ノウハウ 電子契約において認証局とは?電子署名に必要な証明書の発行費用も解説
電子契約において認証局とは?電子署名に必要な証明書の発行費用も解説
電子契約や電子署名の導入を検討する際に欠かせない「認証局」という存在。その役割や仕組みを正しく理解することは、安心・安全な契約締結の第一歩です。
本記事では、認証局の基本から種類までをわかりやすく解説します。
認証局とは?
認証局は、電子署名に必要な「電子証明書(信頼できる第三者が本人であることを電子的に証明する証明書で、パスポートや免許証のような身分証明書)の発行・失効」「リポジトリ管理」を行っています。
詳細は後述しますが、認証局には「パブリック認証局」と「プライベート認証局」があります。
目的によって、どちらの認証局の電子証明書を利用すべきかが変わります。
認証局の役割
認証局は以下の3つの役割に分かれています。
電子証明書の発行
電子証明書発行のために必要な情報を審査し、電子証明書を発行します。
電子証明書の申請者が提出した「秘密鍵と公開鍵が対となっていることの確認」「鍵ペアの所有者の身元を審査」し、問題がない場合、電子証明書を発行します。
そのため、電子証明書は公開鍵証明書」とも呼ばれます。
電子証明書の失効
発行済の電子証明書の有効期限が切れたり、セキュリティ上問題があるなどで、所有者から申請があった電子証明書の失効を行います。
発行された電子証明書は、認証局により公開鍵暗号方式で電子署名され、失効した電子証明書は証明書失効リスト(CRL)に登録されます。
リポジトリ管理
リポジトリとは、証明書発行リスト及び失効リスト(CRL)等を格納し公開しているデータベースで、認証局で管理をしています。
認証局ではこのリポジトリを管理する業務を行っています。
電子証明書とは
電子証明書とは、現実世界における「印鑑証明書」と同様の役割を持つ技術です。
近年はオンラインでの契約や署名が様々な場面で採用されるようになりましたが、本人になりすましてデータのやり取りが行われるリスクを伴います。
紙の書類を使った手続きなら印鑑や署名で本人性が証明されますが、オンラインの手続きでは物理的な押印・署名が不可能だからです。
そこで第三者機関である認証は、当事者が手続きに際して電子署名をした際に、その電子署名が当事者によるものであると証明のうえ電子証明書を発行します。
これにより、物理的な押印や署名がなくても本人性を証明し、なりすましを防ぐことができます。
電子証明書の発行費用
認証局から直接電子証明書の発行を受けるにあたって、費用が発生します。
国内の代表的な認証局と、それぞれの電子証明書の発行費用をまとめると、以下の通りです。
認証局 | 費用 |
電子認証登記所(法務省) | 1,300円~9,300円 |
帝国データバンク | 20,000円~48,000円 |
日本電子認証(AOSign) | 11,550円~66,000円 |
三菱電機インフォメーションネットワーク | 12,100円~44,000円 |
また、認証局によって発行可能な枚数や有効期限も異なります。
発行枚数が多く有効期間が長いほど費用総額は高いですが、割安になります。
電子証明書の有効期限
電子証明書には有効期限があり、その多くは1~3年で設定されています。
これは、電子署名法施行規則6条4項により「電子証明書の有効期限は五年を超えないものであること」と定められているためです。
一方で、技術の進歩により電子署名に使われている暗号化アルゴリズムは、数年後解読される可能性があります。これを危殆化リスクと いいます。
▶関連記事:電子証明書とは?発行方法・費用などをわかりやすく解説
電子証明書の期限切れ対策「長期署名フォーマット」
この危殆化リスクを解決する技術として、「長期署名フォーマット」があります。
長期署名は、危殆化リスクに晒される前に、その時点での最新の暗号技術を用いたタイムスタンプを追加し暗号を掛け直すことで、電子署名の効果を延長する仕組みです。
パブリック認証局とは
パブリック認証局は、公的に電子署名の本人性を証明できる認証局のことです。
厳しい監査と十分なセキュリティ体制のもと運営されており、第三者機関として電子証明書を発行します。
そのため外部組織との契約など、電子署名が本物であると公的に証明しなければならない場合の利用に適しています。
パブリック認証局として代表的な機関・事業者
パブリック認証局には、法務省が運営している認証局と審査を通過した民間企業が運営している認証局があります。
代表的なパブリック認証局である機関・事業者は、以下の通りです。
・電子認証登記所
・公的個人認証サービス都道府県認証局
・帝国データバンク
・日本電子認証
・三菱電機インフォメーションネットワーク
・セコムトラストシステムズ
・東北インフォメーション・システムズ
プライベート認証局とは
プライベート認証局は個人や企業が独自に構築した認証局のことで、限定的な範囲でのやりとりで電子証明書の発行が必要な際に利用されます。
たとえば社内でのデータのやり取りであれば通信相手が明らかになっているため、電子署名の本人性は自社の基準で証明できれば十分です。
一方で、外部との電子契約などでは取引の透明性と非改ざん性を証明する必要があります。
そのため、公の場でのやり取りではプライベート認証局の利用は適していません。
環境に応じて、プライベート認証局とパブリック認証局を使い分けることが望ましいです。
認証局に関してよくある質問
認証局に関する、よくある質問について解説します。
電子認証局とは何ですか?
電子認証局とは、電子証明書を発行する機関のことです。
電子契約などで付与される電子署名が、本人によるものであることを証明します。
電子認証局には「パブリック認証局」と「プライベート認証局」の2種類があり、データをやりとりする環境によって利用すべき認証局が異なります。
認証局はどのような運営形態になっていますか?
パブリック認証局の場合、法務省が直接運営している認証局と民間企業が運営している認証局があります。
民間企業が運営している認証局でも厳しい審査に合格しているため、公的に本人性を証明するうえでの高い信頼性が確保されています。
プライベート認証局は、個人または企業が独自に構築のうえ運用します。
電子署名には非改ざん性があるのですか?
電子署名は、公開鍵暗号・公開鍵暗号基盤(PKI)・ハッシュ関数という3つの技術により付与されます。
送信者側は、秘密鍵で暗号化した文書・平文・公開鍵を含んだ電子証明書(公開鍵証明書)を送信します。
それを受け取った受信者は平文のハッシュ値を取得のうえ、電子証明書に含まれる公開鍵で暗号文を復号します。
結果、双方のデータが一致すれば改ざんされていないことが証明されるという仕組みです。
この仕組みにより、電子署名の非改ざん性が確保されています。
公開鍵証明書や公開鍵暗号基盤(PKI)については、以下の記事で詳しく解説していますのでこちらもご覧ください。
公開鍵証明書とは?仕組みや発行の流れなど認証局などわかりやすく解説
安全な電子契約には電子認証局による電子証明書が必要!
電子契約などの取引が真正であることを証明するためには、電子認証局が発行した電子証明書を利用して本人性・非改ざん性を確保しなければなりません。
ユーザーとしては、データをやり取りする環境に応じて認証局を使い分け、電子証明書の発行を受ける必要があります。
ただし、パブリック認証局が発行する電子証明書の利用が可能な電子契約システムなら、自分で特別な準備を済ませる手間が不要です。
電子契約の導入ハードルを下げつつ、取引の安全性も担保できます。
電子契約の導入を検討中の方は、ぜひ電子証明書や電子署名の機能にも注目してシステムを選んでみてください。
