商業上の関係、個人的な人間関係、行政機関と市民間のコミュニケーションの過去20年間における急速な進化は、個人の認証(ID)の概念の変革をもたらした。伝統的に個人IDは、個人と特徴的な行為、またはアナロジカルな性質の署名との関連付けに基づいている。 当該方法では、個人は自分自身が何者であるかを、自身の写真及び個人情報、イニシャルまたは署名の表示がある公的文書とその持主を関連付ける明確で特徴的な記号とを対比することで証明する。特定の行為実行のためには、身分証明書及び署名の提示は、個人が出頭する際に本人確認が行われるため、不可避な要件となる。
しかしながら今日では、電子的手段を利用して遠隔的に実行される行為や法的取引が、主流を占めるようになった。銀行との相互関係を例に本件を検証してみよう。今日取引のために銀行を実際に訪問する必要はなく、大抵の操作が、携帯やタブレット、コンピューターに設置されたアプリを通して実行される。この場合操作を有効とするために利用者は、デジタル署名ではなく英数字の識別コードを使用し、その後個人のパスワードを使用する。他のケースでは、デジタル署名が個人または法人が電子的手段を介して相互操作することを許可するために許容された確認方法であり、行政機関によってすでに使用されている。いずれにせよ経済のデジタル化は、テクノロジーが、意思決定を可能にする迅速な取引とプロセス単純化といった二つの発展要因であることからも、論理的かつ主流トレンドであることは間違いない。
「オンライン経済」とも呼ばれるデジタル経済の発展には、その発展を妨害するいくつかの問題がある。まず各国に、異なるデジタル署名作成に関する特定の法律と技術要件が存在することが挙げられる。これらは他国では認識されず、当該相互認識の欠如は、オンライン上での使用を妨げることとなる。第二にオンライン取引は、サイバー攻撃や個人情報の盗難にさらされており、法的安全性が欠如するという認識がある。
EU規則第910/2014号は、「オンライン」上で取引を実行する人物の電子的な本人識別(デジタルID)の使用要件を規定し、上記問題に解決策を与えるために承認された。デジタル署名の作成・管理のために、各加盟国の国内法に含まれるべき技術要件を同一化することで、全てのEU加盟国にて認識されるデジタル署名適格性のコンセプトを確立した。本規則は重要な意義を有しているが、目的達成のためには十分ではなく、デジタル認証のコンセプトの完成のために、自然人・法人とデジタル署名とを安全に関連づける形式の確立が欠如している。例えば、デジタル署名用適格証明書は、電子的手段によって操作・盗難の上、本人の認識がない、もしくは同意のない不正利用につながる可能性があるというのもその一例である。同意なき、もしくは同意を無視したデジタル署名利用は、不正取引の完了、及び不正デジタル人格の作成を招き、被害者に甚大な被害をもたらす事につながりうる。
人物のデジタル人格は、実際の人物にではなく、オンライン上で実行される取引によって残されるデジタルフットプリントによって形成されるので、デジタル署名の不正使用は、利用者の虚偽のイメージを形成することとなり、実際、信用情報機関への登録、特定求人からの除外、医療保険その他の保険料の増額、その他の実害をもたらす可能性がある。デジタル署名保有者とその行為の間に関連性が確認できないことは、本人認証はデジタル機器を使用して実行される取引を容認することで成立していると一般に認識・受容されている状態でありながら、当該デジタル機器の利用者が正当な権限を持つ利用者であることを確認できる媒体が存在しないとなると、深刻なリスクとなる。デジタル署名を保存する電子的手段、もしくはデジタル機器の管理が各利用者に委ねられていることに意義を唱えることは可能であり、一理あるが、操作人物と、デジタル署名を保存し、オンライン上の取引を実行するデジタル機器間の同意の不在、若しくは同意不在の無視が起こり得る危険の回避や、解決策の提供には至らない。法的に有効なデジタル証明書を使用して、ある者によって取引が実行された場合、責任はデジタル署名所有者にある、といった三段論法を受け入れることは、個人情報漏洩の問題を無視するための危険な半真実手法である。
要するに、EU加盟国内で認識可能となるような適正デジタル署名作成のために法的・技術的な枠組みを確立するだけでは、不十分であるという事を認識する必要がある。デジタル機器を使用してオンライン取引を実行する人物がデジタル署名の保有者である、もしくは保有者によって委任された人物であることを合理的に保証する技術的手段の確立は必須要件であり、そうすることで、個人情報漏洩のリスクは制限されるが、そうでない限り、本問題は常にそこに存在することとなろう。上記が可能とならない限り、オンライン取引の法的安全性を適切に議論するには及ばず、ひいては、デジタル経済システムや当該システムへの転換プロセスの減速に関する疑問をもたらすこととなる。
デジタル網を使用した取引実行の汎用は、今後そのような取引の法的重要性と経済ボリュームが増大することを意味し、その結果として、ここで指摘した問題の重要性も増大することとなろう。現在、オンライン認証の使用は、承認をクリックするだけで完了する。そのため、認証者に属する法的および経済的な関連行為と、意志の表明とそれを表明する人物認証の真正性推定の確立は二の次とされている。このような状態は受容されるべきでなく、また、公証人の介入は不動産の売買、金融商品取引の等の特定行為の遂行に必要不可欠な条件であることからも、しばしば法制度に適合しない。その一方で、上記の推定が満たされるように要求することは論理的かつ合理的であると思われ、適正デジタル署名所有者は、該当署名の所有者であることを証明し、取引を実行する意志を証明する目的で、該当する特定の式、アルゴリズム、もしくは該当者と密接に関連する別のタイプの技術要素を適用する必要がある。デジタル署名利用者とその所有者間の本人認証を保証するシステム確立は、デジタルID概念の完成につながり、法的安全性を提供する。そしてそれにより、金融商品取引などのデリケートな市場の発展を可能にするが、重要性を考慮すると、現在のところ、オンライン上ではなく、従来のアナログ方式に依存せざるをえない。
ヴィラ・エドアルド (Eduardo Vilá)
ヴィラ法律事務所
本文の詳細に関しては以下までご連絡ください。
2019年11月15日