービスプロバイダの監督のための適切なシステムを構築することを確保するものとする。
(4) 付属書Vに定める諸要求事項への安全署名作成装置の適合性は、構成国により指定された公共団体または私的団体により判定されるものとする。委員会は、第九条に定められた手続きにより、ある団体を指定するかどうかを構成国が決定するための基準を確立するものとする。
前段落で定められた機関によりなされた付属書Vに定める要求事項との適合性の判定は、すべての構成国により承認されるものとする。
(5) 委員会は、第九条に定められた手続きにより、電子署名製品のための一般に承認された規格を確立しかつその参照番号を欧州共同体官報(Official
Journal)において公示することができる。構成国は、電子署名製品がそれらの規格に適合するときは、付属書Uナ項および付属書Vに定める要求事項への適合があるものと推定するものとする。
(6) 構成国および委員会は、付属書Wに定められた安全署名検査のための推奨事項に照らしてかつ消費者の利益のために署名検査装置の開発および利用を促進するために協力するものとする。
(7) 構成国は、公共部門における電子署名の利用をありうる付加的な要件に服さしめることができる。かかる要件は、客観的で、透明、比例的でかつ無差別なものとし、当該アプリケーションの特殊な性格にのみ関連しているものとする。かかる要件は、市民のための国境を越えたサービスに対する障害物となってはならない。
〔内部市場原則〕
第四条 各構成国は、その領土内で設立された認証サービスプロバイダおよびそれらが提供するサービスに、本指令にしたがって採用する国内規定を適用するものとする。構成国は、本指令の適用範囲内の分野において他の構成国に由来する認証サービスの提供を制限してはならない。
(2) 構成国は、本指令に適合する電子署名製品が自由に内部市場において流通することを許容されているよう確保するものとする。
〔電子署名の法的効果〕
第五条 構成国は、適格証明証に基づきかつ安全署名作成装置により作成された先進電子署名が、次の各号の条件をみたすよう確保するものとする。
(a) 手書き署名が紙ベースのデータに関連して求められる要件を満足するのと同様に、電子的形式でのデータに関して署名の法的要件を満足させること、および
(b) 法的な争訟手続において証拠として認められること。
(2) 構成国は、電子署名がもっぱら次の理由に基づいて法的効果および法的争訟手続きにおける証拠としての承認を否定されないことを確保するものとする。それが、
ー電子的形式をとっていること、または
ー適格証明証に基づいていないこと、または
ー認定認証サービスプロバイダによって発行された適格証明証に基づいていないこと、または
ー安全署名作成装置により作成されていないこと。
〔責任〕
第六条 最小限の事項として、構成国は、認証サービスプロバイダが、過失により行動していないことを証明するのでないかぎり、適格証明証として公に証明証を発行することによりまたはかかる証明証を公に保証することにより、その証明証を次の各号の点につき合理的に信頼するあらゆる機関または法人もしくは自然人に生じた損害を賠償する責任を負うことを、確保するものとする。
(a) 適格証明証に含まれているすべての情報の、証明証発行時における正確さに関して、および適格証明証に関して定められているすべての細目をその証明証が含んでいるという事実に関して。
(b) 証明証の発行時において、適格証明証において同一確認されている署名者が、証明証において与えられまたは同一確認されている署名検査データへの署名作成データの対応関係を保持していたということの保証について。
(c) 認証サービスプロバイダが署名作成データおよび署名検査データの双方を生成した場合においてそれらが相補的に使われることとができることの保証について。
(2) 最小限の事項として、構成国は、適格証明証として証明証を公に発行した認証サービスプロバイダが、それが過失により行動しなかったことを証明するのでない限り、証明証の取消の登録の過誤に関して、証明証を合理的に信頼する機関または法人もしくは自然人に生じた損害を賠償する責任を負うことを確保するものとする。
(3) 構成国は、認証サービスプロバイダが証明証の利用についての制限を、その制限が第三者に認識可能であれば、適格証明証に表示することができることを確保するものとする。認証サービスプロバイダは、証明証に付された制限を越える適格証明証の利用から生じる損害については責任を負わないものとする。
(4) 構成国は、認証サービスプロバイダが、証明証が使われ得る取引の価額についての限度を、その限度が第三者に認識可能であれば、適格証明証に表示することができることを確保する。
認証サービスプロバイダは、この最高限度を越えたことによる損害については責任を負わないものとする。
(5) 第一項ないし第四項の規定は、消費者契約における不公正条項についての一九九三年四月五日の理事会指令
93/13/EEC(1) には関わらないものとする。
(1) OJ L 95, 21. 4. 1993, p. 29.
