|
立命館法学 一九九七年六号(二五六号)一二四三頁(三一頁)
ドイツ・デジタル署名法と電子認証 サイバースペースの不確定性克服の制度基盤の検討 米丸 恒治 |
|
一 は じ め に 二 デジタル署名、電子認証の概要 三 デジタル署名法の概要 四 デジタル署名法の課題 五 デジタル署名、暗号と国家監視 六 お わ り に 一 は じ め に 本稿は、インターネットをはじめとするネットワーク(1)における通信の不確定性に対処し、送受信されるデータの改ざん・欠損からのチェックを容易にし、その相手方の特定を可能とする技術としてのデジタル署名(digital Signature(2))および電子認証(electronic Certification)を法制度化する際の問題点を明らかにし、デジタル署名および電子認証を国民のネットワーク利用権を充実させる社会的インフラとして位置づける観点から、ドイツのデジタル署名法の概要とその問題点を検討するものである(3)。 パーソナルコンピュータの低価格化、通信料金など通信環境の改善を背景としたインターネットの爆発的な普及をきっかけとして、ネットワーク上での情報の送受信を通じたコミュニケーションの法的な問題点についての検討や法的な制度作りも国際的に進展してきている。 こうしたネットワークを利用した情報の送受信によって成り立つ空間を想定してそれをサイバースペースと呼ぶならば、サイバースペースにおけるコミュニケーションは、今や通信販売、金融取り引き、商取り引きなどの経済的な商取り引きの分野から、遠隔医療、遠隔教育、遠隔労働(テレワーク)などに至る広範な社会活動に用いられ、また通信内容も私的な秘密性を有する通信からマスコミュニケーションの変化した形態までをも巻き込んで、展開してきている。また今後も、行政機関への各種申請や届出などに用いられてゆくことも予想される。従来、紙に印刷されまたは書かれて情報伝達されていたものは、ネットワーク上のデータの送受信により行われるようになる可能性は高いといってよいだろう。 こうしたネットワークは、たとえばインターネットの場合、物理的には、コンピュータとネットワーク機器を不断に(二四時間、三六五日)動かし続けることにより実現されているが、そうした機器とエネルギーの消費量を考えても、ネットワーク自体が、社会的に有意義なものとして、社会生活上活用されてゆくことにならなければ、社会的なコストの点からも問題となろう。インターネットは、時間と空間を超越するコミュニケーション手段としての性格を持っているが、この社会的利用が可能となれば、時間、場所の制約を受けることなく、さまざまなサービスを利用することが可能になるし、さまざまな情報伝達が可能となる。もちろんインターネットに代表されるネットワークは、現状ではバラ色のものであるわけではなく、そこでは名誉毀損、子供ポルノなど法的に制限された表現活動、著作権侵害、プライバシー侵害、パスワード盗用・売買、クラッキング(システムへの不正侵入、システム破壊)、他人へのなりすましやデータの改ざんなどの犯罪行為や不法行為にもあたるような行為も横行しているといわれている。その実態は、正確にはわからないが、こうした行為に対処しながら、ネットワークを社会的に共用することが求められているといってよいであろう。 本稿では、国民がネットワークを利用するに際して、その内容的な不確定さを克服して、安全で信頼性の高いネットワークを実現していくための制度基盤としてのデジタル署名および電子認証の制度について検討を加えるが、その基本的な問題意識は以下のとおりである。 コンピュータネットワークを通じて電子データを送受信する場合、これまでの技術的な条件およびサイバースペースの環境においては、送受信される電子データの内容が、真正なものか不明であったり、データの送受信者に気づかれることなく途中で改ざんやデータの欠落があったりする可能性があるし、また通信の相手方が真にその相手方でなかったり、取り引きの相手方の特定ができないということがありうる。このような状況は、特に国境を越えさまざまな内容の通信が行われるインターネットの場合に顕著となる。つまり、インターネットでは、さまざまな国の多くのコンピュータおよびそのネットワークを経由して、データがパケットに分割されて送受信される。データの脱落はないように技術的な対応がされているが、人為的な問題として、その内容の盗み見や、改ざんがされる可能性があったり、相手方へのなりすましや、その特定ができない状況が、一般のパソコン通信以上に格段に増幅された状態といってよい。こうした状況にあって、ユーザーが、特定の相手方と、安心して確実にデータを送受信するための手段として登場してきつつあるのが、暗号(Cryptography)技術とデジタル署名であり、通信内容および主体を同定する電子認証である。国際的に見れば、すでにアメリカ合衆国の州レベルや、ドイツ連邦共和国などで、法制度上もこの暗号技術とデジタル署名を制度化する試みがなされている(4)。 こうしたデジタル署名・電子認証の制度化にあたっては、その技術的な信頼性確保とともに、一般のユーザーつまり一般の国民に対しても、信頼性のある認証サービスを廉価に提供しうるような制度作りが必要であると考えられる。また、インターネットの利用やサイバースペースで用いられる各種サービスの技術は日進月歩で極めて速い展開を見せているが、そうした技術的な発展・進歩に対し、可能な限り対応し得るような制度であることも求められる。 特に本稿で重視したいのは、暗号技術やデジタル署名および電子認証サービス自体が、サイバースペースの利用に信頼性を持たせ、ネットワークを社会的に有意義なものとして共用してゆくための社会的なインフラとしての役割を持っていることの認識である。その意味では、認証サービス提供主体が公私のいずれの主体によるものであれ、サービス自体は、公共性を持ったものとみることができ、そのための制度として、どのように制度化され、どのように運用されるべきであるかの法政策的、法制度的な検討が必要である。 本稿では、以上のような問題意識から、ドイツで一九九七年八月一日から施行されている「情報サービスおよび通信サービスのための大綱条件の規律のための法律」Gesetz zur Regelung der Rahmenbedingungen fu¨r Informations- und Kommunikationsdienste (Informations- und Kommunikationsdienste-Gesetz;IuKDG)(以下、情報・通信サービス法または大綱法という。)IuKDG、またはいわゆるマルチメディア法(5)により定められた「デジタル署名法(6)」の検討を通じて、デジタル署名、認証制度についての比較法的な検討へ向けた準備作業を行う。ドイツのデジタル署名法は、国家レベルで定められたものとしては初めてのものであるが、EUをはじめとする国際社会の動向の中で、いずれにせよさまざまな影響を与えていくことはまちがいない。デジタル署名や電子認証については、アメリカ合衆国の州レベルでも多くの立法がされているが、本稿では若干の言及にとどめることにする。 なお、本稿で検討するデジタル署名および電子認証については、これまで主として電子商取引関連の検討が行われてきたが、その適用範囲は、商取引に限られない。行政法的な諸手続の場合もその適用対象となり得る。これを社会的制度として位置づけるとすれば、法制度化、制度設計の問題となるし、法政策的な判断を要する問題である。また、認証サービスの公私の分担の問題としては、それが私的なサービスとして提供されるとすれば、新たな事業規制の問題につながり、行政サービスとして行われるとすれば、新たな行政法的な制度作りの問題でもある。本稿は、もともとは行政法的、公法的な観点からの検討であるが、それゆえの限界もあるものと考えられる。大方の批判を賜れば幸いである。 (1) 電気通信により実現されるコンピュータ・ネットワークを、本稿では、便宜的にネットワークと称する。 (2) 本稿では、ただ単にデータに電子的に署名をする(メールに氏名を書き込むなど)行為を電子署名と広義で、そのうち暗号技術を用いて信頼性を実現しているものをデジタル署名ととりあえず区別して用いておく。 (3) なお、デジタル署名および電子認証制度について簡単な解説を加えたものとして、辻井重男「情報セキュリティーシステムの信頼性」ジュリ一一一七号一三頁以下(一九九七年)、須藤修「電子マネーの展開と今後の課題」法セミ五一三号三六頁以下(一九九七年)(特集電子マネーがやってくる)、吉田一雄「デジタル署名の法律入門」法セミ五一三号五三頁以下(一九九七年)、拙稿「サイバースペースにおける認証」法セミ五一五号一二七頁以下参照。より詳しい解説としては、ウォーウィック・フォード=マイケル・バウム著(山田慎一郎訳、日本ベリサイン株式会社監修)『ディジタル署名と暗号技術』(プレンティスホール、一九九七年)も参照。 (4) 国際的なデジタル署名の動向については、アメリカについては、Werner J. Hein/Markus S. Rieder, Digitale Signatur in den USA, DuD 1997, S. 469 ff.、カナダについては、David Johnston/Sunny Handa/Charles Morgan, Cyberlaw, Toronto 1997, pp. 96-115、などを参照。インターネット上では、<http://www.qmw.ac.uk/~6345>;<http://www.ilpf.org/digsig/digsig2.htm>;<http://www.mbc.com/ds-sum.html> でアメリカの各州のデジタル署名立法を概観することができる。その他、デジタル署名法を定めようとしている国として、マレーシアの動きもある。マレーシアについては、Digital Signature Bill 1997, Part 11, No. 19 <http://www.geocities.com/Tokyo/3399/digisign.html> 参照。 (5) Gesetz zur Regelung der Rahmenbedingungen fu¨r Informations- und Kommunikationsdienste (Informations- und Kommunikationsdienste-Gesetz;IuKDG) v. 22. 7. 1997, BGBl. I S. 1870 ff. 同法は、デジタル署名法の制定のみならず、そのコンテンツ規制や個人情報保護などについても個別の法律を制定し、また法改正を行うものである。その概要については、拙稿「インターネットの構造と規制」法時九七年六月号六頁以下(一九九七年)、「<海外の行財政ードイツ>情報・通信サービス大綱法案−ドイツ流サイバースペース規制の内容−」行財政研究三二号三七頁以下(一九九七年)で紹介したことがあるほか、拙稿「ドイツ流サイバースペース規制−情報・通信サービス大綱法の検討−」(立命館法学二五五号一四一頁以下)で簡単な検討を加えている。 (6) 同法の試訳は、拙稿・前掲注(5)一七九頁以下に掲げておいた、本文での検討の前提として、参照していただきたい。 二 デジタル署名、電子認証の概要 1 通信の不確定性とデジタル署名、電子認証 サイバースペースにおいては、通常の対面でのコミュニケーションであれば、手がかりとなるはずのさまざまな情報を利用することができない。特に、通信の主体の特定と通信内容の確定が難しい。たとえば、インターネット上で商品を遠隔購入しようとするとき、オンラインショッピングのサイトはどこが運営しているのか、取引のために住所や決済のためのクレジットカード番号などを相手に通知して安全か、受け取った電子メールの差出人はいったい誰なのか、その本人かどうか、インターネット上で入手した文書や送られてきたメールは本物なのかそれとも改ざんされているのか、その作成年月日は正しいのか、などまさに疑い出したらきりがない状況である。しかし、こうした状況をサイバースペースの不確定性と呼ぶとすると、こうした不確定性は、サイバースペースを社会生活の中に位置づけ、そこでたとえば商取引(電子商取引)や行政との交渉(電子申請、電子許認可)などを行おうとするときには、制度的に解決されなければならない重要な課題である。 