ノウハウ 電子署名とタイムスタンプの違いとは?仕組みから有効期限の対策まで解説
電子署名とタイムスタンプの違いとは?仕組みから有効期限の対策まで解説
電子契約に用いる契約書の信頼性・完全性を担保するには、電子署名やタイムスタンプの活用が欠かせません。
しかし、電子署名とタイムスタンプにはどんな違いがあるのか、そもそもどんな技術なのかについて理解できていない方も多いことでしょう。
今回は電子署名とタイムスタンプの具体的な違いを、それぞれの役割と併せて詳しく解説します。
電子帳簿保存法との関係や利用時の注意点、有効期限なども記載していますので、参考にしてみてください。
電子署名とタイムスタンプの違い
電子署名とタイムスタンプは電子契約において必要な点は共通していますが、それぞれ異なる役割を持つ技術です。
ここでは、電子署名とタイムスタンプの概要やそれぞれのメリット・役割を解説します。
電子署名とは
電子署名とは電子文書の真正性を証明できるデジタル形式の署名で、紙契約の印鑑にあたるものです。
電子署名のメリット・役割
電子契約において電子署名は、「契約の本人性と非改ざん性を証明できる」という特徴があります。
本人性とは契約の同意が本人によるものであること、非改ざん性は契約書が改ざんされていないことを指します。
詳細は後述しますが、電子署名は公開鍵暗号・公開鍵暗号基盤・ハッシュ関数という技術の組み合せで成り立っています。
そして第三者機関である認証局から発行された電子証明書が含まれているため、認証局に問い合わせることで署名者の本人確認が可能です。
また、民事訴訟法第228条では文書を証拠とする際に「真正性」の証明を求めています。
電子署名法第3条では、同法2条の要件を満たす電子署名が行われた電磁的記録は、真正に成立したと推定できるとの記載もあります。
つまり、電子署名を付与しておけば当該の電子契約に法的効力を与えられるため、締結後に万が一トラブルが起きてもスムーズに対応しやすくなることも大きなメリットです。
【関連記事】電子契約の導入メリットとは?手順やおすすめクラウド型システムも紹介
タイムスタンプとは
タイムスタンプは、総務大臣から認定を受けた時刻認証局から提供される時刻情報と、文書データ固有の「ハッシュ値」を組み合わせて、そのデータの存在を証明する技術です。
タイムスタンプのメリット・役割
タイムスタンプの主な役割は、付与された時点で電子文書が存在していた事実や非改ざん性を証明することです。
電子データは紙よりも改ざんがしやすく痕跡が残りにくいため、その対策として付与されます。
電子署名も文書の非改ざん性を証明できますが、それが「いつ」存在したのかまでは証明できません。
逆にタイムスタンプは、「誰によるものか」の証明は不可能です。
電子署名とタイムスタンプを併用すれば互いがカバーできない部分を補えるため、電子契約の完全性をより確実なものにできます。
「電子契約にタイムスタンプは不要」は本当?
