電子契約向け新サービスに乗り出したセコムトラストシステムズ株式会社

2022年11月25日 日本データ通信協会 セキュリティ 0

セコムトラストシステムズ株式会社
トラスサービスプラットフォーム構築推進プロジェクトリーダー
セコムクラウドサービス事業部
サービス推進部 担当部長
相良直彦氏

 電子帳簿保存法の改正、テレワークの普及、政府が先頭に立った押印簡素化、電子商取引の進展など、様々な要因が絡んだ結果、電子契約の分野が動き始めています。サービスを提供する事業者は増え、ユーザにとっては様々な選択肢が出てきました。
 こうしたなか、セコムトラストシステムズ株式会社がサービスを開始した「セコムWebサイン」は、動き出した電子契約の流れをさらに加速することになるかもしれません。注目のサービスについて、同社でトラストサービスを推進する相良直彦氏に話を伺いました。

■警備と認証、二つの事業の親和性

-私たちにとっては、セコムさんというと警備保障のイメージばかりが強いのですが。

 おっしゃるとおり、私どもの親会社であるセコム㈱は警備会社です。警備会社はITと関係が薄いように一般的に思われがちですが、実は密接に関わっています。お客様の対象物件にセンサーを据え付け、それがネットワークに繫がって私どもの監視センターで監視し、異常を感知すると警備員が駆け付ける、というのが今日の警備ビジネスです。そうしたオンラインによるセキュリティに世の中でいち早く乗り出したのがセコム(株)です。つまり、弊社の母体である警備ビジネスには、元々ネットワーク的な要素が含まれているのです。

  現在、セコムトラストシステムズがトラストサービスやITセキュリティ分野でビジネス展開を行っていますが、元々はセコム(株)の中で電子認証事業や情報セキュリティ事業を立ち上げ、その後セコムトラストシステムズ(当時は、セコムネット(株))に移管して現在に至っています。セコム(株)が世の中に安心安全を届けるビジネスを提供しているということで、ITセキュリティの分野への進出は当然のことだったのです。

 セコム(株)では、お客様の鍵をお預かりし、お守りをするのがビジネスの根幹になっているので、それがITの世界だとどうなるかを考えました。その結果、証明書の秘密鍵をお預かりする認証の事業は、セコム(株)のビジネスとの親和性が高いと考えたのが、私どものビジネスのきっかけだったということになるかと思います。

-貴社では、具体的にはどのようなサービスを展開されているのでしょうか?

 セコムトラストシステムズでは、大規模災害発生時のBCP(事業継続計画)をご支援するサービスを提供していますが、これに並ぶもう一つの事業の柱が電子認証サービスです。2003年からWebサーバの証明書の発行や鍵管理のサービスを展開しております。

■提供が始まった電子契約向け新サービス「セコムWebサイン」

-私ども日本データ通信協会が運営するタイムスタンプ登録制度(正式名称「認定タイムスタンプを利用する事業者に関する登録制度」)の最近のトレンドとして、電子契約関連のサ-ビス登録が伸びています。成長著しい電子契約の分野ですが、貴社ではこの分野に対応する新しいサ-ビス「セコムWebサイン」を始められました。

 弊社では、2005年にリモート署名を用いたクラウドサービス構想の検討を開始し、2009年からサービスを提供しておりますが、これまでは電子契約に特化したサービスは取り扱っておらず、電子請求など様々なニ-ズに幅広くご利用いただけるサ-ビスを提供しておりました。しかしながら、この度、電子証明書を発行するための本人確認を支援する機能や、専用のインタフェースなどをきちんと提供する形で、電子契約専用の「セコムWebサイン」をリリースいたしました。本サービスはいわゆる“当事者型”タイプのサ-ビスとなっております。

-当事者型とはどういうものですか?