〔国際的観点〕
第七条 構成国は、第三国において設立された認証サービスプロバイダにより公に適格証明証として発行された証明証が、次の各号の条件をみたすときは、共同体内において設立された認証サービスプロバイダにより発行された証明証と法的に同等なものとして認められることを確保するものとする。
(a) その認証サービスプロバイダが、本指令に定める要件をみたし、かつ構成国において制度化された任意認定制度のもとで認定されたものであること、または、
(b) 共同体内で設立された本指令に定められた要件をみたす認証サービスプロバイダが、その証明証を保証していること、または、
(c) 共同体と第三国または国際組織の間で締結された二国間または多数国間条約のもとで証明証または認証サービスプロバイダが承認されていること。
(2) 第三国との国境を越えた認証サービスおよび第三国に由来する先進電子署名の法的承認の促進のために、委員会は、適切であれば、認証サービスに適用されうる規格および国際条約の効果的な実施を達成するための提案を行うものとする。特に、そして必要があれば、第三国および国際組織との二国間および多数国間条約の交渉のための適切な命令を理事会に提案するものとする。理事会は、特別多数でそれを決定するものとする。
(3) 委員会が、第三国における市場アクセスに関して共同体の企業になんらかの困難が生じていることを知ったときは、必要なときは、これら第三国における共同体の企業のための相当の権利の交渉のための適切な命令のために理事会に提案を行うことができる。理事会は、特別多数でそれを決定するものとする。
本項の規定にしたがい行われる措置は、関連する国際条約の下での共同体および構成国の義務には関わらないものとする。
〔データ保護〕
第八条 構成国は、認証サービスプロバイダおよび認定または監督の責任を負う国内機関が、個人データ処理に係る個人の保護およびかかるデータの自由な移動に関する一九九五年一〇月二四日の欧州議会および理事会の指令
95/46/EC(2) に定められた要件を遵守することを確保するものとする。
(2) OJ L 281, 23. 11. 1995, p. 31.
(2) 構成国は、公に証明証を発行する認証サービスプロバイダが、データ主体から直接にのみ、またはデータ主体の明示的な同意を得た後に、および証明証の発行および管理の目的に必要な限りでのみ、個人データを収集することができることを確保するものとする。データは、データ主体の明示の同意なしには、その他のあらゆる目的のために収集されまたは処理されてはならない。
(3) 国内法の下で匿名に対して与えられた法的効果にかかわらず、構成国は、認証サービスプロバイダが証明証の中で署名者の氏名に代えて匿名を記載することを禁止しないものとする。
〔署名委員会(Committee)〕
第九条 委員会は、「電子署名委員会」(以下、署名委員会という)により補助されるものとする。
(2) 本項への参照については、1999/468/EC 決議の第八条の規定を考慮しつつ、同決議第四条および第七条を適用するものとする。1999/468/EC
決議の第四条第三項に定める期間は、三カ月とする。
(3) 署名委員会は、手続きについてはそれ自身の規則を定めるものとする。
〔署名委員会の任務〕
第一〇条 署名委員会は、本指令付属書に定める要求事項、第三条第四項にいう基準および第三条第五項にしたがい確立され公にされる電子署名製品のための一般に認められた規格を、第九条第二項に定める手続きにしたがい明確にするものとする。
〔通知〕
第一一条 構成国は、委員会およびその他の構成国に対して、次の各号について通知するものとする。
(a) 第三条第七項による付加的な要件を含めて、国内の任意的な認定制度についての情報
(b) 認定および監督の責務を負う国内機関の名称および所在地ならびに第三条第四項で定める機関
(c) すべての国内認定認証サービスプロバイダの名称および所在地
(2) 構成国は、第一項の下で提供されるすべての情報およびその情報に関する変更を、可及的速やかに通知するものとする。
〔点検〕
第一二条 委員会は、遅くとも二〇〇三年七月一九日までに、本指令の作用を点検し、そしてそれについて欧州議会および欧州理事会に対し報告するものとする。
(2) 点検は、技術的、市場的および法的発展を考慮しつつ、とりわけ、本指令の適用範囲が変更されるべきかどうかについて評価するものとする。報告は、特に、得られた経験に基づき整合化の観点からの評価を含むものとする。報告は、適切であれば、立法案を伴うものとする。
〔実施〕
第一三条 構成国は、本指令を遵守するために必要な法律、規則および行政規則を二〇〇一年七月一九日以前に施行するものとする。構成国は、その点につきただちに委員会に情報提供するものとする。
構成国がこれらの措置を取るときは、これらの措置が本指令への参照条項を含むものとするか、またはそれらの公布に際してかかる参照を伴うものとする。かかる参照のしかたは、構成国がこれを定めるものとする。
(2) 構成国は、本指令により管理される分野において採用する国内法の主要規定の条文を委員会に連絡するものとする。
〔施行〕
第一四条 本指令は、欧州共同体官報へのその公布の日に施行するものとする。
〔名宛人〕