ネット上での情報の送受信とその内容の信頼性を高めるためには、情報の送受信者が真に誰であるかを特定し、どこの誰が運営するサイトであるかを証明し、送受信される情報がいつ作成されたものか、その内容が改ざんされていないかを、信頼しうる第三者機関にそれぞれ証明してもらうことが、必要である。こうした課題に応えるべく登場してきつつあるのが電子認証であり、電子認証サービスにより証明を受けた者(本人)により文書に付される暗号技術を利用した記号がデジタル署名である(7)。すなわちデジタル署名と電子認証は、ネットワークを通じて送受信されたデータ(ファイル)が改変されていないことを確認し(完全性 Unversehrtheit の証明)、誰からそれが発信されたものであるかの同定(本人の確認 Identita¨t)を行うために用いられる。 2 暗号技術と電子認証 (1) 非対称暗号技術 ネットワーク上でこうしたデジタル署名と認証サービスを可能にしているのは、暗号技術である(8)。特に公開キー方式、非対称キー方式と呼ばれる暗号技術が国際的に用いられつつある。ここで用いる「キー(鍵)」自体は、「物」としてのそれではなく、一群のデジタル情報である(9)。 公開キー方式は、情報(平文=もとの情報)を暗号化する「暗号化キー」と、もとの平文に戻す「検査・復号キー」とが異なる一対の暗号キーを用いる点に特徴がある。公開キー方式では、暗号化キー、検査・復号キーのいずれか一方を秘密にしておき(秘密キー)、もう一方を公開する(公開キー)が、公開キーからは秘密キーを割り出すことは不可能か非常に困難な仕組みになっている。これを認証機能に使う場合、発信者Aは、自分の秘密キーで通信メッセージを暗号化(署名生成)した上で、メッセージを受信者Bに送信する。Bは、Aの公開キー(あらかじめ認証機関に登録し、そこが本人の公開キー証明を発行している。)で、メッセージを復号することにより、Aにより署名されたメッセージであることを確認するというしくみになる。Aの公開キーによる検査を通過するもの(復号できるもの)を生成するにはAの公開キーに対応するAの秘密キーで暗号化する(署名する)以外困難な仕組みとなっていることを利用するのである。 一方、通信内容の秘匿に利用する場合は、Aは、その送信相手Bの公開キーで情報を暗号化し、送信する。受信したBは、自らの秘密キーでデータを復号することにより、通信内容を秘密裏に受信することができることになる。 また、通信内容の完全性(改ざんされていないこと、脱落のないこと)を検査するためには、「ハッシュ関数」(一方向関数と呼ばれ、これを用いて処理したデータは、もとのデータに戻すことはできないアルゴリズム(10))を用いて、Aは、データの「ダイジェスト」を生成し、それを秘密キーで暗号化してBに送信し、Bは受信した平文のデータを自ら「ハッシュ関数」で処理し「ダイジェスト」を生成し、それをAから送られた「ダイジェスト」と比較し、その同一性が確認されれば、途中の改ざんおよびデータの脱落はないということが検査されることになる。 こうした暗号技術を用いた認証方式が普及しつつあり、ユタ州デジタル署名法、フロリダ州デジタル署名法、ドイツ・デジタル署名法、国連国際取引法委員会(UNCITRAL)の電子署名統一規則の草案等、各国のデジタル署名法は、公開キー方式に基づく認証の枠組みを前提としている。 (2) 認証機関 こうしたしくみの電子認証には、信頼しうる第三者機関(Trusted Third Party)として認証業務を行う認証機関(Certification Authority;CA;Zertifizierungsstelle)が必要である。その業務は、本人認証と文書の内容を確認するための認証を主な内容とするが、その際、具体的には、本人の公開キーを登録し、管理し、本人の公開キー証明を行い、また通信内容について時刻証明および内容証明を行うことになる。目下の問題は、この業務を誰が担当するのかである。民間企業か、国もしくは公共団体か、または双方がその内容に応じて行うのか、サイバースペースでの認証業務の制度化にあたって考慮されるべき重要な問題であり、各国が対応を検討している。 一般にサイバースペースの外では、わが国でも印鑑証明書や運転免許証、法人登記簿謄本など行政機関の発行する証明がこうした証明に使われてきたし、内容証明や公証などについても行政の業務として行われてきている。もちろん信用調査などのように民間の調査機関の情報が活用されている部分もある。こうした制度の延長として、電子認証を構想するか、新たな認証のための市場を作って私企業に担当させるのか。私企業が行う場合でも、認証機関である以上、秘密情報管理のための信頼性と、長期的なサービスの安定性が必要となる。そういう意味では、いずれにせよ認証機関の信頼性と安定性を確保するための規制をともなう制度化が必要であり、まさに今、そのための国民的な論議が求められている。住民票や印鑑証明のように一定の手数料で全国あまねく、誰でも利用しうるサービスになるか、または場合によっては一定の信用力や資力をもつ者に限定したサービスしか提供されないことになりはしないか、そうした議論も必要であろう。 3 デジタル署名、電子認証の国際的動向 国内法上、こうした認証制度、デジタル署名制度を法制度化している国として、アメリカ合衆国とドイツ連邦共和国がある(11)。アメリカの連邦レベルでは、いまだデジタル署名・電子認証を制度化する法令はないが、州レベルでは、一九九五年のユタ州のデジタル署名法(Digital Signature Act)を先駆けとして、九七年八月現在二八の州がデジタル署名および認証に関する法律を制定している(12)。州の中では、民間の認証業務を前提とするものが多いが、フロリダ州(電子公証制度についても法制化している)のように州の機関に認証業務を行わせることとしている州もある。 ユタ州のデジタル署名法は、はじめて電子認証制度を商取引に使うことを法令上承認し、ユタ州商務省による免許を受けて認証機関の活動を行わせることとした。同法では、認証機関に関する免許制度を設け、細かい資格要件を定める一方で、認証機関の義務についても細目にわたる規定を置いている。ユタ州法では、その第四部で、デジタル署名の効力についての規定がおかれ、デジタル署名を署名とみなし、デジタル署名されたコピーをオリジナルとみなすなどの規定が整備されている。 一方ドイツでは、連邦レベルにおいてデジタル署名法を制定し、はじめて国家レベルでの制度化にふみきった。九七年八月一日に施行された「情報・通信サービス大綱法」(いわゆるマルチメディア法)の三条で定められたデジタル署名法がそれである(13)。ドイツのデジタル署名法でも、認証業務は民間にも開放されており、免許制が定められている。経済省の下に新設される電気通信規制庁が規制機関となるが、それが一定の資格審査を行う。認証機関の業務運営上の義務についても規定がおかれている。また、国外で作成されたデジタル署名の有効性に関する規定が置かれているほか、認証機関の個人データ保護義務に関する規定も定められている。しかしデジタル署名の法的効果に関しては、特段の規定は置かれていない。 既にこうした立法作業を行った諸国の動きとともに、国際機関も各種のデジタル署名および電子認証ならびに暗号政策について検討を進めている。 国際連合国際取引法委員会(United Nations Commission on International Trade Law;UNCITRAL)は、九七年一二月一二日に、電子署名統一規則の草案をまとめ、目下(九八年一月一九日から三〇日まで)第三二回電子商取引ワーキンググループで検討を重ねている(14)。 EUレベルでも、電気通信の安全性と信頼性に関する委員会がまとめた政策文書「デジタル署名および暗号のためのヨーロッパの枠組みに向けて(15)」がヨーロッパ委員会により採択され、デジタル署名の自由な流通に関連する製品及びサービスを刺激し、国家の領域を越えたデジタル署名の利用を促進するため、ヨーロッパの共通枠組みが緊急に必要であることが確認されている。また、二〇〇〇年までにEUの共通暗号政策の確立が目指されている。EUの立法で、認証機関の共通の法的要件、デジタル署名の法的承認、及び国際的な協調を追求すべきことも述べられた。 OECDも、九七年三月二七日に、電子商取引の展開を促進するための暗号技術の利用、すなわちデジタル署名技術の利用等を推進することをねらいとした「暗号政策のためのガイドライン(16)」を理事会勧告として採択している。 4 わが国での動き わが国では、アメリカのデジタル署名・認証サービスを行っている企業がすでにサービスを開始しているが(17)、法令上制度的に位置づけられているわけではない。 国の省庁では、行政サービスとして電子認証を制度化しようとする動きも出てきている。法務省は、従来から担当してきた法人登記や公証制度を基礎にした認証をネット上で行うことを検討しているし(18)、また郵政省の研究会も、ネットワーク上の認証制度の役割や課題等を検討して報告書をまとめ、認証業務についてのガイドラインとともに公表している(19)。また、大蔵省の研究会では、電子マネーおよび電子決済の在り方との関係で、そのためのセキュリティー基盤を検討してきている(20)。 今後は市町村レベルで個人の住民登録情報を基礎にした認証の制度化の議論も出てくるかもしれない。 (7) 一般的なサイバー法の文献で、デジタル署名について扱うものとして、Henry H. Perritt, Law and the Information Superhighway-Privacy/Access/Intellectual Property/Commerce/Liability-, 1996, pp. 392-397;Larijean G. Oei, Digital Signatures, in:Thomas J. Smendinghoff (ed.), Online Law:the SPA’s legal guide to doing business on the Internet, 1996, pp. 41-61;Jonathan Rosenoer, CyberLaw-The Law of the Internet-, 1996, pp. 237-242;Johnston e. al., supra note 4.;Arnold Vahrenwald (Hrsg.), Recht in Online und Multimedia-Gesetzgebung,Rechtsprechung und Vertragsgestaltung St. Ma¨rz 1997, 11. 2. 1;Tobias H. Stro¨mer, Online-Recht-Rechtsfragen im Internet und in Mailboxnetzen, 1997 参照。 (8) デジタル署名と暗号技術については、注(3)、注(4)の文献、および暗号理論については、Douglas R. Stinson(櫻井幸一監訳)『暗号理論の基礎』(共立出版、一九九六年)も参照。 (9) たとえば、PGP(PrettyGoodPrivacy)というインターネット上で無料でも公開されている暗号ソフトを用いて、署名キーを生成した見本が、次の文字列である。 「 −BEGIN PGP PUBLIC KEY BLOCK− Version:PGPfreeware 5. 0i for non-commercial use mQGiBDTLVNURBADRqHDMhfwKIBjuerbah6vuaNW/p3DkyBoCIQIpy/cHppSGlpmX 0kk+nRDddLToCzSk1sTJDy9iiDfDA21qiBAW8S6lDEsAhDi+SnBMqG2Xn8JoXwz/ DUYqbbeuVKCIfsI7yRA1NjDMKkxqabV5+v6KUIXGxXwJN7NOljlNs95JJwCg//rH 中略 7t9M9FJvFkRoHr9/Jnn/qWT7lOf8iQA/AwUYNMtU1ezYcWFtpFgnEQJa4wCgv1rH WahAVtyLCYy0x1MRMNYNdjUAnRMH2pFndHC4gARDUEK9OD+r218o =CmUG −END PGP PUBLIC KEY BLOCK−」 この文字列を例えばメールのメッセージに挿入し署名を行うことにより署名を行うが、受信者は、この暗号キーをキー登録機関(PGP の場合は、キーサーバー)にアクセスして署名者を同定することにより本人認証が可能となる。 (10) ハッシュ関数についても、注(3)、(4)の文献、詳しくは、Stinson著・前掲注(8)二四九頁以下参照。 (11) 各国の状況については、<http://www.mbc.com/ds_sum.html>(アメリカ)、参照。ユタ州のデジタル署名法は、<http://www.commerce.state.ut.us/web/commerce/digsig/act.htm> 参照。 ドイツのデジタル署名法については、<http://www.iid.de/rahmen/iukdgbt.htm>、同法を含むテレサービス法(いわゆるマルチメディア法)については、注(5)の拙稿参照。 (12) また、全米弁護士協会(ABA)の情報セキュリティー委員会がまとめた『電子署名ガイドライン』(Information Security Committeeーelectronic commerce and Information Technology DivisionーAmerican Bar Association, Digital Signature GuidelinesーLegal Infrastructure for Certification Authorities and Secure Electronic Commerce Aug. 1, 1996, ABA)も、立法化にあたって検討されるべき指針を示したものとして重要である。 (13) デジタル署名について、さしあたりIvo Geis, Die digitale Signatur, NJW 1997, S. 3000 ff.;Wendelin Bieser, Signaturgesetz:Vom papier zum elektronischen Dokument, DSB 1997, Nr. 9, S. 1 ff.;ON., Bundesregierung beschlieβt Signaturverordnung, BSD 1997, Nr. 11, S. 6 ff.;Christoph Hohenegg/Stefan Tauschek, Rechtliche Problematik digitaler Signaturverfahren-Videokonferenzsysteme im unternehmersichen Bereich, BB 1997, S. 1541 ff.;Beho¨rdenverkehr im Internet mit digitaler Signatur, <http://www.spiegel.de/netzwelt/medien/signatur.htm>;Thilo Zieschang, Sicherheitsrisiken bei der Schlu¨sselzertifizierung, DuD 1997, S. 341 ff.;Dirk Fox, Fa¨lschungssicherheit digitaler Signaturen, DuD 1997, S. 69 ff.;Dirk Fox, Gateway:Signaturschlu¨ssel-Zertifikat, DuD 1997, S. 106 ff. など参照。 (14) United Nations Commission on International Trade Law, Working Group on Electronic Commerce, Draft Uniform Rules on Electronic Signatures, A/CN. 9/WG. IV/WP. 73, <http:/www.un.or.at/uncitral/sessions/wg_ec/wp-73.htm>. 同共通規則の制定に先だって、国連電子商取引モデル法(UNCITRAL Model Law on Electronic Commerce <http://www.un.or.at/uncitral/texts/electcom/ml-ec.htm>)が決定されているが、本規則は、同法の規定を前提として作られたものである。同法の邦訳として、内田貴訳NBL六〇三号三七頁以下(一九九六年)、フォード=バウム・前掲注(3)三七九頁以下がある。 また、九七年二月には、第三一回セッションで、「電子商取引に関する将来的な作業計画デジタル署名、認証機関及び関連する法的諸問題」についての報告書(A/CN. 9/WG. IV/WP. 71-PLANNING OF FUTURE WORK ON ELECTRONIC COMMERCE:DIGITAL SIGNATURES, CERTIFICATION AUTHORITIES AND RELATED LEGAL ISSUES)が議論されている。共通規則草案は、これらの作業の延長として行われている。 (15) 「デジタルサインおよび暗号についてのヨーロッパにおける枠組みに向けて(Towards A European Framework for Digital Signatures And Encryption)」Communication from the Commission to the European Parliament, the Council, the Economic and Social Committee and the Committee of the Regions Ensuring Security and Trust in Electronic Communication (Adopted by the Commission on 8 October 1997), Towards A European Framework for Digital Signatures And Encryption, (COM (97) 503) <http://www.ispo.cec.be/eif/policy/97503toc.html>. また、法律顧問会議(Legal Advisory Board)でも、九七年一〇月六日からの会議で、電子商取引とコンピュータ犯罪について討議され、その中で、デジタル署名についての問題が扱われている。Vgl. <http://www2.echo.lu/legal/en/lab/lablab.html>. (16) Guidelines for Cryptography Policyを含むOECDの暗号政策については、Cryptography Policy:The Guidelines and the Issues, <http://www.oecd.org/~dsti/sti/it/secur/prod/e-crypto.htm> 参照。 その他、最近までの電子商取引推進政策を概観したものとして、The Emergence of Electronic Commerce, Overview of OECD’s Work, OECD Policy Brief No. 1, November 1997 on Electronic Commerce <http://www.oecd.org/publications/Pol-brief/9701-Pol.htm> 参照。 (17) 日本でも既に営業を開始しているアメリカのヴェリサイン社(VeriSign, Inc.)の認証手続の実務については、VeriSign, Certification Practice Statement-In Support of VeriSign’s Public Certification Services Class 1-3 Digital IDs Certificates-, ver. 1. 1, 1997が<http://www.verisign.co.jp/repository/CPS1.1/intro.htm> で公開されている。現在は、あくまでも事実上認証サービスを提供しているが、その法的な効力の点では、後述のドイツにおけるデジタル署名の効力と同様、事実上の技術的信頼性によって、裁判においてその証明力が認められるという取り扱いになろう。 (18) 法務省民事局長の主催する電子取引法制に関する研究会「電子取引法制に関する研究会中間報告書」(平成九年三月二一日づけ)NBL六一五号四七頁以下(一九九七年)、電子取引法制に関する研究会「電子認証・公証制度のニーズに関するアンケート調査結果」(平成九年三月二一日づけ)NBL六一八号四九頁以下(一九九七年)、<http://www.moj.go.jp/PRESS/970321-2.htm>(法務省の研究会)参照。早貸淳子「商業登記制度を基礎とした電子認証制度の整備について」ジュリ一一一七号一一四頁以下(一九九七年)も参照。 (19) <http://www.mpt.go.jp/policyreports/japanese/group/internet/index-net-n.html>(郵政省の研究会、同報告書の末尾の「ネットワーク認証業務に関するガイドライン」 (20) 電子マネー及び電子決済に関する懇談会編『電子マネー及び電子決済に関する懇談会報告書』(大蔵省、一九九七年)、安居孝啓「電子マネー及び電子決済に関する懇談会報告書の概要」NBL六二〇号六頁以下(一九九七年)。電子マネーの法的観点からの検討として、寺本振透ほか「電子マネーの実用化に向けて(上・下)」NBL六一四号三四頁以下、六二六号五七頁以下(一九九七年)、森田宏樹「電子マネーの法的構成(一−五)」NBL六一六号六頁以下、須藤修「コンピュータ・ネットワークの進化とその課題−電子商取引と電子マネーに焦点を当てて−」ジュリ一一一七号五頁以下(一九九七年)、須藤修「電子マネーの展開と今後の課題」法セミ九七年九号(五一三号)三六頁以下(一九九七年)、吉田一雄「デジタル署名の法律入門」法セミ九七年九号(五一三号)五三頁以下(一九九七年)など法セミ五一三号の特集参照。 その他、電子マネー一般については、かなりの文献が出されている。岩村充『電子マネー入門』(日本経済新聞社、一九九六年)、財団法人金融情報システムセンター編『電子決済研究会報告書ー第二部』(財団法人金融情報システムセンター、一九九七年)、社団法人クレジットカード産業協会編『電子商取引制度等スタディグループ報告書』(社団法人クレジットカード産業協会、一九九六年)、須藤修・山下廣太郎・眞壁修共著『図説・電子マネー』(経済法令研究会、一九九六年)、電子商取引実証推進協議会認証局検討WG編『認証局検討報告書』(電子商取引実証推進協議会、一九九七年)、C・H・ファンチャー(須藤修・後藤玲子訳)「新しい国際通貨<電子マネー>」(日経サイエンス一九九六年一〇・一一月合併号)、Bank of International Settlements ed., SECURITY OF ELECTRONIC MONEY, Bank of International Settlements, Basle, August 1996(日本銀行電産情報局訳『電子マネーのセキュリティー』ときわ総合サービス株式会社、一九九七年)、足立宗三郎『電子マネーの全貌』(海鳴社、一九九七年)、伊藤賢司ほか『電子商取引のすべて』(NTT出版、一九九六年)、須藤修ほか『これだけは知っておきたいb023図説 電子マネー』(経済法令研究会、一九九六年)、岩村充『電子マネー入門』(日本経済新聞社、一九九六年)、石井孝利『図解 電子マネー』(東洋経済新報社、一九九六年)、日立製作所・新金融システム推進本部編『図解 よく分かる電子マネー「モンデックスマネー」を中心として』(日刊工業新聞社、一九九六年)。 三 デジタル署名法の概要 1 目的と背景 既に別稿(21)で述べたように、デジタル署名法を含む情報・通信サービス法の制定は、ダイナミックに展開しつつある情報・通信サービスの領域でのサービス供給に対し、連邦の権限の枠内で、信頼性ある基盤を提供し、かつ自由競争、適正な利用者需要と公的秩序維持の利益との調整を行うことを目的としていた。そのことを通じて、新たな情報・通信サービスが国民生活に広く浸透し、受け入れられていくことを促進することが目指されており、そのための大綱的な条件を定めることが同法の役割である。同法の背景には、各種審議会や社会団体による高度情報化社会への対応についての提言があったが、特にテクノロジー審議会が、ドイツにおける強力かつ未来志向的な情報化社会の展開のために、潜在的な投資家とサービス提供者にとって、統一的でかつ適切な必要最小限度の大綱条件が必要であり、データ保護、知的所有権、青少年保護および消費者保護に関する規律、ならびに刑法およびデータ保護規定を、新たなテクノロジーの発展に適合させ、精確にすることを提言したことなどが立法化の契機となっているようである。