 電子契約は、大きく分けて当事者型と事業者型の2つのタイプに分かれます。当事者型は、契約当事者本人に直接電子証明書を配布し、契約書にハンコを押すイメ-ジでその方ご自身の秘密鍵を用いて契約書に署名をしていただくサ-ビスです。

 一方、事業者型は、契約の合意自体には電子証明書を使わず、例えば、契約当事者がWebの同意ボタンを押したログなどで証明力を担保し、それに対し、「確かにこの場で契約が行われました」ということを、第三者(電子契約サービスの提供事業者等)が証明するものです。

 当事者型は、契約当事者に電子証明書を配らなくてはいけないので、非常に手間とコストがかかるサ-ビスではあるのですが、弊社は認証局を自ら運用しているため、比較的容易かつ低コストで電子証明書の発行が可能です。

 また、当事者型のサービスでは、契約書のPDFファイル自体に合意の証としての電子署名がきちんと組み込まれますので、何かあったときに契約書単体を検証いただくだけで、契約当事者が契約の内容に合意した記録を確認できます。「セコムWebサイン」では、認証局を運営しているメリットを最大限に活かし、こうした証拠性の高さを有する当事者型で電子契約のサ-ビスを提供させていただきます。

資料提供:セコムトラストシステムズ株式会社様

-「セコムWebサイン」のもう一つの特徴がリモ-ト署名タイプであることだと伺っています。リモ-ト署名についても簡単にご説明いただけますか?

 リモ-ト署名タイプのサービスでは、サ-ビス事業者がお客様の秘密鍵をお預かりし管理します。利用者は、ブラウザなどからサ-ビスにアクセスし、本人の認証キ-を使って秘密鍵を活性化し、署名をしていただきます。

 リモ-ト署名に対比される概念がロ-カル署名です。分かりやすい例では、「マイナンバーカード」がローカル署名に相当します。カ-ドの中に入っている証明書をカードリーダ-などで取り出して署名をするのですが、ロ-カル署名ですと、カ-ドやカードリーダ-の管理が必要となるわずらわしさがついて回るため、今後はリモ-ト署名型が一般的になっていくのではないかと考えています。

-リモ-ト署名サ-ビスの普及をより一層図っていこうとするとき、どのような課題があるとお考えですか?

 リモ-ト署名の位置づけが、法的な位置づけを含めてより明確になっていくと非常にありがたいと思っています。また、リモ-ト署名にアクセスする方法である「API(Application Programming Interface)」を、各事業者がバラバラに実装してしまっていることが普及促進の妨げになっている傾向があります。こうしたAPIの標準化、共通化が進んで行くと、より皆様が使い易くご利用いただける形になるのではないでしょうか。例えば、現在は異なる電子契約サービス間の相互連携が困難であるため、X社の電子契約サービスを利用しているA社と、Y社の電子契約サービスを利用しているB社との間で電子契約を行うことはできませんが、リモート署名サービスのAPIを共通化することで、異なる電子契約サービス間での連携が容易になると考えられます。

■ユーザのビジネスに応じた柔軟な展開が期待される認証局ビジネス

-貴社の認証局としての電子証明書の発行事業について教えてください。そもそも、認証局とはどういうものですか?

 電子証明書というのは、それを使って署名していただくことで、確かに契約当事者が実在していて、同時に、その方が自らの意思をもって署名された文書に同意した事実が残せる仕組みです。

 この電子証明書を発行するのが認証局であり、「確かにその方が実在する」という本人確認を行う「登録局」の機能と、それに基づいて証明書を発行する「発行局」の機能に分かれています。

 電子証明書の発行にあたって本人確認を行う場合、従来ですと、印鑑証明書や住民票を用いて、かなり厳格な形で行っていました。しかし、ハンコを実印・契約印・認印など、様々な使い方に応じて押し分けているように、電子証明書においても今後は利用用途に応じて様々な方法で本人確認をし、ご利用いただくようになっていく可能性があると思っています。そのため、私どものサ-ビスでも、複数のパターンの本人確認方法を使い分け、証明書を発行することを想定しています。

-「リアルの世界で本人確認のために免許証の提示を求める、といったレベルのサ-ビスを電子的に実現する」というようなイメージだと理解してよろしいでしょうか?