電子契約でタイムスタンプが必要かどうかは、ケースバイケースといえます。
電子帳簿保存法で示された手段に当てはまる下記2つの措置を講じているなら、タイムスタンプの付与は不要とされています。
・通常の事務処理期間(最長2カ月と7日)以内に保存した場合 ・訂正や修正した場合に履歴が残るシステム、もしくは修正や訂正が行えないシステムを利用してスキャンした場合 |
電子契約の仕組み
電子契約が締結されるまでの仕組みは利用するシステムのタイプによって変わりますが、基本的には以下のような流れとなります。
1 契約の同意を依頼する側がシステムに契約書をアップロードする 2 受信者がシステム上またはメールから契約書を確認する 3 受信者が承認の処理を行う 4 契約締結 |
なお、電子署名やタイムスタンプを付与する機能を備えた電子契約システムを利用している場合は、受信者が承認した時点で付与されます。
では、電子署名やタイムスタンプはどのような仕組みで付与されるのでしょうか。
以下より、それぞれが付与されるまでの具体的な流れを解説します。
電子署名が付与されるまでの流れ
電子署名の付与とは、厳密には「ハッシュ値を署名鍵で暗号化すること」を指します。
それを踏まえて、以下の電子署名が付与されるまでの基本的な仕組みを見てみましょう。
1 電子署名の送信者が電子認証局へ申請して電子証明書を取得する 2 電子証明書に組み込まれた公開鍵に対応する署名鍵・平文(暗号化されていないデータ)を用意する 3 ハッシュ関数で平文を数値化のうえハッシュ値を生成する 4 ハッシュ値を署名鍵で暗号化する 5 平文に暗号化済みのハッシュ値と電子証明書を添付して送信する |
その後、電子署名を受け取った受信者は送信者と同じハッシュ関数で平文を数値化のうえハッシュ値を生成します。
暗号化されたハッシュ値を電子証明書で復号のうえ、先に生成したハッシュ値と復号したハッシュ値が一致すれば、電子署名は確かに本人のものであると証明されるという仕組みです。
なお、「事業者型」の電子契約なら不要ですが、「当事者型」の電子契約では当事者双方があらかじめ電子証明書を取得しておく必要があります。
タイムスタンプが付与されるまでの流れ
契約書にタイムスタンプが付与されるまでの基本的な流れは、以下の通りです。
1 契約書の電子データを用意する 2 タイムスタンプ機能が備わったシステムにデータをアップロードする 3 時刻認証局へ当該データから生成されたハッシュ値を送信する 4 時刻認証局から時刻情報とハッシュ値を合わせたタイムスタンプが発行される 5 発行されたタイムスタンプをデータに付与する |
その後、発行されたタイムスタンプとハッシュ値を照合することでデータの証明が可能となります。
電子署名とタイムスタンプはなぜ安全なのか
電子署名は、公開鍵暗号方式・ハッシュ値・電子証明書という3つのセキュリティ対策で安全性が担保されています。
それぞれの特徴は、以下の通りです。
公開鍵暗号方式(情報漏洩などの防止) | ・公開鍵と署名鍵を生成して通信の暗号化や複合化をする技術 ・通信は特定の人しか知り得ない署名鍵に対応した公開鍵で暗号化され、その署名鍵を使って復号化できる |
ハッシュ値(改ざんの防止) | ・文書データの内容をもとに生成された文字列 ・データの内容が変わるとハッシュ値も変わる |
電子証明書(本人性の証明) | ・電子署名を付与した者が本人であることを証明する技術 ・作成者の氏名、住所、生年月日などの他、公開鍵や発行者情報も含まれている |
また、タイムスタンプにもハッシュ値が使われている他、時刻認証局という第三者機関による時刻情報の提供も安全性を担保する要素のひとつです。
時刻認証局とは時刻認証業務認定事業者やTSAとも呼ばれており、総務大臣から認定を得てタイムスタンプを発行できる事業者のことです。
タイムスタンプを付与したい依頼者から受け取ったハッシュ値に対し、そのハッシュ値はこの時点で確かに存在していると第三者の立場から認め、タイムスタンプを提供します。
この過程に当事者の意思は及ばないため、タイムスタンプは不正に付与されたものではないという正当性が担保される仕組みになっています。
このように様々な仕組みでセキュリティ対策が講じられている電子署名・タイムスタンプを活用することで、不正な契約・内容の改ざん・情報漏洩といった電子契約ならではのリスクを回避しやすくなります。
電子契約と電子帳簿保存法の関連性
電子帳簿保存法は、国税関係書類に該当する書類の電子保存に関するルールを定めた法律です。
