革新的なソフトウェアで経営課題の解決へ―アシストマイクロ株式会社
AssistMicro

オフィシャルブログ

  • 電子化ラボ
  • 電子化サービス
2014-04-30

【電子化ラボ】電子化文書の完全性を確保する電子署名とタイムスタンプ

こんにちは、電子化ラボのコーナーです。

法的保存義務のある文書を原則としてすべて電子化保存してもよい、と容認した法律である「e-文書法」。このe-文書法では、紙文書を電子化保存するときの要件として、「見読性」「完全性」「機密性」「検索性」の4つが定められており、対象となる文書に応じて、1つ~複数の要件を満たす必要があります。

このうち、「完全性」という要件は、当該文書が“滅失、毀損、改変、消去がされていないこと”を示しており、抑止するための措置と発生した場合にその事実を確認できる措置が要求されます。

では、この要件を満たすために必要とされているものは何でしょうか?

そう、「電子署名」と「タイムスタンプ」です。
今回はこの2つの技術の概要と、e-文書法・電子帳簿保存法における役割についてまとめてみます。

そもそも、なぜ必要?

2005年4月のe-文書法施行により、法的な保存義務が定められている文書を、従来の紙媒体だけでなくスキャニングした画像データ(電子化文書)で保存してもよい、という規制緩和が行われました。これにあわせて、税法で保存が義務づけられている国税関係書類に関しても、電子化文書での保存(スキャナ保存)が容認されました(改正電子帳簿保存法)。

スキャナ保存が可能になったことにより、紙現物の保管コスト削減や関連業務のIT化促進といった、デジタルならではのメリットが期待される一方で、文書の原本性という点では、紙と比較したときに次のような課題がありました。

  • 原本とまったく同一のコピーを簡単に作成できる
  • 内容に何らかの改ざんがあっても見た目では痕跡がわからない
  • 作成日時がPCの設定や特定のソフトウェアで任意に操作できる
  • 長期保存の場合、データ消失や互換性喪失のリスクがある …など

紙の文書であれば、原本と複写にはそれなりの違いが出ますし、内容を改ざんしようとすれば跡が残ります。しかしながら、電子データでは、たとえば悪意のある第三者が内容を変更したうえでもとの作成日時に情報を戻す、といった操作を痕跡なく行われてしまうおそれがあります。このままでは、真正な情報としては扱えません。

そこで、電子文書の原本性を立証するための技術として、“だれが”を証明する電子署名と、“いつ”を証明するタイムスタンプが、採用されているのです。

電子署名の概要

電子署名は、電子文書に付与する電磁的な署名で、作成者の証明と、当該文書が改竄されていないことを確認できる仕組みを有しています。

2001年4月1日に施行された「電子署名及び認証業務に関する法律」(略称:電子署名法)によって、紙文書における自筆の署名や押印と同等に通用する、つまり、法的な効力があると定められるとともに、電子署名の本人確認を行う認証業務に関する認定制度も規定され、利用促進のための環境が整備されました。

これにより、本人による一定の要件を満たす電子署名が行われている電子文書は、本人の意思に基づいて作成されたもの=真正に成立したものと推定される、と解釈されます。

電子署名は公開鍵暗号方式の技術によって実現されており、発行から検証までのおおまかな仕組みは次のとおりです。

blog_e-signature

電子署名は電子商取引市場のなかで、顔の見えない取引でも本人であることや、やりとりしている情報が途中で改変されていないことを証明する手段として広く活用されています。

icon-smile電子文書に電子署名が付与されていれば、その人が作ったものかどうか第三者から確認することが
できるし、内容が変更されていないかどうかも検証できるんだね。

 

タイムスタンプの概要

タイムスタンプは、電子文書に付与する時刻の情報で、当該文書の存在時刻(=存在証明)と、その時刻以降改竄されていないこと(=非改竄証明)を確認できる仕組みを有しています。

通常、電子文書に付与される時刻情報は使用しているパソコンの時計機能に基づきますが、時刻の設定は任意に行えますし、作成日時や編集日時を自由に変えられるソフトウェアなどもあるため、信頼性は低いのです。