 そうですね。たとえば国の認定が必要な場合ですと、国の認定基準の中で、本人確認のレベルが厳格に決められてしまうので、紙で住民票などを取得し、お送りいただく必要があります。これに対し、民間レベルでビジネスに使っていただくような場合であれば、ビジネスの当事者間で、「こういったレベルで認証したものであれば、認めましょう」という合意が取れれば、合意したものとしてお使いいただけると思っています。

 「本人確認は免許証で十分」ということであれば、免許証で本人確認をしていただいて、それをもとに、証明書を発行させていただくということもできます。一方で、金融機関様などが「もう少しきちんと本人確認をしたい」とおっしゃる場合であれば、印鑑などを登録いただいて、それをもとに本人確認させていただくという方法もあるでしょう。

 ビジネスの形態に応じて柔軟な形で本人確認が行われ、必要なレベル感に応じた証明書が発行できるようなラインナップが今後広がっていくのではないかと思っています。

-貴社は電子認証局をお持ちなので、様々なサ-ビスをワンストップで提供できるという可能性があります。具体的にどのようなサ-ビスが提供できそうですか?

 認証局だけですと、単純に証明書を発行するだけのビジネスになってしまいます。そこで、“証明書をどのようにして実際のビジネスシ-ンで利活用していただくか”、具体的には証明書を利活用していただくための「業務アプリケ-ション」がサービスのポイントになってくるのではないかと考えています。

 弊社では、汎用的な契約にお使いいただけるサービスとして「セコムWebサイン」をご用意させていただいたわけですが、例えば、銀行様であれば、「既存の業務アプリケーションを利用して融資契約をより簡単に行いたい」といったニ-ズが出てくることも考えられます。このような「お客様個別の業務に組み込む形で電子契約を行いたい」といったご要望がある場合には、お客様の業務アプリケ-ションに組み込む形でリモ-ト署名の機能をご提供可能なラインナップを用意する、というようにしていきたいと考えています。

 このアプリケ-ションとプラットフォ-ムの両輪をうまく回していくことで、認証のビジネス、トラストサ-ビスのビジネスをより活性化していきたいですね。

■ユーザ独自のニーズを取り込むプラットフォーム、「セコムパスポートPlus」

-プラットフォ-ムのビジネスに関し、具体的な施策はお考えですか?

 プラットフォ-ムに関しては、「セコムパスポ-トPlus」と称する新サ-ビスの準備をしている最中です。弊社では今まで、証明書を発行する認証局のビジネスと、リモート署名などのトラストサービス機能を有するアプリケ-ション(トラストアプリケーション)による電子契約のサービスを、不可分のものとして一体的にご提供しておりました。

 しかし昨今では、「銀行の業務で使用しているアプリケーションに電子契約の機能を組み込みたい」といった、トラストアプリケ-ション部分をお客様専用のものとしたいというニ-ズが非常に強くなっています。例えば、インボイス制度(注)が始まると、「インボイスの中にeシ-ルのようなものを組み込みたいのでリモ-トeシ-ルの機能だけ提供してほしい」といったニ-ズが広がってくるだろうと考えております。

 このようなニーズに対応するサ-ビスとして、リモ-ト署名に必要なID管理の機能、リモ-ト署名を呼び出す機能、鍵管理の機能などをワンストップで提供するのが「セコムパスポ-トPlus」です。

 弊社には認証局がありますので、そこから電子証明書を発行し、私どもが直接電子証明書に紐づく秘密鍵の管理を行うことができます。また、アマノ株式会社様とタイムスタンプの事業に関して協業しているため、タイムスタンプの発行機能も含めて、ワンストップでご提供が可能です。

 「セコムパスポ-トPlus」は、トラストアプリケ-ションを作成する事業者様(共想パートナー様)に向けたサービスであり、ワンストップで提供しているリモート署名に関する各種機能の中から、APIを利用して必要な機能だけをお使いいただくサービスとなっています。

