近年では働き方改革の観点や新型コロナウイルス感染症の蔓延防止にともなうテレワーク導入の観点から、インターネット上で営業や取引、契約がおこなわれる例が増加しています。

電子契約をする際は署名の正当性が問題視されることがあり、電子署名の際の本人確認や非改ざん証明のためにはパブリック認証局の利用が必須となります。

この記事ではパブリック認証局とはどのようなものか、その役割や電子証明書発行の流れについてご説明いたします。

関連記事：電子署名の認証局の役割とは？｜仕組みと種類をご紹介します！

1.パブリック認証局とは

認証局とは、ウェブ上で交わされる文書の安全性を示すことを目的とした機関で、CA（Certification Authority）とも呼ばれます。

電子ファイルには、遠隔であっても即座にデータをやり取りできるという良さがあります。また、電子データは編集を容易におこなえるため業務の効率化が実現できます。

その一方で、コピーや編集がしやすい電子ファイルには改ざんのリスクが付きまといます。また、当事者間の本人確認がしにくいのも、電子契約の問題点といえるでしょう。

電子契約において法的効力をもたせるためには、データの改ざんがおこなわれていないことや、署名したのが本人であることを厳密に証明する必要があります。この証明を公的におこなうのがパブリック認証局です。

2.電子署名における認証局とは

パブリック認証局の内部には複数の機関があり、それぞれの役割において証明書の管理や検証を担っています。
電子契約をする際に重要となるのは以下の2点です。

・契約者本人によって内容の承諾がおこなわれたという本人性の証明
・データが改ざんされていないことを証明する非改ざん性の証明

従来の紙の証明書の場合には、書類に本人が署名をおこない、印鑑や印鑑証明書を添えるなどの方法で、文書の本人性や非改ざん性を証明してきました。

しかし電子署名ではこれらの確認がしにくいため、新たな仕組み作りがおこなわれたのです。現在は、認証局という第三者機関が電子証明書やタイムスタンプを発行し、本人性や非改ざん性を証明する手法を採用しています。

認証局には、電子証明書の発行や申請受付をおこなう登録局や、確認後に証明書発行をおこなう発行局といった種類があります。また、電子証明書の有効性は検証局によって集中管理されています。

2-1.電子署名におけるパブリック認証局とは

電子契約における認証局には、パブリック認証局とプライベート認証局の2種類があります。

パブリック認証局とは、公的な証明書を発行できる認証局のことを指します。これに対してプライベート認証局とは、一部端末の認証をするなど限定的な証明をおこなう認証局のことをいいます。

電子署名を社内でやり取りするだけという場合など、データの出自が明らかであればプライベート認証局を利用しても問題ありません。社内システムの利用端末にプライベート認証局が発行する証明書をインストールしておけば、電子署名の確かさを証明できます。

パブリック認証局はこういったクローズの場ではなく、公の場で電子署名の本人性や非改ざん性を証明するために使われます。

電子契約をするときには契約を結ぶ二者に加えて、電子署名の正当性を証明する認証局の介入が必要です。紙の契約書に印鑑証明を添えるのと同じように、電子署名には認証局の電子証明書を添えることになります。

パブリック認証局には万全のセキュリティ体制を実現する厳しい監査が必須となります。そのため、パブリック認証局は厳しい審査に合格した事業者によって運営されます。

よく知られているパブリック認証局は以下のような機関や事業者です。

●電子認証登記所
●日本電子認証
●公的個人認証サービス都道府県認証局
●帝国データバンク
●セコムトラストシステムズ
●サイバートラスト
●ジャパンネット・NTTビジネスソリューションズ
●東北インフォメーション・システムズ
●三菱電機インフォメーションネットワーク

本章でパブリック認証局に関して説明しましたが、プライベート認証局との違いや自社に合った認証局がどちらかなど理解しているでしょうか？

当サイトでは、上記のような認証局の役割や種類、電子証明書の発行フローなどについて、図を用いながらわかりやすく解説した資料を無料で配布しております。電子証明書の違いなど不安な点があるご担当者様は、こちらから「3分でわかる！電子認証局」をダウンロードしてご確認ください。