そこで、時刻配信局と時刻認証局という第三者機関によって高精度の時刻情報が提供されるタイムスタンプサービスが利用されています。

タイムスタンプには、電子署名のように暗号化技術が用いられています。発行から検証まで、おおまかな仕組みは次のとおりです。

blog_Timestamp

日本では、2004年11月に総務省より「タイムビジネスに関わる指針」が発表され、それを受けて一般財団法人日本データ通信協会が認定業務を行っています。タイムスタンプは認定制であり、この認定を受けたタイムスタンプを採用する必要があります。

タイムスタンプは公平な時刻が必要となる電子商取引のほか、特許における先使用権制度での時間的順序の証明などでも活用されています。

icon-normal電子文書にタイムスタンプをつけることで、世界標準に準拠した正確な時間で「この電子文書がいつから
存在しているのか」と「その時点から内容が改竄されていないかどうか」が証明できるんだね。

e文書法・電子帳簿保存法における電子署名とタイムスタンプ

では、電子署名とタイムスタンプは、e-文書法で規定される電子化文書の保存において、どのように使用されているのでしょうか。

先述のとおり、この2つの技術はe-文書法における「完全性」要件を満たすための技術として採用されています。完全性要件が求められる文書には、法人税法や所得税法といった税関係のほか、医療や消防関係の法律によって保存が義務付けられている文書のなかにも該当するものがあります。e文書法とまとめて呼ばれることも多いのですが、詳細な要件はそれぞれの文書の電子化保存を規定している法律やガイドライン等に記載されていますので注意が必要です。

ここでは、どのような企業・組織にも関連する国税関係書類のスキャナ保存について見ていきます。その要件は電子帳簿保存法に記載されています。

◇電子帳簿保存法の概要についてはこちらの記事をご参照ください。
【電子化ラボ】電子帳簿保存法の基本まとめ

電子帳簿保存法では、「完全性」という要件は「真実性」と表現されています。国税関係書類をスキャニングして保存する際の要件は次の6点が挙げられており、3に電子署名が、4にタイムスタンプが明記されています。

【国税関係書類のスキャナ保存における真実性確保の要件】

  1. 入力期間の制限

    ●作成または受領後すみやかに行う。(1週間以内)

    ●業務の処理に係る通常の期間を経過したあと、速やかに行う(最長1ヶ月と1週間以内)

  2. 一定水準以上の解像度及びカラー画像による読み取り
    日本工業規格z6016 4.1.1.に規定される1mmあたり8ドット以上の解像度(200dpi)、RGBの各階調256以上(フルカラー)
  3. 電子署名の実行
    一の入力単位ごと(複数枚で構成されるものはそのすべてのページ)に当該入力を行う者又はその者を直接監督するものの電子署名を行うこと。電子署名は認定認証事業者による特定認証業務、または商業登記法に規定される電子署名を使用。
  4. タイムスタンプの付与
    電子署名が行われている電子化文書に対して、一般財団法人日本データ通信協会に認定されたタイムスタンプを付すこと。
  5. 読取情報の保存
    スキャナで読み取った際の解像度、階調及び当該国税関係書類の大きさに関する情報を保存すること。
  6. ヴァージョン管理
    訂正または削除を行った場合には、これらの事実および内容を確認できること。

 

電子署名に関しては、特定認定業務で認証を受けている業者の電子証明書を使用することが記載されています。また、「入力担当者またはその直接監督者の電子署名」については、スキャナ保存を行う際、スキャニングを行った担当者もしくは直接監督者(上長や責任者など)が電子化した画像データを確認し、原本の再現性に問題がないかどうかをきちんと目視チェックした、ということを意味します。(入力作業を外部に委託している場合は、委託先の担当者かその直接監督者の電子署名をつけることになります)

さらに、電子署名の具体的な要件として以下も求められています。

【電子署名の要件】

  • 当該電子署名を行った日が当該電子署名に係る電子証明書の有効期間内であること
  • 当該電子署名が電子証明書の有効期間において利用者から電子証明書の失効請求や記載事項に事実との相違が発見されていないこと
  • 書類の保存期間を通じて認定認証事業者または登記官に対して確認できること
  • 課税期間中の任意の期間を指定し、当該期間内に行った電子署名について、一括して検証できること

一方、タイムスタンプに関しては一般財団法人日本データ通信協会が認定するタイムスタンプを使用することが記載されています。タイムスタンプの位置づけは、電子化した日時の証明となり、電子化文書と電子署名の双方を対象として付与します。