そうした報告を受けて、連邦政府がまとめた報告書が、「インフォ二〇〇〇−情報化社会へのドイツの道−(22)」であり、その中で予告された立法措置が、本法により一部実現に移されたわけである。なお連邦参議院は、このデジタル署名制度の法制化については、時期尚早として、法案からの全面削除を求める意見を付していたが(23)、連邦政府は、同制度が大綱法案の重要な柱の一つであるとして、そのまま連邦議会に提出し、通過成立させた。 デジタル署名法は、電子商取り引き等の基礎となるセキュリティー基盤(Sicherungsinfrastruktur)を規律し、デジタル署名の信頼性ある手続を実現し、デジタル署名の検査によって署名および署名されたデータの改ざんなどを信頼性をもってチェックするための法的基盤を整備するための法律である。デジタル署名の制度化により、日々の法的取引や商取引の中で、デジタル署名が普及し、信頼性のある迅速なオンライン電子取引、通信が可能となることを目指している。 署名法は、デジタル署名のためのキーの生成をし、およびキーが特定の人物のものであることの検査を引き受ける認証機関を私的組織により構成することとしており(24)、その上で、認証機関の事務、認証機関としての活動の開始要件(免許制度)、顧客との関係での義務、信頼性のあるデジタル署名を実現するための技術的およびセキュリティー上の要件などについて定めをおいている。署名法は、後述のようにデジタル署名自体の実体的な効力については規定を置かず、むしろ信頼性ある署名手続、署名の検査手続を作り上げるための制度基盤を整備することを目指した行政法的規制が中心になっている。 同法は、デジタル署名制度を、第三者認証、非対称キー方式、チップカード方式を念頭において、それを技術的進歩にも柔軟に対応するような形式で制度的に位置付けようとしている。ドイツの方式では、連邦の規制行政庁から免許を受けた、民間の認証機関が、パスポート等の本人を確認し得る書類に基づき私的秘密キーと公開キーを交付し、その公開キーの所有者証明証を申請者(利用者)に交付する。私的秘密キーは、たとえばチップカードの中に物理的に封じ込められるので、コンピュータの利用者は、利用の際に当該カードを用いて、書類に署名を添付する手続などが可能になる。そしてネットワークを通じ、その書類・署名を受け取ったり、信憑性を確認しようとする者が、認証機関に問い合わせをすることにより何時でも本人確認、データの完全性の確認ができる仕組が実現することになる。 ドイツでは、デジタル署名法が九七年八月一日に施行されてから、さらに連邦政府により同年一〇月二二日にデジタル署名令(25)が公布され、九七年一一月一日に施行されている。実務レベルでは、デジタル署名法を実施に移すために必要な施行措置のリストアップとその対応策をまとめた「措置カタログ(26)」がまとめられている段階にある。 本稿執筆時点では、未だ同法により許可を受けて事業を展開している認証機関はないようであるが、たとえばドイツテレコム社関係の Telesec 社(27)、TeleTrusT Deutschland e. V. 社(28)などのようにデジタル署名および認証サービスの提供を行おうとしている事業者も出てきている(29)。 2 デジタル署名とその効力 (1) デジタル署名の定義 デジタル署名法は、認証機関の事務、認証機関としての活動の開始要件、顧客との関係での義務、信頼性のあるデジタル署名を実現するための技術的およびセキュリティー上の要件などについて定めをおいているが、署名そのものについては詳しい規定は置かないほか、その効力についても規定を置いていない。 同法によればデジタル署名とは、「私的署名キー(privater Signaturschlu¨ssel)によって生成されたデジタルデータに対する印(Siegel)であり、認証機関(Zertifizierungsstelle)または第三条による行政庁の署名キー証明証(Signaturschlu¨ssel-Zertifikat)が備えられたそれに対応する公的キーを用いることにより、署名キーの所有者およびデータが改ざんされていないことを認識させるもの」と定義されている(二条一項)。この定義による限り、署名法の構造上、暗号技術を利用して、公的署名キーと私的キーとの組み合わせにより、セキュリティーを実現する方式は前提とされおり、したがって、この枠組みにあてはまらない共通キー方式等による署名は、法令上デジタル署名としては認められない構造になっている(30)。 (2) 署名手続の自由 署名法は、非対称キー方式によるデジタル署名に限定する他は、非対称キーを生成するための署名手続やアルゴリズムなどについては、限定していない。また法令により署名法による署名方式が要求されていない限りでは、署名法によらない別の署名方式も許容しており、署名手続の自由を定めたものとされている(31)。したがってその点では、署名技術の発展やユーザーの選択に任せる余地を柔軟に認めているともいえる。 今後さまざまなレベルでさまざまな通信にデジタル署名が用いられていくものと考えられるが、その際のセキュリティー、信頼性の程度はさまざまである。この点は、ネット外のさまざまな証明が、その信頼性においてさまざまなのと同様である。さまざまな条件と必要性に応じてデジタル署名が使われるのに対応して、デジタル署名の手続も多様に展開されることになる。デジタル署名法は、こうしたネット上での署名の多様性に応じて、デジタル署名の適用を法律上のそれに制限しないこととしている。署名法一条二項は、その意味でも、署名手続の自由を定めている。 以上のように、署名法は、署名の方式の自由、つまり特定の署名手続に限定をせず、また技術の発展に応じた署名手続の改善を阻害しない構造となっていることが第一の特徴であり、第二には、デジタル署名の適用分野の自由、つまりどういう通信にデジタル署名を適用するかをユーザの判断にゆだねていることが重要である。もちろん、今後特別法で、一定の通信には特定のデジタル署名手続が定められることもありうるが、個別法によるそうした署名手続の定めがない限り、デジタル署名の種類や使途は、ユーザどうしの自由な取り決めに委ねられることになる。 (3) デジタル署名の効力 次の問題点は、デジタル署名されたデータの法的性格についての問題である。すなわち、デジタル署名され、タイムスタンプ(日時印)を付されたデータまたはファイルが、ネット外の通常の法的取引に使われる契約書と同様のものとして扱われるか、契約の形式として認められるか(32)、または当該「契約」が法的争点となったときに、民事訴訟上の証明力はどのように考えられるかの問題がある(33)。ドイツのデジタル署名法は、この点についての規定をおいていない。この点では、例えばアメリカのユタ州のデジタル署名法が、その法的効果を明文で定めているのと異なる(34)。 デジタル署名およびネットワーク上の公証行為については、従来から連邦公証人会も、電子商取り引きの進展に伴い必要になる業務として検討を続けてきており(35)、署名の法的効力についての規定も盛り込むことを主張する見解も見られた。しかし、今回の立法ではそうした従来の提案が制度化されたわけではなく、セキュリティー実現のための基盤整備法として法律が制定され、署名の効力問題についての規定は入っていない。 立法関係者によれば、今回のデジタル署名法の主たる関心事は、実体法上の定めをおくことではなくて、必要な基盤(インフラストラクチャ)、その組織ならびに信頼性のあるデジタル署名の技術的な要件について定めることであり、そうした規定をおいてのちはじめて、第二段階として、これら技術的なプロセスの実体法上の効果について検討すべきものとされたとしている(二段階論(36))。まずは、今回のデジタル署名は、そのための第一歩として位置づけられているのである。またデジタル署名の手続がどのような場面で使われるべきかについても、今後の検討課題とされている。署名法によるデジタル署名の方式に限定する特別法制定の動向とあわせて、今後の動きが注目されるべきであろう。 (4) 法律上のデジタル署名の特典 それでは、デジタル署名法が定めるデジタル署名はどのような法的考え方でその証明力を得るものとされているのであろうか。立案関係者によれば、デジタル署名法も、基本的にデジタル署名の証明力を求めるものであるが、それは法律上のデジタル署名の高い技術的信頼性によって得られるものであり、一般的な法律上の証明力についての原則や訴訟上デジタル署名を一般的に承認する規定からではないと考えられている(37)。デジタル署名の証明機能は、法律上のデジタル署名の事実上の信頼性、セキュリティーを通じてであるとされているのである。 このようにデジタル署名法は、電子認証や署名手続の技術的な進歩が極めて急速であることにかんがみて、一般的な証拠原則を放棄したとされている。デジタル署名法が定めるデジタル署名は、明日その信頼性が破られる可能性もないではなく、そのため一般的にデジタル署名の法的効果を法定することを放棄したというのである。したがって、デジタル署名法によるデジタル署名の場合も、その法的効果が問題となるときは、裁判における裁判官の自由な証拠評価の中で、デジタル署名を付された文書の証拠手段としての評価が行われることにより、今後のデジタル署名の信頼性が決せられるものである。署名法は署名自体の信頼性を、間接的に実務の慣行および技術的な信頼性の上に確保するものとして、国際的にはひとつの考え方を示すものとして評価しておきたい。 3 認証機関の活動と規制 (1) 認証機関の事務 デジタル署名法の規制の重点は、デジタル署名そのものよりも、むしろ認証機関におかれている。同法のいう認証機関とは、「公的署名キーがある自然人のものであることを証明し、かつそのための本法第四条による免許を有する自然人または法人」(二条二項)と定義され、その活動の中心は、公的署名キーについての証明証の発行・管理とされている。証明証の管理の一環として、当該証明証の効力停止も含まれる(八条)。また、デジタルデータにタイムスタンプを付与し、当該データの時間的な定位を行う(九条)。 署名法では、デジタル署名の基盤を構成する認証サービスは、私経済的に自由競争の中で、行政機関による監督の下で提供されるものとされており、電子認証業務を国家的な事務として国家または公共的な独占の下に置いているわけではない。 (2) 認証機関の許可および監督 「認証機関」として活動するためには、四条により、電気通信規制行政庁の免許が必要である。デジタル署名法は、デジタル署名の利用に必要となる基盤について一般の営業規制法に類似の許可手続および監督手続を定め、必要な技術的な装置の要件を記述するのみに限定している。ここでも特定の技術的なプロセスを要件として定めているわけでなく、署名法による署名以外のデジタル署名を認証する機関も許容されている。その意味で、署名法は、それを遵守することによってデジタル署名が一義的に特定の人に帰属させられ、またデジタル署名およびデジタル署名を付されたデータがその改ざんから安全なものとして通用するための行政的な枠組みを定めたものとされている。 認証機関は、規制行政庁により許可され認証活動を行うが、その際に用いるデジタル署名は、規制行政庁により認証され、署名キー証明がなされる(四条五項)。ドイツ署名法上は、根幹認証を行う規制行政庁と認証機関との二段階的な認証構造がとられており、ピラミッド構造的な多段階よりなる認証構造はとられていない。規制庁は、連邦で唯一の根幹認証機関として位置づけられている。 認証機関の個別の許可要件等の細目については、デジタル署名法一六条にもとづくデジタル署名令の中で定められている。 また行政庁は、次に述べる認証機関の義務の遵守を確保するために、一三条により、処分権限、設備の使用禁止命令、活動中止命令権限(以上一項)が与えられている他、その前提となる事業所への立ち入り、報告要求、書類閲覧などの権限(二項)も与えられ、最終的には、認証機関の免許の取消権(三項)により、その活動の統制が行われる。 監督作用には、認証機関の設備の技術的監視も含まれるが、署名法は、ドイツにおいて従来から取られてきた民間の第三者機関による技術監視(38)を本法でも取り入れ、技術水準への照応を、所管行政庁により承認された機関(39)により検査させることを求めている(一四条四項)。 (3) 認証機関の義務 署名法は、信頼性あるデジタル署名を実現するために、認証機関に対していくつかの義務を課している。 