資料提供:セコムトラストシステムズ株式会社様
-APIもポイントになりそうです。

 APIについては、私どもが独自で作ったものを採用してしまうと、逆に普及の妨げになってしまう恐れがあります。そこで、本サービスは、リモート署名の国際標準規格であるクラウド署名コンソーシアム(Cloud Signature Consortium、以下「CSC」)のAPIをベースとした、内閣府総合科学技術・イノベーション会議の「SIP/ビッグデータ・AIを活用したサイバー空間基盤技術」(管理法人:国立研究開発法人新エネルギー・産業技術総合開発機構)の研究開発の成果である「トラストサービス共通API」を活用しています。 このAPIを提供することで、アプリケ-ション側から比較的容易にリモ-ト署名がご利用いただけるよう準備を行っております。

■トラストサービスの進展のためには、基本的なコンセンサスづくりが必要

-eシ-ルの現状については、どのようにお考えですか?

 私どもは、インボイス制度の中で、適格請求書発行事業者かどうかをご確認いただく際に、eシ-ルの中に番号を付与し簡単に確認できるようにすることで、eシ-ルの普及促進が図られればと思っているのですが、eシ-ルの法的な位置付けや狙う効果が明確に定められていない点が問題ではないかと考えています。

 電子署名であれば、電子署名法によって、記名押印したのと同様の効果が電子署名にあることが謳われていますが、eシ-ルに関しては、付与の効果がよく分かりません。

 こういった課題を見据え、民間事業者として積極的にeシールの普及を推進していきながらも、制度化が進まない部分に関しては、業界団体などを通じてガイドラインなどを整備するなど、後押しをしていきたいと思います。

-eシ-ルも含め、日本におけるトラストサ-ビス全体の現状をどうご覧になっていますか?

 日本では、トラストサ-ビスとトラストアプリケ-ションの課題が整理されないまま議論されてしまっているのが、一つの課題であると思っています。

 例えば、自動車の自動運転技術を作ろうとしたときに、「赤信号は止まりなさい」、「車は、左側通行してください」といった基本的なル-ルがあらかじめあるからこそ、それに基づいて技術が発展していきます。それに対して、トラストサ-ビスでは基本的なコンセンサスが国内で定まっていないと言えるのではないでしょうか。

 私どものような企業が、業界の活動などを通じてガイドラインなどを出していこうとすると、業界における自由な競争を阻害していると捉えられてしまうこともありますが、私どもが意図するのは、交通ル-ルをきちんと作り、その上でビジネスをどんどん促進させていきたいということです。そういった意見交換や議論が、もう少し国内で活発に行われるようになってくると、トラストサ-ビスに対する理解が世の中で進んで行き、それを利用したアプリケ-ションのビジネスがもっと広がっていくのではないでしょうか。私どもも様々な活動を通じながら、世の中を盛り上げていきたいなと思っているところです。

-タイムスタンプの将来についてはいかがでしょうか?

 タイムスタンプは、長期署名を作るうえで、なくてはならない技術のひとつであり、電子署名やeシ-ルなど様々なサ-ビスとタイムスタンプは切っても切れない関係であると認識しています。

 電子帳簿保存法の中でも、長期保存に関する要件などもありますし、電子契約では、契約が続く限り、契約書の有効性を保証していかなければならないので、タイムスタンプは重要な技術です。弊社のリモート署名サービスでは、すべての電子署名にタイムスタンプを付与しています。

 電子契約が盛り上がっていけばいくほど、タイムスタンプの利用数もどんどん増えていくでしょう。総務大臣による認定制度も始まり、従来よりも、さらにきちんとした制度の中で運用されていくというところでもありますので、将来に対する期待を含め、今後も積極的に活用していきたいと考えています。

(注)インボイス制度
 令和5年10月1日から、消費税の仕入税額控除の方式としてインボイス制度が開始されます。適格請求書(インボイス)を発行できるのは、「適格請求書発行事業者」に限られ、この「適格請求書発行事業者」になるためには、登録申請書を提出し、登録を受ける必要があります。 (国税庁HPより抜粋)
https://www.nta.go.jp/taxes/shiraberu/zeimokubetsu/shohi/keigenzeiritsu/invoice.htm

(インタビュー:(一財)日本データ通信協会 トラストサービス推進部 齋藤久)