第一五条 本指令は、構成国をその名宛人とする。
一九九九年一二月一三日
ブリュッセルにて
欧州議会議長 N・フォンテーヌ
欧州理事会議長 S・ハッシ
付属書T 適格証明証の要求事項
適格証明証は、次の各号を含まなければならない。
(a) 証明証が適格証明証として発行されたことの表示
(b) 認証サービスプロバイダおよびその設立された国の表示
(c) 同一確認されるべき署名者の氏名または匿名
(d) 証明証の意図された目的にかかわり、関連するものであれば含まれるべき、署名者の特殊な属性の条項
(e) 署名者の統制の下にある署名作成データに対応する署名検証データ
(f) 証明証の有効期間の始期と終期の表示
(g) 証明証の特定(ID)コード
(h) 証明証を発行する認証サービスプロバイダの先進電子署名
(i) 適用可能であれば、証明証の使用範囲についての限定、および
(j) 適用可能であれば、証明証が使われ得る目的となる取引の価額についての限定
付属書U 適格証明証を発行する認証サービスプロバイダの
要求事項
認証サービスプロバイダは、次の各号の要件を満たさなければならない。
(a) 認証サービス提供に必要な信頼性を証明すること。
(b) 迅速かつ安全なディレクトリ操作および安全かつ即時の取消サービスの操作を確保すること。
(c) 証明証が発行されまたは取り消される日時が精確に決定され得ることを確保すること。
(d) 国内法により適切な手段により、適格証明証が発行される者の同一性および、適用可能な場合は、あらゆる特殊な属性を確認すること。
(e) 提供されるサービスに必要な専門知識、経験および資格を、特に管理者レベルの権限、電子署名技術の専門知識および妥当な安全手続きの熟練を、有する職員を雇用すること。それらは、証認された規格に対応する適切な管理的および運営的な手続を適用しなければならない。
(f) 変更から保護され、かつそれらによりサポートされるプロセスの技術的および暗号技術的なセキュリティーを確保する信頼性のあるシステムおよび製品を使用すること。
(g) 証明証の偽造防止の措置をとること、および認証サービスプロバイダが署名作成データを生成する場合においては、かかるデータの生成プロセスにおける秘密を保証すること。
(h) 本指令に定める要件に適合して活動するために十分な金銭的資源を維持すること、特に、損害賠償責任のリスクに耐えるために、たとえば適切な保険を付していることなどによる。
(i) 適切な期間、適格証明証に関するすべての関連情報を記録に留めること、特に、法的争訟手続を目的として証明の証拠を提供することを目的として。かかる記録は、電子的にこれを行うことができる。
(j) 認証サービスプロバイダがキー管理サービスを提供する者の署名作成データを保存または複写してはならないこと。
(k) その電子署名の補助のために証明証を求める者との契約上の関係に入る前に、耐久的な通信手段によって、証明証の利用に関する制限、任意認定制度の存在および不服申立および紛争解決の手続きを含む、証明証の利用に関する精確な条件をその者に知らせること。電子的に伝達されてもよいかかる情報は、文書によりかつ容易に理解できる言語で与えられなければならない。この情報の関連部分は、証明証を信頼する第三者に対しても求めに応じて提供されなければならない。
(l) 検証可能な形式で証明証を保存するための、次の点を可能とする信頼性のあるシステムを用いること。
ー権原を与えられた者のみが登録および修正可能であること、
ー情報の真正性を点検し得ること、
ー証明証の保持者の同意が得られた場合にのみ証明証が公に取得可能となっていること、および
ーこれらセキュリティ要件と妥協するあらゆる技術的な変更が、操作者に明かであること。
付属書V 安全署名作成装置の要求事項
1 安全署名作成装置は、適切な技術的および手続的な手段によって、少なくとも次の各号を確保しなければならない。
(a) 署名の生成に利用される署名作成データが、実際上一回のみ作成され、かつその秘密が合理的に確保されていること、
(b) 署名の生成に利用される署名作成データが、合理的な保証のもとに、推定されることができず、かつ署名が現在利用可能な技術を用いた偽造から保護されていること、
(c) 署名の生成に利用される署名作成データが、他人の利用に対して、正当な署名者により確実に保護され得ること、
2 安全署名作成装置は、署名されるデータを変更してはならず、またはかかるデータが署名手続きの前に署名者に明らかにされることを禁じてはならない。
付属書W 安全署名検証についての推奨事項
署名検証プロセスに際し、合理的な確実性をもって、次の各号に定める事項が確保されたほうがよい。
(a) 署名検証のために使われるデータが、検証者に表示されるデータと対応していること、
(b) 署名が確実に検証され、かつその検証の結果が、正しく表示されること、
(c) 検証者が、必要に応じて、署名されたデータの内容を確実に確認することができること、
(d) 署名検証の時点で求められる証明証の真正性およびバリディティが、確実に検証されること、
(e) 検証の結果および署名者の同一性が正しく表示されること、
(f) 匿名の利用が明確に示されること、および、
(g) あらゆるセキュリティに関連する変更が検出され得ること。
|