まず、署名法五条は、証明証の付与に関して、@確実な、申請者の本人確認義務、A公的署名キー証明証をネットワーク上でアクセス可能にしておく義務(以上一項)、B証明証のデータの偽造または改ざんからの防止義務、秘密保持義務、および私的署名キーの認証機関での保存の禁止(以上四項)を定め、信頼性ある認証業務遂行のための職員配置義務を課している他、技術的な設備も一四条の基準に従い装備することを義務づけている(五項)。 次に、六条は、認証機関に、署名の信頼性確保のための教示義務を課している。 第三に、認証機関は、その発行した証明証および技術的な装置について、常にその審査が可能なように記録を保持する義務も課されている(一〇条)。 第四に、認証機関の活動が公共性を持つ社会的な活動であることから、法一一条は、認証機関が活動を中止するときの行政庁への報告義務、他の機関に業務を引き継いでユーザーへのサービスが停止しないよう手配する義務、または証明証の効力を停止する義務を課している。この義務により、認証機関の活動の継続性とその公的統制が確保される。 第五に、認証機関のデータ保護に関する義務として、個人関連データの必要最小限原則を定め、その目的外使用を制限している(一二条一項)。なお、テレサービスの利用は、仮名によるものも認められており、仮名での署名キー証明の取得も認められているが、その際は、国家機関による犯罪捜査等の目的での個人データの引渡要求に応じなければならない義務も課されている(同二項)。 (4) 技術的開放性 デジタル署名法は、一四条で、デジタル署名の生成および検査のための一般的な技術的要件と、必要な技術的装置の仕様および利用についてのそれを定めている。 法律上は、必要なセキュリティー機能の一般的な条件の叙述に限定されており、前述のように特定のデジタル署名方式、特定の手続が定められているわけではない。具体的な署名の方式は、市場の選択と技術的な発展に委ねられているということである。技術的な要件についても、デジタル署名令に委ねて、迅速な対応を可能としている。 4 デジタル署名の国際的相互承認 最後に、インターネットを通じた国際的なコミュニケーションの過程では、デジタル署名についても国際的にそれが法的に位置づけられることが必要である。デジタル署名法は、この点について、デジタル署名の信頼性、セキュリティーが署名法の求めるものと同等のものである場合は、署名法によるデジタル署名と同等とみなすこととして、国際的な相互承認を行うこととしている(一四条五項、一五条)。前述のように、署名法自体が特定のデジタル署名手続を定めたものではないので、国際的にも、デジタル署名の技術的な進歩や競争による多様な署名手続の普及に対応したものとされている(40)。 同等のセキュリティーを有することの判断は、技術的な装置や本人確認および秘密キーの管理などの基本的なセキュリティー条件毎に判断されていくとされている(41)。 以上のように、ドイツのデジタル署名法は、署名の証明力そのものについては、今後の事実上のセキュリティーの向上と実務上の取扱を前提とする考え方がとられ、そのための事業規制を行う法整備がされている点が特徴的であろうかと考えられる。 次に、以上のような内容の署名法の評価を含め、デジタル署名自体の課題を明らかにしておこう。 (21) 拙稿・前掲注(5)(立命館法学二五五号 頁)。 (22) Bundesministerium fu¨r Wirtschaft, Info 2000:Deutschlands Weg in die Informationsgesellschaft, Bonn, Februar 1996 <http://www.bmwi-info2000.de/gip/programme/info2000/index.html>. (23) BT-Drucks. 13/7385 v. 9. 4. 1997, S. 57 ff. (24) しかし認証機関の信頼性を審査して認証機関として認める根幹の認証は、連邦の電気通信規制行政機関が行い(署名法四条)、その点では、行政法的な事業規制法制の性格を持っている。 (25) Verordnung zur digitalen Signature (Signaturverordnung;SigV) v. 22. 10. 1997, BGBl. I S. 2498. (26) Maβnahmekatalog, <http://www.iid.de/>;<http://www.bsi.bund.de/aufgaben/projekte/digsig/index.htm>. (27) <http://www.telesec.de/>. (28) <http://www.teletrust.de/>. (29) 非営利の認証機関、トラストセンターのリストは、<http://www.uni-sigen.de/security/trustcenter/index.htm> 参照。インターネットにおける主な認証機関のリストは、<http://www.pca.dfn.de/eng/team/ske/pem-dok.htm> 参照。 (30) なおこの点、国連国際取引法委員会の電子署名統一規則の草案では、「署名」、「電子署名」と「セキュリティ電子署名」とを別に定義している。電子署名は、「データメッセージにおける、付された、もしくは論理的に関連した、電子的形式での[署名][データ]をいい、[かつある者を同定しデータメッセージの内容をその者が承認することを示す意図でその者により用いられ[もしくは代表され][[UNCITRAL電子商取引モデル法七条]の要件を満足するために用いられる]]」ものとし、セキュリティ電子署名については、「次の各号のいずれかにあたる電子署名をいう。
(i)第四条のデジタル署名でかつ第五条に定められた要件をみたすもの
」と定めて、一般の署名と、信頼性の高い署名とを区別している。デジタル署名については、四条に定義規定をおいている。草案では、A案とB案が用意されており、それぞれ次のように定義されている。(ii)もしくは、それを用いている人物に一義的に連結しており、迅速で、客観的かつ自動的なその人物同定が可能でありそれを用いる人物の唯一の統制の下での方式または手段を用いて生成され、かつもしメッセージが改変された場合は電子署名が無効であるような方法によりデータメッセージに連結されているようなセキュリティー手続を利用して、作成された時点において、特定の人物の署名であることが、認証され得るもの iii)[営業の通常の過程においてデータメッセージの生成、送信、受信、蓄積またはその他の処理に関わる当事者の間で]当事者により予め合意され、かつ実際に適用される環境の下で商取引上合理的であるもの A案 「『デジタル署名』とは、メッセージダイジェスト機能と非対称暗号システムを用いたデータメッセージの変換よりなり、もともとの変換されていないメッセージおよび署名者の公開キーを持つ人物が、次の各号の事項を正確に決定できるような種類の電子署名をいう。 (a)署名者の公開キーに対応する署名者の私的キーを用いてその変換がなされたかどうか (b)変換がなされてから固有のデータメッセージが改変されたかどうか」 B案 「(a)『デジタル署名』とは、データメッセージに固着された数値で、生成者の私的暗号キーと関連した周知の数学的手続を用いてこの数値が生成者の私的キーを用いてのみ得られたことを決定することを可能とする数値を意味する。 (b)本規則の下でデジタル署名の生成のために用いられる数学的手続は、公開キー暗号にもとづく。データメッセージに適用された場合は、この数学的手続は、次の各号の事項を正確に決定するこのとのできるような、メッセージの変換操作を行う。 (i)生成者の公開キーに対応する私的キーを用いて変換が行われたかどうか、及び (ii)変換が行われた後に固有のメッセージの改変がなされたかどうか」 共通規則の規定には、デジタル署名についての効力規定は含まれていないし、またデジタルデータの原本性についての規定はなく、モデル法の六条(書面性)、七条(署名)、八条(原本)、九条(管理能力と証拠能力)の規定により、効力が認められる。 モデル法六条は、法律が文書による情報を求めている場合に、情報が後の参照に使用可能なようにアクセスできるときは、その要求はデータメッセージで満たされるとして、原則的に、手書きの署名がされた文書と電子データの同等性を承認する。署名については、第七条で、その手続が個人の同一性を確認でき、データメッセージに記載された情報を個人が承認していることを示すことができるように使われている場合、その手法が関連する契約を含むすべての環境でメッセージを生成し、通信する目的に十分な信頼性をもち適正である場合に、電子署名が法律上の署名要件を満たすとしている。また、八条では、固有のデータメッセージが生成されたときから、その情報の完全性を高い信頼性で保障できるときでなおかつ、他人にそれを示すことを要求された場合に、その情報が表示できるものであるときは、そのデータメッセージが原本性を満たすことを認めている。 (31) Stefan Engel-Flechsig/Frithjof A. Maennel/Alexander Tettenborn, Das neue Informations-und Kommunikationsdienste-Gesetz, NJW 1997, S. 2981 ff. (32) ドイツ民法典一二六条に定める契約書式として認められるかの問題がある。 (33) わが国でも、電子的に保存された文書の証拠能力についての議論がされているが、電子保存された文書の原本性をめぐる議論は、デジタル署名および認証のサービスを通じて、文書と同等の扱いが可能となると考えられる。電子的に保存された文書の証拠能力については、秋山幹男他「電子的文書保存の法的諸問題(上・下)−磁気ディスクに保存されたデータと証拠法−」NBL六〇八号二四頁以下、梅谷眞人「磁気ディスクと証拠(一、二・完)」NBL六二五号二四頁以下、六二八号四八頁以下(以上一九九七年)参照。これらの議論は、行政庁への提出書類等について、電子的に保存された文書を認めるかどうかなど、行政法上の問題点とも関連する。 なお本稿では、ドイツデジタル署名法(現行法)に至るまでの各種草案については参照できなかった。この点は、Engel-Fleichsig/Maennel/Tettenborn, a. a. O. (N. 31), S. 2988, Anm. 60 参照。電子化された文書の証拠能力については、ザールブリュッケン大学のリュスマン教授の解説が、Helmut Ru¨βmann, Beweisrecht elektronischer Dokumente, <http://rw20hr.jura.uni-sb.de/rw20/people/ruessmann/Elbeweis/> で提供されている。 (34) ユタ州デジタル署名法(Digital Signature Act)第四章四六ー三ー四〇一条以下は、一定の要件のもとに適正になされたデジタル署名は、法令上の署名要件を満たし(四〇一条)、また一定の要件を満たすデジタル署名されたメッセージは、紙に書かれたされた文書と同様に有効で、執行可能でありかつ効力のあるものとし(四〇三条)、またデジタル署名に関する紛争の解決に際しても裁判所がその署名およびその内容等について推定する規定をおいている(四〇六条)。同法については、ユタ州商務省のサイト <http://www.commerce.state.ut.us/web/commerce/digsig/act.htm> で参照可能である。また、全米弁護士協会(ABA)の情報セキュリティー委員会がまとめた『デジタル署名ガイドライン』(Information Security Committee-Electronic commerce and Information Technology Division-American Bar Association, Digital Signature Guidelines-Legal Infrastructure for Certification Authorities and Secure Electronic Commerce Aug. 1, 1996, ABA)でもその第五章で効力等についての定めをおいている。 (35) Bundesnotarkammer (Hrsg.), Elektronischer Rechtsverkehr-Digitale Signaturverfahren und Rahmenbedingungen, 1995、特に Ulrich Seidel, Zertifizierung rechtsverbindlicher und urkundensicherer Dokumentverarbeitung, in:a. a. O., S. 89 ff.;Patrick Horster (Hrsg.), Trust Center - Grundlangen, rechtliche Aspekte, Standardisierung und Realisierung -, 1995;Albert Glade u. a. (Hrsg.), Digitale Signatur & Sicherheitssensitive Anwndungen, 1995 参照。 (36) 連邦科学技術省による草案起草段階からの動き等については、Engel-Fleichsig/Maennel/Tettenborn, a. a. O. (N. 31), S. 2988, Anm. 62 参照。 (37) Engel-Fleichsig u. a., a. a. O. (N. 31), S. 2989. (38) 従来、この私人による技術監視を行う団体の代表例として、技術監視協会(Technische U¨berwachungsvereine;TU¨V)が活動をしてきた。この点については、拙稿「私人による技術監視と『私人による行政』論(1)−西ドイツ技術監視協会と私人への行政権限委任の制度−」(法政論集一二九号一二三頁以下、一三一号二七一頁以下(一九九〇年)参照。 (39) 民間団体の職員を「公認の専門官(o¨ffentlich bestellte Sachversta¨ndige)」として指定し、検査を行わせるものと考えられる。わが国の例では、指定検査機関にあたる。指定検査機関を含め、指定機関については、拙稿「指定機関による行政の法律問題−日本における『私人による行政』手法の法的統制−」鹿児島大学法学論集二九巻一・二号二四一頁以下(一九九四年)参照。 (40) Engel-Fleichsig u. a., a. a. O. (N. 31), S. 2990. (41) Ebenda. 四 デジタル署名法の課題 デジタル署名法は、九七年八月一日に施行されてまだ日が浅いが、この間同法に対して寄せられてきたさまざまな意見を素材にして(42)、同法の課題と問題点を明らかにしておきたい。 1 法律によるデジタル署名と任意の署名との関係 デジタル署名法は、前述のように、署名法によるデジタル署名はその技術的な信頼性によって「信頼性のある」ものとして通用させることとしているが、一方で、さまざまなデジタル署名の方式の普及やさまざまな場面での使用を考慮して、その一条二項で、「本法によるデジタル署名の利用が法令により定められていない限りで、デジタル署名のための別の手続の利用をすることは、自由である。」として、署名法によるもの以外のデジタル署名も許容することとしている。 クーナーによれば、署名法一条一項は、その文言から、明らかに、裁判所の自由な証拠調べ手続の中で、法律に適合した署名手続を信頼性あるものとして評価させる方向へ刺激を与えるものであり、その結果、法律に適合しない署名手続は、裁判所に同等の信頼性を持つものであることについての疑問を抱かせることとなり、結果的には訴訟手続の中で多大の負担を伴うものとなるのではないか(43)、という。 この点は、そもそも立法趣旨自体が、デジタル署名手続を特定のものに限定せず、法律が定める条件によるデジタル署名もとりあえずデジタル署名法の限りでは法律上の標準として、実際上は事実標準として普及していくことを目指していることから、当然予想され得る点であり、むしろそうした事実上の不利益があっても普及するデジタル署名もありうるのであり、逆にそうでないものは法律によるデジタル署名の方へと淘汰されていくことになることは当然予想されているといってよい。 むしろ問題は、法律の求める要件が国際的に通用している(事実上の)標準的なデジタル署名手続と異なる場合であろう。この点、クーナーは、署名法によれば、認証機関が公開キーと私的秘密キーとの双方を生成することとされている点をあげ、現在行われている主要なデジタル署名サービスでは、そうすると私的秘密キーのセキュリティーの点で問題があるとして拒否されていることを指摘している(44)。署名法の体系では、認証機関のキー管理を厳格にすることによりこの欠点を回避するのであろうが、問題の指摘として極めて重要である。こうした国際的な事実標準からのずれが、今後検討されなければならなくなると思われる。 また、法律によるデジタル署名がドイツでは事実上優遇される結果、ドイツでサービスを提供しない国際的な認証サービス事業者も出てくることが危惧されているが、市場として有望である限り、サービス提供は確保されるのではないかと思われる。 いずれにせよ、署名法による署名手続に法的に制限するのは、今後の個別法によるのであり、たとえば特定のサービスに用いる署名手続を限定する立法がされる動向がでてくるかどうか、見守ることにしたい。 2 認証行為の法的性格 次に、連邦参議院によれば、本人認証を行う認証機関の任務は、従来、行政機関、裁判所および公証人が行ってきた証明行為にあたる公的任務であって、それを民間団体に行わせることは疑問であると指摘していた(45)。この指摘は、結果的には署名法に反映されていない。この連邦参議院で出された主張との関連では、ネットワーク上の認証サービスと、従来の公証人(46)または行政機関により提供されてきた各種の公証行為との関係をどのようにとらえるかの問題がある(47)。署名法の限りでは、公証行為の独占は想定されていないが、この点でも、今後の立法で、特定の電子認証を公共団体に独占させることも可能性としてはありうる。 電子認証と関わっては、その認証行為をいかなる性格のものとして法的に評価するのかの問題がある。ネットワーク外の行為では、たとえば行政機関が行う戸籍謄本、住民票などによる公証行為、公証人が行う法的行為の公証などが存在するが、これらは公共機関による証明行為として位置づけられてきた。もちろん、民間の信用調査機関の行う信用情報の提供などの行為も商取り引きの上では重要な信用判断のための情報として用いられてきている。こうしたネット外の行為との比較において、ネットワーク上の認証行為、公証行為をどのように評価するのかが問題となるのである。 この点、概括的に述べれば、ネット上でも、行政機関が行う証明行為は、公証行為にあたる行政行為としての性格を持つし、民間事業者が行う認証行為は、私的な証明行為として扱われる。実質的には同様の証明を行う行為が、その法的な形式への当てはめの点では、片や行政行為として評価され、片や私的なサービスの提供として評価されることになる。 3 認証機関の責任 認証機関の責任の問題については、立法段階でかなりの議論がされたようである。認証機関の責任についての規定がおかれることが、責任負担についての正確な予測を可能とすることが、国際的な観点からは重要なものと考えられたからである。しかしドイツの責任法の体系論に対応して、個別事案においては、一般的な民事責任および公法上の責任規定からそのつど適用される責任原則が明らかになるものと考えられたために、特別の責任規定をおくことは見送られた(48)。その方が、そのつど、状況に応じた多様な解決が可能になると考えられたようである。そこでは、特別の責任規定をおくことが、デジタル署名を特別に危険な技術と位置づけることとなり、ユーザ、利用者の範囲を制限するとも考えられた。 実際上は、認証機関の過誤により第三者に損害が発生したときの認証機関の責任はどのように処理されるのか。立案関係者によれば、第三者に対する損害については、刑法典二六三条および民法典八二三条二項により、場合によっては民法典八三一条により、損害は賠償されることになるが、認証機関の職員の過失による過誤により引き起こされた財産損害の場合にのみ欠缺が生じ得るとされている(49)。最終的には、責任問題についての詳細は、今後のデジタル署名の実務での利用と法的な承認の状況にかかっており、判例および学説によるさらなる展開に委ねられるべき部分である。 4 認証機関の業務の外部委託 クーナーは、さらに認証機関のキーの生成・管理および認証に関する業務の外部委託との関係での問題点についても言及している(50)。それによれば、署名法が、認証機関の業務を外部委託することを認めていないことが国際的な事業者の業務展開に適合しないとされている。特に、国際的な事業展開をする事業者は、一国内でのサービス提供のための業務を外国で他の事業者に委託して処理することがありうることに適合的でないという。 この点は、認証機関の業務展開の効率性、従って結果的に安価なサービス提供のために求められるのであろうが、しかし、認証機関の業務の外部委託については、慎重な検討が必要であろう。確かに現在、情報処理業務の多くが外部委託、アウトソーシングが可能なものとして、その外注が進められつつある(官民の双方で、国際的にそうした傾向にあるようである)が、それによりキー管理の機密性、信頼性の確保や、顧客のプライバシー確保が全うできるのかむしろ疑問である。一般には、契約の条項に秘密保持条項を入れて外部委託することが行われているが、それでもその監督が十分されているか疑わしいし、情報がいったん漏洩した場合は取り返しのつかないことになることの重大さを考慮すれば、クーナーの指摘のように安易にはいえないように思われる。 5 認証手続の手続要件 さらに、署名法の問題としては、署名法および署名令(51)により、認証機関に証明証を申請する場合に、文書での自著による署名を求めていることを批判している。これによれば、遠隔地から認証機関に証明の申請をするのは不便であるし、ましてや外国の認証機関に申請する場合は、FAXか通常の郵便で申請しなければならないという不便が生じるという(52)。こうして外国の認証機関が不利になることが、国際的な動向を配慮しないものとして批判されている。 6 外国の証明書の承認 最後に、署名法一五条の外国の証明証の承認の問題がある。 署名法一五条によれば、「ヨーロッパ連合の他の構成国またはヨーロッパ経済地域についての協定のその他の締約国でなされた外国の証明証が付されている公的署名キーを付されて審査されることのできるデジタル署名は、それが同等のセキュリティーをもっているとみられる限りにおいて、本法によるデジタル署名と同等とみなす。」と定めて、ドイツ以外のEU構成国等でなされたデジタル署名を署名法によるデジタル署名と同等とみなす規定をおいている。 この規定は、インターネットを利用した電子認証が国境を越えて実施される場合にはどのように判断されるのか不明であるという。すなわち、ドイツ国民の署名キーでも外国に本拠を持つ事業者が生成して署名がなされることもありうるし、クーナーの外部委託についての指摘にあったように、ドイツの認証機関でも外国においたコンピュータによってキーが生成されることもありうる。そういう場合に「外国の証明証」とは何を意味するのかというのである。また、クーナーによれば、この規定により国際的な署名の相互承認がされるときに、この「同等のセキュリティーをもっているとみられる」ことの判断はどのようにして判断されるのか不明であるという(53)。 この点は、EU構成国等以外の一五条二項が適用される国の署名についてはさらに顕著であると批判している。二項によれば、「相当の超国家的または国家間の約定がなされている」ことが要件であるが、たとえば、アメリカ合衆国のように、州レベルでデジタル署名立法がされている国であれば、それぞれの州と個別に条約を締結するのか、そうすればアメリカとの署名の相互承認などいつになるか分からないという批判もされている(54)。 7 電子認証サービスの動向 ドイツのデジタル署名法が施行される九七年八月の前後に、ドイツにおいても認証業務を開始ないしは準備する組織が出てきている。商用認証サービスの提供に関しては、前述のようにドイツテレコムの関連会社などがその認証機関としての活動を開始する準備をしている。一方、こうした商用認証機関の動きと並んで注目されるのが、非営利の認証機関の活動である。 ドイツの連邦科学技術研究省により財源を補助されたドイツの学術ネットワークの団体であるDFN(Deutsche Forschungsnetz)は、そのユーザーに対する認証業務を開始している(55)。