また、タイムスタンプの具体的な要件は以下のとおりです。

【タイムスタンプの要件】

  • 当該記録事項が変更されていないことについて当該国財関係書類の保存機関を通じ当該業務を行うものに大して確認できること
  • 課税期間中の任意の期間を指定し、当該期間内に付したタイムスタンプについて一括して検証ができること

電子署名は電子証明書の有効期間内に署名を作成しなければならないという技術的な制限があるのですが、タイムスタンプを併用することで、電子署名が行われた時刻を客観的な立場から保証することが可能になります。これにより、そのスキャナ保存された電子化文書は“だれ”が作成したもので、“いつ”から存在しているのかが証明され、さらに作成された時点から改竄されていないかどうかが確認できるようになるのです。

icon-smile2ちなみに電子帳簿保存法では、今ご紹介した「国税関係書類のスキャナ保存容認」のほかに、「国税関係帳簿書類の電子保存容認」と、「電子取引に係る取引情報の保存義務」が定められています!このうち、帳簿書類の電子保存(データによる運用・保存)は会計システム等での要件が決められていて、特に電子署名やタイムスタンプの要件は入ってないんだ。
一方、EDIやインターネットといった電子取引の取引情報の保存は、電子署名・タイムスタンプによって完全性を確保する方法と、規程を用意して運用する方法の2つが認められていて、どちらで対応してもいいことになってるよ。電子署名とタイムスタンプが必須なのはスキャナ保存だけなんだね。

ポイントは一括検証と長期保管への対応

電子署名やタイムスタンプの内容は、個々の電子化文書を開けば検証できます。しかしながら、電子帳簿保存法のスキャナ保存要件では、電子署名・タイムスタンプともに、“課税期間のうち、任意の期間を指定して一括で検証できること”が求められています。つまり、スキャナ保存した電子化文書にただ電子署名とタイムスタンプを付けただけでは要件を満たせないのです。

この要件に対応するためには、一括検証できるソフトウェアや仕組みをあわせて用意する必要があります。これにより、当該期間の電子化文書をひとつひとつ開いてチェックすることなく、まとめて電子署名やタイムスタンプの状態を確認できます。

また、電子署名の有効期限は一般的に2~3年ですが、国税関係書類の法的保存期間は7年と長期に渡ります。この長期保管への対応も見落とせません。

この対応としては、電子署名の有効期限が切れてしまっても、スキャナ保存した当時の電子署名の有効性を検証できるように情報を確保することが求められています。当該電子署名がいつから有効だったのか、失効したのはいつか、といった情報です。

実は、電子化文書に対して電子署名とともにタイムスタンプを付与することには、この有効性確保を可能にする役割もあるのです。タイムスタンプの有効期間は10年程度あるため、電子署名を行った電子化文書に付与すれば、作成当時は有効な電子署名がなされたという情報を維持することができます。場合によっては、タイムスタンプを重ね打ちすることでより長期間の有効性確保も可能になります。(この技術は長期署名フォーマットと呼ばれ、JIS規格で標準化されています)

icon-starそれぞれ対策となる技術があるんだ!
長期保管については、電子化文書のデータだけじゃなくて、ソフトウェアやOS、バックアップ方法…
保管や運用のための環境をどうするかも重要だね。

まとめ

今回は、電子化文書の完全性を実現する技術としての電子署名とタイムスタンプの概要、そして、実際の法律においてどのような役割を持っているのか、一例として電子帳簿保存法での使用方法をまとめてみました。国税関係書類のスキャナ保存は、保存義務のある文書の電子化保存の中でも、細かな決まりや国税局からの事前承認など要件が多いものですので、ハードルが高い印象はあると思います。

しかしながら、2005年にe-文書法が制定されてから9年目を迎え、電子帳簿保存法におけるスキャナ保存の承認件数も、120件程度までに増加し、少しずつではありますが適用事例も増えてきています。また、当初は1件10円などといわれてコストが課題になっていたタイムスタンプも、現在では定額制などで使用できるようになり、診療記録や診断書等の医療情報、社内の研究開発資料といった知的財産の保護など、法的保存義務の有無に関わらず、さまざまな文書の真正性確保や時刻証明等で採用されています。

もちろん、業務効率化のために電子化して検索や共有をしやすくする、といった目的であれば、完全性を確保する必要までありません。
みなさんの周りにある紙文書の運用や保管を見直す際に、ご参考になれば幸いです。

by choji