データとして相手とやりとりした電子契約書は、電子帳簿保存法の対象書類のうち「電子取引」という区分に含まれます。
そのため、電子契約書を保存する場合は電子帳簿保存法で定められた「真実性の確保」と「可視性の確保」という要件を満たす必要があります。
国税庁が示す真実性を確保する手段は複数ありますが、自社の事務処理規程を作成したりデータの訂正・削除が制限されたシステムを導入したりと手間がかかるものもあります。
一方、タイムスタンプはそれに対応したシステムを利用するだけで簡単に付与できるため、最も手軽に要件を満たせる手段です。
電子契約の利用方法
電子契約を利用する方法としては、電子契約書の作成から電子署名・タイムスタンプの付与まで自社で対応するか、電子契約システムを導入するかの2通りがあります。
前者の場合は電子署名を付与するために双方で電子証明書を取得したり、タイムスタンプを付与するために時刻認証局と契約したりといった手間が生じます。
一方で電子契約システムなら、それを導入するだけで簡単に法的効力のある電子契約を締結できます。
また、電子契約システムは契約書の検索や承認の進捗状況ができる機能が搭載されているものもあり、契約業務の効率化というメリットも得られます。
電子署名・タイムスタンプを利用する際の注意点
電子署名やタイムスタンプを利用するにあたって、以下の点に注意が必要です。
「なりすまし署名」のリスクがある
電子署名も、第三者が当事者になりすまして契約を締結するリスクを完全に回避できるわけではありません。
たとえば当事者が電子契約システムで利用しているメールアカウントが乗っ取られ、第三者により電子署名が付与される可能性が考えられます。
本人によ電子署名が付与されていないため、これを受け取る側は契約の真正性を証明できなくなります。
また、契約締結の権限を持たない人物が勝手に契約を締結してしまい、契約の真正性が疑われる恐れもあります。
このような事態を防ぐため、セキュリティ対策が万全かつ申請フローに関して制限を設けられる機能を搭載した電子契約システムを選ぶことが大切です。
電子契約システムによってはタイムスタンプが付与されない
すべてのタイムスタンプは、どんな電子契約システムでも付与できるわけではありません。
それに気が付かないまま利用を続けていると、各種書類にタイムスタンプが付与できておらず、いざ調査が必要となったときにその書類の証明ができなくなる恐れがあります。
電子契約システムの導入時は、かならずタイムスタンプの付与機能が搭載されているかどうかを確認しましょう。
電子署名とタイムスタンプには有効期限がある
電子署名やタイムスタンプは、一度付与すれば永久的には電子契約の証明ができない点も留意しておきましょう。
電子署名は「電子署名の有効期間内(1~3年程度)または電子証明書の発行日から5年」、タイムスタンプは「約10年」が期限とされています。
つまり、電子署名なら最長5年間、電子署名とタイムスタンプを併用している場合は最長10年間が有効期間です。
参考:電子署名及び認証業務に関する法律施行規則 | e-Gov法令検索
というのも暗号技術の進化に伴い、付与から長期間経過するほど暗号化が破られ改ざんなどの被害を受けるリスクが高まるため、有効期間が定められています。
とはいえ、契約によっては期間が5年ないしは10年を超える場合もあります。
その際は長期署名を活用し、有効期限を更新していくと良いでしょう。
電子署名の有効期限を更新するには
長期署名とは、データに対し10年ごとにタイムスタンプを付与して電子署名の有効性を継続させるシステムです。
期限が切れる前にその時点での最新の技術を用いたタイムスタンプで暗号化を重ねれば、当初から暗号技術が進化していても改ざんのリスクを回避しやすくなります。
電子契約なら電子署名・タイムスタンプ機能ありのシステムが楽で安心
電子契約において電子署名は本人性と非改ざん性の証明、タイムスタンプは付与時点での存在と非改ざん性の証明に有効な技術です。
証明できるもの・できないものが異なる電子署名とタイムスタンプは、併用することで電子契約の完全性を強固にでき、将来的にトラブルが生じるリスクを最小限に抑えられます。
しかし、電子署名やタイムスタンプの付与に必要なことを自社だけで対応するとなれば、電子証明書の取得など様々な準備が必要です。
電子署名・タイムスタンプの付与機能がついた電子契約システムをうまく活用し、電子契約の安全性強化と業務効率化を実現させましょう。