DFNは、暗号技術としては、PGP(56)などの技術を用いながら、ユーザーに対する無料の認証サービスを提供することとしており、さらに、ドイツ国内の個人または自主プロバイダ団体であるINとも相互の認証の協定を結んでその相互および傘下の認証業務を行うこととしている。また、同団体は、ヨーロッパのトップレベルの認証団体とも相互に、協調的な認証を行う方針である。 実際に、同団体のホームページでは、DFN自体の公開キー、その認証業務についての政策文書の他、認証された公開キーのリストや、その撤回されたもののリストおよびDFN傘下の中級および下級の認証機関のリストなどが公開されており(57)、認証業務の実際を看取することができる。 同団体は、以上のように、学術研究ネットワークの利用者に対して無償の認証業務を提供することとしているが、デジタル署名法の施行にあわせて、同法に従うことも表明しており、今後の動向が注目されるところである。 以上のようなDFNの活動は、ネットワークユーザーについて、無償で信頼性のある通信インフラサービスを提供するものとして注目されるものである。 また、こうした無償のサービスを提供する団体との関係で、有償の商用認証サービスがどのように普及していくのか、およびDFNのような通信の基盤的なサービスを提供するプロダイバとして、たとえばドイツの地方公共団体によって運営されるものが出てこないか、などの点が今後の動向の中で注目される。 もっとも、以上のように各種の認証機関がその活動を展開することは、立法者の観点では、自由競争により署名および認証行為の信頼性を向上させるものとして望ましいことであろうが、その評価がある程度安定するまでは、ユーザー側からみて、どの署名および認証行為が信頼し得るものかの判断がつきにくく、また署名法上の署名かそうでないのかの判断も難しいなど、若干の混乱も予想される。 (42) デジタル署名法についての批判的な検討としては、Christopher Kuner, Das Signaturgesetz aus internationaler Sicht, CR 1997, S. 643 ff.;Alexander Roβnagel, Eine kritische Bewertung des Gesetzentwurfs der Bundesregierung, DuD 1997, S. 75 ff.;ders., Stellungnahme zum Gesetz u¨ber die digitale Signatur, <http://www.provet.org/bib> などを参照。 (43) Kuner, a. a. O. (N. 42), S. 643. (44) Kuner, a. a. O. (N. 42), S. 644. (45) BT-Drucks. 13/7385 v. 9. 4. 1997, S. 58. (46) ドイツの公証人(Notar)制度については、連邦公証人法(Bundesnotarordnung, v. 24. 2. 1961, BGBl. I S. 98)が規制をおき、「公的官職の独立の担当者(unabha¨ngige Tra¨ger eines o¨ffentlichen Amtes)」(公証人法一条)とされている。 わが国の公証人は、公証人法(明治四一年法律五三号)等に基づき国の公務をつかさどっているので、実質的意味における国家公務員であるとされており、法律行為(契約、遺言等)その他私権に関する事実についての公正証書の作成、私署証書(外国に送付する文書、定款、謄本等)の認証、確定日付の付与等をその職務とする(公証人法一条)。公証人自体には資格規制がかけられており、資格試験があることになっているが(一二条)、実際には、裁判官、検察官、弁護士などのなかから法務大臣によって任命されている(一三条)。公証人は、法務局または地方法務局に所属し、公証人役場で職務を行い(一七、一八条)、法務大臣の監督を受ける(七四条以下)。国家から給与を受けず、嘱託人から受ける手数料収入(七条)によって事務所の経営その他いっさいの経費をまかなっているとされている。 (47) オンラインでのデジタル書類の公証業務についても国際的な制度化の動きがはじまっている。特に、アメリカのユタ州などでは、デジタル署名法の制定にあわせてオンライン公証の制度化も行っており、今後、オンラインでの公証制度、いわゆるサイバー公証をどのように制度化するのか、特に行政の事務とするのか、民間事業者に任せるのかの議論が必要となっている。サイバー公証については、さしあたり Michael L. Closen/R. Jason Richards, Notaries Public-Lost in Cyberspace, or Key Business Professionals of the Future?, Journal of Computer & Information Law 1997 vol. VX, pp. 703-758 参照。 (48) Engel-Fleichsig u. a., a. a. O., S. 2989. (49) Ebenda. (50) Kuner, a. a. O. (N. 42), S. 644. (51) 署名令三条一項によれば、認証機関は、連邦個人証明証もしくはパスポートまたはその他の適切な方法で本人確認をしなければならないとしており、その際、申請は、自著で署名しなければならないとしている。デジタル署名が付された申請は認められているが、少なくとも最初の証明証の申請には、自著の署名がいることになる。 (52) Kuner, a. a. O. (N. 42), S. 644. (53) Kuner, a. a. O. (N. 42), S. 645. (54) Ebenda. (55) DFNの認証政策については、ネットワーク上でも公開されている。<http://www.pca.dfn.de/dfnpca/> 参照。 (56) PGP(PrettyGoodPrivacy)は、インターネット上で公開されている暗号化プログラムである。PGPについては、Simson Garfinkel 著(山本和彦監訳・株式会社ユニテック訳)『PGPー暗号メールと電子署名ー』(オライリー・ジャパン・一九九六年)参照。 (57) DFNの認証、パブリック・キー・インフラストラクチャーPKIについては、<http://www.pca.dfn.de/> 参照。 五 デジタル署名、暗号と国家的監視 さて、最後に、ネットワーク上でのデジタル署名およびそれと付随した暗号技術のコミュニケーションへの利用が必然的に引き起こすであろう国家政策上の課題として、暗号利用についてのそれがある。以下、ドイツの動きと国家監視の技術的な手当ての状況を整理してみておこう。 (1) 暗号技術の利用の法的規制 これまで、デジタル署名に即して述べてきた暗号技術の利用は、オープンネットワークであるインターネットにおける通信が、多くのネットワークを経由し、また膨大なユーザーにより利用されることを考慮すれば、そこでの通信の秘密を確保し、プライバシーを確保しながら確実なデータの送受信を行うための基盤的技術である。したがって、インターネットの通信は、暗号技術の利用によってはじめて、秘密の確保されたものとなるのであり、暗号技術は、通信の秘密を確保された通信の自由を保障するための基本的な条件といってよいであろう。 しかし、一方で通信の秘密が確保された通信は、通信を利用した犯罪等の捜査や裁判での証拠調べなどのような通信内容の国家的な監視との間で緊張を生む。 アメリカでは、犯罪対策や国家の安全保障の観点から、暗号製品の(輸出または利用)規制、暗号の秘密キーを行政機関もしくは信頼性ある第三者機関に預けさせる暗号キー寄託制度(Key-Escrew-System)または政府機関への提出の義務づけ(Key-Recovery-System)などがサイバースペースをめぐる大きな争点となってきた(58)。 ドイツにおいても、後述のように、通信内容の国家監視が法令により認められ、実際にも多くの通信監視が行われているが、高度な暗号技術の利用を認めることが監視機関による監視を不能とするとの議論がある。連邦内相マンフレト・カンターは、暗号規制の意向を表明してきたが(59)、目下のところ、強い反対に合って(60)その動きは頓挫しているようである。しかし、次に述べる通信の国家監視を法制度上認めるとすれば、それを無意味ならしめるような暗号の規制または暗号キーの政府への提出などの法的手段が導入される可能性も極めて高いといってよいであろう(61)。 (2) 通信内容の国家的監視 暗号技術を用いたデジタル署名制度の導入は、以上のように暗号化された通信内容に対する国家の監視の問題と必然的に関わる。その際、当該国家が、通信内容に対してどのようにアクセスを行うための制度化をしているかを見ておくことが必要であろう。 ドイツにおいては、電気通信に対する国家的な監視を法律の明文で認めてきている。以下、その概略を見ておく(62)。 刑事手続の一環として行われる電気通信の監視は、刑事訴訟法一〇〇a条の規定に基づき、原則として裁判官の令状に基づき行われる。一定の重大犯罪(一〇〇a条の犯罪カタログに列挙されているもの)の疑いがある場合に、一〇〇a条の補完性原則を満たすときは、権限ある裁判官の令状により、もしくは手遅れになる危険がある場合は検察官による令状により、テレコム株式会社及びその他の公衆の通信のために定められている電気通信設備の事業者は、電気通信の監視と表示を可能にしなければならないと義務づけられている(刑事訴訟法一〇〇b条三項)。同様の監視を認められる機関としては、憲法保護機関(Verfassungsschutz)、連邦情報局(Bundesnachrichtendienst)及び軍事情報機関(Der Milita¨rischer Abschirmdienst)について、G一〇法律(G-10 Gesetz)一条二項二段(63)ならびに関税取締局(Zollkriminalamt)について、対外経済法(Auβenwirtschaftsgesetz)三九条五項(64)が、それぞれの権限について規定をおいている。G一〇法律の場合、令状の交付権限は、州の憲法保護行政庁の申請のときは、ラントの最高行政庁に、その他のときは連邦宰相により委任された連邦大臣(個人の監視の場合は、連邦内相)に与えられている。関税取締局の監視の場合は、ラント裁判所により、手遅れになる危険がある場合は、連邦財務大臣により令状が発せられる。 こうした刑事訴訟法及びその他の特別法の他、電気通信設備法(65)一二条は、刑事訴追機関に対し、既になされた電気通信交信についての報告請求権をあたえている。これから将来的に行われる電気通信の監視は、前述の刑事訴訟手続による。電気通信設備法一二条による報告を通じて、実務上は、電気通信交信の周辺状況についての情報(たとえば、通信日時、通信時間、相手方電話番号等)を得ることができるとされている。 九六年八月一日のテレコミュニケーション法(Telekommunikationsgesetz(66))は、電気通信事業者にさらに積極的な協力義務を課して、国家による電気通信の監視のための規定をおいている。すなわち、事業者には、電気通信法九〇条により、氏名、住所、電話番号等を含む顧客データを整備する義務が課されており、このデータからの情報は、電気通信の規制行政庁に対し、自動的な手続で呼び出し可能なようにしなければならないとされている。規制行政庁は、同法九〇条三項に定められた権限ある刑事訴追機関または危険防止行政庁の求めに応じて、それらの機関に対し、データを提供するとされている。 この電気通信法の規定に基づく通信監視についての細目は、電気通信監視令(Fernmeldeu¨berwachungsverordnung(67))により定められている。電気通信監視令三条一項は、令状で定められた期間について、確実な技術的交換装置(八条)を通じて、全通信の監視及び表示を可能とすることを担保しなければならない。その他、技術的な記録装置があれば、その監視も保障しなければならない。令三条二項によれば、その通信と関連する一定のデータも用意しなければならない。電気通信設備の事業者が通信内容を暗号化しているときは、監視令八条四項により、接続装置において暗号から復号して用意しなければならない。 