3.パブリック証明書の発行の流れ

パブリック認証局に証明書の発行を申し込むと一定の審査がおこなわれます。審査をクリアすれば証明書が発行されますが、審査には多少の時間がかかります。

まずはパブリック証明書を取得するために必要なソフトウェアをインストールするか、リクエストサイトにサインインしましょう。パブリック証明書は、各事業所のシステムからリクエストできます。

パブリック証明書の発行申請はオンラインだけでなく書面でおこなうこともできます。書面で申請した場合には電子証明書発行確認票が、オンラインで申請した場合にはシステム上でシリアル番号が通知されます。

あとは電子認証登記所にアクセスして電子証明書をダウンロードすれば、無事にパブリック証明書を取得できます。

4.パブリック認証局が発行する3つのSSL証明書

SSL証明書とは、ウェブサイトにおいて運営者の実在性を確認し、通信データの暗号化をおこなうためのツールです。認証局によって厳密に本人確認がおこなわれた上でSSL証明書が発行されます。

SSLサーバ証明書は確認する内容によって3つの段階に分けられています。ここからは、それぞれの認証方法について解説いたします。

4-1.ドメイン認証型証明書

ドメイン認証とは、申請者がドメインの使用権を持っていることを確認した上で発行される証明書です。

ドメインとはURLのコモンネームのことで、原則的には偽装できない仕様になっています。ドメインの所有権が確認できなければ認証がおこなわれないため、当然ながら証明書も発行されません。

ドメインを所有することによって使用できる固有のメールアドレスを使えば、手軽にパブリック認証局の証明を受けられます。また、ドメイン審査コードを表示したり、DNSサーバに認証文字列を記載したTXTレコードを構成したりといった方法でドメイン認証を受けることもできます。

4-2.企業認証型証明書

企業認証とは、証明書に記載されている組織が法的に存在していることをチェックしてもらうという方法です。証明書に、その組織が所有しているドメインが記載されていることが確認されれば、SSL証明書が発行されます。

企業認証型の証明にも、所有しているドメインのSSLサーバ証明書発行申請が必要です。ドメインの所有者が確認できた段階でデータベースに照会をおこない、ドメイン所有者と証明書の申請者が同一であることが確認されます。その後、代表電話番号との電話をつないで本人確認や申込内容の確認をおこなったうえで、証明書が発行されます。

4-3.EV認証型証明書

EVとはExtended Validationの略で、日本語では拡張検証を意味します。
EV認証は、証明書に記載されるドメインの所有者や運営組織の法的実在性の客員に加え、組織の所在地や権限などをチェックした上で発行されます。その認証には世界標準のガイドラインが存在しており、認証を受けるのにはかなりの手間がかかります。

EV認証を受けているウェブサイトには、アドレスバーに緑字で運営組織が明記されます。ウェブサイトにアクセスしたユーザーは、アドレスバーの緑字を見るだけで認証を受けていることを確認できるのです。

5.電子契約を結ぶ際はパブリック認証局の電子証明書を使用

電子契約は離れた場所であってもオンタイムで契約できるという便利なシステムです。とはいえ、電子契約には本人性や非改ざん性の証明が必須となるため、契約時にはパブリック認証局による電子証明書の発行が求められます。

電子証明書は高い信頼性を有しているため、活用すれば電子契約のリスクを大きく下げられます。ドメイン認証や企業認証、EV認証など、認証の種類によって手続き方法が異なるため、用途に合った証明書を選択することが大切です。

また、多くの電子契約サービスは電子認証局から電子証明書を発行されたうえで電子署名を使用していますが、認証局を利用しない簡易な契約をしている場合もあるので、電子契約サービスが認証局と提携しているのか、している場合はどの認証局なのか確認するとよいでしょう。