さらに以上のような監視協力義務とならんで、電気通信法八八条一項は、事業者に、監視のために必要な設備については、事業者自らの費用で用意しなければならないとし、同二項によれば、技術的な設備の形態については、規制行政庁の許可が必要であり、さらに同二項三段二号により、事業者は監視のための設備を用意し規制行政庁にその旨届け出たのちに事業を開始することができる、と規制することにより、事業開始から監視行政庁が容易にその通信内容を監視するための技術的な規制がされている。 ドイツでは、以上のように、国家が通信内容を傍受しその内容を監視するための技術的な装備の確保が法制度上手当てされており、実際上も、年間六〇〇〇件以上の通信傍受が実施されている(68)。以上のような法規制に鑑みれば、署名キーにより暗号化されたデータについても、その復号のためのキーの寄託、またはその国家への提供義務が法制化される可能性はきわめて大きいものと思われる。デジタル署名法上は、匿名ユーザーについての個人情報提供義務(署名法一二条二項)しか導入されていないが、その内容へのアクセスを確保する技術的措置として、カンターの主張が立法化されても不思議ではない法的な状況にあるといってもよいであろう。 暗号制度の定着は、一方で国家による暗号内容へのアクセス確保、暗号内容解読担保措置の問題と関連してくることに注意が必要である。 (58) アメリカの事情については、さしあたり指宿信「ネットワーク盗聴と暗号問題」法セミ五一八号一二七頁(一九九八年)参照。Kenneth Flamm, Deciphering the Cryptography Debate, Brookings Policy Brief No. 21. <http://www.brook.edu/ES/POLICY/Polbrf21.htm>, Matt Blaze, Kryptopolitik und Informations-Wirtschaft (Cryptography Policy and the Information Economy), DuD 1997, S. 209 ff.;Johann Bizer, Rechtliche Bedeutung der Kryptographie, DuD 1997, S. 203 ff.;Rainer W. Gerling, Verschlu¨sselungsverfahren-Eine Kurzu¨bersicht-, DuD 1997, S. 197 ff.;Karl-Heinz Helf, Sicherheit in der Telekommunikation als Regulierungsaufgabe, CR 1997, S. 331 ff. なお、オーストリアでも、マルチメディア法の制定が計画されており、それにあわせて、暗号キーの寄託が議論されている。O¨sterreich:Staatspolizei will zentralen Schlu¨ssel fu¨r das Internet, (16. 7. 1997) <http://www.speigel.de/netzwelt/aktuell/austria.htm>. (59) 連邦内相カンターは、九七年四月二八日には、キーを法執行機関に提供することを同意した事業者の技術のみを許容する暗号規制を導入したい旨、表明していた。FAZ v. 29. 4. 1997, S. 9. また、連邦内務省の「暗号タスクフォース」も、暗号技術の利用を許可制にし、暗号キー寄託制度を導入する暗号法(Kryptogesetz)の制定を検討してきたとされている。CDU-Sprecher fordert Kryptogesetz, DSB 12/1996, S. 20 ff.; HB Nr. 234 v. 3. 12. 1996, S. 7. なお、連邦法務相エドツァルト・シュミットヨルツィヒは、カンターの見解に反対している。FAZ v. 7. 5. 1997, S. 4;v. 21. 6. 1997, S. 15. (60) 様々な分野から暗号規制に対する反対論が出されてきている。たとえば、ON., Kryptoregulierung-Jetzt auch in Deutschland?-, DSB 2/1997, S. 3;1/1996, S. 1 ff.;ON., Plaedoyer gegen verbindliche staatliche Kryptoregulierung, DSB 9/1996, S. 2 ff.;ON., Datenschutzbeauftragte fu¨r Datensparsamkeit und gegen Krypto-Verbot, DSB 11/1996, S. 13 ff.;ON., Widerstand gegen Kryptographieverbot, Informatiker wollen Verschlu¨sselung, Computer Zeitung 19/1996, S. 1;Alexander Roβnagel, Schriftliche Stellungnahme zum Thema Datensicherheit,(連邦議会の「メディアの将来」調査委員会への文書での意見提出としてなされたもの)<http://www.hrz.uni-kassel.de/fb6/oeff-recht/publicationen/stellungnahme-datensicherheit.html>;Gegen Kryptographie-Gesetz, FAZ v. 5. 7. 1997, S. 13 など参照。 暗号規制に対する反対の論拠としては、暗号規制の事業者側での受け入れの困難性、暗号規制をしてもすかし技術等を用いて秘密裡の通信が可能であること、「プロ」犯罪集団は規制された暗号技術は用いないであろうこと、キー寄託制度・キー回復制度が費用がかさむこと、暗号の二重化により規制は無意味になることなどがあげられている。九七年七月六日から八日までボンで開催されたインターネット首脳会議の最終宣言では、グローバルな情報ネットワークでの電子商取引の推進の観点から、強力な暗号技術の利用が電子商取引の「キー」になることが宣言された。Global Information Networks Conference 1997-Ministerial declaration, <http://www.echo.lu/bonn/final.html> Vgl. FAZ v. 9. 7. 1997, S. 13. またEUの九七年一〇月の文書、Towards A European Framework for Digital Signatures And Encryption, KOM (97) 503, supra note 15 も同様の理由を挙げて、共通市場における電子商取引の推進の観点から不必要な暗号規制を避けるべきことを述べている。 法的な観点では、暗号規制が、経済的な展開の自由(基本法一二条一項、二条一項)、基本法一〇条の通信の秘密の保障、基本法二条一項および一条一項から保障される情報自己決定権を侵害し、またキー寄託制度は事業者に過度の経済的負担を課し比例原則にも反するとして憲法違反であるとする憲法適合的技術利用プロジェクト(provet)の見解(九七年一月)も出されている。Vgl. Beschra¨nkung kryptographischer Verfahren sind verfassungswidrig, <http://www.provet.org/stnahme-krypto.htm>. 同様の見解は、Johann Bizer, Rechtliche Bedeutung der Kryptographie, DuD 1997, S. 203 ff. でも示されている。 (61) 九七年一一月、SPDのヨルグ・タウス議員は、連邦内務省が、ドイツ版クリッパー・チップ計画を進めようとしていることを公表しているが(Neue Anla¨ufe zur staatlichen Kryptoregulierung?, DSB 11/1997, S. 5 f.)、内務省自体は公式発表はしていないようである。 (62) 通信内容の国家監視については、大綱法施行前のものであるが、Ulrich Sieber, Teil V Cyberlaw:Die Entwicklung im deutschen Recht, in:William R. Cheswick/Steven M. Bellovin (u¨bersetzt v. Thomas Maus), Firewalls und Sicherheit im Internet, 1996, S. 283 ff., 302 ff.;Hochschulnetze in Bayern, Zugang, Nutzung, Schutz vor Miβbrauch und damit zusammenha¨gende Rechtsfragen, Bericht der Arbeitsgruppe Zugangs- und Nutzungsregelungen fu¨r die bayerischen Hochschulnetze, RB-Nr. 05/97/02, Februar 1997, <http://www.rz.uni-wuerzburg.de/netzbericht/Kapitel-7.html>;Ulrich Wuermeling/Stefan Felixberger, Staatliche U¨berwachung der Telekommunikation, CR 1997, S. 555 ff. などを参照。 (63) Gesetz zur Beschra¨nkung des Brief-, Post-und Fernmeldegeheimnisses (Gesetz zu Artikel 10 Grundgesetz), v. 13. 8. 1968, BGBl. I S. 949. (64) §§ 39, 40 Auβenwirtschaftsgesetz, v. 28. 4. 1961, BGBl. I S. 481. (65) Gesetz u¨ber Fernmeldeanlagen (Fernmeldeanlagengesetz) v. 3. 7. 1989, BGBl. I S. 1455. (66) Telekommunikationsgesetz;TKG, v. 25. 7. 1996, BGBl. I 1996, S. 1120. 法案は、Entwurf, v. 23. 4. 1996, BT-Drucks. 13/4438 参照。同法の逐条解説書として、Wolfgang Bu¨chner u.a. (Hrsg.), Beck’scher TKG-Kommentar, 1997 参照。 (67) Verordnung u¨ber die technische Umsetzung von U¨berwachungsmaβnahmen des Fernmeldeverkehrs in Fernmeldeanlagen, die fu¨r den o¨ffentlichen Verkehr bestimmt sind, v. 18. 5. 1995, BGBl I 1995, 722. (68) 具体的な件数等は、拙稿・前掲注(5)立命館法学注(30)参照。 六 お わ り に 以上、暗号技術を利用したデジタル署名および電子認証の利用および制度化の国際的な状況とその仕組み、ならびにそれを国家法上制度化したドイツ・デジタル署名法の概要とその抱える課題について検討してきた。未だ同法が施行されて日が浅く、実際に認証機関の活動に絡む動きも十分な検証に耐える状況にはないが、とりあえずの法制度化にあたっての問題点とそれに関連して出てくると思われる暗号規制の問題とが示された。デジタル署名と電子認証は、国民のネットワーク利用権を促進するサービスまたは制度として有効である一方で、国家の通信監視との関係で困難な問題を生ぜしめる。こうした脈絡を押さえた上で、ネットワーク利用を促進する方向での制度化を今後わが国でも検討すべきであろう。もとより認証サービスは、あらゆる情報が同一の厳格さでなされる必要はないが、少なくとも国民のネットワーク利用の権利を促進する方向での、利用しやすく、安価な制度化が必要であろう。 電子認証サービスはまさに生成中の法制度であるといってよいが、今後、認証機関の法的責任(印鑑証明についての国家賠償訴訟を想起してほしい)、認証された文書の証明力の問題など解決されなければならない課題も多いことを最後に付け加えて、残された課題については他日を期すこととしたい。 |